Blog

Avis du CEPD sur la proposition de loi sur l’IA

La proposition de loi sur l’intelligence artificielle a suscité de nombreuses discussions animées alors qu’elle atteint sa phase finale. Récemment, le Contrôleur européen de la protection des données (CEPD) a publié une avis sur la version actuelle de la proposition de loi sur l’IA*, soulignant plusieurs incertitudes juridiques du point de vue de la protection des données. Il s’agit du deuxième avis du CEPD sur la prochaine loi sur l’IA, après un publié conjointement avec le Comité européen de la protection des données peu de temps après la révélation de la proposition.

Le CEPD adopte une position ferme à l’égard de certaines des solutions envisagées dans la proposition. Par exemple, l’autorité a une nouvelle fois souligné que classer plusieurs utilisations de l’IA comme « à haut risque » n’est pas suffisant dans les cas où de telles utilisations présentent des risques inacceptables pour les droits fondamentaux (voir paragraphe 7 de l’avis). Ceci comprend:

  • toute utilisation de l’IA pour réaliser tout type de « social scoring » ;
  • toute utilisation de l’IA pour la reconnaissance automatisée de caractéristiques humaines dans des espaces accessibles au public, telles que les visages, la démarche, les empreintes digitales, l’ADN, la voix, les frappes au clavier et d’autres signaux biométriques ou comportementaux ;
  • l’utilisation de l’IA pour déduire les émotions d’une personne physique sauf dans certains cas d’utilisation bien précisés, notamment à des fins de santé ou de recherche ;
  • toute utilisation de systèmes d’IA catégorisant les individus à partir de la biométrie en groupes en fonction de leur origine ethnique, de leur sexe, de leur orientation politique ou sexuelle, ou d’autres motifs de discrimination interdits par l’article 21 de la Charte des droits fondamentaux de l’UE.

Selon le CEPD, de telles utilisations devraient être interdites car elles sont intrusive et porte atteinte à la dignité humaine.

Le CEPD note également que la proposition de loi sur l’IA exempte les opérateurs de systèmes d’IA à haut risque déjà sur le marché ou utilisés avant l’applicabilité de la loi sur l’IA, sauf dans les cas lorsque ces systèmes sont soumis à des changements importants dans leur conception ou leur objectif ou en cas de « modifications substantielles » (paragraphe 12 de l’avis, voir également article 83, paragraphe 2, de la proposition de loi sur l’IA). Cependant, le CEPD estime que cette solution manque de clarté, ce qui entraîne une insécurité juridique et certains systèmes d’IA à haut risque n’entrent jamais dans le champ d’application de la loi sur l’IA. Le CEPD recommande de supprimer cette exemption et d’appliquer la loi sur l’IA aux systèmes d’IA à haut risque existants à la date de son applicabilité.

Qui plus est, le CEPD suggère que la notion de « fournisseurs » d’IA soit davantage clarifiée, et inclue probablement (explicitement ?) Opérateurs d’IA qui recyclent les systèmes d’IA pré-entraînés. Bien que la formation soit un élément fondamental du développement de l’IA, la proposition actuelle n’indique pas clairement si des activités telles que le recyclage ou la formation continue doivent être considérées comme faisant partie du « développement » du système d’IA. En conséquence, il n’est pas certain que les opérateurs participant à de telles activités puissent se voir attribuer le statut de « fournisseurs » de systèmes d’IA. (paragraphes 15-19 de l’avis).

Enfin, l’autorité a fait part de recommandations spécifiques sur la manière de clarifier les dispositions de la proposition sur les rôles et les tâches du CEPD en tant que organisme notifié, autorité de surveillance du marché et autorité compétente pour la surveillance du développement, de la fourniture ou de l’utilisation de systèmes d’IA par les institutions, organes et organismes de l’UE (paragraphes 29 et suivants).

*Udes informations actualisées sur le processus législatif sont disponibles ici.