Le groupe de travail AI Act du Hub France IA mène une veille collaborative autour des évolutions de la réglementation de l’IA. Ce lundi 20 février, l’association et trente cosignataires publient un position paper sur l’AI Act avec pour objectif d’accompagner au mieux l’application à venir de la proposition de règlement européen sur l’intelligence artificielle et d’apporter une position unifiée de l’écosystème IA français au débat parlementaire et à la procédure de trilogue.
En tant qu’association, le Hub France IA fédère plus de 150 membres et partenaires afin d’accélérer le développement de propositions et de solutions concrètes aux niveaux national et européen. Les membres de son groupe de travail dédié à la proposition de règlement européen sur l’intelligence artificielle (AI Act) ont souhaité porter à la connaissance du Parlement européen, du Conseil de l’Union européenne et de la Commission leurs positions unifiées sous l’égide du Hub France IA et concernant l’orientation générale adoptée au sein du WP TELECOM du 6 décembre 2022.
Ce travail a été initié à la suite de la publication le 12 décembre dernier de l’enquête d’impact de l’AI Act sur l’écosystème IA européen, fruit de la collaboration entre le Hub France IA, AppliedAI et leurs partenaires européens (KI Bundesverband, AI Austria, AI Poland, AI Sweden, NL AI Coalitie, etc.), qui alertait sur les risques de perte de compétitivité et d’investissement pour l’écosystème IA européen.
Le Hub France IA formulait conjointement à cette enquête les recommandations suivantes sur l’AI Act :
- Maintenir la compétitivité européenne au centre des discussions ;
- Réduire les critères d’IA à haut risque pour se rapprocher des objectifs prévus ;
- Considérer le désavantage de l’écosystème européen si les entreprises technologiques mondiales non européennes sont les seules à contrôler l’IA à usage générale ;
- Désengorger les goulets d’étranglement juridique afin de ne pas ralentir l’innovation ;
- Conceptualiser des « Sandbox réglementaires » comme moteurs de l’innovation dans un environnement protégé mais attrayant ;
- Réduire les coût de conformité pour les start-ups en mettant à jour le Plan Coordonné pour l’Intelligence Artificielle.
Le Position Paper du Hub France IA et ses partenaires sur l’orientation générale de l’AI ACT
Le document repart de l’analyse de la faisabilité opérationnelle de l’AI Act pour l’écosystème IA européen et y intègre la position règlementaire de l’écosystème IA français sur l’orientation générale adoptée au sein du WP TELECOM.
Le texte a depuis subi des modifications, notamment pour couvrir le sujet des systèmes d’IA générative comme ChatGPT. Dorénavant, tout texte généré par une IA que l’on pourrait penser avoir été généré par l’homme est considéré comme un système d’IA à haut risque.
Le Position Paper revient sur :
- Les définitions retenues, notamment des systèmes d’IA:
- Les systèmes d’intelligence artificielle d’usage général ;
- Les systèmes d’intelligence artificielle à haut risque et leur conformité́;
- Les normes harmonisées et les spécifications communes ;
- Les mesures en faveur de l’innovation ;
- L’articulation de l’AI Act avec les autres textes européens ;
- La volonté́ d’adopter un texte ayant une portée extraterritoriale ;
- L’entrée en vigueur et les dates prévisibles de mise en application du texte.
Le Hub France IA, et ses trente cosignataires, expriment à travers ce Position Paper leur
soutien à la mise en place d’un AI Act dans le respect de leurs valeurs : une IA éthique, de confiance et souveraine, respectueuse des citoyens, au service des entreprises et du secteur public.
Consulter le Position Paper au format PDF dans un nouvel onglet
Retranscription du document PDF :
Position paper sur l’orientation générale
de la proposition de règlement sur
l’intelligence artificielle (AI Act)
Février 2023
Le Hub France IA est le catalyseur de l’écosystème de l’intelligence artificielle en France. En tant qu’association, il fédère plus de 150 membres et partenaires afin d’accélérer le développement de propositions et de solutions concrètes aux niveaux national et européen. Le Hub France IA agit pour faire émerger une IA de confiance et souveraine, respectueuse des citoyens et au service des entreprises et du secteur public.
