Après un marathon de 36 heures de négociations, les législateurs de l’UE sont parvenus à un accord politique vendredi dernier (8 décembre) sur un texte destiné à devenir la référence mondiale en matière de règlementation de l’intelligence artificielle.
Le règlement sur l’IA (AI Act) est un projet de loi historique visant à règlementer l’intelligence artificielle en fonction de ses risques. Le dossier a finalement été clos vendredi dernier, le Conseil, le Parlement et la Commission étant parvenus à un accord provisoire au terme d’un trilogue.
Lors de cette réunion politique, qui a établi un nouveau record de temps pour des négociations interinstitutionnelles, les négociateurs ont passé en revue une liste impressionnante de 21 questions en suspens.
La première partie du trilogue avait clôturé mercredi (6 décembre) les sujets relatifs à l’open source, aux modèles de fondation et à la gouvernance.
Les négociateurs épuisés avaient ensuite demandé une suspension de séance après 22 heures de négociations sur une proposition de la présidence espagnole du Conseil de l’UE concernant l’utilisation de l’IA par les autorités répressives, un élément inacceptable en l’état pour les législateurs de socialistes. Les discussions ont repris vendredi matin et ne se sont terminées que tard dans la nuit.
Sécurité nationale
Les États membres de l’UE, menés par la France, ont insisté pour qu’une large exemption au respect des prescriptions du texte soit accordée à tout système d’IA utilisé à des fins militaires ou de défense, même par un contractant externe.
Le préambule du texte mentionnera que cette disposition est conforme aux traités de l’UE.
Interdictions
L’AI Act comprend également une liste d’applications interdites qui présentent un risque inacceptable, telles que les techniques de manipulation, les systèmes d’exploitation des failles de sécurité et les algorithmes de notation sociale. Les députés ont ajouté aux applications interdites les bases de données utilisant le scraping en masse d’images faciales comme Clearview AI.
Les eurodéputés ont obtenu l’interdiction de la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, avec une réserve pour des raisons de sécurité visant à reconnaître si, par exemple, un conducteur s’endort.
Les députés ont également introduit une interdiction des logiciels de police prédictive permettant d’évaluer le risque qu’une personne commette des crimes sur la base de ses caractéristiques personnelles.
En outre, le Parlemenr souhaitait interdire l’utilisation de systèmes d’intelligence artificielle qui catégorisent les personnes en fonction de données personnelles sensibles telles que l’origine ethnique, les opinions politiques et les croyances religieuses.
Sur l’insistance des gouvernements européens, le Parlement a abandonné l’interdiction d’utiliser l’identification biométrique à distance en temps réel en échange de quelques exceptions pour les utilisations à des fins répressives, dans le cadre de la prévention des attaques terroristes ou la recherche des victimes ou de suspects dans le cadre d’une liste de crimes graves.
L’utilisation ex post de cette technologie sera soumise à un régime similaire, mais avec des exigences moins strictes. Les eurodéputés ont insisté pour que ces exceptions ne s’appliquent qu’en cas de stricte nécessité, sur base de la législation nationale et de l’autorisation préalable d’une autorité indépendante. La Commission est chargée de détecter tout abus potentiel.
Le Parlement a insisté pour que les interdictions ne s’appliquent pas uniquement aux systèmes utilisés au sein de l’UE, mais qu’elles empêchent également les entreprises basées dans l’Union de vendre ces applications interdites à l’étranger. Toutefois, cette proposition n’a pas été maintenue car sa base juridique a été jugée insuffisante.
Applications à haut risque
Le règlement sur l’IA comprend une liste de cas d’utilisation considérés comme présentant un risque important d’atteinte à la sécurité et aux droits fondamentaux des individus. Les colégislateurs ont inclus une série de conditions de filtrage destinées à ne retenir que les véritables applications à haut risque.
Les domaines sensibles incluent l’éducation, l’emploi, les infrastructures critiques, les services publics, l’application de la loi, le contrôle des frontières et l’administration de la justice.
Les députés ont également proposé d’inclure les systèmes de recommandation « systémiques » utilisés par les réseaux sociaux dans le cadre du règlement sur les services numériques (Digital Services Act, DSA), mais cette idée n’a pas été retenue dans l’accord.
Le Parlement a réussi à introduire de nouveaux cas d’utilisation dans le cadre des utilisations à haut risque, comme les systèmes d’IA prédisant les tendances migratoires et la surveillance des frontières.
Exemptions pour les services répressifs
Le Conseil a introduit plusieurs exemptions pour les services répressifs, notamment une dérogation au principe des « quatre yeux » — c’est-à-dire une vérification par plus d’une personne — lorsque le droit national le juge disproportionné ainsi que l’exclusion des données opérationnelles sensibles des exigences de transparence.
Les fournisseurs et les organismes publics qui utilisent des systèmes d’IA à haut risque doivent les déclarer dans une base de données de l’UE. Les services de police et de contrôle des migrations disposeront d’une section spéciale non publique qui ne sera accessible qu’à une autorité de contrôle indépendante.
Dans des circonstances exceptionnelles liées à la sécurité publique, les autorités répressives pourront utiliser un système à haut risque qui n’a pas passé la procédure d’évaluation de la conformité en demandant une autorisation judiciaire.
Évaluation de l’impact sur les droits fondamentaux
Les eurodéputés socialistes ont introduit l’obligation pour les organismes publics et les entités privées fournissant des services publics essentiels, tels que les hôpitaux, les écoles, les banques et les compagnies d’assurance déployant des systèmes à haut risque, de procéder à une évaluation de l’impact de l’utilisation de l’IA sur les droits fondamentaux.
Responsabilité au sein de la chaîne d’approvisionnement et amendes
Les fournisseurs de systèmes d’IA à usage général comme ChatGPT devront fournir toutes les informations nécessaires pour se conformer aux obligations de l’AI Act aux fournisseurs économiques situés en aval dans la chaîne d’approvisionnement qui créent une application qualifiée à haut risque.
Les amendes administratives sont fixées à un montant minimum ou à un pourcentage du chiffre d’affaires annuel global de l’entreprise, si ce dernier est plus élevé.
En ce qui concerne les infractions les plus graves des cas d’usages interdits, les amendes pourront atteindre jusqu’à 7 % du chiffre d’affaires ou 35 millions d’euros, ainsi que jusqu’à 3 % du chiffre d’affaires ou 15 millions d’euros pour les infractions concernant les obligations des fournisseurs de systèmes et de modèles, et 1,5 % du chiffre d’affaires pour l’absence d’informations exactes.
Le règlement sur l’IA s’appliquera deux ans après son entrée en vigueur, le délai étant écourté à six mois pour les interdictions.
Les exigences relatives aux systèmes d’IA à haut risque, aux modèles d’IA puissants, aux organismes d’évaluation de la conformité et au chapitre sur la gouvernance commenceront à s’appliquer au bout d’un an.
[Édité par Anne-Sophie Gayet & Théophane Hartmann]