Comprendre la législation de l'UE en matière d'IA : étapes clés, historique et objectifs futurs

Brève histoire de la législation sur l’IA dans l’UE
Les efforts législatifs de l’UE en matière d’IA ont véritablement débuté à la fin des années 2010, avec pour objectif de favoriser l’innovation tout en préservant les droits et la sécurité des citoyens. Parmi les étapes clés, on peut citer :

• Avril 2018 : La Commission européenne a présenté la stratégie européenne en matière d'intelligence artificielle, qui vise principalement à renforcer les investissements publics et privés dans ce domaine, à préparer les transformations socio-économiques qui en découlent et à garantir un cadre éthique et juridique approprié.
• Décembre 2018: adoption du plan coordonné sur l'intelligence artificielle, visant à encourager la collaboration entre les États membres afin d'optimiser l'impact des investissements dans l'IA tant au niveau de l'Union européenne qu'au niveau national.
• Avril 2019 : Le Groupe d'experts de haut niveau sur l'IA a publié les « Lignes directrices éthiques pour une IA digne de confiance », qui énoncent des principes tels que la transparence, la responsabilité et le contrôle humain.
• Février 2020: publication par la Commission européenne du livre blanc sur l'intelligence artificielle, proposant des options stratégiques visant à permettre un développement fiable et sécurisé de l'IA en Europe.
• Avril 2021 : Présentation du projet de loi sur l'intelligence artificielle (loi sur l'IA), visant à établir un cadre juridique pour l'IA qui concilie innovation et protection des droits fondamentaux.

Comprendre la loi sur l'intelligence artificielle
Le projet de loi sur l'IA constitue un texte législatif historique visant à réglementer les technologies d'IA en fonction de leurs risques potentiels. Il adopte une approche fondée sur les risques, classant les systèmes d'IA par catégories afin de garantir des niveaux de réglementation adaptés sans pour autant freiner l'innovation.

Au sommet de la hiérarchie se trouvent les systèmes d’IA qui présentent un « risque inacceptable ». Ceux-ci sont purement et simplement interdits en raison de leur capacité à menacer la sécurité, les moyens de subsistance ou les droits fondamentaux. Cela inclut les systèmes qui manipulent le comportement humain afin de contourner le libre arbitre des utilisateurs, ou qui permettent aux gouvernements de mettre en place un système de notation sociale.

Viennent ensuite les applications d’IA « à haut risque », qui sont soumises à des obligations strictes avant de pouvoir être commercialisées. Ces systèmes sont généralement utilisés dans des secteurs critiques tels que la santé, les transports et les forces de l’ordre. Ces normes prévoient notamment la réalisation d’évaluations des risques, la garantie de la haute qualité des ensembles de données, la tenue de registres d’activité et la mise en place d’un contrôle humain.

Les systèmes à « risque limité » sont ceux soumis à des obligations spécifiques en matière de transparence. Par exemple, les chatbots doivent informer les utilisateurs qu’ils interagissent avec une machine, afin de garantir un consentement éclairé.

Enfin, il est possible de développer et d’utiliser des systèmes d’IA à « risque minimal », qui s’inscrivent dans le cadre de la législation existante sans nécessiter d’exigences juridiques supplémentaires.

La loi sur l'IA au regard du RGPD, de la directive NIS 2 et de la directive DORA
La loi sur l'IA ne s'inscrit pas dans le vide ; elle complète et s'articule avec d'autres cadres réglementaires importants de l'UE, ce qui crée un environnement cohérent pour la gouvernance technologique.

Le règlement général sur la protection des données (RGPD), en vigueur depuis mai 2018, constitue le fondement de la protection des données et de la vie privée au sein de l’Union européenne. La loi sur l’IA s’appuie sur les principes du RGPD en abordant les questions de qualité des données et de gouvernance dans les systèmes d’IA. Ces deux réglementations mettent l’accent sur la protection des données à caractère personnel, la transparence et les droits des personnes. Par exemple, les systèmes d’IA doivent garantir la minimisation des données et un traitement licite, conformément aux exigences du RGPD.

La directive relative à la sécurité des réseaux et de l’information 2 (NIS 2) vise à renforcer la cybersécurité dans l’ensemble de l’Union européenne, en couvrant les secteurs critiques et les services essentiels. La loi sur l’IA s’inscrit dans le prolongement de la directive NIS 2 en garantissant que les systèmes d’IA, en particulier ceux présentant un risque élevé, soient sécurisés et résilients face aux cybermenaces. Cette cohérence est cruciale, car les systèmes d’IA pourraient devenir des cibles ou des outils de cyberattaques, compromettant ainsi potentiellement la sécurité et la vie privée.

