Legaltechs utilisant l’IA : ce cadre réglementaire européen pourrait s’appliquer prochainement

Legaltechs utilisant l’IA : ce cadre réglementaire européen pourrait s’appliquer prochainement

intelligence artificielle livre blanc commission européenne legaltech

Le 19 février 2020, la Commission Européenne a publié un livre blanc intitulé : “intelligence artificielle : une approche européenne d’excellence et de confiance”. Ce livre blanc (27 pages, en anglais) vise à dégager des axes pour une politique européenne commune en matière d’usage de l’intelligence artificielle (abrégée ci-après « IA »), afin d’améliorer la vie des citoyens européens tout en respectant leurs droits

Nous n’aborderons pas ici la partie du livre blanc consacrée à la promotion des technologies d’intelligence artificielle, notamment au niveau des PME, afin de garantir la compétitivité de l’Union Européenne en matière de technologies. 

Nous nous focaliserons sur la seconde partie du livre blanc, qui met en exergue la nécessité d’encadrer l’intelligence artificielle pour favoriser la confiance et l’adoption de cette technologie par le plus grand nombre

La question du cadre réglementaire de technologies innovantes et en constante évolution est délicate, car elle suppose de créer des règles assez efficaces pour limiter la réalisation des risques les plus graves, mais assez souples pour ne pas bloquer les entreprises innovantes et leur offrir la sécurité juridique nécessaire pour exercer leurs activités. 

 

Le livre blanc souligne que la législation actuellement applicable en matière de protection des données, protection des consommateurs, responsabilité et sécurité des produits mis sur le marché européens sont applicables à tous les produits, qu’ils soient basés sur l’IA ou enrichis par celle-ci ou non. Cependant, la mise en oeuvre de ces réglementations protectrices et le contrôle de cette mise en oeuvre se révèlent particulièrement ardues en matière d’intelligence artificielle, en raison de l’opacité de celle-ci. Dès lors, même si le cadre juridique existant était suffisant, comment assurer son application à l’intelligence artificielle ? Faut-il faire évoluer ces règles? Est-il nécessaire d’en créer de nouvelles ? 

 

La commission européenne s’attache à définir les risques encourus en cas d’usage de l’intelligence artificielle (I), avant de proposer des mesures réglementaires concrètes pour les minimiser (II)

 

I – Les risques liés à l’usage de l’intelligence artificielle

1. Risques liés à la protection des droits fondamentaux

L’usage de l’IA emporte un risque pour les droits fondamentaux qui constituent le socle de valeurs de l’Union Européenne :  la liberté d’expression, la liberté de réunion, la dignité humaine, le principe de non-discrimination, de respect des données personnelles et de la vie privée, l’accès au juge et le procès équitable ou la protection des consommateurs. 

Ces risques naissent du manque de surveillance humaine de l’intelligence artificielle, ainsi que d’éventuels biais non corrigés. L’opacité de la prise de décision basée sur un algorithme réduit la possibilité de contester de celle-ci, sans éléments concrets sur lesquels se baser. La modération de contenu selon les préférences des utilisateurs implique une surveillance de masse, et peut porter atteinte à la liberté d’expression ou à la liberté politique. 

Certes, les biais humains existent aussi, mais leur impact est beaucoup plus limité que celui qu’aurait une pris de décision massive basée sur une intelligence artificielle comportant un biais. Ce biais peut très bien ne pas exister lors de la conception de l’IA mais se développer lorsque celle-ci « apprend » seule (machine learning). 

2. Risques liés à la responsabilité 

Le livre blanc développe un raisonnement sur la base de l’exemple connu de la voiture autonome, qui ajuste son comportement en fonction des objets et personnes qu’elle reconnait sur sa trajectoire ainsi que des conditions extérieures telles que la météo. Qui est responsable en cas d’accident ? Le concepteur du programme, le fabricant des composants de la voiture, son acquéreur ?  