Les membres du groupe de travail dédié à la proposition de règlement européen sur l’intelligence artificielle (AI Act) ont souhaité porter à la connaissance du Parlement européen, du Conseil de l’Union européenne et de la Commission leurs positions unifiées sous l’égide du Hub France IA et concernant l’orientation générale adoptée au sein du WP TELECOM du 6 décembre 2022.
En parallèle de ce position paper, le Hub France IA et ses partenaires européens (appliedAI, KI Bundesverband, AI Austria, AI Poland, AI Sweden, NL AI Coalitie, etc.) ont publié le 12 décembre 2022, les conclusions d’une enquête d’impact de l’AI Act sur l’écosystème IA européen, notamment eu égard aux startups. Cette enquête alerte sur les risques de perte de compétitivité et d’investissement pour l’écosystème IA européen.
Afin d’accompagner au mieux l’application à venir de la proposition de règlement européen sur l’intelligence artificielle et d’apporter une position unifiée au débat parlementaire ou à l’éventuelle procédure de trilogue, les membres du Hub France IA portent à votre connaissance les éléments suivants :
Sur les définitions retenues, notamment des systèmes d’intelligence artificielle
La définition d’un « système d’intelligence artificielle » (SIA) retenue au sein de l’orientation générale supprime la liste des technologies décrites au sein de l’annexe I.
Une telle modification réduit les éventuels impacts sur le marché, qui auraient été causés par chaque modification de ladite annexe. À l’inverse, la suppression de cette annexe oblige les législateurs à recourir à une procédure de règlementation européenne, à chaque fois qu’ils souhaiteront modifier la définition proposée.
La définition retenue adopte désormais une approche fondée sur les données et non plus sur l’usage d’une ou de plusieurs techniques.
L’ajout d’éléments relatifs à l’autonomie du système dans la définition d’un SIA tend à réduire le champ d’application de l’AI Act. Cependant cette notion d’autonomie introduit de nombreux flous juridiques et fait un amalgame entre les systèmes d’analyse et les systèmes de décision.
- Les éléments d’autonomie doivent être clarifiés soit par une norme harmonisée, soit par la doctrine de l’instance de gouvernance chargée de l’application dudit règlement ;
- Si la définition des SIA fait référence à l’apprentissage automatique, il semble plus juste de préférer la seule notion de procédés d’apprentissage (en supprimant le terme « automatique »).
La définition des « modifications substantielles » est un ajout judicieux réalisé par le législateur européen. Nous félicitons le fait d’avoir exclu de cette approche l’entraînement et l’auto-apprentissage réalisés dans le cadre des modalités prédéterminées par le fournisseur. Cependant, un flou juridique demeure dans cette notion et nécessite d’être clarifié. Cette approche, en l’état, doit soit faire l’objet d’une norme harmonisée ou d’une spécification commune, soit être précisée au préalable par le fournisseur au sein de sa documentation technique (en ouvrant, dès lors, un risque durant la phase de négociation).
La définition des « bacs à sable réglementaires » adoptée par le Conseil de l’Union européenne vient poser – d’un point de vue légistique – une définition nécessaire pour la généralisation de ce type d’expérimentation, tant au sein du droit français que du droit européen.
- Nous regrettons que la définition ne précise pas la possibilité laissée aux autorités nationales compétentes d’introduire des exceptions aux obligations réglementaires (actuellement désignée sous la notion de plan spécifique), ainsi que la nécessité pour le fournisseur de se mettre en conformité à l’AI Act à l’issue d’un temps donné ;
- La définition ne fait pas non plus état que cette expérimentation se doit d’être faite sur un échantillon défini, notamment dans un espace précis (confer la définition d’essai en conditions réelles).
Sur les systèmes d’intelligence artificielle d’usage général
L’instauration de la notion de système d’intelligence artificielle d’usage général au sein de la proposition de règlement sur l’intelligence artificielle interroge les rédacteurs du présent position paper.
