Règlement de l’UE sur l’intelligence artificielle : il est urgent de se préparer
Par Xavier Près, avocat, docteur en droit, associé VARET PRÈS KILLY
Règlement de l’UE sur l’IA : ça y est, c’est parti ?
Non, pas encore.
Le Règlement de l’UE sur l’IA (ci-après « Règlement IA ») vient certes de faire de l’objet le 2 février 2024 d’une adoption à l’unanimité par les 27 États membres de l’Union Européenne (UE)1(Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union, version (publique disponible) du 21 janvier 2024. Sauf précision contraire, les références visées au présent article sont issues de cette dernière version en date du 21 janvier 2024).. Mais le texte n’a pas encore été voté par le Parlement. Il devrait l’être avant les prochaines élections de juin 2024.
Le texte vient de loin. Les premières réflexions structurées ont commencé dès 2017, d’abord avec le Conseil européen qui avait souligné la nécessité de faire preuve d’un sens de l’urgence face aux tendances émergentes, notamment l’IA, avant que le Commission européenne présente en 2018 un premier plan coordonné sur l’IA, débouchant le 19 février 2020 par la publication par la Commission d’un Livre blanc sur l’IA2Conclusions du Conseil européen, 19 octobre 2017 ; Communication de la Commission au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social européen et au Comité des régions, plan coordonné dans le domaine de l’intelligence artificielle, 7 décembre 2018 et Livre Blanc de la Commission, « Intelligence artificielle : une approche européenne axée sur l’excellence et la confiance », 19 février 2020. Une proposition de règlement de l’UE établissant des règles harmonisées concernant l’intelligence artificielle a par la suite été déposée le 21 avril 2021 par la Commission européenne3(Proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union du 21 avril 2021. Le Conseil de l’Union européenne a communiqué son orientation générale sur le texte le 6 décembre 2022. La proposition a ensuite été votée et amendée le 14 juin 2023 par le Parlement européen en séance plénière, avant de faire l’objet d’un accord provisoire de principe le 8 décembre 2023 à l’issue de négociations entre les institutions européennes, en trilogue réunissant les représentants du Parlement européen, du Conseil de l’Union européenne et de la Commission européenne4Proposition de Règlement IA du 14 juin 2023 amendée par le Parlement européen. Cette phase a marqué la dernière étape de la négociation entre les trois institutions européennes en vue d’un accord final sur le texte.
Une fois voté, le Règlement de l’UE sur l’IA sera-t-il immédiatement applicable ?
Non, pas tout à fait.
Une fois adopté et voté, le Règlement IA ne sera applicable que 24 mois après son entrée en vigueur, soit au printemps 2026 a priori5À noter que le Règlement IA n’entrera en vigueur que le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne (JOUE)..
Certaines de ses dispositions seront toutefois applicables dès 2026. Il s’agit des titres I et II qui s’appliqueront 6 mois après l’entrée en vigueur du Règlement IA, soit a priori dès la fin de l’année 2024. A cet égard, il est à noter que le titre 1er comporte, au-delà des définitions, une obligation pour les fournisseurs et déployeurs de systèmes d’IA de prendre « des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d’IA à leur personnel et aux autres personnes chargées du fonctionnement et de l’utilisation des systèmes d’IA »6Art. 4 ter de la proposition de Règlement IA. À cette obligation de formation et de sensibilisation, s’ajoute l’interdiction des systèmes d’IA comportant un risque inacceptable qui serait elle aussi applicable dès la fin de l’année 2024, dans les 6 mois suivant l’entrée en vigueur du Règlement IA. D’autres dispositions seront applicables dans les 12 mois suivant l’entrée en vigueur du Règlement IA, soit a priori en juin 2025. Il s’agit des dispositions du titre III, chapitre 4 (autorités nationales), du titre VI (gouvernance), du titre VIII bis (IA à usage général) et du titre X (sanction).
Faut-il se préparer dès l’application du Règlement de l’UE sur l’IA ?
Oui, car le texte est complet et s’applique largement à tout opérateur, tous secteurs confondus.
