[Chronique] A quelques semaines de la publication officielle du règlement européen sur l’intelligence artificielle, notre chroniqueur invité Eric Barbry s’agace de la méconnaissance du texte par les utilisateurs et les professionnels, ainsi que des responsabilités qu’il implique.

L’AI Act sera bientôt publié au Journal Officiel de l’Union Européenne (JOUE) même si des ajustements de dernière minute sont à prévoir.

Ce qui m’agace, c’est qu’on entend tout et n’importe quoi sur ce règlement. Je ne prétends pas avoir la parole divine, ni savoir lire un règlement mieux que les autres, mais il y a beaucoup de fake news à propos de ce sujet, qui méritent une mise au point.

D’abord, au niveau des conséquences sur les utilisateurs (entreprises ou acteurs publics).

Pour les rédacteurs du texte un utilisateur n’est pas un utilisateur mais un « déployeur » ! Il convient d’interpréter la notion de « déployeur » visée dans le présent règlement comme désignant toute personne physique ou morale, y compris une autorité publique, une agence ou un autre organisme, utilisant sous leur propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.

Le règlement s’applique à tous les « déployeurs » de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans l’Union.

Mais pas de stress. Sur les 162 fois où le terme de déployeur est cité dans le règlement, ledit déployeur est bien plus bénéficiaire d’obligations de la part des fournisseurs d’IA que débiteur d’obligations.

Il existe des cas marginaux où effectivement le déployeur peut être considéré comme un fournisseur d’IA, et tenu des mêmes obligations, mais ces cas ne sont pas nombreux (essentiellement marque blanche et modification substantielle).

Pour le reste c’est-à-dire 99,99% des « déployeurs », il existe une obligation à l’article 4 au titre de laquelle « les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, (…). » Il s’agit là de favoriser ce que le règlement appelle la « culture IA ».

Et pour ceux qui déploieraient un système d’IA à haut risque, suivez le guide, tout est expliqué aux articles 26 et suivants du règlement (respect des notices d’utilisation, contrôle humain, surveillance, historisation, analyse d’impact…).

Il existe enfin des variantes pour certains type d’IA ou les petites entreprises.

Quoi qu’il en soit la séquence imposée pour les entreprises ou acteurs publics qui souhaitent déployer une IA est la suivante :

1. Identifier l’IA utilisée pour savoir si elle est ou non à haut risque ;
2. Si possible lire et valider le contrat avec le fournisseur d’IA – c’est là que nous trouverons des questions importantes comme celle sur la responsabilité du fournisseur ;
3. Respecter les obligations du code du travail (info consultation du CSE s’il y a lieu) ;
4. Respecter les règlementations satellites telles que le RGPD (privacy by design, registre, sécurité, analyse d’impact…) ;
5. Former les utilisateurs ;
6. Responsabiliser les utilisateurs par l’adoption de code de bonne conduite ou idéalement de charte annexée au règlement intérieur.

Pour les professionnels de l’IA, ensuite.

Les professionnels de l’IA sont eux appelés les « opérateurs », ce qui regroupe les fournisseurs, les fabricants de produits, les importateurs, les distributeurs ou leurs mandataires.

Pour eux, les obligations sont évidemment plus importantes, mais là aussi ne perdons pas de vue qu’il s’agit d’un règlement produit : accepterait-on que soient mis sur le marché des voitures, des jeux pour enfants ou des grille-pains qui ne respectent pas certaines règles notamment s’agissant de la protection et de la sécurité des utilisateurs ?

Et là encore évitons les bouffées d’angoisses inutiles… Le règlement IA fixe surtout des règles pour les IA dites à haut risques et non pour les IA « sympas ».

Qu’est-ce qu’une IA à haut risque ?

Pour résumer, il existe deux cas d’IA à haut risque (article 6) :

Cas 1 – l’IA répond à deux critères cumulatifs :

• Critère 1 – l’IA doit être un composant de sécurité de produits visés dans d’autres règlementations européennes telles que visées à l’annexe 1 du règlement, ou le système d’IA constitue lui-même un tel produit.
• Critère 2 – ledit produit est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit.

À titre d’exemple, les produits visés sont : les machines, les jouets, les bateaux de plaisance, les ascenseurs, etc.

Cas 2 – les systèmes d’IA visés à l’annexe III. Rendez-vous donc à cette annexe pour savoir si vous êtes visés ou non : biométrie, infrastructures critiques, éducation/formation professionnelle, emploi, accès aux services privés essentiels et aux services publics et prestations sociales essentiels, contrôles aux frontières, etc.

Pour vous aider, des lignes directrices seront prochainement publiées à ce sujet, assorties d’une liste exhaustive d’exemples pratiques de cas d’utilisation de systèmes d’IA qui sont à haut risque et de cas d’utilisation qui ne le sont pas (article 6.5).

Une précision importante : Une IA visée à l’annexe III est toujours considérée comme étant à haut risque lorsqu’elle effectue un profilage de personnes physiques.

En résumé, pour les 90% d’opérateurs – c’est-à-dire ceux qui ne proposent pas une IA à haut risque – les obligations sont assez limitées, voire inexistantes à part l’obligation de formation.

Est-ce à dire que ces opérateurs qui ne fournissent pas une IA à haut risque n’ont aucune règle à respecter ? Certainement pas, ils devront respecter le droit en général : commercial, consommateur, responsabilité des produits, données personnelles, etc.

Pour les 10% restants, les obligations sont plus nombreuses, mais rien d’extraordinaire qui empêcherait leur mise sur le marché.

Au programme : politique de gestion de risques, politique de gestion des données, documentation technique, enregistrement et journalisation, notice d’information, contrôle humain, principes directeurs (exactitude, robustesse, sécurité) …

Là encore rien de très différent des autres produits notamment électroniques.

Enfin, sur la régulation nationale.

Au plan Européen les choses sont plus ou moins claires. Mais au plan national, les spéculations vont de bon train. Il serait bon que, pour rassurer, ou non, les acteurs du secteur, les pouvoirs publics annoncent clairement leurs intentions en termes de régulation au plan national ne serait-ce que pour avoir un interlocuteur pour la mise en œuvre de l’AI Act.

Au dire des « bookmakers », la CNIL aurait la meilleure côte pour devenir le « régulateur » de l’IA… Mais c’est oublier deux choses : la nature du règlement d’une part et la nature de la CNIL d’autre part.

L’AI Act est un règlement « produits ». En d’autres termes il définit les conditions de déploiement sur le marché intérieur de l’IA en tant que produit à l’instar des voitures, des jeux pour enfants ou des grille-pains…

De ce fait, la régulation ne peut pas être confiée à un organisme qui n’a pas cette compétence qui pour l’heure est soit de l’apanage de la DGCCRF ; soit celle de régulateurs spécifiques comme celle sur les produits de santé ou les produits radioactifs. De ce point de vue, la CNIL ne semble pas répondre à ces critères.

Quant à la CNIL elle-même, ses missions sont définies en application du RGPD en sa qualité d’« autorité de contrôle ». Par conséquent, son scope est limité aux données personnelles. La CNIL ne saurait donc être compétente pour toutes les questions relatives à l’IA, mais elle l’est totalement pour les questions touchant à l’usage de données personnelles dans les modèles d’IA ou les données d’usage des IA déployées sur le marché européen.

Il y a bien d’autres sujets à traiter comme le traitement juridique des modèles d’IA, les dispositions favorisant l’innovation ou encore le calendrier de mise en œuvre… Mais ce sera pour une autre chronique.