Note de breffage : Loi sur l’intelligence artificielle de l’Union européenne – Principales modifications du texte initial

Objet : À titre d’information.

Enjeu : Le 8 décembre 2023, le Conseil, la Commission et le Parlement européens sont parvenus à un accord sur les modifications à apporter à la Loi sur l’intelligence artificielle (IA) de l’Union européenne. À la suite des dernières modifications et négociations, la Loi a été approuvée le 2 février 2024 par le Comité des représentants permanents de l’Union européenne. La présente note résume les principaux changements apportés à la nouvelle version convenue à partir du texte original.

Aperçu : La présente note est fondée sur le texte de la Loi sur l’intelligence artificielle qui a été publié par le Conseil européen. Le même texte avait déjà été divulgué par des journalistes. Nous avons examiné les mises à jour des principaux éléments de l’accord par le Conseil, la Commission et le Parlement européens. Il est possible que des petites modifications soient encore apportées entre la rédaction du texte et son approbation, mais ce n’est pas prévu.

Principales modifications négociées :

Les principales modifications apportées à la Loi sur l’intelligence artificielle figurent ci–dessous :

• Définition de système d’IA : La définition de système d’IA sera simplifiée et harmonisée avec celle de l’Organisation de coopération et de développement économiques (OCDE) (remarque : cette approche est semblable à celle adoptée dans l’apport des récentes modifications à la Loi sur l’intelligence artificielle et les données [LIAD]). La Commission européenne est chargée d’élaborer des lignes directrices sur l’application de cette définition.
• Exemptions relatives à la sécurité nationale et à l’application de la loi : La Loi sur l’intelligence artificielle ne s’appliquera pas aux systèmes d’IA utilisés à des fins militaires, de défense ou de sécurité nationale. De multiples exceptions s’appliqueront à l’utilisation des systèmes d’IA par les organismes d’application de la loi. Entre autres, les rapports de ces organismes sur l’utilisation des systèmes à haut risque ne seront pas intégrés dans une base de données publique connexe, et ces organismes seront autorisés dans des circonstances exceptionnelles à déployer des systèmes d’IA à haut risque dont la conformité n’a pas fait l’objet d’une évaluation.
• Autres exemptions : La Loi sur l’intelligence artificielle ne s’appliquerait pas non plus aux systèmes d’IA utilisés uniquement à des fins de recherche et d’innovation ni à l’utilisation à des fins non professionnelles d’outils d’IA.
• Systèmes d’IA à usage général et modèles de base : Les systèmes d’IA à usage général seront soumis à des exigences de transparence, notamment en ce qui concerne la création de documents techniques et de résumés détaillés sur le contenu utilisé pour la formation. Les systèmes d’IA à usage général ou les modèles de base à fort impact qui remplissent certaines conditions (qui se rattachent en grande partie à la puissance de traitement, aux fonctions et au nombre d’utilisateurs) seront assujettis à des obligations supplémentaires, y compris l’évaluation des modèles, l’évaluation et l’atténuation des risques systémiques, la réalisation d’essais comparatifs, le signalement à la Commission européenne des incidents graves et l’assurance de la cybersécurité. En attendant la publication de normes européennes harmonisées, les organisations peuvent s’appuyer sur des codes de pratique pour remplir ces obligations. Les codes peuvent être examinés et approuvés par l’Office européen de l’IA (voir ci–dessous).
• Activités d’IA interdites : Les pratiques d’IA interdites par la Loi sur l’intelligence artificielle sont résumées ci–dessous.
  • Déploiement de techniques subliminales, délibérément manipulatrices ou trompeuses qui déformeraient de manière importante le comportement d’une personne ou d’un groupe en l’amenant à poser un acte qu’il n’aurait pas posé autrement ou qui est susceptible de causer un préjudice.
  • Exploitation de la vulnérabilité d’une personne ou d’un groupe en raison de son âge, d’un handicap ou d’une situation sociale ou économique.
  • Catégorisation biométrique de personnes en fonction des données biométriques visant à déduire ou à inférer leur race, leurs opinions politiques, leur appartenance à un syndicat, leurs croyances religieuses ou philosophiques ou leur orientation sexuelle (à l’exception de l’étiquetage de données obtenues légalement et de la catégorisation biométrique par les organismes d’application de la loi).
  • Notation sociale fondée sur le comportement social ou les caractéristiques personnelles.
  • Maintien de l’ordre prédictif individuel (utilisation d’un logiciel pour l’évaluation du risque qu’une personne commette des délits à l’avenir sur la base de ses caractéristiques personnelles).