Le Règlement de l’UE sur l’IA s’applique largement, à tout opérateur de systèmes d’IA (fournisseur, déployeur, distributeur, fabricant, importateur) dont le siège social se situe dans l’UE, ou, sous certaines conditions, dans un pays tiers lorsque les systèmes d’IA sont commercialisés dans l’UE7Art. 2 de la proposition de Règlement IA. Il s’applique encore tout secteur confondu, à l’exclusion toutefois des finalités exclusivement militaires, de défense ou de sécurité nationale ou encore à des fins exclusives de recherche et de développement scientifiques8Art. 2 de la proposition de Règlement IA..
Le Règlement de l’UE sur l’IA est dense. En l’état, il est composé de 89 considérants, 85 articles, ces derniers étant divisés en 12 titres : dispositions générales (titre 1), pratiques interdites en matière d’IA (titre 2), système d’IA à haut risque (titre 3), obligations de transparence pour les fournisseurs et déploiements de certains systèmes d’IA et modèles GPAI (titre 4), Mesures de soutien à l’innovation (titre 5), Gouvernance (titre 6), Base de données de l’UE sur les systèmes d’IA à haut risque énumérés à l’annexe III (titre 7), surveillance après commercialisation, partage d’informations et surveillance du marché (titre 8), Modèles d’IA à usage général (titre 8A), Code de conduite (titre 9), Confidentialité et sanctions (titre 10), Délégation de pouvoir et comité (titre 11), Dispositions finales (titre 12). À ce corpus volumineux, il faut encore ajouter ses 9 annexes (dont certaines se subdivisent).
La version du texte la plus récente a été divulguée le 21 janvier 2024. Elle est substantiellement différente de la version initiale proposée par la Commission le 21 avril 2021 et comporte également des modifications importantes en comparaison de la version amendée par le Parlement le 14 juin 2023.
Dense, le texte sera difficile à mettre en oeuvre. Ce d’autant qu’il faudra l’articuler avec de nombreux autres textes, dont certains devraient être modifiés dans les prochains mois. L’adoption du règlement IA devrait en effet s’accompagner de modifications en cascade visant plusieurs textes, français et européens, déjà en vigueur. Ainsi par exemple, la révision de la directive (UE) 2019/79 droit d’auteur et droits voisins dans le marché unique numérique ne serait plus un tabou pour la Commission européenne, qui envisage d’y travailler dès 2025, et ce malgré de ferventes oppositions qui ont bien failli emporter le texte avant qu’il ne soit finalement adopté in extremis9V. notamment, notre ouvrage, « Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique et modifiant les directives 96/9/CE et 2001/29/CE, textes et commentaire de la directive, article par article », Bruylant, sous la direction de N. Binctin et X. Près, introduction, p. 7 par N. Binctin et X. Près.
Le Règlement de l’UE sur l’IA est stratégique. Il s’agit d’un texte transverse qui ne se réduit pas au droit d’auteur, à la différence de la proposition de loi française du 12 décembre 202310Une proposition de loi visant à encadrer l’intelligence artificielle par le droit d’auteur a été déposée le 12 septembre 2023 à l’Assemblée nationale, V. notamment, notre article « Légiférer sur l’intelligence artificielle, oeuvre humaine, trop humaine », Blip!, octobre 2023, X. Près.. Le texte a pour ambition de doter l’UE d’un dispositif général, inédit au niveau mondial, pour permettre aux systèmes d’IA de se développer dans un cadre de confiance et dans le respect des droits fondamentaux et des valeurs de l’Union.
En substance, le Règlement de l’UE sur l’IA tend à favoriser l’innovation tout en protégeant la société, en procédant à une approche de régulation graduée selon les risques : les systèmes d’IA sont classés selon leur niveau de risque ; les contraintes juridiques variant à proportion du risque.
Trois niveaux de risques sont distingués.
Les plus dangereux sont les systèmes d’IA considérés comme présentant un « risque inacceptable »11Art. 5 de la proposition de Règlement IA.. Ils sont par conséquent interdits. Sont ainsi visés les systèmes d’IA qui, sous certaines conditions, (i) utilisent des techniques permettant d’altérer le pouvoir décisionnel d’une personne (techniques subliminales par exemple), (ii) évaluent ou classent les personnes (score social) ou (iii) utilisent des systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins de maintien de l’ordre, sauf cas particuliers.
