07
août
2024
Articles
Droit international et européen
Droit des nouvelles technologies et de la communication
2024
Articles
Droit international et européen — Droit des nouvelles technologies et de la communication
Le Règlement (UE) 2024/1689 du 13 juin 2024 sur l’intelligence artificielle (AI Act), applicable aux fournisseurs et déployeurs des pays tiers à l’Union Européenne
SYNTHESE
Le Règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle ["Règlement sur l’intelligence artificielle" (IA) ou "Artificial Intelligence Act" (ci-après "AI Act")], adopté par le Conseil le 21 mai 2024, a été publié au Journal officiel de l'Union Européenne (J.O.U.E.) le 12 juillet 2024.
L'AI Act a pour objectif "d'améliorer le fonctionnement du marché intérieur et de promouvoir l'adoption d'une intelligence artificielle (IA) axée sur l'humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, notamment la démocratie, l'état de droit et la protection de l'environnement, contre les effets néfastes des systèmes d'IA dans l'Union, et en soutenant l'innovation" (article 1er (1.) AI Act).
Précurseur au niveau mondial, l'AI Act établit des règles harmonisées concernant la mise sur le marché, la mise en service et l'utilisation de systèmes d'IA dans l'Union Européenne (UE). Ces règles sont plus ou moins strictes selon le niveau de risque généré par le système d'IA : interdiction de certaines pratiques en matière d'IA, exigences spécifiques pour les systèmes d'IA à haut risque et obligations pour les opérateurs concernés, règles de transparence pour les système d'IA à moindre risque (article 1er (2.) AI Act), entre autres.
Du fait de sa portée extraterritoriale, l'AI Act est susceptible de s'appliquer aux fournisseurs (qui développent ou font développer un système d'IA ou un modèle d'IA à usage général et le mettent sur le marché ou mettent le système d'IA en service sous leur propre nom ou marque, à titre onéreux ou gratuit) et aux déployeurs (utilisant sous leur propre autorité un système d'IA sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle à caractère non professionnel) des pays tiers à l'UE.
Le calendrier de mise en œuvre de l'AI Act est progressif. L'AI Act est applicable à partir du 2 août 2026, sauf les dispositions suivantes :
- application des dispositions générales (Chapitre I) et des règles relatives aux systèmes d’intelligence artificielle à risque inacceptable (Chapitre II) à partir du 2 février 2025 ;
- application des dispositions relatives aux autorités notifiantes et organismes notifiés (Chapitre III, section 4), des règles relatives aux modèles d’IA à usage général (Chapitre V, à l'exception de l'article 101 relatif aux amendes applicables aux fournisseurs de modèles d’IA à usage général), des dispositions relatives à la gouvernance (Chapitre VII) et à la confidentialité (article 78) à partir du 2 août 2025 ;
- application des règles relatives aux systèmes d'IA à haut risque (article 6, paragraphe 1 et obligations correspondantes) à partir du 2 août 2027.
D'autres textes viendront compléter l'AI Act (actes délégués et d'exécution, codes de conduite et lignes directrices, normes harmonisées, codes de bonne pratique, textes nationaux).
L’AI Act fait partie du "paquet législatif" numérique de l'UE, avec le Règlement (UE) 2022/868 du 30 mai 2022 portant sur la gouvernance européenne des données (DGA), le Règlement (UE) 2022/1925 du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique (DMA) et le Règlement (UE) 2022/2065 du 19 octobre 2022 sur les services numériques (DSA).
* * *
A NOTER : Le comité européen de la protection des données (CEPD) a adopté le 16 juillet 2024 la déclaration 3/2024 sur le rôle des autorités de protection des données (APD) dans le cadre du Règlement sur l’intelligence artificielle. La législation de l'Union Européenne en matière de protection des données est pleinement applicable au traitement des données à caractère personnel impliquées dans le cycle de vie des systèmes d'IA (cons. 9 et 10 et art. 2, paragraphe 7 AI Act).
Voir également les contenus publiés par la CNIL (ADP française) sur l'intelligence artificielle > https://cnil.fr/fr/technologie...