Toutefois, et en l’état actuel de la rédaction, de nombreuses interrogations apparaissent :
- Le fait de faire reposer ces exigences de conformité sur la ou les personnes
développant un algorithme n’est pas le reflet de la réalité technique. Certains modèles pré-entraînés sont réalisés par une pluralité d’acteurs, qui ne peuvent pas nécessairement envisager l’ensemble des finalités et des cas d’utilisation de leur modèle ou de l’interaction de leur modèle avec d’autres ressources. C’est notamment le cas lorsque ces briques sont proposées en open source ou issues de projets via GitHub ; - Le régime juridique actuel prévoit d’être clarifié par des actes d’exécution qui « adaptent l’application des exigences établies au titre III, chapitre 2, aux SIA à usage général à la lumière de leurs caractéristiques, de la faisabilité technique, des spécificités de la chaîne de valeur de l’IA et des évolutions du marché et des technologies ». Cette approche apporte de la souplesse dans les décisions mises en œuvre par la Commission de l’Union européenne, mais engendre également un flou dans l’application. Il semble également important d’adopter une réponse graduée en fonction de la situation du fournisseur concerné, notamment afin de ne pas réduire l’innovation et de ne pas créer des contraintes fortes sur les startups ;
- L’instauration d’une « présomption d’un SIA à haut risque » est une approche intéressante, qui peut toutefois devenir une obligation de fait. En effet, un fournisseur peut se voir imposer une charge inversée de la preuve, en devant expressément exclure l’usage ultérieur de son modèle pré-entraîné dans un SIA à haut risque. De plus, le régime actuellement envisagé ne permet pas pleinement au fournisseur d’exclure l’usage de son modèle dans un SIA à haut risque. En effet, cette dernière doit être motivée de bonne foi (c’est-à-dire qu’elle ne peut pas être choisie si le SIA d’usage général peut légitimement être utilisé dans un SIA à haut risque) et, le cas échéant, si le fournisseur constate que, malgré son exclusion, un utilisateur a utilisé le SIA à usage général dans un SIA à haut risque, il doit mettre en œuvre toutes les mesures nécessaires pour qu’une telle situation ne se reproduise plus ou se conformer aux exigences attendues ;
- Il semble également essentiel de garantir que les exigences prévues au chapitre 2 du titre III puissent s’appliquer effectivement concernant les SIA à usage général. Il nous apparaît complexe de mettre en œuvre l’ensemble de ces obligations, lorsque la finalité principale du traitement réalisé par le fournisseur final (celui utilisant un modèle pré-entraîné) n’est pas nécessairement connue. Des questions peuvent également se poser en termes de transparence ou même de supervision humaine, voire de cybersécurité. À ce titre, nous attirons également l’attention du législateur européen sur l’articulation de ce régime juridique avec le Cyber resilience act (CRA).
Sur les systèmes d’intelligence artificielle à haut risque et leur conformité
La mise en œuvre d’un processus de conformité en ce qui concerne les SIA à haut risque est un levier concret pour faire de l’Union européenne un tiers de confiance. Le risque d’un SIA doit être apprécié via ses finalités, son usage et les protections afférentes aux données, notamment conformément aux droits fondamentaux. Cette conformité permet de reprendre en partie les principes éthiques tels qu’imaginés par le High Level Expert Group (HLEG) et les intégrer « by design » dans la conception d’un SIA.
- Nous apprécions l’introduction de souplesse à l’égard des fournisseurs, notamment dans l’évolution apportée à la qualification d’un SIA à haut risque. La version actuelle du texte exclut désormais les SIA « […] visés à l’annexe III [dès lors] que les résultats générés […] soient purement accessoires par rapport à l’action ou à la décision à prendre […] ». Cette prise en considération de l’influence des résultats en fonction de leur destination et/ou finalité permet d’alléger la procédure de conformité en fonction d’impératifs significatifs ;
- Nous nous interrogeons sur l’opportunité d’ajouter en tant que SIA à haut risque des SIA destinés à être utilisés à des fins d’évaluation et de tarification en ce qui concerne les personnes physiques en matière d’assurance-vie et d’assurance maladie ;
- Nous félicitons la nécessité d’introduire une mention spécifique en matière de transparence, eu égard aux SIA relatifs à la reconnaissance des émotions ;
- Sur les relations contractuelles entre les différentes parties prenantes, il nous semble essentiel que la recherche de la responsabilité porte en premier lieu sur les obligations de la personne physique ou morale qui met sur le marché un SIA, ainsi que les obligations incombant au(x) utilisateur(s). L’engagement d’une action contre une autre partie à la relation contractuelle doit démontrer le respect des obligations de chacune de ces parties. Ces obligations doivent être analysées de manière raisonnable par rapport aux risques d’usages attendus ;
- En ce qui concerne le système de gestion des risques, la transparence et la fourniture d’informations aux utilisateurs, nous constatons que la formulation de « validation par tests » et l’utilisation de « seuils probabilistes » peuvent être plus restrictives que la pratique usuelle. À ce titre, nous recommandons le seul usage de la notion de « validation » et pensons qu’il appartient aux standards harmonisés de définir les moyens techniques d’atteindre l’exigence de « validation » qui devrait être celle du
présent règlement ; - Sur la gouvernance des données et notamment la lutte contre les biais, nous nous félicitons d’une obligation de moyens, en ce qui concerne « un examen permettant de repérer d’éventuels biais qui sont susceptibles de porter atteinte à la santé et à la sécurité des personnes physiques ou de se traduire par une discrimination interdite par le droit de l’Union ». Cette approche a d’autant plus de sens, qu’elle réduit le périmètre des obligations aux seules finalités pouvant avoir des risques sur les individus, en prévoyant également un cas spécifique d’usage de données à caractère personnel eu égard au RGPD (notamment : « Dans la mesure où cela est strictement nécessaire aux fins de la surveillance, de la détection et de la correction des biais en ce qui concerne les SIA à haut risque, les fournisseurs de ces systèmes peuvent traiter des catégories particulières de données à caractère personnel »).
