L’intelligence artificielle (IA) est un secteur des technologies qui évolue rapidement. Si bien encadré, le recours à l’IA peut être un important vecteur de changement et peut contribuer à l’amélioration d’un grand nombre de problématiques auxquelles font face les sociétés, tels les changements climatiques, les problèmes environnementaux, les défis dans le domaine de la santé, etc. Cependant, l’IA représente également une source de nouveaux risques et dangers. Ainsi, il est primordial d’établir un cadre législatif solide entourant son utilisation au niveau de la justice. Dans ce domaine, l’Union européenne (UE) réalise un travail pour être pionnière, étant la première à proposer un règlement encadrant ce domaine. Nous proposons une analyse comparative scindée en deux articles, le présent article portant sur les initiatives législatives prises en Europe, et nous vous proposons un second article sur l’IA et le droit en Amérique du Nord mettant l’emphase sur ce qui est fait aux États-Unis et au Canada dans ce domaine.
L’IA et le droit : l’Union européenne
Le 21 avril 2021, la Commission européenne (CE) publiait un projet de règlement visant à réglementer le secteur : le Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union (ci-après : « Règlement européen sur l’IA »). Il s’agit du premier texte législatif de l’UE de ce genre, le Parlement européen n’ayant précédemment adopté que des résolutions relatives à l’IA, notamment sur les aspects éthiques 1 , le régime de responsabilité 2 et les droits de la propriété intellectuelle 3 . Il s’agit également du premier texte légal de la sorte dans le monde, aucun autre pays ou regroupement de pays n’ayant encore adopté ou élaboré un projet de règlement équivalent. Il est donc particulièrement intéressant de se pencher sur les principes introduits par ce projet de règlement, qui pourrait possiblement servir de modèle pour de futures lois adoptées par d’autres pays.
Le Règlement européen sur l’IA a comme objectifs spécifiques d’encadrer le développement de l’IA afin d’assurer une sécurité accrue, tout en évitant de freiner le développement et le financement de ce secteur informatique.
Le système d’IA y est défini comme tout « logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I 4 et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit 5 ». Cette définition large accorde une certaine souplesse au texte, lui permettant de répondre aux évolutions technologiques et aux nouvelles situations qui en découlent.
Les systèmes d’IA sont catégorisés dans ce projet de règlement selon le type de risque y afférent, c.-à-d. un risque inacceptable, à haut risque, limité et minime.
Le risque associé à un système d’IA est considéré inacceptable lorsque contraire aux valeurs de l’UE. La mise sur le marché la mise en service ou l’utilisation d’un tel système d’IA sont alors interdites. Entre autres, cette interdiction vise « les pratiques qui présentent un risque important de manipuler des personnes par des techniques subliminales agissant sur leur inconscient » ou d’exploiter les vulnérabilités de groupes vulnérables, tels que les enfants ou les personnes handicapées 6 .
Les systèmes d’IA à haut risque présentent un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes physiques. Ceux-ci sont acceptés sur le marché européen sous réserve du respect de certaines exigences obligatoires et d’une évaluation de la conformité 7 . Nous pouvons nommer comme exemples les technologies d’IA qui sont utilisées dans les infrastructures critiques, tels les transports, et qui sont susceptibles de mettre en danger la vie et la santé des citoyens, ou encore les technologies d’IA utilisées dans les composants de sécurité des produits, telle l’application de l’IA dans la chirurgie assistée par robot 8.
Ces systèmes devront être conformes à des obligations strictes pour pouvoir être mis sur le marché. Il est question, entre autres, de systèmes adéquats d’évaluation et d’atténuation des risques, d’un enregistrement des activités afin de garantir la traçabilité des résultats, un contrôle humain approprié pour réduire au minimum les risques, etc 9 .
En ce qui concerne les systèmes d’IA comportant un risque limité, le Règlement européen sur l’IA impose des obligations de transparence, c.-à-d. que ces derniers doivent être conçus et développés de manière à ce que les personnes soient informées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement des circonstances et du contexte d’utilisation 10 . Les chatbots, avec lesquels interagissent les utilisateurs d’un site internet donné, sont un exemple de ce type d’IA.
Finalement, les systèmes d’IA à risques minimes, catégorie à laquelle appartient la grande majorité des systèmes d’IA, ne présupposent aucune obligation 11.
Un système de sanctions dissuasif est également prévu dans le Règlement européen sur l’IA : 30 000 000 EUR ou jusqu’à 6 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent.
Création d’un Comité européen de l’intelligence artificielle et prochaines étapes
Afin d’assurer une solide gouvernance en termes d’IA, la Commission européenne propose la mise sur pied d’un Comité européen de l’intelligence artificielle, avec lequel les autorités nationales compétentes des différents états membres coopéreront 12 . Il sera question d’une gouvernance à deux niveaux, puisque les différents États membres de l’UE auront également leur propre autorité nationale. Certains États membres considèrent que les autorités de protection des données personnelles devraient être désignées comme autorités de contrôle national de l’intelligence artificielle 13 .
