Après le RGPD (Règlement Général de la Protection des Données), la Commission européenne récidive cette année avec une proposition de réglementation européenne sur l'intelligence artificielle (IA). Présentée le 21 avril dernier par Margrethe Vestager, vice-présidente exécutive de la Commission pour le numérique, cette réglementation a pour objectif d'encadrer l'utilisation de l'IA, afin de prévenir et réduire les risques. Ce texte est le fruit de quatre années de travail et de concertations menées auprès de régulateurs nationaux de pays de l'Union européenne (UE), de groupes d'experts (tel que l'AIHLEG), d'entreprises et de sociétés civiles européennes. En France, deux organismes ont planché sur le sujet : la Cnil et l'ACPR[1], Autorité de Contrôle Prudentiel et de Résolution. Si la Cnil[2] s'est focalisée sur l'impact des systèmes d'IA sur la protection des données personnelles, l'ACPR s'est intéressée aux conséquences de l'IA sur le secteur de la banque assurance (détection de fraude, gestion de contrats, gel des avoirs...). A l'issue de la validation de la proposition de loi, tous les États membres devront s'y conformer.
Que dit la réglementation ?
Dans ce texte, la Commission européenne (CE) distingue le bon grain de l'ivraie. Les IA « bénéfiques » permettent d'automatiser des tâches, de fournir des informations d'aide à la décision, d'améliorer la productivité des usines, de réduire des coûts, de modéliser des événements climatiques, d'organiser des transports, des services de santé, ou encore d'anticiper des pannes. Autant d'applications sources de bénéfices et de performances pour les entreprises.
Mais les IA sont aussi sources de risques et la réglementation européenne entend bien bannir toutes celles utilisées à des fins de surveillance indiscriminée, de reconnaissance faciale, de manipulation de comportement humain ou de notation de personnes en fonction de leurs actes. Ainsi, tous les modèles à l'origine de discriminations dans certains processus de recrutement, dans la sélection aux établissements d'enseignement, ou intervenant dans les systèmes de répartition des services d'urgence, d'évaluation de solvabilité ou dans les systèmes de prise de décision utilisés pour aider les juges, devront être mis en conformité
Évaluation des risques et gouvernance de l'IA
La CE entend bien prévenir tout débordement en imposant aux entreprises l'évaluation de leurs algorithmes avant toute commercialisation afin d'en déterminer le risque. Si, à ce jour, les modalités d'évaluation ne sont pas encore clairement définies, celles-ci devraient intégrer le contexte de déploiement, les conditions d'utilisation de l'IA et sa capacité de nuisance (probabilité du risque de nuisance et sévérité du risque). Ainsi la notion d'explicabilité des modèles doit être prise en compte, toute entreprise devant être en mesure de détailler le fonctionnement d'un algorithme à l'origine d'une prise de décision.
La présence de l'IA dans toutes les directions métiers oblige les entreprises à considérer toutes leurs dimensions et à en évaluer chaque risque. Elles doivent donc mettre en place une véritable gouvernance de l'IA en formalisant les rôles et les responsabilités de chaque département. Les organisations devront donc aussi vraisemblablement mettre en place des systèmes de gestion des risques et des processus de diligence.
Pour les algorithmes à « hauts risques », les entreprises devront être en conformité avec la loi. En revanche, les gouvernements et autorités publiques de l'UE pourront faire une entorse au règlement afin de préserver la sécurité publique (lutte contre le terrorisme). Pour les IA considérées comme risques moyens ou faibles, les organisations seront incitées à suivre le processus à travers notamment des codes de conduites ou des certifications. En cas de manquement au règlement, les amendes encourues seront similaires à celles du RGPD, soit jusqu'à 4% du chiffre d'affaires annuel.
Favoriser l'innovation
A noter que les Etats-Membres de l'UE auront la possibilité de favoriser l'innovation, en donnant aux startups et SME la liberté de tester et développer des systèmes d'IA avec des contraintes réglementaires allégées avant de les commercialiser[3].
Si l'application de cette réglementation nécessite encore de recevoir l'approbation du Conseil et du Parlement pour être effective, le texte prévoit la création d'un Conseil européen de l'intelligence artificielle. Celui-ci sera composé d'un représentant de chacun des 27 Etats membres, d'un représentant de la Commission et du Contrôleur européen de la protection des données (CEPD). Pour la France, la Cnil et l'ACPR seront sans doute les référents.
Si une loi est contraignante, elle a aussi souvent le mérite de prévenir les effets de bord. Les entreprises européennes ont donc tout intérêt à mettre en place l'organisation et la gouvernance de l'IA. Cette stratégie leur permettra non seulement de se conformer à la réglementation mais aussi de tirer tous les bénéfices de cette technologie et de valoriser les investissements réalisés dans leurs projets.
Et peut-être qu'à l'instar du RGPD, cette réglementation fera des émules au-delà de nos frontières européennes !
__________
[1] https://acpr.banque-france.fr/
[2] https://www.defenseurdesdroits.fr/fr/communique-de-presse/2020/05/algorithmes-et-discriminations-le-defenseur-des-droits-avec-la-cnil
[3] Proposition similaire à celle effectuée par Cédric Villani en 2018 dans son rapport éponyme- https://www.sudouest.fr/2018/03/28/intelligence-artificielle-cinq-propositions-a-retenir-du-rapport-villani-4322988-4725.php