* * *
Sommaire
¤ La portée de l'AI Act pour les pays tiers à l'UE tel Monaco
- Portée extraterritoriale
- Source de référence
¤ Le contenu de l'AI Act (points clefs)
- Approche par les risques
- Risque inacceptable : pratiques interdites en matière d'IA (Chapitre II AI Act)
- Risque élevé : exigences pour les systèmes d'IA à haut risque et obligations pour les opérateurs concernés (Chapitre III AI Act)
- Risque moindre : obligations de transparence pour les opérateurs concernés (Chapitre IV AI Act)
- Gouvernance (Chapitre VII AI Act)
- Sanctions (Chapitre XII AI Act)
* * *
¤ La portée de l'AI Act pour les pays tiers à l'UE tel Monaco
→ L'AI Act revêt un grand intérêt pour les pays tiers à l'UE, tel Monaco, serait-ce déjà pour sa portée extraterritoriale. Il vise les fournisseurs (développeurs) et les déployeurs (utilisateurs dans le cadre d'une activité à caractère professionnel) établis ou situés dans un pays tiers qui mettent sur le marché/en service des systèmes/modèles d'IA dans l'UE, ou lorsque les sorties produites par le système d'IA sont utilisées dans l'UE (article 2 (1.) AI Act).
Des systèmes d'IA peuvent ainsi relever de l'AI Act alors même qu'ils ne sont pas mis sur le marché, mis en service, ou utilisés dans l'UE, ce afin d'assurer une protection efficace des personnes physiques situées dans l'UE dont les données légalement collectées et transférées depuis l'UE peuvent être traitées par un opérateur externe d'un pays tiers. Ainsi par exemple, lorsqu'un opérateur établi dans l'UE confie à un opérateur externe établi dans un pays tiers la tâche d'exécuter certains services ayant trait à une activité devant être réalisée par un système d'IA utilisé dans ce pays tiers qui serait considéré comme étant à haut risque, dont les sorties produites par ce système sont destinées à être utilisées dans l'UE (considérant 22 AI Act).
Les fournisseurs (qui développent ou font développer un système d'IA ou un modèle d'IA à usage général et le mettent sur le marché ou mettent le système d'IA en service sous leur propre nom ou marque, à titre onéreux ou gratuit) et les déployeurs (utilisant sous leur propre autorité un système d'IA sauf lorsque ce système est utilisé dans le cadre d'une activité personnelle à caractère non professionnel) concernés peuvent être des personnes physiques ou morales, incluant les entreprises, les associations, et les administrations.
→ Ensuite, les législateurs des pays tiers pourraient trouver à s'en inspirer. Du point de vue de la Principauté, "L’intelligence artificielle sera un prolongement naturel de la politique du gouvernement princier pour un numérique éthique et responsable", et l’AI Act "pourrait très bien éclairer de prochaines législations, y compris monégasques". En effet, "légiférer de manière cohérente avec l’écosystème européen (…) c’est être aligné avec un continent pour qui le respect de la vie privée et la protection des utilisateurs est prioritaire". De plus, "une adéquation sur le sujet de l’IA aura un potentiel économique pour la principauté" du fait de ses "intérêts économiques (…) très liés à l’Europe" (Frédéric Genta, Délégué interministériel à la transition numérique et à l’attractivité, « Il va falloir penser un monde hybride, mêlant humain et machine, au service de l’humain », Dossier Intelligence artificielle, Monaco Hebdo, 14 mai 2024).
Il peut d'ailleurs être relevé que l'exposé des motifs du projet de loi n° 1087 relative à l'utilisation de la vidéoprotection et de la vidéosurveillance des lieux accessibles au public pour la détection, la recherche et l'identification des personnes recherchées ou signalées au moyen de systèmes d'identification biométrique à distance, se réfère aux dispositions de l'AI Act concernant l'utilisation de systèmes d'IA à des fins répressives pour l'identification biométrique à distance dans des espaces accessibles au public.