Le Comité ad hoc sur l’intelligence artificielle (CAHAI) en Europe, quant à lui, a été créé afin d’organiser une consultation multipartite du 30 mars 2021 au 9 mai 2021 afin de recueillir les points de vue des acteurs institutionnels représentatifs sur certaines questions clés soulevées par l’élaboration d’un cadre juridique adéquat pour protéger les droits de l’homme, la démocratie et l’État de droit 14 . L’élaboration d’un cadre juridique européen pour encadrer l’IA est donc fondamentalement collaborative, visant à mettre sur pied un cadre réglementaire solide, mais souple à la fois, conçu pour résister à l’épreuve du temps, tâche qui n’est pas simple considérant l’évolution rapide du secteur des technologies et de l’IA.
Le Règlement européen sur l’IA est présentement en élaboration, ce qui signifie que la Commission européenne est en constante discussion avec les acteurs et organisations du secteur. À titre d’exemple, le Service de recherche du Parlement européen (EPRS) a publié le 16 décembre 2021 une recherche intitulée « Person identification, human rights and ethical principles : Rethinking biometrics in the era of artificial intelligence » (à l’heure actuelle seulement disponible en anglais) portant sur les liens entre l’identification des personnes, les droits de la personne et les principes éthiques. Des lacunes retrouvées dans le Règlement européen sur l’IA y sont soulevées, notamment quant au « remote biometric identification » (identification biométrique à distance), « biometric categorisation » (catégorisation biométrique) et « emotion recognition » (reconnaissance émotionnelle). L’EPRS y met également de l’avant certaines recommandations, tel que le besoin de clarifier la réglementation entourant le « emotion recognition » et celui de mieux délimiter la réglementation des données biométriques.
Après avoir, dans le présent article, levé le voile sur l’approche européenne dans ce domaine, nous développerons dans un second article sur les initiatives menées aux États-Unis et au Canada afin d’encadrer l’utilisation de l’Intelligence Artificielle.
Cabinet d’avocat pratiquant aussi bien le droit anglophone de la common law en Grande-Bretagne, au Canada et aux États-Unis que le droit civil francophone au Québec et en France, le cabinet S. Grynwajc dispose en outre d’une expertise particulière en tant qu’avocat dans le secteur de la protection des données à caractère personnel. En conséquence, si vous souhaitez vous assurer que votre organisation se conforme aux nouvelles obligations lui incombant, n’hésitez pas à nous contacter, nous serons ravis de vous accompagner !
1 Résolution du Parlement européen du 20 octobre 2020 concernant un cadre pour les aspects éthiques de l’intelligence artificielle, de la robotique et des technologies connexes, 2020/2012(INL).
2 Résolution du Parlement européen du 20 octobre 2020 sur un régime de responsabilité civile pour l’intelligence artificielle, 2020/2014(INL).
3 Résolution du Parlement européen du 20 octobre 2020 sur les droits de propriété intellectuelle pour le développement des technologies liées à l’intelligence artificielle, 2020/2015(INI).
4 Il est question « (a) d’[a]pproches d’apprentissage automatique, y compris d’apprentissage supervisé, non supervisé et par renforcement, utilisant une grande variété de méthodes, y compris l’apprentissage profond[,] (b) [d’a]pproches fondées sur la logique et les connaissances, y compris la représentation des connaissances, la programmation inductive (logique), les bases de connaissances, les moteurs d’inférence et de déduction, le raisonnement (symbolique) et les systèmes experts [et (c) d’approches statistiques, estimation bayésienne, méthodes de recherche et d’optimisation » ; Commission européenne, Annexes à la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, COM(2021), 21 avril 2021.
5 Règlement européen sur l’IA, art. 3 (1).
6 Règlement européen sur l’IA, art. 5.2.2.
7 Règlement européen sur l’IA, art. 5.2.3.
8 « Une Europe adaptée à l’ère du numérique : La Commission propose de nouvelles règles et actions en faveur de l’excellence et de la confiance dans l’intelligence artificielle », Commission Européenne, 21 avril 2021, en ligne : < https://ec.europa.eu/commission/presscorner/detail/fr/ip_21_1682 > (consulté le 15 décembre 2021).
8 Règlement européen sur l’IA, art. 52.
9 « Une Europe adaptée à l’ère du numérique : La Commission propose de nouvelles règles et actions en faveur de l’excellence et de la confiance dans l’intelligence artificielle », préc., note 8.
10 Règlement européen sur l’IA, art. 52.
11 « Une Europe adaptée à l’ère du numérique : La Commission propose de nouvelles règles et actions en faveur de l’excellence et de la confiance dans l’intelligence artificielle », préc., note 8.
12 Id.
13 « Intelligence artificielle : l’avis de la CNIL et de ses homologues sur le futur règlement européen », Commission nationale de l’informatique et des libertés (CNIL), 8 juillet 2021, en ligne : < https://www.cnil.fr/fr/intelligence-artificielle-lavis-de-la-cnil-et-de-ses-homologues-sur-le-futur-reglement-europeen > (consulté le 16 décembre 2021).
14 « Consultation sur les éléments d’un cadre juridique sur l’IA », Conseil de l’Europe, en ligne : < https://www.coe.int/fr/web/artificial-intelligence/cahai-multi-stakeholder-consultation > (consulté le 16 décembre 2021).