Le règlement européen sur l’IA (ou AI Act) a récemment été publié au Journal officiel de l’Union européenne (JOUE) et commencera à s’appliquer progressivement à partir du 1er août 2024. Quels sont les acteurs concernés ? Quelles différences et complémentarités existent entre le règlement IA et le RGPD ? Dans cet article, nous allons vous expliquer tout cela de manière simple et claire.
Qu’est-ce que le Règlement IA ?
Le règlement européen sur l’intelligence artificielle (RIA) est la première législation au monde à encadrer le développement, la commercialisation et l’utilisation des systèmes d’intelligence artificielle (IA). Son objectif est de minimiser les risques potentiels pour la santé, la sécurité et les droits fondamentaux des personnes.
Quelles autorités de contrôle ?
Niveau Européen
La gouvernance du RIA est organisée à deux niveaux. Au niveau européen, le Comité européen de l’IA rassemble des représentants de chaque pays membre de l’UE, ainsi que le Contrôleur européen de la protection des données (l’équivalent de la CNIL au niveau européen). Ce comité est aidé par :
– Un forum consultatif, composé de divers experts, qui conseille le Comité européen de l’IA.
– Un groupe scientifique d’experts indépendants, qui aide à superviser les modèles d’IA utilisés de manière générale.
Le Bureau de l’IA, une nouvelle institution de la Commission européenne, supervise les modèles d’IA à usage général et collabore avec les autorités nationales pour les systèmes d’IA à haut risque.
Cet article pourrait vous intéresser : Le Règlement Européen sur l’IA (AI Act) : Un Nouveau Cadre pour l’Intelligence Artificielle.
Niveau National
Lors de la dernière plénière du Comité européen de la protection des données (CEPD), les autorités de protection des données ont souhaité adopter une position commune sur leur rôle dans la mise en œuvre de l’IA Act.
En effet, ce nouveau règlement prévoit la désignation d’une ou plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché, mais il ne se prononce pas sur la nature des autorités concernées : ce choix revient à chaque État membre, qui devra en désigner une avant le 2 août 2025.
Dans ce contexte, les autorités de protection des données européennes rappellent qu’elles disposent déjà d’une expérience et d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données personnelles, et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque. Une telle désignation permettrait d’assurer une bonne coordination entre les différentes autorités nationales, ainsi qu’une articulation harmonieuse du RIA avec le RGPD.
Pour mémoire, la CNIL figure parmi les autorités les plus avancées sur le sujet en ce qu’elle dispose d’un service d’experts dédié à ces questions et met en œuvre un plan d’action global pour assurer un déploiement le plus vertueux possible de ces systèmes.
Dans sa déclaration, le CEPD recommande la désignation des autorités de protection des données comme autorités de surveillance du marché des systèmes d’IA à haut risque utilisés dans les domaines suivants :
- l’identification biométrique, la catégorisation biométrique et la reconnaissance des émotions à des fins répressives, de gestion des frontières, de justice et démocratie ;
- La répression ;
- La migration, les demandes d’asile et la gestion des contrôles aux frontières ;
- L’administration de la justice et les processus démocratiques.
Le CEPD recommande également la désignation des autorités de protection des données comme autorités de surveillance du marché pour d’autres systèmes d’IA à haut risque susceptibles d’impacter les droits et libertés des personnes, notamment s’agissant du traitement de leurs données personnelles.
Enfin, il est recommandé de désigner les autorités de protection des données comme point de contact unique pour le public et leurs homologues au niveau des États membres et de l’UE, et de mettre en place des procédures claires pour la coopération entre les autorités de surveillance du marché et les autres autorités nationales compétentes, ainsi qu’une coopération appropriée entre le Bureau de l’IA (Commission européenne), les autorités de protection des données et le CEPD.
Quel lien entre IA Act et RGPD ?
Le RGPD (Règlement général sur la protection des données) est une réglementation européenne qui protège les données personnelles des individus. La CNIL, en charge de son application en France, voit le RIA comme un complément au RGPD. Le RGPD s’applique à tous les systèmes qui traitent des données personnelles, y compris les systèmes d’IA.
Par exemple, certaines pratiques interdites par le RIA, comme la création de bases de données de reconnaissance faciale sans consentement, sont déjà sanctionnées par la CNIL sous le RGPD. La CNIL continuera d’appliquer le RGPD pour les fournisseurs de modèles ou systèmes d’IA basés en France.
Cet article pourrait également vous intéresser : Cookies et RGPD : Pourquoi il doit être aussi simple d’accepter que de refuser.
Que prévoit la CNIL pour aider les entreprises à se conformer à ce nouveau règlement ?
Depuis un an, la CNIL aide les entreprises à se conformer au RGPD tout en innovant dans le domaine de l’IA. Cela inclut la publication de guides pratiques et des consultations pour clarifier l’application du RGPD en matière d’IA, ainsi qu’un dialogue continu avec les entreprises du secteur.
Quel règlement s’applique à mon activité ?
Pour déterminer quel règlement s’applique, quatre situations peuvent se présenter :
1. Le RIA s’applique seul : Cela concerne les systèmes d’IA à haut risque qui ne traitent pas de données personnelles.
– Exemple : Un système d’IA utilisé pour gérer une centrale électrique.
2. Le RGPD s’applique seul : Cela concerne le traitement de données personnelles par des systèmes d’IA non couverts par le RIA.
– Exemple : Un système d’IA utilisé pour attribuer des centres d’intérêt à des fins publicitaires.
3. Les deux s’appliquent : Cela concerne les systèmes d’IA à haut risque qui nécessitent des données personnelles.
– Exemple : Un système d’IA utilisé pour le tri automatique de CV.
4. Aucun des deux ne s’applique : Cela concerne les systèmes d’IA à faible risque qui ne traitent pas de données personnelles.
– Exemple : Un système d’IA utilisé pour la simulation dans un jeu vidéo.
Conclusion
Le règlement européen sur l’IA (RIA) et le RGPD offrent un cadre complet pour le développement et l’utilisation des systèmes d’IA en Europe. La CNIL joue un rôle crucial en aidant les entreprises à se conformer à ces règlements, assurant ainsi une innovation responsable et respectueuse des droits des individus. Si vous avez des questions ou des préoccupations concernant ces réglementations, n’hésitez pas à consulter la CNIL pour obtenir des conseils et un accompagnement adapté.