Une catégorie intermédiaire vise les systèmes d’IA « à haut risque »12Art. 6 à 51 de la proposition de Règlement IA.. Il s’agit, d’une part, des systèmes d’IA qui, sous certaines conditions, sont utilisés en lien avec un produit relevant de la législation de l’UE sur la sécurité des produits selon une liste définie en annexe 2. Près d’une vingtaine de règlements et de directives de l’UE sont ainsi concernés, pour des produits aussi divers que notamment les jouets, les ascenseurs, les équipements radio électriques, les équipements sous pression ou de protection individuelle, les câbles, les dispositifs médicaux, le transport. Il s’agit, d’autre part, des systèmes d’IA relevant de « domaines cruciaux » spécifiques identifiés en annexe 3. Huit secteurs « à haut risque » sont identifiés: (i) les données biométriques, (ii) les infrastructures critiques, (iii) l’éducation et la formation professionnelle, (iii) l’emploi, la gestion des travailleurs et l’accès à l’emploi indépendant, (v) l’accès et la jouissance des services privés essentiels et des services et prestations publics essentiels, (vi) les services répressifs, dans la mesure où leur utilisation est autorisée par le droit de l’Union ou le droit national applicable, (vii) la gestion des migrations, de l’asile et des contrôles aux frontières et (viii) l’administration de la justice et des processus démocratiques.
Ces systèmes d’IA « à haut risque » ne sont pas interdits, mais soumis à des contraintes élevées applicables tant avant leur mise à disposition que tout au long de leur cycle de vie et de la chaîne de valeur de l’IA. En synthèse, ces exigences qui visent à s’assurer que les systèmes d’IA à haut risque n’ont pas un impact négatif sur la santé, la sécurité et les droits fondamentaux des personnes, varient selon les différents opérateurs qui interviennent, des fournisseurs aux déployeurs, en passant par les distributeurs et les importateurs notamment. Ces contraintes sont multiples et portent notamment sur le respect de normes harmonisées, de déclaration de conformité, d’enregistrement dans une base de données de l’UE, d’un marquage de conformité, ainsi que sur la mise en place d’une documentation technique permettant, notamment, de s’assurer du respect des différentes contraintes applicables.
Les moins dangereux sont les systèmes d’IA présentant un « risque limité ». Il s’agit d’une catégorie résiduelle, comprenant l’ensemble des autres systèmes d’IA qui ne sont ni interdits (risque inacceptable), ni fortement régulés (à haut risque). Parmi ces derniers sont visés les systèmes d’IA destinés à interagir directement avec des personnes physiques13Art. 50 de la proposition de Règlement IA.. Les systèmes d’IA dits à « usage général » font également l’objet d’un traitement particulier14À noter que le règlement IA soumet les systèmes d’IA génératives et les modèles d’IA à usage général à des obligations spécifiques selon que le dispositif présente un risque systémique ou non ou qu’il est mis à la disposition du public dans le cadre d’une licence libre et ouverte ou non (art. 52 bis et suivants). Ces derniers sont ceux qui sont « basés sur un modèle d’IA à usage général, capables de servir à des fins diverses, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA »15Art. 3 de la proposition de Règlement IA. V. aussi au même article, la définition de « modèle d’IA à usage général » : « modèle d’IA, y compris lorsqu’il est entraîné à l’aide d’une grande quantité de données en utilisant l’autosupervision à grande échelle, qui fait preuve d’une grande généralité et est capable d’exécuter avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval. Cela ne couvre pas les modèles d’IA qui sont utilisés avant leur mise sur le marché pour des activités de recherche, de développement et de prototypage ».. Ces systèmes d’IA ont été les plus discutés et ce jusqu’au dernier moment. Ils concernent notamment les IA génératives capables de produire des textes, des images, des vidéos, de la musique qui ressemblent aux contenus créés par l’homme. ChatGPT, DALL-E, Mid Journey, Stable Diffusion, Bard et Gemini sont les plus médiatiques.
