L’Article 26 de la loi européenne sur l’intelligence artificielle

L’Article 26 de la loi européenne sur l’intelligence artificielle explique ce que doivent faire les personnes qui mettent en place des systèmes d’IA à haut risque. En voici l’essentiel, expliqué simplement :

  • Respect des instructions : il faut utiliser les systèmes d’IA conformément aux directives fournies avec.
  • Veiller par une personne humaine : il est important qu’une personne formée et compétente surveille toujours le fonctionnement du système.
  • Données d’entrée appropriées : si vous contrôlez les données qui entrent dans le système, assurez-vous qu’elles sont pertinentes et représentatives pour ce que le système doit faire.
  • Surveillance constante et signalement : vous devez suivre régulièrement le système. Si vous remarquez un problème ou un danger, vous devez en informer rapidement le fournisseur et les autorités, et arrêter l’utilisation si c’est nécessaire.
  • Garder des traces : il faut conserver les enregistrements du système pendant au moins six mois, ou plus si la loi l’exige.
  • Informer les employés : avant d’utiliser le système d’IA sur le lieu de travail, il faut prévenir les employés concernés et leurs représentants.
  • Enregistrement dans la base européenne : si vous êtes une organisation publique ou une institution de l’UE, vous devez enregistrer le système dans une base de données de l’UE. Sinon, ne pas l’utiliser et prévenir le fournisseur.
  • Vérifier la protection des données : utilisez les informations du fournisseur pour vérifier que le système respecte la vie privée et les lois sur la protection des données.
  • Informer les personnes concernées : ceux qui sont affectés par le système doivent être tenus au courant qu’ils sont soumis à une décision ou à une assistance par cette IA.
  • Collaborer avec les autorités : il faut coopérer avec les autorités compétentes si elles demandent des explications ou des contrôles.
  • Pour l’identification biométrique à distance : dans le cadre d’enquêtes policières, il faut généralement une autorisation judiciaire ou administrative. L’utilisation doit être limitée, nécessaire, et ne pas être la seule raison de prendre une décision qui affecte quelqu’un. Tout doit être enregistré, et des rapports doivent être envoyés chaque année aux autorités.

En résumé, ces règles visent à s’assurer que l’utilisation des systèmes d’IA à haut risque est sûre, responsable et conforme à la loi.

Systèmes d’IA à Haut Risque (Article 26 de la Loi Européenne sur l’IA)

Source: Extraits de « Article 26 : Obligations des déployeurs de systèmes d’IA à haut risque - Loi européenne sur l’intelligence artificielle » (Journal officiel du 13 juin 2024).

Thèmes Principaux et Idées Clés :

L’Article 26 de la Loi européenne sur l’intelligence artificielle établit un cadre rigoureux de responsabilités pour les entités (appelées « déployeurs ») qui utilisent des systèmes d’IA classés comme « à haut risque ». L’objectif principal est d’assurer une utilisation sûre, transparente, éthique et conforme de ces systèmes, en protégeant les droits fondamentaux et en garantissant une surveillance adéquate.

1. Responsabilité Générale et Utilisation Conforme :

Les déployeurs sont tenus d’utiliser les systèmes d’IA à haut risque strictement conformément aux instructions d’utilisation fournies par les fournisseurs. Cela implique l’adoption de « mesures techniques et organisationnelles appropriées » pour garantir cette conformité. Cette obligation est fondamentale pour s’assurer que le système est utilisé comme prévu et dans des conditions de sécurité optimales.

2. Surveillance Humaine Obligatoire :

Un aspect crucial de la réglementation est l’exigence de surveillance humaine. Les déployeurs doivent s’assurer que des « personnes physiques qui ont les compétences, la formation et l’autorité nécessaires, ainsi que le soutien nécessaire » sont désignées pour superviser le système. Cela souligne la volonté de la loi de maintenir un contrôle humain sur les décisions critiques prises par l’IA, en évitant une automatisation complète qui pourrait entraîner des conséquences imprévues ou des violations des droits.

3. Gestion des Données d’Entrée :

Pour les déployeurs qui « exercent un contrôle sur les données d’entrée », il est impératif de s’assurer que ces données sont « pertinentes et suffisamment représentatives au regard de la finalité du système d’IA à haut risque ». La qualité et la pertinence des données d’entrée sont directement liées à la performance et à la justesse des résultats du système d’IA, prévenant ainsi les biais ou les erreurs.

