Interview du fondateur du cabinet d’avocats Alain Bensoussan Avocats Lexing, spécialiste du droit du numérique. Il nous fait part de ses réflexions sur la future réglementation européenne concernant l’encadrement de l’Intelligence artificielle (IA) et son impact sur le secteur de la sécurité-sûreté ainsi que sur celui de la cybersécurité.
En quels termes s’esquisse la réglementation européenne sur l’IA ? Quel est l’agenda ?
L’encadrement juridique de l’intelligence artificielle fait l’objet d’une proposition de règlement du Parlement européen et du Conseil du 21 avril 2021 « établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union ». Le Parlement et les Etats membres devront adopter les propositions de la Commission encadrant l’IA dans le cadre de la procédure législative ordinaire. Une fois adopté, le règlement sera directement applicable dans l’ensemble de l’UE. Actuellement sur le bureau du Parlement européen, ce texte devrait être discuté fin 2021, voté en 2022 pour une entrée en application pas avant 2024.
Quelle est idée générale de ce projet de règlement européen ?
L’IA présentant des dangers importants pour la démocratie numérique, la nouvelle réglementation vise à la soumettre à un pilotage par les valeurs. En effet, l’IA doit être conçue et utilisée dans le respect des droits fondamentaux ‘‘by Design’’. Ensuite, le règlement vise un pilotage par les risques. L’objectif vise à doter les européens une IA de confiance afin de pouvoir l’utiliser en toute sécurité. Cette démarche comporte deux axes : tout d’abord, une réglementation horizontale de l’IA qui s’applique à tous les secteurs, chacun d’eux faisant, par ailleurs, l’objet d’une réglementation verticale. C’est le cas, par exemple, des drones, de la voiture autonome ou des navires autonomes. Ensuite, le texte propose de répartir l’IA en quatre catégories : les systèmes d’IA interdits, les systèmes à hauts risques, l’IA soumise à obligation de transparence et les autres systèmes qui sont libres.
Ce projet de règlement a-t-il des liens avec le Règlement général sur la protection des données personnelle (RGPD) ?
Assez peu. Mais l’on peut citer quand même citer l’article 22 du RGPD sur la décision automatisée. Autre particularité : l’utilisation des données à caractère personnel par les fonctions d’apprentissage est soumise à la double réglementation sur les données (RGPD) et sur l’IA. Mais, philosophiquement, il n’y a pas de lien entre les deux règlements.
Quelles sont les sanctions envisagées en cas de non conformité au règlement ?
Les contrevenants s’exposent à une amende de 30 millions d’euros ou de 6 % de leur chiffre d’affaires monde s’ils ne respectent pas les systèmes d’IA interdits ; 20 millions d’euros ou 4 % du chiffre d’affaires monde s’ils ne respectent la réglementation sur les systèmes d’IA à haut risque ; et 10 millions d’euros ou 2 % du chiffre d’affaires monde dans les autres cas. Les amendes sont plus élevées que celles du RGPD. Rappelons à cet égard que Google s’est vu imposer une amende de 100 millions d’euros et Amazon 140 millions d’euros pour non-respect du RGPD…
Quel peut être l’impact du prochain règlement sur les systèmes électroniques de sûreté-sécurité ?
Les utilisateurs d’un système de reconnaissance des émotions ou d’un système de catégorisation biométrique ont pour obligation d’informer du fonctionnement du système les personnes physiques qui y sont exposées. Toutefois, cette obligation ne s’applique pas aux systèmes d’IA de catégorisation biométrique dont la loi autorise l’utilisation à des fins de prévention et de détection des infractions pénales et d’enquêtes en la matière.
Comment se positionne cette réglementation par rapport aux réglementations aux états-Unis et en Chine ?
La réglementation de l’IA aux États-Unis est orientée vers le développement économique des entreprises, celle de la Chine vers le développement politique. Quant à l’Europe, elle prônent un développement par les valeurs. Certes, il y aura une confrontation des approches. Mais si l’on prend l’exemple du RGPD, on voit que la démarche européenne est devenue un standard mondial.
Cette nouvelle réglementation va-t-elle impacter la cybersécurité dans laquelle l’IA est de plus en plus utilisée ?
Selon l’article 6 de la proposition de règlement, tous les systèmes d’intelligence artificielle cyber sont considérés comme à hauts risques, ce qui implique d’instaurer un système de gestion des risques, de traçabilité, de documentation technique, de déclaration et de contrôle humain. Il y aura toujours un contrôle humain des intelligences artificielles.
Propos recueillis par Erick Haehnsen
Commentez