Ces questions sont source d’insécurité juridique pour les entreprises innovantes. Pour les autorités de contrôle compétentes, la mission n’est guère plus aisée. Comment retracer les causes d’un incident afin de trouver le responsable et d’accorder une réparation à la victime

 

La commission a identifié des points de la législation actuelle pouvant être améliorés et a formulé des propositions concrètes en ce sens. 

II- Un cadre réglementaire pour minimiser les risques liés à l’intelligence artificielle

 

A- Les axes d’amélioration du cadre réglementaire actuel

Selon le livre blanc de la Commission Européenne, divers points devraient être retravaillés afin que les règles actuelles atteignent leur objectif protecteur lorsqu’elles sont appliquées à l’IA.

  1. Le droit existant n’est pas assez clair pour que son applicabilité soit garantie, par exemple sur les questions de responsabilité
  2. La réglementation sur la sécurité des produits introduits sur le marché européen ne s’applique pas aux services, donc a fortiori pas aux services dont le fonctionnement est basé sur l’IA. 
  3. Après les contrôles intervenus avant la mise sur le marché, l’IA peut être introduite à un produit déclaré conforme et créer un nouveau risque
  4. Le responsable doit être déterminé tout au long de la chaîne de production, à chaque étape (Celui qui programme l’IA, celui qui la met en oeuvre ? Celui qui intègre une IA à un produit classique présent sur le marché ?) 
  5. De nouveaux chefs de préjudices typiques à l’IA doivent être pris en compte (conséquences d’une perte de connectivité, sécurité corporelle des applications domestiques dotées d’IA…) et ce lors de la mise sur le marché du produit mais aussi au cours de son utilisation, en particulier si l’IA fait l’objet de mises à jour régulières en cours d’utilisation du produit. 

 

B – Les propositions concrètes de cadre réglementaire

1. Champ d’application

  • Définition de l’IA

Tout d’abord, il convient de de définir l’IA, le plus simple pour ce faire étant d’envisager ses deux composantes : les données et l’algorithme

Puis la commission propose d’adopter une approche par le risque. Des critères objectifs sont définis pour déterminer le niveau de risque d’un produit ou d’un service incluant de l’intelligence artificielle. Il s’agirait :

  • Du secteur dans lequel l’IA est employée. Le secteur public, tel que les demandes d’asile, la gestion des flux migratoires ou encore la justice seraient considérés comme des secteurs à haut risque
  • De l’usage fait de l’IA dans ce secteur, c’est à dire de son impact sur les citoyens. Un service basé sur l’IA sera considéré à haut risque du point de vue du critère de l’usage s’il a par exemple un effet juridique sur le citoyen. Une IA qui organise un planning de travail interne d’une entreprise ou la prise de rendez-vous ne présentera pas le même niveau de risque qu’une IA qui décide d’attribuer ou non des prestation sociales. 

Il faudra qu’une IA remplisse ces deux critères cumulatifs pour être considérée comme ayant un niveau de risque élevé. Elle sera alors soumise à la législation déjà existante mais également à un corps de règles nouvelles et spécifiques

Certains intérêts protégés seront enfin considérés comme si fondamentaux que toute utilisation d’IA dans ce domaine sera soumise à la législation spécifique. Il s’agit par exemple des techniques de biométrie ou d’attribution d’emplois. 

  • Personnes concernées

Il conviendra de définir qui, du développeur, de l’usager ou de l’importateur sera tenu au respect des règles européennes spécifiquement applicables aux IA à haut risque. 

Attention notamment en matière d’accès à la justice : il sera crucial de pouvoir aisément déterminer qui poursuivre pour obtenir réparation d’un préjudice causé par une intelligence artificielle dans le cadre d’une action en responsabilité.  

  • Produits concernés

La législation des IA identifiées comme présentant un risque élevé devra être applicable à tout produit ou service introduit sur le sol de l’Union Européenne ou mis à disposition d’usagers de l’Union Européenne, sans distinction selon le lieu d’établissement de l’entreprise ou de l’entité ayant conçu et programmé cette intelligence artificielle. 

