Alors que l’on commence tout juste à avoir un certain recul sur l’application de la réglementation en matière de protection des données personnelles, les institutions de l’Union européenne travaillent, depuis maintenant quelques temps, sur l’entrée en vigueur d’un Règlement dédié à l’Intelligence artificielle, comme en atteste la proposition du 21 avril 2021.

L’ambition d’un Règlement européen

Émanant tant d’un besoin provenant d’une émulation certaine en la matière que par l’impact potentiel que peuvent avoir les technologies concernées sur nos vies, l’encadrement de cette intelligence artificielle apparait pour le moins très ambitieuse. Partagés entre la nécessité d’imposer des mesures de sécurité adaptées et la volonté de préserver l’innovation proposer par les acteurs du secteur, les rédacteurs européens font face à une pluralité de problématiques, en naviguant bien souvent en eaux troubles.

L’un des principaux aspects de la future réglementation porte notamment sur la neutralisation de biais algorithmiques pouvant avoir des répercussions désastreuses sur les droits et libertés des personnes concernées, dont notamment un risque fort de discrimination. Sans suspens, le premier élément visé se trouve être la nature des données qu’on fournit à l’IA et notamment sa pertinence et son exactitude. Ces préoccupations au niveau le plus élémentaire du processus fonctionnel de l’intelligence artificielle s’avère d’autant plus important que la proposition énoncée plus haut, autorise de manière très spécifique, le recours à de données dites sensibles au sens de l’article 9 du RGPD, telles que les données de santé.

Un autre élément fondamental, qui devrait ressortir de ce nouveau cadre réglementaire, repose sur un principe de transparence renforcé. Il s’agit ici de fournir suffisamment d’information aux utilisateurs pour qu’ils puissent apprécier de manière la plus efficace les résultats obtenus. Ces autorités de contrôle agiraient « en tant qu’autorité notifiante et autorité de surveillance du marché, sauf si un État membre a des raisons organisationnelles et administratives de désigner plus d’une autorité ».

Une autorité de contrôle nationale dédiée à l’IA

Comme le prévoit cette proposition, l’on peut en déduire que la future réglementation envisagera un contrôle spécifique certaines pratiques à risques telles que :

  • Le choix de conception pertinents
  • La collecte de données
  • Les opérations de traitements pertinentes pour la préparation des données
  • L’examen permettant de repérer d’éventuels biais.

A l’instar du RGPD, l’ensemble des États membres devront se munir d’une autorité de contrôle et d’organismes certificateurs visant à apprécier la conformité des fournisseurs d’IA à ladite réglementation. En France, la CNIL serait pressenti à endosser ce rôle, comme le recommande le rapport du Conseil d’État en date du 30 aout 2022.

En matière de sanction, la proposition faite par le Conseil et le Parlement européen se calque sur celles imposées par le RGPD, à savoir une amende administrative d’un montant maximum de 20 millions d’euros ou 4% du chiffre d’affaires annuel total.

Il est à souligner que cette proposition concerne principalement les fournisseurs d’Intelligence artificielle « à haut risque », à savoir celles qui « présentent des risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes » mais il ne serait pas étonnant de voir figurer d’avantage de dispositions relatives à un usage plus général de l’IA dans la version finale de l’IA Act.

Il apparait également pertinent de rappeler que même si la future réglementation sur l’IA va instaurer un certain nombre de nouvelles règles au sein de l’Union européenne, la réglementation en matière de protection de données continuera à s’appliquer en filigrane dès lors qu’un traitement de donnée à caractère personnel pourra être identifié.