Les rapporteurs du Parlement européen ont fait circuler une nouvelle série d’amendements de compromis repensant la structure d’application de la loi sur l’IA.
Vendredi 18 novembre, Dragoș Tudorache et Brando Benifei, les eurodéputés à la tête du dossier, ont partagé un nouveau texte de compromis portant sur l’application du règlement sur l’IA.
La loi sur l’IA est un règlement phare destiné à imposer des obligations à l’intelligence artificielle en fonction de son potentiel de nuisance.
Le document devait initialement être discuté lundi et mardi, mais en raison du court préavis, les discussions techniques ont été reportées à mercredi.
Pouvoirs d’exécution
Le texte de compromis donne au superviseur national le pouvoir de mener des inspections inopinées sur site et à distance des IA à haut risque, d’acquérir des échantillons liés aux systèmes à haut risque pour les rétroconcevoir et d’acquérir des preuves pour identifier la non-conformité.
Pour les systèmes d’IA utilisés dans les forces de l’ordre, le texte original laissait la possibilité aux autorités policières de se surveiller elles-mêmes. Pour les députés, seules les autorités de protection des données peuvent avoir ce rôle.
Base de données de l’UE
La portée des dispositions établissant une base de données paneuropéenne pour les systèmes à haut risque a été considérablement élargie, passant d’un système autonome à n’importe quel système, y compris l’IA intégrée à d’autres dans un système complexe, comme c’est généralement le cas pour l’IA à usage général.
La base de données a été étendue des fournisseurs d’IA de systèmes à haut risque aux utilisateurs à haut risque que sont les autorités publiques et leurs sous-traitants.
Les co-rapporteurs souhaitent que la base de données soit « conviviale et accessible, facilement navigable et lisible par machine contenant des données numériques structurées basées sur un protocole standardisé ».
Surveillance post-commercialisation
La loi sur l’IA exige que les fournisseurs d’algorithmes qui présentent un risque important de causer des dommages surveillent les performances de leurs systèmes après leur lancement sur le marché, à mesure que l’IA évolue à mesure qu’elle reçoit de nouvelles entrées.
Toujours pour la surveillance post-commercialisation, les fournisseurs d’IA devront envisager « une analyse continue de l’environnement de l’IA, y compris d’autres appareils, logiciels et autres systèmes d’IA qui interagissent avec le système d’IA en tenant compte des limites résultant de la protection des données, du droit d’auteur et droit de la concurrence ».
La Commission devra fournir un modèle de plan de surveillance post-commercialisation ainsi que les éléments qui devront être inclus dans un délai d’un an à compter de l’entrée en vigueur du règlement IA.
Procédure pour les systèmes dangereux
Pour les législateurs, un système d’IA est également dangereux s’il met en danger les droits des travailleurs, la protection des consommateurs, l’environnement et la sécurité publique.
Lorsque les autorités ont des raisons suffisantes de penser qu’un système d’IA exploite les vulnérabilités des enfants, le compromis les oblige à enquêter de manière approfondie et renverse la charge de la preuve sur l’opérateur d’IA pour démontrer la conformité avec le règlement de l’IA.
Concernant le retrait des systèmes dangereux du marché, un délai a été fixé à 15 jours ouvrables.
Lorsqu’elle informe d’autres autorités sur un système à risque, l’autorité compétente doit également informer ses pairs sur les acteurs économiques impliqués dans sa chaîne d’approvisionnement.
Si l’opérateur d’IA ne met pas en œuvre les mesures correctives adéquates, l’autorité nationale peut ordonner le retrait du système du marché. D’autres autorités nationales ou la Commission pourraient s’opposer à cette décision dans un délai de trois mois, délai ramené à un mois pour les décisions liées à des pratiques interdites.
Si la décision est contestée, les mêmes délais s’appliquent pour que le bureau AI prenne une décision contraignante afin de régler le litige.
Signalement des incidents graves
L’obligation de déclarer les incidents graves ou les dysfonctionnements a été étendue aux utilisateurs de systèmes à haut risque. La notification devrait avoir lieu au plus tard trois jours après que les fournisseurs ou les utilisateurs en ont eu connaissance.
À son tour, l’autorité nationale de surveillance devrait prendre les mesures appropriées dans les sept jours suivant la notification. Le bureau AI et les autorités compétentes doivent être informés des incidents susceptibles de se produire dans d’autres États membres.
Les autorités nationales devraient signaler annuellement au bureau AI tout incident grave.
Enquêtes conjointes
Un nouvel article a été ajouté introduisant la possibilité d’enquêtes conjointes pour les cas qui constituent une infraction généralisée ou sont susceptibles d’affecter au moins 45 millions de citoyens de l’UE. Le bureau AI assurerait la coordination centrale de ces opérations conjointes.
Non-conformité
La non-conformité formelle a également été étendue aux cas où la documentation technique n’est pas disponible, le système d’IA n’a pas été enregistré dans la base de données de l’UE ou un représentant autorisé n’a pas été nommé dans l’UE.
Droits des personnes
Pour les co-rapporteurs, tout individu ou groupe concerné par un système d’IA couvert par le règlement sur l’IA devrait avoir le droit de porter plainte auprès de l’autorité nationale compétente.
Les plaignants ont également obtenu le droit d’être entendus et informés de l’état d’avancement de leur plainte, avec une réponse préliminaire déjà fournie dans les trois mois. L’autorité aurait alors six mois pour rendre une décision.
Le texte précise également que les individus ont droit à un recours juridictionnel, y compris lorsque les autorités de contrôle manquent à leurs devoirs.
Dénonciateurs
Les députés ont étendu le champ d’application de la directive protégeant les personnes qui signalent des violations du droit de l’UE à celles qui signalent des violations de la loi sur l’IA.
Autorités nationales
Le nouveau texte stipule que l’autorité de contrôle désignée par les États membres ne peut pas être la même que l’autorité qui supervise le travail des organismes d’évaluation de la conformité.
[Edited by Nathalie Weatherald]