Un aspect essentiel du futur réglementaire spécifique relatif à l’IA consiste à déterminer son champ d'application. L’hypothèse de travail est que le cadre réglementaire s’appliquerait aux produits et services qui dépendent de l’IA. Il importe, dès lors, de définir clairement l'IA aux fins du présent Livre blanc ainsi que de toute initiative future d'élaboration de politiques.

Dans sa communication sur l’IA pour l’Europe, la Commission a proposé une première définition de l’IA⁴⁶, qui a ensuite été affinée par le groupe d’experts de haut niveau⁴⁷.

Dans tout nouvel instrument juridique, la définition de l’IA devra être suffisamment souple pour tenir compte des progrès techniques tout en étant suffisamment précise pour garantir la sécurité juridique nécessaire.

Dans le cas de la conduite autonome, par exemple, l'algorithme exploite en temps réel les données fournies par le véhicule (vitesse, consommation du moteur, amortisseurs, etc.) et les capteurs balayant intégralement l'environnement de la voiture (route, signalisation, autres véhicules, piétons, etc.) pour décider de la direction, de l'accélération et de la vitesse à adopter par la voiture pour atteindre une destination donnée. En fonction des données observées, l'algorithme s'adapte à la situation routière et aux conditions extérieures, y compris le comportement des autres conducteurs, pour choisir les modalités de conduite les plus confortables et les plus sûres.

Aux fins du présent Livre blanc ainsi que des débats qui pourront avoir lieu sur d'autres initiatives éventuelles, il semble important de préciser les principaux éléments dont se compose l'IA, à savoir les «données» et les «algorithmes». L'IA peut être intégrée dans des dispositifs matériels. Dans le cas des techniques d'apprentissage automatique, qui constituent l'une des branches de l'IA, les algorithmes sont entraînés à reconnaître des structures à partir d'un ensemble de données afin de déterminer les actions à prendre pour atteindre un objectif donné. Les algorithmes peuvent continuer leur apprentissage en cours d'utilisation. Si les produits d'IA peuvent agir de manière autonome en percevant leur environnement et sans suivre un ensemble d'instructions préétabli, leur comportement est dans une large mesure défini et circonscrit par leurs développeurs. L'humain détermine et programme les objectifs auxquels doit répondre l'optimisation d’un système d'IA.

L’UE s'est dotée d'un cadre juridique strict pour assurer notamment la protection des consommateurs, lutter contre les pratiques commerciales déloyales et protéger les données à caractère personnel et la vie privée. L'acquis comprend en outre des règles spécifiques pour certains secteurs (par exemple, les soins de santé, les transports). Ces dispositions existantes du droit de l’UE continueront de s’appliquer à l’égard de l’IA, mais ce cadre pourrait nécessiter certains aménagements pour tenir compte de la transformation numérique et du recours à l'IA (voir la section B). Par conséquent, les aspects déjà couverts par la législation horizontale ou sectorielle existante (par exemple, en matière de dispositifs médicaux⁴⁸, de systèmes de transport) demeureront régis par cette législation.

En principe, le nouveau cadre réglementaire pour l’IA devrait atteindre ses objectifs avec efficacité sans être excessivement normatif, au risque de créer une charge disproportionnée, en particulier pour les PME. Pour réaliser cet équilibre, la Commission estime devoir suivre une approche fondée sur les risques.

Si une telle approche est importante pour garantir la proportionnalité de l'intervention réglementaire, elle requiert néanmoins des critères précis pour différencier les diverses applications de l’IA, et notamment pour déterminer si elles sont ou non «à haut risque»⁴⁹. Les éléments permettant d'établir qu'une application d'IA est à haut risque devraient être clairs, faciles à comprendre et applicables à toutes les parties concernées. Cela étant, même si une application d’IA n’est pas classée à haut risque, elle reste entièrement soumise aux règles de l’UE en vigueur.

Selon la Commission, une application d'IA devrait généralement être considérée comme étant à haut risque en fonction de ce qui est en jeu, en examinant si des risques importants sont associés à la fois au secteur et à l'utilisation envisagée, notamment du point de vue de la protection de la sécurité, des droits des consommateurs et des droits fondamentaux. En particulier, une application d’IA devrait être considérée comme étant à haut risque si elle remplit cumulativement les deux critères suivants:

• premièrement, l'application d’IA est employée dans un secteur où, compte tenu des caractéristiques des activités normalement menées, des risques importants sont à prévoir. Ce premier critère garantit que l’intervention réglementaire cible les domaines dans lesquels, d'une manière générale, les risques sont réputés les plus probables. Le nouveau cadre réglementaire devrait comprendre une liste précise et complète des secteurs concernés. Par exemple, les soins de santé; les transports; l'énergie et certains pans du secteur public⁵⁰. La liste devrait être réexaminée à intervalles réguliers et modifiée, le cas échéant, en fonction des réalités;
• deuxièmement, l'application d'IA dans le secteur en question est, de surcroît, utilisée de façon telle que des risques importants sont susceptibles d'apparaître. Ce second critère prend en considération le fait que toutes les utilisations de l’IA dans les secteurs sélectionnés n’impliquent pas nécessairement des risques importants. Par exemple, si les soins de santé peuvent, d'une manière générale, faire partie des secteurs concernés, une défaillance du système de planification des rendez-vous dans un hôpital ne présentera normalement pas de risques tels qu'ils justifient une intervention législative. L'appréciation du niveau de risque d’une utilisation donnée pourrait reposer sur ses conséquences pour les parties concernées. Par exemple, les utilisations d'applications d'IA qui produisent des effets juridiques sur les droits d’une personne physique ou d’une entreprise, ou l’affectent de manière significative de façon similaire; qui occasionnent un risque de blessure, de décès ou de dommage matériel ou immatériel important; dont les effets ne peuvent être évités par les personnes physiques ou morales.

Grâce à l'application cumulative des deux critères, la portée du cadre réglementaire serait circonscrite avec précision et garantirait la sécurité juridique. Les exigences obligatoires contenues dans le nouveau cadre réglementaire sur l’IA (voir la section D) ne s'appliqueraient en principe qu’aux applications désignées comme étant à haut risque selon ces deux critères cumulatifs.

Nonobstant les considérations qui précèdent, il peut également exister des cas exceptionnels dans lesquels, compte tenu des risques, l'utilisation d'applications d'IA à certaines fins devrait être considérée comme étant à haut risque en soi, c'est-à-dire indépendamment du secteur concerné, et resterait soumise aux exigences ci-dessous⁵¹. À titre d'illustration, il pourrait notamment pourrait s'agir notamment des applications suivantes:

• compte tenu de son importance pour les particuliers et de l’acquis de l’UE sur l’égalité en matière d’emploi, l’utilisation d’applications d’IA dans les procédures de recrutement et dans des situations ayant une incidence sur les droits des travailleurs serait toujours considérée comme étant «à haut risque», et les exigences ci-dessous s’appliqueraient dès lors à tout moment. D’autres applications spécifiques ayant une incidence sur les droits des consommateurs pourraient être envisagées;
• l’utilisation d’applications d’IA à des fins d’identification biométrique à distance⁵² et pour d’autres technologies de surveillance intrusive serait toujours considérée comme étant «à haut risque», et les exigences ci-dessous s’appliqueraient dès lors à tout moment.