La loi sur la résilience opérationnelle numérique (DORA) porte sur la capacité du secteur financier à résister aux perturbations liées aux technologies de l'information et de la communication (TIC) et à s'en remettre. La loi sur l'IA complète la DORA en garantissant que les systèmes d'IA utilisés dans le secteur financier sont fiables et sécurisés. Ensemble, ces deux textes favorisent la résilience opérationnelle, en mettant l'accent sur la gestion des risques, le signalement des incidents et une surveillance rigoureuse.

En alignant la loi sur l'IA sur le RGPD, la directive NIS 2 et la directive DORA, l'UE met en place un cadre réglementaire unifié qui couvre la protection des données, la cybersécurité et la résilience opérationnelle, favorisant ainsi la création d'un écosystème fiable pour le développement et le déploiement de l'IA.

Objectifs de la nouvelle législation sur l’IA
La législation de l’UE en matière d’IA vise à atteindre plusieurs objectifs clés. L’un des principaux objectifs est la protection des droits fondamentaux et de la sécurité, en veillant à ce que les systèmes d’IA soient développés et utilisés dans le respect de principes tels que la non-discrimination, la vie privée et la protection des données.

La promotion d’une IA digne de confiance constitue un autre objectif central. En établissant des règles et des normes claires, la législation vise à renforcer la confiance du public dans les technologies d’IA, ce qui est essentiel pour leur adoption et leur acceptation. L’UE souhaite également encourager l’innovation en créant un marché unique pour les applications d’IA légales, sûres et dignes de confiance. L’objectif est de limiter la fragmentation du marché et d’assurer la sécurité juridique pour les entreprises et les innovateurs.

Il est essentiel de garantir la transparence et la responsabilité. La législation impose des mesures de transparence, telles que l'indication des moments où des personnes interagissent avec des systèmes d'IA, et veille à ce que ces systèmes soient vérifiables et responsables. Cette transparence vise à donner plus d'autonomie aux utilisateurs et à préserver la confiance du public dans les technologies d'IA.

Conséquences pour les entreprises
Pour les entreprises exerçant leurs activités au sein de l’UE ou traitant les données de citoyens de l’UE, la loi sur l’IA présente à la fois des défis et des opportunités. Les entreprises devront évaluer leurs systèmes d’IA afin de déterminer leur catégorie de risque et de s’assurer qu’elles respectent les obligations applicables. Cela pourrait impliquer des adaptations importantes de leurs processus de développement et de déploiement.

Les exigences de conformité pourraient impliquer des investissements nécessaires dans de nouveaux systèmes et processus, en particulier pour les entreprises qui déploient des systèmes d’IA à haut risque. Cependant, une réglementation claire peut offrir un environnement stable propice à l’innovation, en encourageant les investissements dans des technologies d’IA conformes et fiables. L’Union européenne faisant souvent figure de précurseur en matière de normes réglementaires (comme l’a montré le RGPD), les entreprises auront tout intérêt à s’aligner sur la réglementation européenne, ce qui pourrait leur conférer un avantage concurrentiel sur les marchés mondiaux.

Législations similaires hors de l'UE
La prise de conscience de l'impact profond de l'IA ne se limite pas à l'Europe ; partout dans le monde, les pays élaborent leurs propres cadres réglementaires en matière d'IA, ce qui reflète une tendance mondiale vers une gouvernance responsable de l'IA.

Aux États-Unis, une approche sectorielle a été adoptée, plusieurs agences fédérales ayant publié des lignes directrices spécifiques à leurs domaines de compétence. Le projet de loi « Algorithmic Accountability Act » vise à obliger les entreprises à évaluer les impacts des systèmes de décision automatisés et à atténuer les risques éventuels. Bien qu’elle ne soit pas encore entrée en vigueur, cette législation témoigne d’une prise de conscience croissante de la nécessité d’une surveillance de l’IA.

Après le Brexit, le Royaume-Uni élabore actuellement sa stratégie en matière d’intelligence artificielle en mettant l’accent sur une réglementation favorable à l’innovation. Le Royaume-Uni prévoit de mettre en place un cadre réglementaire qui encourage l’innovation tout en gérant les risques liés à l’intelligence artificielle. Cette approche vise à trouver un équilibre entre la position du Royaume-Uni en tant que leader dans le développement de l’intelligence artificielle et la nécessité de préserver l’intérêt général.

En Chine, le gouvernement a mis en place une réglementation relative à l'IA, axée notamment sur la sécurité des données et l'utilisation éthique de cette technologie. L'approche chinoise allie une surveillance étatique stricte à une volonté résolue d'asseoir son leadership technologique dans le domaine de l'IA. La réglementation insiste sur la nécessité de veiller à ce que l'IA soit conforme aux valeurs sociales et aux intérêts de la sécurité nationale.