* * *
¤ Le contenu de l'AI Act
L'AI Act est volumineux, comprenant 180 considérants ("cons."), 113 articles ("art.") et 13 annexes. Sans prétendre à l'exhaustivité, en voici des points clefs :
Approche par les risques
Si le recours à l'IA peut être bénéfique pour les entreprises (avantages concurrentiels), la société et l'environnement (par ex., santé, agriculture, sécurité des aliments, éducation et formation, médias, sport, culture, gestion des infrastructures, énergie, transports et logistique, services publics, sécurité, justice, utilisation efficace des ressources et de l'énergie, surveillance de l'environnement, préservation et restauration de la biodiversité et des écosystèmes, atténuation du changement climatique et adaptation à celui-ci), il peut également être source de préjudice (matériel ou immatériel, y compris physique, psychologique, sociétal ou économique) en fonction des circonstances concernant son application et son utilisation et du niveau de développement technologique. (cons. 4 et 5).
L'AI Act retient une approche fondée sur les risques (cons. 26). Plus le risque de dommages pour les droits fondamentaux des individus ou pour la société (par ex. impacts sur la protection des données, erreurs, biais cognitifs, discriminations, etc.) générés par le système d'IA est élevé, plus les règles posées par l'AI Act sont strictes :
- interdiction de certaines pratiques inacceptables en matière d'IA,
- exigences pour les systèmes d'IA à haut risque, et obligations pour les opérateurs concernés (le volet le plus conséquent de l'IA Act),
- obligations de transparence pour les systèmes d'IA à moindre risque,
- libre utilisation de l’IA à risque minimal ou nul, avec encouragement à présenter des codes de conduite. (par ex. jeux vidéo compatibles avec l'IA, filtres anti-spam, etc., la grande majorité des systèmes d’IA actuellement utilisés dans l’UE).
Risque inacceptable : pratiques interdites en matière d'IA (Chapitre II AI Act)
→ Sont interdites la mise sur le marché, la mise en service ou l'utilisation d'un système d'IA :
- qui a recours à des techniques subliminales, au-dessous du seuil de conscience d'une personne, ou à des techniques délibérément manipulatrices ou trompeuses, avec pour objectif ou effet d'altérer substantiellement le comportement d'une personne ou d'un groupe de personnes en portant considérablement atteinte à leur capacité à prendre une décision éclairée, amenant ainsi la personne à prendre une décision qu'elle n'aurait pas prise autrement, d'une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne, à une autre personne ou à un groupe de personnes ;
- qui exploite les éventuelles vulnérabilités dues à l'âge, au handicap ou à la situation sociale ou économique spécifique d'une personne physique ou d'un groupe de personnes donné avec pour objectif ou effet d'altérer substantiellement le comportement de cette personne ou d'un membre de ce groupe d'une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne ou à un tiers ;
- pour l'évaluation ou la classification de personnes physiques ou de groupes de personnes au cours d'une période donnée en fonction de leur comportement social ou de caractéristiques personnelles ou de personnalité connues, déduites ou prédites, la note sociale conduisant au traitement préjudiciable ou défavorable de certaines personnes physiques ou de groupes de personnes dans des contextes sociaux dissociés du contexte dans lequel les données ont été générées ou collectées à l'origine, et/ou qui est injustifié ou disproportionné par rapport à leur comportement social ou à la gravité de celui-ci.
→ Sont également interdites la mise sur le marché, la mise en service à cette fin spécifique ou l'utilisation de systèmes d'IA :
- pour mener des évaluations des risques des personnes physiques visant à évaluer ou à prédire le risque qu'une personne physique commette une infraction pénale, uniquement sur la base du profilage d'une personne physique ou de l'évaluation de ses traits de personnalité ou caractéristiques ; cette interdiction ne s'applique pas aux systèmes d'IA utilisés pour étayer l'évaluation humaine de l'implication d'une personne dans une activité criminelle, qui est déjà fondée sur des faits objectifs et vérifiables, directement liés à une activité criminelle ;
- qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d'images faciales provenant de l'internet ou de la vidéosurveillance ;
- pour inférer les émotions d'une personne physique sur le lieu de travail et dans les établissements d'enseignement, sauf lorsque l'utilisation du système d'IA est destinée à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité ;
- de catégorisation biométrique qui catégorisent individuellement les personnes physiques sur la base de leurs données biométriques afin d'arriver à des déductions ou des inférences concernant leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle ; cette interdiction ne couvre pas l'étiquetage ou le filtrage d'ensembles de données biométriques acquis légalement, tels que des images, fondés sur des données biométriques ou la catégorisation de données biométriques dans le domaine répressif.