  • Recherche non ciblée d’images faciales sur Internet ou dans les systèmes de télévision en circuit fermé en vue de la constitution ou de l’élargissement de bases de données.
  • Reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, sauf pour des raisons médicales ou de sécurité (contrôle du niveau de fatigue d’un pilote).
• Identification biométrique à distance : L’utilisation de systèmes d’identification biométrique « en temps réel » à des fins d’application de la loi est une pratique interdite, sauf dans les cas suivants :
  • Recherche ciblée de victimes (enlèvement, traite ou exploitation sexuelle);
  • Prévention d’une menace précise, importante et imminente pour la vie ou la sécurité physique d’une personne, ou bien d’une menace réelle et actuelle ou réelle et prévisible d’attaque terroriste;
  • Localisation et identification d’une personne soupçonnée d’avoir commis un crime énoncé dans la réglementation et passible d’une peine d’emprisonnement d’au moins quatre ans (meurtre, enlèvement, viol, etc.).
  Ces utilisations feraient l’objet d’une autorisation préalable de la part d’une autorité judiciaire et seraient précédées d’une évaluation de l’incidence sur les droits fondamentaux. Elles seraient également assujetties à des exigences de transparence, comme l’établissement de rapports auprès de la Commission européenne. L’identification biométrique à distance (qui n’est pas en temps réel) nécessiterait une autorisation judiciaire.
• Systèmes d’IA à haut risque : Les systèmes d’IA à haut risque restent énumérés dans une annexe de la Loi sur l’intelligence artificielle. Dans cette annexe, les systèmes d’IA qui servent à influencer le résultat d’élections et le comportement des électeurs ont été ajoutés en tant que systèmes « à haut risque », tandis que les systèmes de recommandation des médias sociaux ont été supprimés en tant que systèmes à haut risque. De plus, il est précisé maintenant que les systèmes d’IA dans les domaines énumérés ne sont pas à haut risque s’ils ne constituent pas un risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, y compris en n’influençant pas de manière importante le résultat d’une prise de décision.
• Évaluation de l’incidence sur les droits fondamentaux : Les systèmes d’IA dans le secteur public et ceux servant à évaluer la solvabilité ou les prix des assurances vie et maladie feront l’objet d’une évaluation de l’incidence sur les droits fondamentaux lors de leur première utilisation. Les critères de cette évaluation sont énoncés dans la Loi, et l’Office européen de l’IA (dont il sera question plus loin) sera chargé de mettre au point un outil automatisé pour simplifier ce processus.
• Soutien aux petites et moyennes entreprises (PME) : La Loi sur l’intelligence artificielle encouragera la création de « bacs à sable » réglementaires pour soutenir la conception de systèmes d’IA par les PME, et les peines maximales pourront être réduites lorsque le contrevenant sera une PME.
• Surveillance : La gouvernance de la Loi sur l’intelligence artificielle englobera un office de l’IA (qui sera conseillé par un groupe d’experts indépendants) au sein de la Commission européenne qui supervisera les modèles d’IA à usage général, encouragera les normes et les pratiques d’essai, et appliquera des règles communes dans les États membres, de même qu’un conseil de l’IA (qui sera composé de représentants des États membres et conseillé par un forum consultatif d’intervenants jouant des rôles multiples) pour agir en tant que plateforme de coordination. Il est à noter également que la mise en place d’un mécanisme de plainte pour les particuliers est envisagée.
• Pénalités : Les sanctions maximales ont été portées à 35 millions d’euros, ou 7 % du chiffre d’affaires annuel (contre 30 millions d’euros ou 6 %), pour la catégorie la plus élevée des cas de non–conformité et ont été ramenées à 7,5 millions d’euros, ou 1,5 % du chiffre d’affaires annuel (contre 10 millions d’euros ou 2 %), pour la catégorie la plus basse de ces cas (omission de transmettre des renseignements précis).
• Entrée en vigueur : La plupart des dispositions s’appliqueront deux ans après l’entrée en vigueur de la Loi (20 jours après sa publication dans le Journal officiel de l’Union européenne), à l’exception des règles relatives aux systèmes d’IA interdits (elles s’appliqueront au bout de six mois) et aux systèmes d’IA à usage général (12 mois). Les systèmes d’IA déjà déployés devront être rendus conformes deux à quatre ans après leur entrée en vigueur, selon la nature du système.

APPROBATION :

DISTRIBUTION : Commissaire; sous commissaire, Secteur de la conformité; sous commissaire, Secteur des politiques et de la promotion; avocat général; Direction des politiques, de la recherche et des affaires parlementaires (PRAP).