Le Comité européen de la protection des données (« CEPD »), qui rassemble les différentes Autorités de protection des données Européennes, parmi lesquelles la CNIL, a publié le 18 juin 2021, conjointement avec le Contrôleur européen de la protection des données, son avis concernant la proposition de Règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle du 21 avril 2021 (COM (2021) 206 final, 2021/0106 (COD)).
La proposition de Règlement concernée vise à doter l’IA d’un cadre juridique harmonisé dans l’Union européenne. La Commission a adopté une approche fondée sur les risques.
En synthèse, les systèmes d’IA présentant un risque inacceptable sont prohibés, les systèmes « à haut risque » sont soumis à un régime de conformité (analyse et gestion des risques, transparence, garanties de correction, garanties d’absence de biais, garanties de sécurité, etc.) et certains systèmes présentant des risques faibles sont soumis à des obligations de transparence.
Sont ainsi prohibés les systèmes d’identification biométrique à distance et en temps réel, utilisés dans l’espace public aux fins d’application de la loi, les systèmes utilisant des techniques de manipulation subliminale ou encore les systèmes de notation généralisée des personnes par les autorités publiques.
Ces prohibitions connaissent cependant des exceptions, en vue par exemple de la recherche ciblée de victimes d’actes criminels ou de la prévention d’une menace imminente pour la vie ou la sécurité des personnes physiques.
Le CEPD invite à étendre le champ des systèmes d’IA interdits
L’avis du CEPD approuve l’approche de la Commission basée sur les risques. Il souligne néanmoins la nécessité d’étendre le champ des systèmes d’IA interdits et de clarifier leur définition.
Ainsi, le CEPD, soulignant les risques extrêmement élevés posés par l’identification à distance des personnes dans les espaces publics, préconise de supprimer toute exception à l’interdiction générale de ces systèmes.
L’avis recommande également l’interdiction des systèmes biométriques utilisés aux fins de classer les individus dans des groupes basés sur l’ethnicité supposée, le sexe, l’orientation politique, ou sexuelle, ou d’autres motifs pour lesquels la discrimination est interdite en vertu de la Charte des Droits fondamentaux de l’Union européenne. Il préconise l’interdiction systématique des systèmes d’IA utilisés pour la notation sociale (« social scoring »). De même, les systèmes d’IA utilisés pour déduire les émotions des personnes physiques sont qualifiés d’hautement indésirables et le CEPD invite à prononcer leur interdiction de principe.
L’avis rappelle l’articulation indispensable entre le RGPD et le règlement sur l’IA
L’avis vient également rappeler que les systèmes d’IA exploitent très largement des données à caractère personnel, conduisant à articuler le Règlement Général de Protection des données (RGPD) avec la nouvelle règlementation de l’IA. Les autorités de protection des données soulignent notamment que la classification d’un système d’IA dans la catégorie des systèmes à haut risque – non interdits par principe mais soumis à des règles de conformité – n’implique pas sa licéité au regard de la protection des données personnelles. Le système devra en toute hypothèse être évalué au regard de sa conformité au RGPD (le cas échéant dans le cadre de la conduite d’une analyse d’impact (AIPD)).
Les Autorités de protection des données se positionnent pour devenir les autorités de contrôle national de l’IA
La Proposition de Règlement prévoit la mise en place d’un Comité européen de l’IA (CEIA) ainsi que la désignation, par chaque Etat Membre, d’une autorité nationale compétente, notamment, pour évaluer la conformité des systèmes d’IA à haut risque. Les Autorités de protection des données plaident pour se voir désigner comme autorités de contrôle nationale de l’IA, arguant qu’elles régulent d’ores et déjà les systèmes d’IA impliquant le traitement de données personnelles.
Les Autorités de protection des données appréhendent l’IA par le biais de la protection des données, qui en constitue indéniablement une composante essentielle. Néanmoins, le caractère éthique de l’IA ne se limite pas à sa conformité au RGPD. Il conviendra donc de s’interroger sur le point de savoir si ces Autorités constitueront bien les meilleurs défenseurs des multiples principes éthiques auxquels les systèmes d’IA devront se conformer, au nombre desquels les principes de justice, d’équité, de non-malfaisance, de durabilité...
Article paru dans Option finance le 19/07/2021