→ Est enfin interdite :
- l'utilisation de systèmes d'identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives ; Exception : sauf si et dans la mesure où cette utilisation est strictement nécessaire eu égard à l'un des objectifs suivants : i) la recherche ciblée de victimes spécifiques d'enlèvement, de la traite ou de l'exploitation sexuelle d'êtres humains, ainsi que la recherche de personnes disparues; ii) la prévention d'une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique de personnes physiques ou d'une menace réelle et actuelle ou réelle et prévisible d'attaque terroriste ; iii) la localisation ou l'identification d'une personne soupçonnée d'avoir commis une infraction pénale, aux fins de mener une enquête pénale, d'engager des poursuites ou d'exécuter une sanction pénale pour des infractions visées à l'Annexe II et punissables dans l'État membre concerné d'une peine ou d'une mesure de sûreté privatives de liberté d'une durée maximale d'au moins 4 ans. Voir pour Monaco le Projet de loi n° 1087 sur l'utilisation de l'identification biométrique à distance aux fins de préservation de la sécurité nationale
Risque élevé : exigences pour les systèmes d'IA à haut risque et obligations pour les opérateurs concernés (Chapitre III AI Act)
→ Les systèmes d’IA identifiés comme étant à haut risque sont répertoriés dans les domaines suivants (Annexe III AI Act) :
- Biométrie (systèmes d'identification biométrique à distance, systèmes d'IA destinés à être utilisés à des fins de catégorisation biométrique ou pour la reconnaissance des émotions) ;
- Infrastructures critiques (systèmes d'IA destinés à être utilisés en tant que composants de sécurité dans la gestion et l'exploitation d'infrastructures numériques critiques, du trafic routier ou de la fourniture d'eau, de gaz, de chauffage ou d'électricité) ;
- Éducation et formation professionnelle (systèmes d'IA destinés à être utilisés pour déterminer l'accès, l'admission ou l'affectation de personnes physiques à des établissements, pour évaluer les acquis d'apprentissage ou le niveau d'enseignement approprié qu'une personne recevra ou sera en mesure d'atteindre, pour surveiller et détecter des comportements interdits chez les étudiants lors d'examens) ;
- Emploi, gestion de la main-d'œuvre et accès à l'emploi indépendant (systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, en particulier pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats, ou pour prendre des décisions influant sur les conditions des relations professionnelles, la promotion ou le licenciement dans le cadre de relations professionnelles contractuelles, pour attribuer des tâches sur la base du comportement individuel, de traits de personnalité ou de caractéristiques personnelles ou pour suivre et évaluer les performances et le comportement de personnes dans le cadre de telles relations) ;
- Accès et droit aux services privés essentiels et aux services publics et prestations sociales essentiels sauf ceux utilisés à des fins de détection de fraudes financières (systèmes d'IA destinés à être utilisés pour évaluer l'éligibilité des personnes physiques et octroyer, réduire, révoquer ou récupérer ces prestations et services comme par exemple les soins de santé, ou pour évaluer la solvabilité des personnes physiques ou pour établir leur note de crédit s'agissant de l'obtention d'un prêt, ou pour l'évaluation des risques et la tarification en matière d'assurance-vie et d'assurance maladie, ou encore destinés à évaluer et hiérarchiser les appels d'urgence émanant de personnes physiques ou à être utilisés pour envoyer ou établir des priorités dans l'envoi des services d'intervention d'urgence, ainsi que pour les systèmes de tri des patients admis dans les services de santé d'urgence) ;
- Répression (systèmes d'IA destinés à être utilisés en soutien aux autorités répressives pour évaluer le risque qu'une personne physique devienne la victime d'infractions pénales, ou en tant que polygraphes ou outils similaires, ou pour évaluer la fiabilité des preuves au cours d'enquêtes ou de poursuites pénales, ou pour évaluer le risque qu'une personne physique commette une infraction ou récidive, ou pour évaluer les traits de personnalité, les caractéristiques ou les antécédents judiciaires de personnes physiques ou de groupes, ou pour le profilage de personnes physiques dans le cadre de la détection d'infractions pénales, d'enquêtes ou de poursuites en la matière ou de l'exécution de sanctions pénales) ;
