Cadre européen sur l’intelligence artificielle : quels impacts pour les entreprises ?

Le 21 avril 2021, la Commission européenne (CE) a publié une proposition de Règlement européen sur l’Intelligence Artificielle (IA). Ce texte met en place un nouveau cadre juridique pour les entreprises avec une approche basée sur les risques. Dans ce document sont également détaillés les moyens envisagés pour protéger la vie privée des citoyens lors de l’usage d’une technologie basée sur l’IA. La commission affirme enfin l’ambition européenne de libéraliser l’intelligence artificielle.

Dès les premières discussions au sein des instances européennes en 2017, l’Intelligence Artificielle était perçue tant comme une opportunité qu’un risque. Les travaux, qui ont abouti à la proposition de ce Règlement, ont été lancés afin de statuer sur une approche européenne de l’IA dans le but « d'assurer une protection des données, des droits numériques et des normes éthiques d'un niveau élevé ». Ainsi, ce projet de Règlement est l’aboutissement d’une longue période de consultation au sein des instances européennes. Il doit encore passer le filtre du Parlement européen et du Conseil de l’UE, avant d’être définitivement adopté. Que va-t-il changer en pratique ? Que faut-il anticiper dès maintenant ?

L’IA au niveau européen – Enjeux et menaces

L’objectif de la Commission européenne est de « faire de l'Europe le pôle mondial d‘une intelligence artificielle (IA) digne de confiance ». Derrière cette ambition se trouvent deux enjeux majeurs, l’un externe et l’autre interne :

• Renforcer la compétitivité de l’Europe face aux autres puissances numériques : les Etats-Unis et la Chine ;
• Libéraliser la donnée tout en garantissant la sécurité et les droits fondamentaux des citoyens et des entreprises.

Selon la Commission, l’un ne se fera pas sans l’autre et c’est la vision portée par Thierry Breton, Commissaire européen chargé du marché intérieur, qui voit dans un « marché commun de la donnée » l’opportunité de faire de l’UE une puissance de premier plan dans le domaine de L’IA. La mobilité et l’énergie sont notamment des secteurs cibles car un partage à large échelle des données permettrait de mettre l’IA au cœur de ces sujets d’avenir.

Une approche basée sur trois degrés de risques

Toutefois, cette large ambition ne va pas sans la définition d’un cadre légal. Pour ce projet de réglementation, la Commission € a adopté une approche basée sur les risques et propose différentes obligations applicables en fonction de trois degrés de risques :

1/ Les modèles dits à « risque inacceptable »

Les modèles dits à Risque Inacceptable sont proscrits. Cela concerne les modèles qui vont « à l’encontre des valeurs de l’Union », tels que la manipulation de l’inconscient, l’exploitation de failles des personnes vulnérables ou encore la mise en place d’un score social.

2/ Les modèles dits à « haut risque »

Les modèles dits à Haut Risque, « qui induisent un haut risque pour la santé, la sécurité ou les droits fondamentaux des personnes »​, sont soumis à quatre obligations particulières :

• Les données qui les alimentent doivent être de haute qualité
• Les modèles doivent être documentés et traçables
• Un contrôle humain doit s’appliquer aux résultats produits par ces modèles
• Ces modèles doivent faire preuve de précision et de robustesse dans leurs résultats

3/ Les modèles dits à « risque limité »

Les autres modèles, n’entrant pas dans les deux premières catégories, sont dits à Risque Limité et ne sont pas soumis à des obligations particulières. Cependant, la Commission encourage l’élaboration de codes de conduites, inspirés des obligations ci-dessus et pouvant s’appliquer à l’échelle de l’entreprise ou de la profession.

Enfin, une dernière obligation de transparence pourrait s’appliquer à tous les modèles qui sont en interaction directe avec l’utilisateur humain, analysent des émotions, définissent des catégories sociales, ou encore génèrent, manipulent et altèrent du contenu. Il s’agit par exemple du deep fake, des algorithmes de tri des candidats, etc..L’usage de ces modèles doit être explicitement révélé et expliqué à l’utilisateur. Celui-ci peut, par ailleurs, demander que le résultat produit par le modèle soit réexaminé par une personne humaine.

Nos recommandations

Aux vues de ce projet règlementaire, nous recommandons à toutes les entreprises qui se sont déjà tournées vers l’IA d’entamer un travail d’analyse des risques pour identifier les modèles susceptibles d’être ciblés par la législation. De cette analyse devrait découler une feuille de route pour mettre en conformité les modèles déjà utilisés et instaurer une gouvernance adaptée pour la mise en place de nouveaux modèles et le maintien en conformité des modèles dans le temps.

Pour les autres entreprises, il apparait que le temps d’investir dans l’IA est venu, en saisissant les opportunités qui ne manqueront pas d’apparaitre avec cette impulsion donnée au niveau européen, et être en mesure, à moyen terme, de prendre part au marché commun de la donnée. Il faut voir aussi dans cet investissement l’occasion de prendre en compte dès la conception les obligations de l’UE qui sont avant tout des bonnes pratiques recommandables à tous pour le développement de l’IA.