En matière de sécurité et de responsabilité des produits, il existe dans l’UE un vaste corpus législatif³⁸ comprenant des règles sectorielles, complété par les législations nationales, qui est pertinent et potentiellement applicable à un certain nombre d’applications d’IA qui apparaissent.

En ce qui concerne la protection des droits fondamentaux et des droits des consommateurs, le cadre législatif de l’UE comprend des dispositions législatives telles que la directive sur l’égalité de traitement entre les personnes sans distinction de race ou d'origine ethnique³⁹, la directive sur l’égalité de traitement en matière d’emploi et de travail⁴⁰, les directives sur l’égalité de traitement entre hommes et femmes en matière d’emploi et de travail et dans l’accès à des biens et services⁴¹, ainsi qu’un certain nombre de règles relatives à la protection des consommateurs⁴² et à la protection des données à caractère personnel et au respect de la vie privée, notamment le règlement général sur la protection des données et d’autres règles sectorielles applicables à la protection des données à caractère personnel telles que la directive relative à la protection des personnes physiques à l'égard du traitement des données à caractère personnel⁴³. En outre, les règles relatives aux exigences en matière d’accessibilité applicables aux produits et services définies dans l’acte législatif européen sur l’accessibilité entreront en vigueur à partir de 2025⁴⁴. Par ailleurs, le respect des droits fondamentaux est impératif lors de la mise en œuvre d’autres actes législatifs de l’UE, notamment dans le domaine des services financiers, de la migration ou de la responsabilité des intermédiaires en ligne.

Si la législation de l’UE reste, en principe, pleinement applicable qu’il y ait ou non recours à l’IA, il importe de déterminer si son application peut suffire à faire face aux risques créés par les systèmes d’IA ou s’il est nécessaire d’adapter certains instruments juridiques spécifiques.

Par exemple, les acteurs économiques demeurent pleinement responsables de la garantie de la conformité de l’IA aux règles en vigueur en matière de protection des consommateurs. Toute exploitation algorithmique du comportement des consommateurs en infraction avec les dispositions existantes est interdite et les violations seront sanctionnées en conséquence.

La Commission estime que le cadre législatif pourrait être amélioré pour faire face aux risques et situations suivants:

• Application effective et contrôle du respect de la législation existante de l’UE et des États membres: les spécificités de l’IA créent des difficultés pour l’application correcte des législations européenne et nationale et le contrôle de leur respect. En raison du manque de transparence (opacité de l’IA), il est difficile de déceler et de prouver d’éventuelles infractions à la législation, notamment aux dispositions juridiques qui protègent les droits fondamentaux, mais aussi d'imputer la responsabilité et de remplir les conditions requises pour prétendre à une indemnisation. Par conséquent, afin de garantir une application et un contrôle du respect de la législation efficaces, il peut être nécessaire d’adapter ou de clarifier les dispositions législatives existantes dans certains domaines, par exemple en ce qui concerne la responsabilité, comme le précise le rapport qui accompagne le présent Livre blanc.
• Limitations du champ d’application de la législation existante de l’UE: la mise sur le marché des produits occupe une place centrale dans la législation de l’UE en matière de sécurité des produits. Si, dans la législation de l’UE relative à la sécurité des produits, le logiciel doit, lorsqu’il est intégré au produit final, être conforme aux règles applicables en matière de sécurité des produits, il reste à savoir si, en dehors de certains secteurs auxquels des règles explicites sont applicables⁴⁵, un logiciel autonome est couvert par la législation de l’UE en matière de sécurité des produits. La législation générale de l’UE en matière de sécurité actuellement en vigueur s’applique aux produits et non aux services, et donc pas non plus, en principe, aux services fondés sur la technologie de l’IA (par exemple, les services de santé, les services financiers ou les services de transport).
• Fonctionnalités modifiées par des systèmes d’IA: l’intégration de logiciels, notamment d’IA, dans certains produits et systèmes peut modifier le fonctionnement de ces derniers au cours de leur cycle de vie. C’est le cas, en particulier, pour les systèmes qui nécessitent de fréquentes mises à jour logicielles ou qui dépendent de l’apprentissage automatique. Ces caractéristiques peuvent créer de nouveaux risques qui n’étaient pas présents lorsque le système a été mis sur le marché. La législation existante, principalement axée sur les risques pour la sécurité présents au moment de la mise sur le marché, ne prend pas suffisamment en compte ces risques.
• Incertitude concernant la répartition des responsabilités entre différents opérateurs économiques de la chaîne d’approvisionnement: d’une manière générale, la législation de l’UE relative à la sécurité des produits impute la responsabilité au producteur du produit mis sur le marché et de l’ensemble de ses composants, tels que les systèmes d’IA. Mais si l’IA est ajoutée, après la mise sur le marché du produit, par une partie qui n’est pas le producteur, les règles manquent de clarté. En outre, la législation de l’UE en matière de responsabilité du fait des produits prévoit des dispositions en matière de responsabilité des producteurs et renvoie aux règles nationales en matière de responsabilité pour ce qui est de la responsabilité des autres acteurs de la chaîne d’approvisionnement.
• Modifications du concept de sécurité: l’utilisation de l’IA dans les produits et services peut donner naissance à des risques que la législation actuelle de l’UE n’aborde pas explicitement. Il peut s’agir de risques liés aux menaces informatiques, de risques pour la sécurité des personnes (liés, par exemple, aux nouvelles applications d’IA dans le domaine des appareils domestiques), de risques résultant de la perte de connectivité, etc. Ces risques peuvent être présents au moment de la mise sur le marché des produits ou résulter de mises à jour logicielles ou de l’auto-apprentissage en cours d’utilisation du produit. L’UE devrait tirer le meilleur parti possible des outils dont elle dispose pour améliorer sa base de connaissances sur les risques potentiels liés aux applications d’IA, notamment en s'appuyant sur l'expérience de l’Agence de l’Union européenne pour la cybersécurité (ENISA) en matière d’évaluation des menaces dans le domaine de l’IA.

Comme il est précisé plus haut, plusieurs États membres étudient déjà les possibilités de légiférer au niveau national pour relever les défis posés par l’IA, ce qui accroît le risque de fragmentation du marché. Des règles nationales divergentes sont des sources d'entraves potentielles pour les entreprises qui souhaitent vendre et exploiter des systèmes d’IA dans le marché unique. L'établissement d'une approche commune au niveau de l’UE permettrait aux entreprises européennes de bénéficier d’un accès fluide au marché et favoriserait leur compétitivité sur les marchés mondiaux.

Au vu des développements qui précèdent, la Commission conclut qu'en plus des adaptations éventuelles de la législation en vigueur, il peut s'avérer nécessaire de prévoir de nouvelles mesures législatives spécifiquement consacrées à l'IA afin de garantir l'adéquation du cadre juridique de l’UE avec les réalités commerciales et technologiques actuelles et prévues.