Menu : | html | yaml | json | edit | check | reindex | dump | unset |
title | D. Types d’exigences |
content |
Lors de l’élaboration du futur cadre réglementaire pour l’IA, il faudra déterminer les types d’exigences légales obligatoires auxquelles seront soumis les acteurs concernés. Ces exigences peuvent être davantage précisées par des normes. Comme indiqué à la section C, outre la législation déjà existante, ces exigences ne vaudraient que pour les applications d’IA à haut risque, ce qui garantirait le caractère ciblé et proportionné de toute intervention réglementaire. Compte tenu des lignes directrices élaborées par le groupe d’experts de haut niveau et des éléments exposés ci-dessus, les exigences imposées aux applications d’IA à haut risque pourraient porter sur les éléments essentiels suivants, détaillés dans les points ci-dessous:
Afin de garantir la sécurité juridique, ces exigences seront davantage clarifiées pour que tous les acteurs qui doivent les respecter s’y retrouvent facilement. a) Données d’entraînementIl est plus important que jamais de promouvoir, de renforcer et de défendre les valeurs et les règles de l’UE, et en particulier les droits que les citoyens tirent du droit de l’Union. Ces efforts s’étendent, sans aucun doute, également aux applications d’IA à haut risque qui sont commercialisées et utilisées dans l’UE, et qui font l’objet du présent Livre blanc. Comme expliqué ci-dessus, l’IA ne peut exister sans données. Le fonctionnement de nombreux systèmes d’IA, ainsi que les actions et décisions qu’ils sont susceptibles d’entraîner, dépendent en grande partie de l’ensemble de données qui a été utilisé pour entraîner ces systèmes. Il convient donc, lorsqu’il s’agit des données utilisées pour entraîner les systèmes d’IA, de prendre les mesures nécessaires pour garantir le respect des valeurs et des règles de l’UE, notamment en ce qui concerne la sécurité et les règles législatives en vigueur en matière de protection des droits fondamentaux. Il pourrait être envisagé d’appliquer les exigences suivantes à l’ensemble de données utilisé pour entraîner les systèmes d’IA:
b) Conservation des dossiers et des donnéesCompte tenu d’éléments tels que la complexité et l’opacité de nombreux systèmes d’IA et des difficultés qu’il peut y avoir à vérifier effectivement la conformité aux règles applicables et leur exécution, il convient d’établir des exigences relatives à la conservation des dossiers de programmation de l’algorithme et des données utilisées pour entraîner les systèmes d’IA à haut risque et, dans certains cas, à la conservation des données elles-mêmes. Ces exigences visent essentiellement à permettre de reconstituer l’historique des actions ou décisions potentiellement problématiques prises par les systèmes d’IA et de les vérifier. Outre que cela devrait faciliter la surveillance et l’exécution, cela pourrait également inciter les opérateurs économiques concernés à tenir compte, à un stade précoce, de la nécessité de respecter ces règles. À cette fin, le cadre réglementaire pourrait prévoir l’obligation de conserver les éléments suivants:
Les archives, la documentation et, le cas échéant, les ensembles de données devraient être conservés pendant une période limitée et raisonnable afin de garantir l’exécution effective de la législation applicable. Des mesures devraient être prises pour ces éléments soient mis à disposition sur demande, afin notamment de permettre aux autorités compétentes de les tester ou de les inspecter. Le cas échéant, des dispositions devraient être prises pour garantir la protection des informations confidentielles, telles que celles relatives aux secrets d’affaires. c) Fourniture d’informationsLa transparence ne doit pas concerner que les exigences en matière de conservation examinées au point b). Afin d’atteindre les objectifs poursuivis – en particulier promouvoir une utilisation responsable de l’IA, renforcer la confiance et, si nécessaire, faciliter les voies de recours – il importe de fournir, de manière proactive, des informations adéquates sur l’utilisation des systèmes d’IA à haut risque. Ainsi, les exigences suivantes pourraient être envisagées.
