Le règlement européen sur l’intelligence artificielle (IA Act[1]), publié au Journal Officiel le 12 juillet 2024, établit un cadre juridique pour réguler l’utilisation des systèmes d’IA (SIA) au sein de l’Union européenne, visant à garantir une utilisation éthique et sécurisée de ces technologies. Il s’applique à divers acteurs, notamment les fournisseurs, les développeurs, mais aussi les déployeurs. Ces derniers sont définis comme toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant un système d’IA, à l’exception des usages personnels non professionnels[2]. Ainsi, les déployeurs sont les simples utilisateurs dont les obligations sont dispersées dans plusieurs articles du Règlement.
- Obligations générales des déployeurs
Les déployeurs de systèmes d’IA (comme les fournisseurs de SIA) doivent prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des SIA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés (article 4 du Règlement).
Il en résulte une obligation pour les entreprises de former les utilisateurs aux outils d’IA proposés en leur sein.
- Obligations spécifiques pour les déployeurs de systèmes d’IA à haut risque[3] (SIAHR)
- Conformité et mesures techniques : utiliser les SIAHR conformément aux instructions fournies par les fournisseurs et mettre en place des mesures techniques et organisationnelles appropriées pour ce faire (art. 26.1);
- Compétence et autorité du contrôle humain : confier le contrôle humain à des personnes physiques qui disposent des compétences, de la formation et de l’autorité nécessaires ainsi que du soutien nécessaire (art. 26.2) ;
- Surveillance : assurer une surveillance humaine continue du fonctionnement du SIAHR, notamment sur la base de la notice d’utilisation (art. 26.3);
- Signalement : informer immédiatement le fournisseur et les autorités compétentes en cas de détection d’un risque (art. 26.5) et collaborer avec le fournisseur du système d’IA à haut risque pour l’aider à rechercher les causes de la survenance d’un risque[4] (art. 20).
- Vérification des données : veiller à la pertinence et à la qualité des données d’entrée utilisées (art. 26.4).
- Conservation des journaux : conserver les journaux générés par le système pendant « une période adaptée à la destination du système d’IA à haut risque (au moins six mois)(art. 26.6).
- Communication préalable : informer les représentants des travailleurs et les travailleurs concernés avant l’utilisation d’un système à haut risque (art. 26.7).
- Interdiction d’utilisation des SIAHR non enregistrés : s’abstenir d’utiliser un SIAHR non enregistré dans la base de données de l’Union européenne[5] (art. 26.8).
- Coopération avec les autorités : coopérer avec les autorités compétentes concernées en fournissant des informations[6] et en respectant toute mesure prise par ces autorités à l’égard du système d’IA à haut risque (art. 26.12).
Focus sur les analyses d’impact :
L’article 26.9 du Règlement oblige les déployeurs à mener une analyse d’impact sur la protection des données à caractère personnel, comme l’exige l’article 35 du RGPD en se basant sur les informations fournies par le fournisseur du SIAHR.
L’article 27 leur impose également, avant le déploiement, une analyse d’impact spécifique pour les systèmes d’IA à haut risque visés à l’annexe III[7] , points 5), b) et c), à savoir : (i) systèmes d’IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit, à l’exception des systèmes d’IA utilisés à des fins de détection de fraudes financières, (ii) systèmes d’IA destinés à être utilisés pour l’évaluation des risques et la tarification en ce qui concerne les personnes physiques en matière d’assurance-vie et d’assurance maladie;
Cette analyse comprend :
a) | une description des processus du déployeur dans lesquels le système d’IA à haut risque sera utilisé conformément à sa destination; |
b) | une description de la période pendant laquelle et de la fréquence à laquelle chaque système d’IA à haut risque est destiné à être utilisé; |
c) | les catégories de personnes physiques et les groupes susceptibles d’être concernés par son utilisation; |
d) | les risques spécifiques de préjudice susceptibles d’avoir une incidence sur les catégories de personnes physiques ou groupes de personnes identifiés en vertu du point c) du présent paragraphe, compte tenu des informations fournies par le fournisseur; |
e) | une description de la mise en œuvre des mesures de contrôle humain, conformément à la notice d’utilisation; |
f) | les mesures à prendre en cas de matérialisation de ces risques, y compris les dispositifs relatifs à la gouvernance interne et aux mécanismes de plainte internes. |
L’évaluation doit systématiquement examiner les algorithmes et évaluer la manière dont les données personnelles sont traitées et protégées.
A noter : le Bureau de l’IA élaborera un modèle de questionnaire afin d’aider les déployeurs à se conformer de manière simplifiée à cette obligation.
Une fois l’analyse effectuée, le déployeur doit notifier les résultats de l’analyse à l’autorité de surveillance du marché. Dans le cas visé à l’article 46, paragraphe 1[8], les déployeurs peuvent être exemptés de cette obligation de notification.
- Obligations propres à certains systèmes d’IA:
- Autorisation pour l’identification biométrique à distance : les déployeurs de systèmes d’IA à haut risque pour l’identification biométrique à distance doivent obtenir une autorisation (ex ante ou sans retard injustifié et au plus tard dans les 48 heures) auprès d’une autorité judiciaire ou administrative. Cette autorisation est nécessaire pour enquêter sur des infractions pénales spécifiques. En cas de refus, l’utilisation du système doit cesser et les déployeurs doivent supprimer toutes les données personnelles collectées (art. 26.10).