2. La réglementation spécifique des IA à risque élevé

Les règles doivent être ciblées et proportionnées. Les propositions concernent donc des thématiques précises. Cette réglementation serait obligatoire pour les IA qualifiées comme présentant un risque élevé. 

  • Les données utilisées pour l’apprentissage de l’intelligence artificielle

Le set de données doit être assez large pour couvrir toutes les situation envisageables. Il doit être respectueux de la diversité et de la parité. Une législation spécifique concernant le consentement pour la collecte et l’usage des données fournies à l’IA est mise en place

  • La traçabilité des décisions prises par l’IA

Il faut pouvoir reconstituer les décisions prises par l’IA, de l’algorithme décisionnel ainsi que des données utilisées pour le faire évoluer. Ces éléments doivent faire l’objet d’une documentation précise tenue à la disposition des autorités de contrôle. La confidentialité de certaines données doit être protégée par des mesures concrètes. 

  • Fourniture d’information en amont

Une information claire, précise et circonstanciée doit être fournie sur les capacités et les limites du système , le but de son utilisation, le niveau d’exactitude des décisions prises… par ailleurs l’usager doit toujours avoir pleinement conscience d’interagir avec une intelligence artificielle lorsque tel est le cas. 

  • Fiabilité, robustesse

Les systèmes basés sur l’IA doivent être robustes et fiables pour être dignes de confiance. Il convient de réaliser des tests, de s’assurer de la reproductibilité des résultats obtenus, de corriger les erreurs et de prévoir des modes opératoires en cas de faille de sécurité.

  • Surveillance humaine

Plusieurs mécanismes sont envisageables. On peut exiger la revue et la validation humaine d’une décision grave avant sa publication, par exemple une décision de refus de protection sociale. D’autres décisions moins cruciales prises par une IA pourraient être communiquées directement, assorties d’une possibilité de recours devant un humain. Il faudrait également prévoir la possibilité pour l’humain de stopper un processus décisionnel basé sur l’intelligence artificielle s’il s’avère en cours d’exécution que celui-ci n’est pas fiable. 

3. Mise en oeuvre et contrôle de conformité

Le cadre réglementaire applicable aux IA à risque élevé donnerait lieu à un audit préalable de conformité obligatoire. Pour ne pas pénaliser les PME, ces dernières pourraient obtenir des aides auprès de « Digital Hubs » en partie financés par l’Union Européenne. L’audit de conformité concernerait la création de nouvelles IA comme l’intégration de l’IA à un produit ou un service existant. Un suivi et des contrôles réguliers devraient également avoir lieu. Le rapport décrit une organisation basée sur une gouvernance européenne relayée par des structures locales et des pouvoirs de contrôle et de répression confiés à des instances locales chargées de la mise en place du cadre réglementaire européen. 

Enfin, pour les IA à risque plus faible, un système de certification sur la base du volontariat donnant lieu à l’octroi d’un label pourrait être mise en place. Ce label contribuerait à augmenter la confiance dans l’IA, qui démontrerait ainsi qu’elle va au delà des obligations légales de sécurité et de respect des données personnelles et des droits fondamentaux. Une fois que le développeur et ou l’usager se seraient décidés pour le label, le référentiel sur lequel serait basé son attribution deviendrait obligatoire pour eux.

 

Legaltechs, vous utilisez l’intelligence artificielle dans le cadre de la conception de vos solutions ? Cette réglementation européenne qui pourrait bientôt vous être applicable. Vous avez des propositions pour la faire évoluer ? Participez à la consultation organisée par la Commission Européenne, ouverte jusqu’au 19 mai 2020 !

Donnez votre avis éclairé par la pratique pour faire évoluer le cadre réglementaire qui vous sera applicable dans une direction qui favorise votre développement et l’adoption de vos solutions par votre cœur de cible. 

Laisser un commentaire

Votre adresse de messagerie ne sera pas publiée. Les champs obligatoires sont indiqués avec *