- Migration, asile et gestion des contrôles aux frontières (systèmes d'IA destinés à être utilisés en tant que polygraphes et outils similaires, ou pour évaluer un risque, y compris un risque pour la sécurité, un risque de migration irrégulière ou un risque pour la santé, posé par une personne physique qui a l'intention d'entrer ou qui est entrée sur le territoire d'un État membre, ou pour aider les autorités publiques compétentes à procéder à l'examen des demandes d'asile, de visas et de titres de séjour et des plaintes connexes au regard de l'objectif visant à établir
l'éligibilité des personnes physiques demandant un statut, y compris les évaluations connexes de la fiabilité des éléments de preuve, ou aux fins de la détection, de la reconnaissance ou de l'identification des personnes physiques, à l'exception de la vérification des documents de voyage) ; - Administration de la justice et processus démocratiques (systèmes d'IA destinés à être utilisés pour aider les autorités judiciaires à rechercher et à interpréter les faits ou la loi, et à appliquer la loi à un ensemble concret de faits, ou à être utilisés de manière similaire lors du règlement extrajudiciaire d'un litige, ou pour influencer le résultat d'une élection ou d'un
référendum ou le comportement électoral de personnes physiques dans l'exercice de leur vote lors d'élections ou de référendums).
→ Les obligations des fournisseurs et déployeurs de systèmes d'IA à haut risque (Chapitre III AI Act) :
- Respect des exigences applicables aux systèmes d'IA à haut risque (Section 2) : système de gestion des risques ; jeux de données d'entraînement, de validation et de test soumis à des pratiques en matière de gouvernance et de gestion des données ; documentation technique ; enregistrement automatique des événements (journaux) ; transparence et fourniture d'informations aux déployeurs (notice d'utilisation) ; contrôle humain pendant l'utilisation ; exactitude, robustesse et cybersécurité ;
- Obligations des fournisseurs de systèmes d'IA à haut risque (Section 3) : système de gestion de la qualité garantissant le respect de l'AI Act, documenté (politiques, procédures et instructions écrites) ; conservation des documents pendant 10 ans après la mise sur le marché/en service du système d'IA à haut risque, tenus à la disposition des autorités nationales compétentes ; tenue des journaux générés automatiquement conservés pendant au moins 6 mois ; si nécessaire, mesures correctives pour mettre le système d'IA à haut risque en conformité, le retirer, le désactiver ou le rappeler, avec information des distributeurs et, le cas échéant, des déployeurs, mandataire et importateurs ; coopération avec les autorités compétentes ; pour les fournisseurs établis dans des pays tiers, désignation d'un mandataire établi dans l'UE ; déclaration UE de conformité ; enregistrement dans la base de données de l'UE.
- Obligations des déployeurs de systèmes d'IA à haut risque (Section 3) : mesures techniques et organisationnelles afin de garantir l'utilisation des systèmes d'IA à haut risque conformément aux notices d'utilisation les accompagnant ; contrôle humain ; le cas échéant, contrôle sur les données d'entrée qui doivent être pertinentes et suffisamment représentatives au regard de la destination du système d'IA à haut risque ; surveillance du fonctionnement du système d'IA à haut risque sur la base de la notice d'utilisation et, le cas échéant, en cas de risque ou d'incident, information (selon le cas du fournisseur, distributeur, importateur, autorité de surveillance du marché) ; le cas échéant, tenue des journaux générés automatiquement par le système d'IA à haut risque ; règles particulières pour les déployeurs qui sont des établissements financiers, ou des employeurs, ou des autorités publiques ou des institutions, organes ou organismes de l'UE, et pour l'identification biométrique à distance.