- Vérification et confirmation humaine: interdiction de prendre une mesure ou décision sur la base de l’identification résultant du SIAHR sans vérification et confirmation distinctes de cette identification par au moins deux personnes physiques disposant des compétences, de la formation et de l’autorité nécessaires (art. 14).
- Transparence :
- Les déployeurs d’un système de reconnaissance des émotions ou d’un système de catégorisation biométrique doivent informer les personnes physiques qui y sont exposées du fonctionnement du système et doivent naturellement traiter les données à caractère personnel conformément au RGPD (art.50.3).
- Les déployeurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo constituant un hypertrucage, ou des textes publiés dans le but d’informer le public sur des questions d’intérêt public, doivent indiquer que les contenus ou textes ont été générés ou manipulés par une IA (art.50.4).
- Explication des décisions individuelles : toute personne concernée faisant l’objet d’une décision prise par un déployeur sur la base des sorties d’un système d’IAHR mentionné à l’annexe III, à l’exception des systèmes énumérés au point 2 de ladite annexe (SIA liés aux infrastructures critiques), et qui produit des effets juridiques ou affecte significativement cette personne de façon similaire d’une manière qu’elle considère comme ayant des conséquences négatives sur sa santé, sa sécurité ou ses droits fondamentaux a le droit d’obtenir du déployeur des explications claires et pertinentes sur le rôle du système d’IA dans la procédure décisionnelle et sur les principaux éléments de la décision prise (art.86).
A noter :
- Il existe des règles spécifiques pour les déployeurs de systèmes d’IA qui sont des autorités publiques ou des institutions, organes ou organismes de l’Union, ou des établissements financiers.
- Si le déployeur commercialise sous son propre nom ou sa propre marque un système d’IA à haut risque déjà mis sur le marché, porte une modification substantielle à un système d’IA à haut risque ou modifie la destination d’un système d’IA, y compris un système d’IA à usage général, qui n’a pas été classé à haut risque, il sera considéré comme un fournisseur d’un système à haut risque et sera soumis aux obligations incombant au fournisseur de SIA (art. 25).
En conclusion, le règlement européen sur l’IA impose peu d’obligations aux utilisateurs de systèmes d’IA, sauf s’ils sont classifiés à haut risque. Les exigences imposées aux utilisateurs de systèmes à haut risque sont en revanche très nombreuses. En comprenant ces exigences et en se conformant aux normes établies, les déployeurs peuvent non seulement assurer la conformité légale mais aussi contribuer à une utilisation plus responsable et bénéfique de l’IA.
Pour en savoir plus sur le calendrier d’entrée en application et l’articulation avec le RGPD : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil
Charlotte GALICHET
[1] Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificiellehttps://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ%3AL_202401689
[2] Article 2.10 du Règlement : « Le présent règlement ne s’applique pas aux obligations incombant aux déployeurs qui sont des personnes physiques utilisant des systèmes d’IA dans le cadre d’une activité strictement personnelle à caractère non professionnel. »
[3] Pour en savoir plus sur la classification des SIA : https://www.village-justice.com/articles/act-systemes-haut-risque,50768.html
[4] Risques liés à des produits susceptibles de nuire à la santé et à la sécurité des personnes ou présentant un risque pour les droits fondamentaux des personnes qui « va au-delà de ce qui est considéré comme raisonnable et acceptable eu égard à l’objectif poursuivi ou dans les conditions d’utilisation normales ou raisonnablement prévisibles du produit concerné, lesquelles comprennent aussi sa durée d’utilisation et, le cas échéant, sa mise en service, les exigences d’installation et d’entretien » (article 3, point 19 du règlement (UE) 2019/1020).
[5] Les systèmes d’IA à haut risque doivent être enregistrés dans une base de données spécifique de l’Union européenne. Cet enregistrement vise à faciliter la surveillance et l’audit réglementaires, assurant que ces systèmes respectent les normes de sécurité et d’éthique de l’UE.
[6] Les déployeurs de systèmes d’IA à haut risque doivent coopérer avec diverses autorités, notamment les Autorités Nationales de Surveillance du Marché, les Autorités de Protection des Données, les Autorités Judiciaires ou Administratives, ainsi que la Commission Européenne et les Agences Européennes spécialisées (en fonction de l’application spécifique de l’IA). Ils doivent fournir des informations pour les audits, rapporter les incidents et les mises à jour, participer activement aux registres d’IA, et répondre aux évaluations de conformité et de risque pour assurer une utilisation responsable et réglementée de l’IA.
[7] Si le déployeur est un organisme public ou une entité privée fournissant des services publics, la plupart des SIA visés à l’Annexe III doivent faire l’objet d’une analyse d’impact.
[8] « toute autorité de surveillance du marché peut, pour des raisons exceptionnelles de sécurité publique ou pour assurer la protection de la vie et de la santé humaines, la protection de l’environnement ou la protection d’actifs industriels et d’infrastructures d’importance majeure, autoriser la mise sur le marché ou la mise en service de systèmes d’IA à haut risque spécifiques sur le territoire de l’État membre concerné. »