d) Robustesse et précisionPour pouvoir être dignes de confiance, les systèmes d’IA – et certainement les applications d’IA à haut risque – doivent être robustes et précis sur le plan technique. Ces systèmes doivent donc être développés de manière responsable, en tenant dûment et correctement compte, au préalable, des risques qu’ils sont susceptibles de générer. Les systèmes d’IA doivent être développés et fonctionner de façon à garantir la fiabilité de leur comportement, tel que prévu initialement. Il convient de prendre toutes les mesures raisonnables pour réduire autant que possible le risque de préjudice. Ainsi, les exigences suivantes pourraient être envisagées.
e) Contrôle humainLe contrôle humain contribue à éviter qu’un système d’IA ne mette en péril l’autonomie humaine ou ne provoque d’autres effets néfastes. Une IA digne de confiance, éthique et axée sur le facteur humain n’est possible que si une participation adéquate de l’être humain est garantie lorsqu’il s’agit d’applications à haut risque. Bien que les applications d’IA examinées dans le présent Livre blanc afin de faire l’objet d’un cadre réglementaire spécifique soient toutes considérées comme étant à haut risque, le type et le niveau appropriés de contrôle humain peuvent varier selon le cas. Le contrôle humain devra dépendre notamment de l’utilisation prévue des systèmes et de ses incidences potentielles sur les citoyens et les personnes morales concernées. Il devra également être sans préjudice des droits légaux établis par le RGPD lorsque le système d’IA traite des données à caractère personnel. À titre non exhaustif, voici quelques exemples de situations dans lesquelles un contrôle humain pourrait être exercé:
f) Exigences spécifiques pour l’identification biométrique à distanceLa collecte et l’utilisation de données biométriques55 à des fins d’identification à distance56, au moyen, par exemple, du déploiement de la reconnaissance faciale dans des lieux publics, comportent des risques particuliers en termes de droits fondamentaux57. L’utilisation de systèmes d’IA pour l’identification biométrique à distance a des incidences sur les droits fondamentaux qui peuvent considérablement varier selon sa finalité, son contexte et sa portée. Les règles de l’UE en matière de protection des données interdisent en principe le traitement de données biométriques aux fins d’identifier une personne physique de manière unique, sauf dans des conditions précises58. Plus particulièrement, en vertu du RGPD, un tel traitement ne peut avoir lieu qu’au titre d’un nombre limité de motifs, et notamment lorsqu’il est nécessaire pour des raisons d’intérêt public important. Dans ce cas, il doit avoir lieu sur la base du droit de l’Union ou du droit d’un État membre, sous réserve des exigences en matière de proportionnalité, de respect du contenu essentiel du droit à la protection des données et de garanties adéquates. En vertu de la directive en matière de protection des données dans le domaine répressif, le traitement doit être strictement nécessaire, il doit être en principe autorisé par le droit de l’Union ou le droit d’un État membre et être assorti de garanties adéquates. Étant donné que tout traitement de données biométriques aux fins d’identifier une personne physique de manière unique constituerait une exception à une interdiction prévue par le droit de l’Union, il serait soumis à la charte des droits fondamentaux de l’UE. Il s’ensuit, conformément aux règles de l’Union en vigueur en matière de protection des données et à la charte des droits fondamentaux de l’UE, que l’IA ne peut être utilisée à des fins d’identification biométrique à distance que lorsque cette utilisation est dûment justifiée, proportionnée et assortie de garanties adéquates. Afin de répondre aux éventuelles inquiétudes, du point de vue de la société, quant à l’utilisation de l’IA à de telles fins dans les lieux publics et d’éviter toute fragmentation du marché intérieur, la Commission lancera un vaste débat européen sur les circonstances particulières, le cas échéant, qui pourraient justifier une telle utilisation, ainsi que sur les garanties communes à mettre en place. |