Risque moindre : obligations de transparence pour les opérateurs de certains systèmes d'IA (Chapitre IV AI Act)
→ Les obligations de transparence des fournisseurs et déployeurs selon le système d'IA concerné :
- Fournisseurs de systèmes d'IA destinés à interagir directement avec des personnes physiques : conception et développement de manière à ce que les personnes physiques concernées soient informées qu'elles interagissent avec un système d'IA ; avec exception ;
- Fournisseurs de systèmes d'IA à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte ("IA générative" comme par ex. ChatGPT, Dall-E, Jukebox, LLaMa, Ernie, Bard, Runway, Synthesia.io, D-ID, etc). : marquage des sorties des systèmes d'IA dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA ; solutions techniques efficaces, interopérables, solides et fiables (normes techniques pertinentes) ; avec exception ;
- Sont également prévues des règles spécifiques pour les modèles d'IA à usage général qui présentent, ou non, des risques systémiques (par ex. production d’une documentation technique, résumé des jeux de données d’entraînement des algorithmes, information et documentation à fournir aux fournisseurs en aval qui ont l'intention d'intégrer le modèle dans leur propre système d'IA, afin que ces derniers en comprennent les capacités et les limites et soient en mesure de s'y conformer, établir une politique en matière de droit d’auteur et de droits voisins etc.) ;
- Déployeurs d'un système de reconnaissance des émotions ou d'un système de catégorisation biométrique : information des personnes physiques qui y sont exposées du fonctionnement du système ; traitement des données à caractère personnel conformément à la législation sur la protection des données personnelles applicable ; avec exception ;
- Déployeurs d'un système d'IA qui génère ou manipule des images ou des contenus audio ou vidéo constituant un hypertrucage (deep fake): indication que les contenus ont été générés ou manipulés par une IA (lorsque le contenu fait partie d'une œuvre ou d'un programme manifestement artistique, créatif, satirique, fictif ou analogue : divulgation de l'existence de tels contenus générés ou manipulés d'une manière appropriée qui n'entrave pas l'affichage ou la jouissance de l'œuvre) ;
- Déployeurs d'un système d'IA qui génère ou manipule des textes publiés dans le but d'informer le public sur des questions d'intérêt public : indication que le texte a été généré ou manipulé par une IA ; avec exceptions (notamment lorsque le contenu généré par l'IA a fait l'objet d'un processus d'examen humain ou de contrôle éditorial et lorsqu'une personne physique ou morale assume la responsabilité éditoriale de la publication du contenu).
→ Les informations doivent être fournies aux personnes physiques concernées de manière claire et reconnaissable au plus tard au moment de la première interaction ou de la première exposition, et doivent être conformes aux exigences applicables en matière d'accessibilité.
Gouvernance (Chapitre VII IA Act)
→ Gouvernance au niveau de l'UE :
- Bureau de l'IA au sein de la Commission par l'intermédiaire duquel elle développe l'expertise et les capacités de l'UE dans le domaine de l'IA. La Commission dispose de pouvoirs exclusifs pour surveiller et contrôler le respect de l'exécution des obligations incombant aux fournisseurs de modèles d'IA à usage général.
- Comité européen de l'intelligence artificielle qui conseille et assiste la Commission et les États membres afin de faciliter l'application cohérente et efficace de l'IA Act ;
- Forum consultatif représentatif des intérêts commerciaux et non commerciaux (industrie, jeunes pousses (start-ups), PME, société civile et monde universitaire) ;
- Groupe scientifique d'experts indépendants destiné à soutenir les activités de contrôle de l'application de l'AI Act.
→ Autorités nationales compétentes :
- au moins une autorité notifiante chargée de mettre en place et d'accomplir les procédures nécessaires à l'évaluation, à la désignation et à la notification des organismes d'évaluation de la conformité et à leur contrôle ;
- au moins une autorité de surveillance du marché assurant la mission et prenant les mesures prévues par le Règlement (UE) 2019/1020 du 20 juin 2019 sur la surveillance du marché et la conformité des produits. Toute personne physique ou morale ayant des motifs de considérer qu'il y a eu violation des dispositions de l'AI Act peut déposer des réclamations auprès de l'autorité de surveillance du marché concernée.