Au Canada, le gouvernement a proposé la loi sur l'intelligence artificielle et les données (AIDA), qui vise à réglementer les systèmes d'IA à fort impact et à garantir qu'ils soient développés et déployés de manière responsable. Cette loi obligerait les organisations à adopter des mesures visant à atténuer les risques et à mettre en place des mécanismes de contrôle.

En Australie, le gouvernement a publié le « Cadre éthique pour l'IA », qui énonce des principes volontaires destinés à guider les entreprises et les pouvoirs publics dans la conception, le développement et la mise en œuvre de l'IA. Bien qu'il ne soit pas juridiquement contraignant, ce cadre témoigne de l'engagement de l'Australie à garantir que les technologies d'IA soient sûres, sécurisées et fiables.

Au Japon, le gouvernement a mis en avant les « Principes sociaux d'une IA centrée sur l'humain », en mettant l'accent sur des principes tels que les droits de l'homme, la vie privée et la promotion de l'innovation. L'approche japonaise met l'accent sur la coexistence harmonieuse entre les humains et l'IA, dans le but de renforcer la confiance et l'adhésion du public.

Au Brésil, le gouvernement examine actuellement le cadre juridique relatif à l'intelligence artificielle, qui vise à définir les principes, les droits et les obligations en matière de développement et d'application de l'IA. Ce cadre a pour objectif de promouvoir l'innovation tout en garantissant le respect des normes éthiques et des droits fondamentaux.

En Afrique du Sud, dans le cadre de l’intérêt croissant que suscite l’IA sur le continent africain, le gouvernement a commencé à explorer le potentiel de cette technologie et les mesures réglementaires nécessaires. La Commission présidentielle sur la quatrième révolution industrielle a recommandé l’élaboration d’un cadre politique et législatif complet en matière d’IA, axé sur la croissance inclusive et les considérations éthiques.

Ces initiatives, qui proviennent de tous les continents, témoignent d’une tendance mondiale visant à mettre en place des cadres réglementaires qui concilient innovation, considérations éthiques et gestion des risques. L’approche de chaque pays reflète son contexte socio-économique, ses traditions juridiques et ses priorités stratégiques propres, contribuant ainsi à la diversité du paysage mondial en matière de gouvernance de l’IA.

Perspectives d’avenir
La loi sur l’IA est toujours en cours de discussion et susceptible d’être amendée. Elle doit être approuvée à la fois par le Parlement européen et par le Conseil avant d’entrer en vigueur. Une fois adoptée, une période de transition permettra aux parties prenantes de s’adapter à la nouvelle réglementation. L’intégration avec le RGPD, la directive NIS2 et la directive DORA souligne l’approche globale de l’UE en matière de réglementation, garantissant que les systèmes d’IA soient non seulement innovants, mais aussi sûrs, transparents et respectueux des droits individuels.

Points clés à retenir
 

• L'UE montre la voie en matière d'élaboration d'une législation complète sur l'IA grâce au projet de loi sur l'IA.
• La loi sur l'IA vient compléter d'autres réglementations telles que le RGPD, la directive NIS 2 et la directive DORA, créant ainsi un cadre cohérent en matière de protection des données, de cybersécurité et de résilience opérationnelle.
• Une approche fondée sur les risques classe les systèmes d'IA en quatre catégories : risque inacceptable, risque élevé, risque limité et risque minimal.
• Cette législation vise à protéger les droits fondamentaux, à renforcer la confiance, à favoriser l'innovation et à garantir la transparence.
• Les entreprises doivent se préparer à se conformer à ces nouvelles obligations, qui pourraient avoir des répercussions sur leurs stratégies de développement et de déploiement.
• Des initiatives réglementaires similaires sont en cours à l'échelle mondiale, ce qui témoigne d'une prise de conscience internationale de la nécessité d'une gouvernance responsable de l'IA.
• Il est essentiel pour les organisations concernées par ces changements de se tenir informées et de s'impliquer dans le processus législatif.
   

En comprenant l'historique et les objectifs de la législation européenne en matière d'IA, ainsi que ses liens avec d'autres cadres réglementaires, les entreprises peuvent s'adapter efficacement à ce nouvel environnement réglementaire et contribuer au développement de technologies d'IA à la fois innovantes et conformes aux valeurs de la société.

Pour en savoir plus sur les implications du cadre réglementaire de l'UE en matière d'IA pour votre entreprise, n'hésitez pas à contacter l'un de nos experts spécialisés. Nous vous aiderons à préparer votre entreprise aux changements décrits ci-dessus et à utiliser l'IA dans le respect de la législation et des principes éthiques.