Sur les normes harmonisées et les spécifications communes
La méthode légistique adoptée par les législateurs se fonde sur le « Nouveau cadre législatif » (NCL), adopté en 2008. Cette approche décrit la structure générale que suivent les textes législatifs européens et les outils mis à disposition pour son effectivité, à savoir l’ensemble des éléments nécessaires à une évaluation de la conformité, à une accréditation et à une surveillance du marché efficace. De plus, en recourant aux normes harmonisées et aux spécifications sur le fondement du règlement (UE) no 1025/2012, la proposition de règlement sur l’intelligence artificielle établit des principes généraux complétés par des normes européennes, publiées ou non au Journal officiel de l’Union européenne. Cette construction légistique déporte les enjeux techniques au niveau des organismes de normalisation de droit privé.
- Nous regrettons le retrait du recours aux normes harmonisées ou aux spécifications communes concernant le respect des exigences applicables aux SIA à haut risque ;
- Nous jugeons pertinent d’introduire des critères d’aptitude pour les organismes notifiés, afin que le recours aux normes harmonisées et aux spécifications communes dans un système évalué par un organisme notifié d’un pays tiers soit automatiquement reconnu par un autre pays.
Sur les mesures en faveur de l’innovation
L’introduction de la méthode dite des “bacs à sable réglementaires” est à saluer. Cette approche a connu de forts changements depuis la publication de la proposition de règlement par la Commission de l’Union européenne :
- Nous attirons l’attention sur la mise en œuvre d’expérimentation, qui, à défaut d’être limitée dans le temps, n’est pas nécessairement limitée sur un échantillon spécifique. Ces éléments ont notamment un impact eu égard à la Constitution française et notamment l’article 37-1, comme le précise par ailleurs le Guide de légistique ;
- Nous saluons la possibilité accordée de tester en conditions réelles des SIA (post marché), ainsi que les garanties que doivent prévoir les autorités nationales compétentes en charge de l’expérimentation ;
- En ce qui concerne le dispositif complémentaire d’essais de SIA à haut risque en conditions réelles, nous nous félicitons de l’importance qu’accorde la proposition de règlement sur l’intelligence artificielle aux enjeux des examens éthiques pouvant être exigés par le droit national ou le droit européen. Cette approche renforce indirectement la nécessité d’adopter une démarche « IA éthique ». Nous apprécions également la nécessité de recueillir un consentement éclairé pour qu’un utilisateur participe à ces essais.
Plus spécifiquement, à l’égard des startups, TPE et PME, nous apprécions les premiers
efforts menés afin de renforcer le potentiel d’innovation de chaque État membre.
- L’accès prioritaire aux bacs à sable réglementaires ;
- Les mesures spécifiques de soutien (formation, frais de mise en conformité,
plateforme d’information) ; - L’adaptation des sanctions prévues proportionnellement à leur taille, à la taille de leur marché et à d’autres indicateurs pertinents qui restent à définir.
Sur l’articulation de l’AI Act avec les autres textes européens
La mise en œuvre effective de la proposition de règlement sur l’intelligence artificielle requiert que l’articulation entre ce texte et la multitude de textes adoptés ou en cours de négociation au sein de l’Union européenne soit bien effective.
