1. Accueil
  2. Publications et actualités

Tout savoir sur la réglementation de l'intelligence artificielle (IA)

Contactez-nous

Retour à la liste

Selon le Parlement européen, le terme « intelligence artificielle » fait référence à des programmes informatiques qui, intégrés à une machine, ont pour objet de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». La CNIL étend cette définition à « tout système mettant en œuvre des mécanismes proches de celui d’un raisonnement humain ».

Par rapport à l’IA cognitive, qui se limite à l’automatisation de tâches, l’IA générative est capable de générer des contenus. Son application s’étend désormais à de nombreux domaines tels que la santé, la justice, l’industrie ou les médias. Elle a été popularisée au sein de l’opinion publique par le lancement de ChatGPT en 2022, et plus récemment par la mise au jour de deepfakes (hypertrucages) en plusieurs occasions. 

Quels sont les défis posés par l’IA ? Quelle est la réglementation applicable à l’intelligence artificielle ? Que prévoit le règlement européen sur l’IA? Découvrez le décryptage de nos avocats en droit du numérique

Réglementation de l'intelligence artificielle : quels sont les défis posés par l'IA ?

L'intelligence artificielle, bien qu'elle ouvre de nouvelles perspectives dans de nombreux domaines, soulève également des questions cruciales en matière de réglementation. Son développement rapide et son intégration croissante dans nos sociétés posent des défis inédits, notamment en termes de transparence, de responsabilité et de protection des données. 

L'opacité de certains Systèmes d'Intelligence Artificielle (SIA) : un obstacle à la transparence

Pour se conformer aux exigences du RGPD, les traitements de données doivent être transparents. Cette obligation impose au concepteur d’un système d’intelligence artificielle : 

  • D’expliquer la méthode utilisée pour faire fonctionner l’algorithme et traiter les données 

  • D’informer sur la place laissée au contrôle humain, la robustesse du système ou encore son exactitude 

  • De faire en sorte que les résultats fournis par le SIA soient intelligibles

Le fonctionnement des systèmes d’IA en apprentissage automatique (machine learning), et encore plus en apprentissage profond (deep learning), est  opaque du fait de leur complexité. Ils ne répondent donc pas à l’obligation de transparence sur la méthode utilisée et sur le traitement des données. 

Plus largement, l’exigence de transparence imposée par le RGPD pose la question de la distorsion avec la réalité des informations véhiculées via les SIA (cas des deepfakes et des biais algorithmiques de l’IA). 

Les enjeux de la collecte de données massives pour l'IA 

Le concepteur d’un SIA doit limiter la collecte et le traitement des données personnelles à des fins strictement nécessaires et pertinentes à l’entraînement du SIA pour se conformer aux réglementations en vigueur. Cet entraînement doit être conçu sur la base des principes suivants :

  • Principe de finalité : la finalité du traitement par le SIA doit être définie dès la définition du projet pour qu’elle soit explicite pour les utilisateurs et légitime par rapport aux missions de l’entreprise utilisatrice

  • Principe de transparence : l’entreprise utilisatrice doit informer sur la finalité du traitement, sur les raisons de la collecte des données personnelles et sur leur utilisation

  • Principe de minimisation : le SIA doit uniquement collecter des données adéquates, pertinentes et limitées quant à l’objectif du traitement initial

  • Principe de limitation de la durée de conservation : le SIA doit conserver les données personnelles pour une durée limitée au regard de la finalité du traitement

Cependant, certains SIA nécessitent d’être entraînés à partir d’une quantité massive de données pour apprendre et améliorer leur performance. La collecte massive de données et leur réutilisation à des fins ultérieures et de manière illimitée constitue un enjeu majeur qui s’oppose aux principes précités et pose les difficultés suivantes :

  • Le volume de données collectées vis-à-vis du principe de minimisation

  • La réutilisation des données au regard du détournement de la finalité

  • Le caractère illimité de la durée de conservation des données collectées

La souveraineté numérique et compétitivité internationale

Le transfert de données (personnelles ou non) entre l'Union européenne et les États-Unis est un enjeu clé et sensible de l'intelligence artificielle qui soulève des questions relatives à la protection des données. Avec l’essor de l’IA, les institutions européennes doivent s’assurer que les données traitées par ces nouveaux outils sont bien protégées selon les normes européennes, même lorsqu’elles sont transférées hors de l’UE. 

De plus, l’IA renforce la dépendance de l’UE vis-à-vis des technologies étrangères, notamment américaines et chinoises. Cela met en lumière l’importance qu’il y a, à protéger la souveraineté technologique de l’UE. Cela passe par des investissements dans une innovation responsable, afin de renforcer la compétitivité de l’Europe à l'échelle internationale.

La cybersécurité et la protection des données des SIA

Comme tous les autres systèmes d’information, un SIA peut être touché par une cyberattaque. Cette attaque peut notamment perturber son fonctionnement ou permettre d’extraire certaines données.

Pour faire face aux risques de cybersécurité, le concepteur d’un SIA doit respecter les obligations de sécurité prévues par le RGPD :

  • Mesures techniques et organisationnelles de sécurisation des données
  • Tenue d’un registre des violations de données
  • Analyse d’impact sur la protection des données (AIPD)
  • Etc.