Sanctions (Chapitre XII AI Act)
Commission
→ Amendes (effectives, proportionnées et dissuasives) applicables aux fournisseurs de modèles d'IA à usage général : la Commission peut infliger des amendes n'excédant pas 3 % de leur chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, ou 15 000 000 d'euros, le montant le plus élevé étant retenu, lorsqu'elle constate que le fournisseur, de manière délibérée ou par négligence:
- a enfreint les dispositions pertinentes de l'AI Act,
- n'a pas donné suite à une demande de document ou d'informations, ou a fourni des informations inexactes, incomplètes ou trompeuses,
- ne s'est pas conformé à une mesure demandée,
- n'a pas donné accès au modèle d'IA à usage général ou au modèle d'IA à usage général présentant un risque systémique en vue de procéder à une évaluation.
→ Les éléments pris en considération pour fixer le montant de l'amende ou de l'astreinte :
- la nature, la gravité et la durée de la violation, tout en tenant dûment compte des principes de proportionnalité et d'adéquation.
- les engagements pris, y compris dans les codes de bonne pratique pertinents.
La Cour de justice de l'Union européenne (CJUE) statue avec compétence de pleine juridiction sur les recours formés contre les décisions par lesquelles la Commission a fixé une amende. Elle peut supprimer, réduire ou majorer l'amende infligée.
Etats membres
→ Les États membres déterminent le régime des sanctions (effectives, proportionnées et dissuasives) et autres mesures d'exécution, qui peuvent également comprendre des avertissements et des mesures non monétaires, applicables aux violations de AI Act commises par des opérateurs, et prennent toute mesure nécessaire pour veiller à la mise en œuvre correcte et effective de ces sanctions (lignes directrices publiées par la Commission). Ces sanctions tiennent compte des intérêts des PME, y compris les jeunes pousses/startups, et de leur viabilité économique.
→ Le montant des amendes administratives plus ou moins lourd selon le type d'infraction :
- Non-respect de l'interdiction des pratiques en matière d'IA : amende administrative pouvant aller jusqu'à 35.000.000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 7 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
- Non-conformité avec d'autres dispositions (énumérées) de l'IA Act : amende administrative pouvant aller jusqu'à 15.000.000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 3 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
- Fourniture d'informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande : amende administrative pouvant aller jusqu'à 7.500.000 EUR ou, si l'auteur de l'infraction est une entreprise, jusqu'à 1 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu.
→ Les éléments pris en considération pour décider du montant de l'amende administrative :
- la nature, la gravité et la durée de la violation et de ses conséquences, compte tenu de la finalité du système d'IA concerné, ainsi que, le cas échéant, du nombre de personnes touchées et du niveau de dommage qu'elles ont subi ;
- la question de savoir si des amendes administratives ont déjà été imposées par d'autres autorités de surveillance du marché au même opérateur pour la même violation ;
- la question de savoir si des amendes administratives ont déjà été imposées par d'autres autorités au même opérateur pour des violations d'autres dispositions du droit de l'UE ou du droit national, lorsque ces violations résultent de la même activité ou omission constituant une violation pertinente au sens de l'AI Act ;
- la taille, le chiffre d'affaires annuel et la part de marché de l'opérateur qui commet la violation ;
- toute autre circonstance aggravante ou atténuante applicable aux circonstances de l'espèce, telle que les avantages financiers obtenus ou les pertes évitées, directement ou indirectement, du fait de la violation ;
- le degré de coopération établi avec les autorités nationales compétentes en vue de remédier à la violation et d'en atténuer les éventuels effets négatifs ;
- le degré de responsabilité de l'opérateur, compte tenu des mesures techniques et organisationnelles qu'il a mises en œuvre ;
- la manière dont les autorités nationales compétentes ont eu connaissance de la violation, notamment si, et dans quelle mesure, l'opérateur a notifié la violation ;
- le fait que la violation a été commise délibérément ou par négligence ;
- toute mesure prise par l'opérateur pour atténuer le préjudice subi par les personnes concernées.
* * *
Avec l’AI Act, l'UE entend ainsi se positionner comme l'acteur de référence d'une IA éthique et réglementée, mais aussi favoriser l'innovation et l’insertion sur le marché de systèmes d’IA développés par des PME et startups au sein de l’UE, via des « bacs à sable réglementaires » (regulatory sandboxes) de l'IA au niveau national créant un environnement contrôlé d'expérimentation et d'essai au stade du développement et de la précommercialisation.
* * *
Autres publications