La proposition de réglementation sur l’intelligence artificielle de la Commission européenne fait encore parler d’elle plus de deux mois et demi après son annonce officielle. Durant le mois de juin, le comité (EDPB) et le contrôleur (CEPD) européen de la protection des données ont adopté un avis sur cette nouvelle législation. Un point de vue que s’est également approprié la Commission nationale de l’informatique et des libertés (CNIL) qui a relevé, en parallèle, quatre points “fondamentaux” dans la mise en place d’un règlement européen sur l’IA.
Premier point : élargir le champ des systèmes d’IA interdits et clarifier leur définition
Ce premier point s’aligne totalement avec l’avis exprimé par le CEPD et le EDPB quant à la nécessité d’élargir le champ des systèmes d’IA interdits et de clarifier leur définition. La CNIL fait référence aux “risques extrêmement élevés posés par l’identification biométrique dans l’espace public”. À l’heure actuelle, la réglementation les interdit sauf dans certains cas précis.
La commission nationale souhaite que ces exceptions soient retirées et que les systèmes biométries utilisés aux fins de classer les individus (sur leur ethnicité supposée, leur sexe, leur orientation sexuelle ou politique, etc.) soient tout bonnement interdits, et ce, en vertu de l’article 21 de la charte des droits fondamentaux de l’Union européenne.
Les systèmes utilisés pour la notation sociale sont aussi appelles à être interdit, tout comme les systèmes d’IA pour déduire les émotions d’une personne, mais pour ce dernier cas, la CNIL souhaite faire une exception pour son utilisation dans des cas très spécifiques, tels que certains objectifs de santé.
Second point : être en accord avec le règlement général sur la protection des données (RGPD)
Les autorités de protection des données à travers toute l’Europe, dont la CNIL fait partie, ont apprécié l’approche retenue par la Commission européenne qui préconise de classer les systèmes d’IA selon des niveaux de risque. Toutefois, ces autorités ont mis le doigt sur les outils d’IA dit “à haut risque” qui seraient “dans une écrasante majorité des cas appelés à exploiter des données personnelles”.
Cette exploitation implique, selon la CNIL, un enjeu majeur d’articulation du règlement de la Commission européenne avec le RGPD et la directive “Police-Justice”. À noter que la CNIL précise bien que même si un système est classé “à haut risque”, cela ne veut pas dire que son utilisation est autorisée dans tous les cas : l’autorité française souhaite que ces systèmes puissent respecter les obligations légales liées à la législation déjà existante dans l’UE pour une entrée sur le marché européen en tant que produit portant le marquage CE.
Troisième point : La gouvernance de l’intelligence artificielle
Le futur comité européen de l’intelligence artificielle est un aspect qui a été évoqué par la CNIL. Cette dernière souhaite que sa gouvernance soit explicitée, à la fois pour garantir son indépendance, mais également pour renforcer ses pouvoirs, dans l’objectif d’exercer un véritable contrôle, comme lors de la mise en place de systèmes d’IA à l’échelle européenne.
Pour la CNIL et ses homologues européens, toutes doivent être désignées comme autorités de contrôle national de l’intelligence artificielle, ce qui selon elles, “faciliterait la bonne application du futur règlement sur l’IA et la constitution d’un écosystème européen de l’intelligence artificielle favorable à l’innovation”. Elles précisent leur idée en mettant en avant quatre aspects :
- En France, la CNIL régule déjà des systèmes d’IA impliquant des données personnelles.
- La mise en œuvre d’une proposition de règlement de l’ambition de celle de la Commission européenne nécessite d’avoir “un régulateur compétent et expérimenté”.
- Éviter de multiplier les contrôles ou de coordonner des mises en œuvre différentes dans chaque État membre afin d’offrir un cadre cohérent et un interlocuteur clairement identifié pour les professionnels, minimisant ainsi l’insécurité juridique et la complexité administrative.
- La mise en place de la réglementation sur l’IA “investit le Contrôleur européen de la protection des données du pouvoir d’autorité compétente pour ce qui relève des systèmes d’IA mis en œuvre par les institutions et agences européennes.”
Quatrième point : mettre l’accent sur l’innovation
Hormis pour les cas interdits et qu’elle souhaite interdire, la CNIL espère que la proposition de règlement permettra de soutenir l’innovation et la conception de systèmes d’IA conformes aux valeurs et aux principes européens. En lien avec le point précédent sur la gouvernance, les régulateurs veulent les mesures de soutien (comme les bacs à sable réglementaires) soient mises en oeuvre par les autorités nationales compétentes.
De plus, la CNIL précise qu’elle a déjà pour mission, en France, d’accompagner les professionnels de l’IA, et notamment les acteurs les plus innovants, vers le chemin de la conformité. Selon elle, cette compétence sera nécessaire pour le futur régulateur de l’IA. Pour finir, cette dernière a évoqué certaines de ces actions pour accompagner l’innovation comme la mise en place de son premier appel “bac à sable” données personnelles, d’ateliers thématiques ou de webinaires, a développé son laboratoire d’innovation numérique et contribue à l’accompagnement de la French Tech depuis 2014.