L’Intelligence Artificielle (IA) évolue rapidement, posant de nouveaux défis en matière de régulation et de conformité. Pour répondre à ces enjeux, le règlement européen sur l’IA, connu sous le nom d’AI Act, a (enfin) été publié au Journal Officiel de l’Union Européenne (JOUE) et commencera à s’appliquer progressivement à partir du 1er août 2024.

Cet article vise à expliquer les principaux aspects de ce nouveau règlement, en soulignant ses interactions avec le RGPD, pour vous aider à comprendre les enjeux et les implications.

Qu’est-ce que le Règlement Européen sur l’IA (AI Act) ?

Le règlement européen sur l’IA (RIA) est la première législation exhaustive au monde dédiée à l’intelligence artificielle. Il a pour objectif de réguler le développement, la mise sur le marché et l’utilisation des systèmes d’IA, en tenant compte des risques qu’ils peuvent poser pour la santé, la sécurité ou les droits fondamentaux des individus.

Une Approche Fondée sur les Risques

Le RIA adopte une approche basée sur les risques, en classant les systèmes d’IA en quatre catégories :

1. Risque Inacceptable

Les systèmes d’IA présentant des risques inacceptables sont strictement interdits. Il s’agit de pratiques contraires aux valeurs de l’Union européenne et aux droits fondamentaux, telles que :

• La notation sociale
• L’exploitation de la vulnérabilité des personnes
• L’utilisation de techniques subliminales
• L’identification biométrique à distance en temps réel dans les espaces publics par les forces de l’ordre
• La reconnaissance des émotions sur les lieux de travail et dans les établissements d’enseignement

2. Haut Risque

Les systèmes d’IA à haut risque peuvent affecter la sécurité des personnes ou leurs droits fondamentaux. Leur développement est soumis à des exigences strictes, notamment des évaluations de conformité et des mécanismes de gestion des risques.

Quelques exemples de systèmes à haut risque :

• Systèmes biométriques
• Systèmes utilisés dans le recrutement
• Usages répressifs

3. Risque Spécifique en Matière de Transparence

Ces systèmes d’IA doivent respecter des obligations de transparence spécifiques, surtout en cas de risque de manipulation manifeste. Par exemple :

• Chatbots
• Génération de contenu artificiel

4. Risque Minimal

Pour la majorité des systèmes d’IA, aucune obligation spécifique n’est prévue, car ils présentent un risque minimal.

Cet article pourrait vous intéresser : Comment Gérer les Violations de Données Personnelles selon le RGPD ?

RIA et RGPD : des réglementations distinctes mais complémentaires

Le RIA ne remplace pas le RGPD (Règlement Général sur la Protection des Données). Au contraire, il le complète en posant les conditions pour développer des systèmes d’IA fiables.

Applicabilité du RGPD

Le RGPD s’applique à tous les traitements de données personnelles, y compris :

• Phase de développement d’un système d’IA : Le fournisseur du système est généralement considéré comme responsable du traitement.
• Phase d’utilisation d’un système d’IA : L’utilisateur ou le déployeur du système est responsable du traitement des données personnelles.

Une obligation de transparence conjointe

Le règlement européen sur l’IA impose aux fournisseurs de systèmes d’IA à haut risque et de modèles d’IA à usage général de fournir des documentations détaillées sur les procédures de test et d’évaluation de conformité (articles 11, 13 et 53). En outre, certains déployeurs, notamment les acteurs publics, doivent réaliser une analyse d’impact sur les droits fondamentaux (article 27). Ces exigences se complètent parfaitement avec l’analyse d’impact sur la protection des données (AIPD) du RGPD, qui est souvent nécessaire pour les systèmes d’IA à haut risque. Les documentations requises par le RIA peuvent enrichir l’AIPD, facilitant une approche intégrée. La CNIL et le Comité Européen de Protection des Données (CEPD) travaillent à harmoniser ces règles pour offrir des lignes directrices claires et cohérentes.

Cet article pourrait également vous intéresser : Comment le RGPD vous aide à protéger les données stratégiques de votre entreprise.

Un équilibre entre les deux textes

Le RIA et le RGPD régulent des aspects différents et adoptent des approches distinctes. Cependant, le RIA peut résoudre certaines tensions entre les deux règlements, en prolongeant ou en ajustant certaines exigences :

• Identification biométrique par les forces de l’ordre : Le RIA remplace certaines règles du RGPD pour permettre cette pratique dans des conditions très strictes.
• Traitement de données sensibles : Le RIA autorise, dans certains cas, le traitement de données sensibles pour corriger des biais potentiels, sous réserve de garanties appropriées.
• Réutilisation de données personnelles : Dans les « bacs à sable réglementaires », le RIA permet la réutilisation de données personnelles pour des projets d’intérêt public, sous la supervision d’une autorité dédiée.

Conclusion

Le règlement européen sur l’IA (AI Act) représente une avancée majeure dans la régulation de l’intelligence artificielle, visant à protéger les droits fondamentaux tout en encourageant l’innovation. En complément du RGPD, il établit un cadre pour le développement et l’utilisation responsable des technologies d’IA en Europe.