Les co-rapporteurs du Parlement européen ont diffusé de nouveaux amendements de compromis à la loi sur l’intelligence artificielle (IA) proposant des modalités de réalisation des analyses d’impact sur les droits fondamentaux et d’autres obligations pour les utilisateurs de systèmes à haut risque.
Le nouveau compromis a été distribué lundi (9 janvier) pour être discuté lors d’une réunion technique mercredi. Il s’agit de l’un des derniers lots à achever la première révision de la loi sur l’IA, une proposition législative historique visant à réglementer la technologie en fonction de son potentiel de nuisance.
Analyse d’impact sur les droits fondamentaux
Les co-rapporteurs souhaitent inclure une obligation pour tous les utilisateurs de systèmes d’IA à haut risque, tant les organismes publics que les entités privées, de réaliser une évaluation d’impact sur les droits fondamentaux, en énumérant plusieurs éléments minimaux que l’évaluation devrait inclure.
Notamment, les utilisateurs d’IA devraient tenir compte de l’objectif visé, de la portée géographique et temporelle de l’utilisation, des catégories d’individus et de groupes concernés, des risques spécifiques pour les groupes marginalisés et de l’impact environnemental prévisible, par exemple sur la consommation d’énergie.
D’autres éléments incluent le respect de la législation européenne et nationale et du droit relatif aux droits fondamentaux, l’impact négatif potentiel sur les valeurs de l’UE et, pour les autorités publiques, toute considération relative à la démocratie, à l’État de droit et à l’allocation de fonds publics.
Pour les principaux députés européens, les utilisateurs doivent rédiger un plan détaillé sur la manière dont l’impact négatif direct ou indirect sur les droits fondamentaux sera atténué. En cette absence, ils devraient informer sans délai le fournisseur d’IA et l’autorité nationale compétente.
« Au cours de l’analyse d’impact, l’utilisateur doit informer les autorités nationales compétentes et les parties prenantes concernées et impliquer des représentants des personnes ou des groupes de personnes dont il est raisonnablement prévisible qu’ils seront affectés par le système d’IA à haut risque », indique le compromis.
Parmi les exemples de représentants susceptibles de contribuer à l’analyse d’impact figurent les organismes de promotion de l’égalité, les agences de protection des consommateurs, les partenaires sociaux et les autorités de protection des données. Les utilisateurs devraient leur accorder six semaines pour fournir ces informations et, s’il s’agit d’un organisme public, ils devraient publier le résultat de l’analyse d’impact dans le cadre de l’inscription au registre de l’UE.
Obligations pour les utilisateurs de systèmes à haut risque
Les co-rapporteurs ont apporté d’importants ajouts aux obligations des utilisateurs de systèmes d’IA considérés comme à haut risque, par exemple en veillant à ce qu’ils disposent des mesures de robustesse et de cybersécurité appropriées et à ce que ces mesures soient régulièrement mises à jour.
De plus, « dans la mesure où l’utilisateur exerce un contrôle sur le système d’IA à haut risque », les utilisateurs devraient évaluer les risques liés aux effets négatifs potentiels de l’utilisation et les mesures d’atténuation respectives.
Si les utilisateurs s’aperçoivent que l’utilisation du système à haut risque conformément aux instructions comporte un risque pour la santé, la sécurité ou la protection des droits fondamentaux, ils devront en informer immédiatement le fournisseur ou le distributeur d’IA et l’autorité nationale compétente.
Le compromis précise que les utilisateurs devraient assurer des supervisions humaines dans tous les cas requis par le règlement sur l’IA et s’assurer que les personnes responsables disposent des compétences, de la formation et des ressources nécessaires pour une supervision adéquate.
Les utilisateurs d’IA à haut risque devraient également conserver les journaux automatiques générés par le système pour garantir la conformité à la loi sur l’IA, auditer tout dysfonctionnement ou incident prévisible et surveiller les systèmes tout au long de leur cycle de vie.
Avant qu’un système d’IA à haut risque ne soit mis en œuvre sur un lieu de travail, les utilisateurs doivent consulter les représentants des travailleurs et informer et obtenir le consentement des employés.
De plus, les utilisateurs devraient informer les personnes concernées par le système à haut risque, notamment concernant le type d’IA utilisé, sa destination et le type de décision qu’il prend.
Un paragraphe a également été ajouté pour aborder l’IA générative, des modèles de plus en plus populaires comme ChatGPT qui peuvent générer du contenu basé sur des entrées humaines. Les utilisateurs de tels systèmes devraient divulguer que ce texte a été généré ou manipulé par l’IA, à moins que le contenu n’ait fait l’objet d’un examen humain et que son éditeur ne soit responsable ou n’assume la responsabilité éditoriale.
Les fournisseurs d’IA devraient coopérer étroitement avec les utilisateurs pour se conformer à ces obligations. À leur tour, les utilisateurs devraient coopérer avec les autorités nationales pour toute action liée aux systèmes à haut risque.
Obligations des distributeurs, importateurs et utilisateurs
Les distributeurs, les importateurs, les utilisateurs et tout autre tiers seraient considérés comme des fournisseurs d’un système à haut risque, avec des obligations relatives, dans certaines circonstances spécifiques que les principaux députés européens ont fortement modifiées.
Par exemple, s’ils modifient l’objectif visé ou apportent une modification substantielle qui fait d’une IA une application à haut risque.
Une autre condition est que le système à haut risque ait été mis en service sous son nom ou sa marque, à moins qu’un accord contractuel n’attribue les obligations différemment.
Lorsque ces tiers deviennent un nouveau fournisseur d’IA, le fournisseur d’origine doit coopérer étroitement avec eux pour se conformer aux obligations du règlement.
[Edited by Alice Taylor]