Ils sont soumis à des obligations de transparence afin notamment de permettre aux utilisateurs d’être pleinement informés qu’ils interagissent avec un système d’IA16Art. 50 de la proposition de Règlement IA.. Les contenus générés doivent encore être marqués dans un format lisible par machine et détectables comme étant générés ou manipulés artificiellement. Précisons encore que cette obligation de transparence n’est pas sans incidence s’agissant du droit d’auteur dès lors qu’elle contraint « les fournisseurs de modèles d’IA à usage général à (…) mettre en place une politique visant à respecter le droit d’auteur de l’Union, en particulier à identifier et à respecter, y compris au moyen de technologies de pointe, les réserves de droits exprimées conformément à l’article 4, paragraphe 3, de la directive (UE) 2019/79 »17Art. 52 quater de la proposition de Règlement IA. V. également, art. 50 § 3 de la proposition de Règlement IA – Pour rappel, l’article 4, § 3 de la directive (UE) 2019/79 dispose, s’agissant de l’exception de fouille de textes et de données, que : « L’exception ou la limitation prévue au paragraphe 1 s’applique à condition que l’utilisation des oeuvres et autres objets protégés visés audit paragraphe n’ait pas été expressément réservée par leurs titulaires de droits de manière appropriée, notamment par des procédés lisibles par machine pour les contenus mis à la disposition du public en ligne ».. La précision est vague et semble clairement en retrait au regard de la précédente version du règlement IA qui exigeait la mise à disposition du public d’un « résumé suffisamment détaillé de l’utilisation des données d’entraînement protégées par la législation sur le droit d’auteur »18V. spécialement l‘article 28 ter 4° de la proposition de Règlement IA dans sa version amendée du 14 juin 2023.. Les informations requises au titre de l’obligation de transparence sont toutefois précisées dans les annexes du Règlement IA et devraient permettre d’obtenir les informations utiles concernant les contenus alimentant les IA génératives19V. notamment les annexes 9bis et 9b).. À ces obligations de transparence s’ajoutent des obligations applicables à tous les systèmes d’IA dont les solutions techniques doivent être efficaces, interopérables, robustes et fiables. Le recours à des codes de conduite est également encouragé, essentiellement sur une base volontaire20Art. 52 et suivants et 69 de la proposition de Règlement IA..
Le Règlement de l’UE sur l’IA fixe un cadre complet. En plus de cette réglementation au prorata des risques, le Règlement IA encadre encore les systèmes d’IA par la mise en place d’institutions de gouvernance, tant au niveau de l’UE qu’à l’échelon national21V. décision de la Commission du 24 janvier 2024 créant le Bureau européen de l’intelligence artificielle (C/2024/1459).. Des sanctions sont également prévues en cas de non-respect des obligations prévues par le Règlement IA. Et force est de constater qu’elles sont suffisamment dissuasives pour assurer l’application effective du texte. La sanction la plus lourde pour le manquement le plus grave, applicable en cas de commercialisation d’une IA à risque inacceptable, peut aller jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires mondial22Art. 71 et suivants de la proposition de Règlement IA.. Enfin, des mesures spécifiques de soutien à l’innovation sont prévues23(Art. 53 et suivants de la proposition de Règlement IA. Il en va ainsi, notamment, des « bacs à sable réglementaires » qui ont vocation à faciliter l’accès au marché pour les systèmes d’IA proposés par les start-up et les PME.
Le Règlement de l’UE sur l’IA fixe ainsi un cadre complet, applicable tous secteurs confondus (sauf finalités militaires et R&D) et obligeant, dès à présent, tout opérateur économique, établi dans l’UE ou commercialisant un système d’IA dans l’UE, à réaliser un audit de ses systèmes d’IA afin, d’abord, d’en évaluer les risques pour, ensuite, selon le niveau de risque identifié, mettre en place le dispositif de gestion de risque approprié.
Attendre n’est donc plus une option. Il est urgent de se préparer.
Règlement de l’UE sur l’intelligence artificielle : il est urgent de se préparer par Xavier Près, avocat, docteur en droit, associé VARET PRÈS KILLY