Ces obligations doivent être respectées lors des trois phases de création d’un SIA : 

  1. L’entraînement du SIA 
  2. L’intégration et le déploiement
  3. La mise sur le marché

Pour en savoir plus sur les obligations de sécurité prévues par le RGPD, consultez notre article dédié

La responsabilité civile en cas de préjudices causés par un SIA

La responsabilité civile, traditionnellement fondée sur la notion de faute, rencontre ses limites lorsqu'il s'agit d'évaluer la responsabilité d'un SIA. En effet, pour obtenir réparation en vertu du droit de la responsabilité civile, la victime doit établir : 

  • La preuve d’un acte ou d’une omission dommageable, par négligence ou de manière intentionnelle

  • La preuve d’un lien de causalité entre la faute et le dommage

Toutefois, lorsqu’un SIA est à l’origine du dommage, il peut devenir difficile voire impossible de démontrer le lien de causalité en raison de l’opacité et de la complexité de fonctionnement du système et de son degré d’autonomie dans la prise de décision. 

Quelle est la réglementation applicable en matière d'intelligence artificielle ? 

L'IA Act : un premier cadre juridique européen en matière d'IA

Le règlement européen sur l’intelligence artificielle (appelé l’IA Act), adopté le 21 mai 2024, établit un premier cadre juridique mondial en matière d’IA. Il vise à :

  • Renforcer la confiance des utilisateurs dans l’intelligence artificielle 

  • Veiller au déploiement de SIA respectueux de la législation en vigueur et des droits fondamentaux 

  • Garantir l’innovation responsable

L’objectif de l’IA Act est donc d’encadrer le développement, la mise sur le marché et l’utilisation des SIA susceptibles de présenter des risques pour la santé, la sécurité ou les droits fondamentaux. Ce règlement entre progressivement en application à compter du 1er août 2024.

Plusieurs niveaux de risque

L’IA Act propose une approche fondée sur les risques en classant les systèmes d’IA en quatre niveaux. Chaque niveau de risque détermine un niveau de mise en conformité spécifique avec des obligations à respecter :

  • Risque inacceptable : Les systèmes et modèles d’IA à risque inacceptable sont tout simplement interdits (par exemple : police prédictive). Ils ne peuvent donc pas être commercialisés au sein de l’Union européenne.
  • Haut risque : L’IA Act définit les systèmes d'IA comme étant à haut risque lorsqu’ils peuvent porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux (systèmes biométriques, systèmes utilisés dans le recrutement, etc.). Le développement de ces systèmes d’IA et leur mise sur le marché sont soumis à des exigences renforcées (évaluations de conformité, marquage CE, documentation technique, mécanismes de gestion des risques).
  • Risque limité : Pour commercialiser un système d’intelligence artificielle à faible risque, il vous suffit de respecter l’obligation d’informer les utilisateurs que le contenu a été généré par une IA. 
  • Risque minimal : pour tous les autres systèmes d'IA, l’IA Act ne prévoit pas d’obligation spécifique.

💡 Bon à savoir : Le 17 mai 2024, le Conseil de l’Europe a adopté le premier traité international juridiquement contraignant dédié à l’IA. Il impose notamment aux Etats membres de l’UE de mettre en œuvre :

  • Des mesures d’anticipation et d’atténuation des risques à la charge des responsables des SIA 

  • Des voies de recours pour les victimes de violation des droits de l’Homme 

  • La création d’un organisme indépendant chargé de veiller à l’application des règles prévues par le traité

Le rôle de la CNIL dans la régulation de l'IA

La Commission Nationale de l'Informatique et des Libertés (CNIL) joue un rôle important en matière d’IA. Depuis plus d’un an, la CNIL a mis en place un plan d’action visant à promouvoir une IA respectueuse des droits des individus en matière de données personnelles. Ce plan a été lancé pour accompagner les entreprises innovantes dans leur conformité au RGPD.  

Le 8 avril 2024, la CNIL a notamment publié des recommandations concernant l’application du RGPD au développement des SIA. Ces recommandations portent sur les sujets suivants : 

  • Détermination du régime juridique applicable 
  • Détermination d’une finalité de traitement spécifique 
  • Qualification juridique des acteurs 
  • Définition d’une base légale du traitement 
  • Réalisation d’essais et de vérifications dans le cadre d’une réutilisation des données personnelles
  • Mise en œuvre d’une analyse d’impact en cas de risque pour les personnes concernées 
  • Prise en compte de la protection des données dès la conception du système (privacy by default), puis lors de la collecte et de la gestion des données (privacy by design)

A ce titre, des fiches pratiques ont été formalisées et rendues publiques par la CNIL. Certaines fiches sont encore en cours de consultation publique.

Dernièrement, la CNIL a publié une FAQ dédiée à l’utilisation des systèmes d’IA générative pour répondre aux questions des utilisateurs. 

La stratégie de la France

A noter qu’en France, la stratégie nationale pour l’intelligence artificielle s’inscrit dans le cadre du plan « France 2030 : une nouvelle ambition en matière d’intelligence artificielle ». L'objectif est de positionner la France parmi les leaders européens et mondiaux dans le domaine de l'IA.

 

👉 L'intelligence artificielle soulève de nombreuses questions juridiques et éthiques. Le règlement européen sur l'IA constitue une avancée majeure en matière de régulation, mais il ne suffit pas. Les développeurs d’IA doivent adopter une approche proactive, en intégrant dès la conception des SIA des mesures de sécurité et de transparence. Il est aussi essentiel que les acteurs de la chaîne de valeur des systèmes d’intelligence artificielle se conforment à un cadre juridique en constante évolution. C’est notamment le cas des entreprises qui intègrent l’IA dans leur processus métier. 

 

Texte

Nos avocats en droit du numérique vous accompagnent dans vos démarches

Découvrez notre accompagnement

Prolongez l'expérience en découvrant…