Nous pensons ainsi qu’il est nécessaire de prendre en considération :
- Les propositions de directives sur la responsabilité en IA comprenant la directive sur la responsabilité en matière d’intelligence artificielle [AILD]) et la directive relative à la responsabilité du fait des produits défectueux [DRPD]. Ces deux textes définissent les règles en matière de responsabilité, intervenant ex post, tandis que la proposition de règlement sur l’IA prévoit la chaîne contractuelle et les présomptions de responsabilité ;
- Le Règlement général sur la protection des données (RGPD), qui définit des règles pour la collecte, l’utilisation et la protection des données personnelles. La version d’orientation générale prévoit d’ores et déjà une meilleure articulation avec ce texte, malgré la difficulté naissante autour de la notion de « groupe » de personnes (telle qu’elle figure actuellement, notamment aux articles 5, 7 et 10, ainsi qu’aux annexes III et IV du RGPD). Enfin, nous espérons que la désignation du CEPD comme étant l’instance européenne en charge de la déclinaison opérationnelle de l’AI Act puisse permettre d’harmoniser l’articulation de ces deux textes, dont le premier réside sur la protection des données, tandis que le second porte sur le traitement afférent ;
- La proposition de règlement européen concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques (Cyber resilience act) prévoit déjà une articulation avec la proposition de règlement sur l’intelligence artificielle, qui pourrait être renforcée.
Nous accordons également une attention toute particulière au nombre croissant d’instances de gouvernance instaurées pour chaque texte. Si le numérique est au cœur des priorités européennes, il nous semble essentiel de rationaliser le nombre d’instances de gouvernance au plus petit dénominateur commun, pour réduire le risque de flou juridique pouvant impacter les acteurs économiques. Il existe un réel besoin de transparence sur ces aspects.
Sur la volonté d’adopter un texte ayant une portée extra-territoriale
La proposition de règlement sur l’intelligence artificielle adopte une portée extra- territoriale, à l’instar du règlement général sur la protection des données. Ce type de mécanisme permet de donner un avantage concurrentiel aux entreprises européennes, notamment dans un rôle de tiers de confiance et de respect des droits personnels des utilisateurs.
Nous estimons qu’il est nécessaire d’aligner la portée extraterritoriale de ce texte avec le projet de convention sur l’intelligence artificielle, les droits de l’Homme et l’État de droit envisagé au sein du Conseil de l’Europe, notamment en ce qui concerne les principes fondamentaux envisagés du développement jusqu’à la mise en exploitation du SIA.
De plus, d’autres pays ont fait état d’une volonté d’agir concernant une législation sur l’intelligence artificielle, dont notamment :
- L’approche britannique en matière de règlementation sur l’IA, publiée en juillet 2022
et devant faire l’objet d’un livre blanc ; - Le projet de loi canadien C-27 en matière d’IA, pouvant également avoir une portée
extraterritoriale ; - Le « Blueprint for an AI Bill of Rights » américain et le « Technical Companion », définissant des principes non contraignants et pouvant servir de cadre pour une éventuelle législation à venir. La prise en considération de ces éléments a d’autant plus d’impact, qu’ils induisent un véritable enjeu de participer à la normalisation des différentes spécificités techniques relatives à l’intelligence artificielle.
Sur l’entrée en vigueur et les dates prévisibles de mise en application du texte
Nous sommes favorables à la nouvelle approche proposée par l’orientation générale. L’ancienne rédaction permettait que les SIA placés sur le marché avant la date d’entrée en vigueur puissent rester disponibles trois ans avant d’être mis en conformité ou retirés du marché.
La nouvelle rédaction considère désormais que les SIA mis sur le marché ou mis en service trois ans après l’entrée en vigueur (au lieu de deux ans) sont soumis aux exigences de l’AI Act, tandis que les SIA déjà présents sur le marché ne seront soumis à ces exigences qu’en cas d’importantes modifications de leur conception ou de leur destination.
Nous contacter :
Françoise Soulié-Fogelman, Conseillère scientifique du Hub France IA
Chloé Pledel, Chef de projets réglementation IA et Europe
Mehdi Triki, Chef de Projet Relations Publiques et Institutionnelles
Bertrand Cassar, Coordinateur du GT Veille AI Act du Hub France IA
contact@hub-franceia.fr