En avril 2021, la Commission européenne a publié sa proposition de règlement qui se présente comme pierre angulaire de la future réglementation européenne pour l’intelligence artificielle (IA). La proposition de la Commission est basée sur une démarche d’analyse des risques qui la conduit à distinguer trois groupes de systèmes d’IA : 1. des systèmes ou des usages prohibés car jugés incompatibles avec les valeurs de l’Union européenne (UE), comme la manipulation de personnes vulnérables ou l’identification biométrique en temps réel dans l’espace public aux fins de police ; 2. des systèmes qui présentent des risques importants et qui sont soumis à un certain nombre d’obligations (analyse et gestion des risques, transparence, garanties en matière de correction, d’absence de biais, de sécurité, etc.) ; et 3. des systèmes qui ne présentent pas de risques significatifs et qui ne sont soumis qu’à des obligations de transparence dans des cas particuliers (interactions avec des humains, etc.).
Une autre particularité du projet de règlement est qu’il est articulé autour de deux catégories principales d’acteurs : les fournisseurs de systèmes d’IA et ceux qui les déploient. Le fournisseur devra supporter la charge de la plupart des obligations prévues par le règlement lorsqu’il veut mettre sur le marché un système d’IA à haut risque. Il s’agit notamment pour le fournisseur de devoir identifier et analyser les risques potentiels, de prévoir une politique de gestion de ceux-ci, d’effectuer des tests des systèmes d’IA dans des environnements sécurisés avec des jeux de données pertinentes, de rédiger la documentation technique demandée, de prévoir la possibilité d’une intervention humaine, le cas échéant, de demander la certification du système à une autorité notifiée, d’enregistrer le système dans la base de données de la Commission prévue à cet effet etc…
Les obligations des utilisateurs sont principalement limitées à l’usage du système IA en bon père de famille selon la notice d’utilisation et à la surveillance du fonctionnement du système d’IA et la notification des risques substantiels ou incidents graves et dysfonctionnements dont ils pourraient être témoins aux autorités compétentes. Néanmoins, en matière de protection des données à caractère personnel, il incombe également à l’utilisateur de procéder à une analyse d’impact relative à la protection des données.
D’un côté, la clarté des règles en matière d’utilisation des données personnelles et des règles plus strictes contribueront à renforcer la confiance du public dans les systèmes d’IA, qui ont déclenché des polémiques concernant la confidentialité des données, la protection des consommateurs et une utilisation abusive – notamment dans des domaines comme la reconnaissance faciale.
D’un autre côté, la proposition des régulateurs européens de restreindre l’utilisation de l’IA va augmenter les coûts et freiner l’innovation. Ces coûts sont en contradiction avec l’ambition de la Commission européenne de faire que 75% des entreprises situées en Europe utilisent quotidiennement l’IA. Les restrictions proposées pourraient avoir un impact négatif sur le secteur technologique européen à long terme, car les entreprises d’autres pays disposeront d’un avantage concurrentiel en continuant à développer des applications alimentées par l’IA moins chères et plus efficaces.
L’approche fondée sur le risque adoptée par la Commission européenne est certes compréhensible, mais la définition des applications dites à haut risque dans le projet de règlement de la Commission est trop large. Elle signifierait p.ex. que les applications industrielles moins risquées entreraient également dans le champ d’application des spécifications complètes pour l’IA à haut risque. Ce qui serait disproportionné et dissuaderait les petites et moyennes entreprises et les start-ups en particulier de développer des applications industrielles innovantes en matière d’IA.