4. Suivi du Fonctionnement et Signalement des Risques :

Les déployeurs ont une obligation active de surveiller le fonctionnement du système d’IA à haut risque. Si des raisons de croire que l’utilisation du système, même conformément aux instructions, « peut avoir pour conséquence que ce système d’IA présente un risque » (au sens de l’Article 79, paragraphe 1), ils doivent en informer « sans tarder le fournisseur ou le distributeur et l’autorité de surveillance du marché concernée, et suspendre l’utilisation de ce système ». En cas d’incident grave, le signalement immédiat est également requis. Cette exigence crée un mécanisme de rétroaction essentiel pour identifier et corriger rapidement les problèmes potentiels.

5. Conservation des Journaux :

La traçabilité est un élément clé. Les déployeurs doivent conserver les journaux générés automatiquement par le système d’IA à haut risque pendant « au moins six mois », sauf si une autre législation (notamment celle relative à la protection des données) prévoit une durée différente. Cette documentation est vitale pour les enquêtes, l’audit et la vérification du fonctionnement du système.

6. Information des Travailleurs :

Pour les employeurs qui déploient un système d’IA à haut risque sur le lieu de travail, il est obligatoire d’informer les représentants des travailleurs et les travailleurs concernés de l’utilisation de ce système. Cette mesure vise à garantir la transparence et à permettre aux travailleurs de comprendre comment l’IA pourrait affecter leur travail.

7. Conformité à l’Enregistrement dans la Base de Données de l’UE :

Les autorités publiques et les institutions, organes ou organismes de l’Union, en tant que déployeurs, sont tenus de se conformer aux obligations d’enregistrement (Article 49). Si un système d’IA à haut risque n’est pas enregistré dans la base de données de l’Union (Article 71), ils « n’utilisent pas ce système et en informent le fournisseur ou le distributeur ». Cette mesure assure une traçabilité centrale et une supervision publique des systèmes à haut risque.

8. Évaluation d’Impact sur la Protection des Données (DPIA) :

Les déployeurs doivent utiliser les informations fournies par les fournisseurs (Article 13) pour se conformer à leurs obligations de réaliser une analyse d’impact relative à la protection des données (DPIA) en vertu du RGPD (Article 35 du Règlement (UE) 2016/679) ou d’autres législations pertinentes. Cela garantit que les implications des systèmes d’IA sur la vie privée sont dûment évaluées et gérées.

9. Exigences Spécifiques pour l’Identification Biométrique à Distance (Application de la Loi) :

Un point particulièrement détaillé concerne l’utilisation des systèmes d’IA à haut risque pour l’identification biométrique à distance par les services répressifs. Cette utilisation est soumise à des conditions très strictes :

  • Autorisation préalable (ex ante) ou très rapide (dans les 48 heures) par une autorité judiciaire ou administrative.
  • Utilisation limitée à ce qui est « strictement nécessaire à l’enquête sur une infraction pénale spécifique ».
  • Interdiction d’utilisation « de manière non ciblée, sans aucun lien avec une infraction pénale ».
  • Exigence que « aucune décision produisant un effet juridique défavorable sur une personne ne puisse être prise par les services répressifs sur la seule base des résultats de ces systèmes ».
  • Enregistrement de chaque utilisation dans le fichier de police pertinent et mise à disposition des autorités de surveillance.
  • Rapports annuels aux autorités de surveillance du marché et aux autorités nationales de protection des données sur l’utilisation de ces systèmes.
  • Possibilité pour les États membres d’introduire « des lois plus restrictives ». Ces stipulations visent à encadrer très fortement une technologie à fort potentiel d’atteinte aux droits fondamentaux, en privilégiant la proportionnalité et la supervision judiciaire.

10. Information des Personnes Physiques Affectées :

Les déployeurs de systèmes d’IA à haut risque qui « prennent des décisions ou aident à prendre des décisions relatives à des personnes physiques » doivent informer ces dernières qu’elles sont soumises à l’utilisation du système d’IA à haut risque. Cette obligation de transparence est cruciale pour permettre aux individus de comprendre quand et comment l’IA est utilisée dans des processus décisionnels les concernant.

11. Coopération avec les Autorités Compétentes :

Enfin, les déployeurs sont tenus de coopérer avec les autorités compétentes dans le cadre de toute mesure liée au système d’IA à haut risque et à la mise en œuvre du règlement.

Citation Clé Illustrative :

« Les déployeurs de systèmes d’IA à haut risque prennent les mesures techniques et organisationnelles appropriées pour s’assurer qu’elles utilisent ces systèmes conformément aux instructions d’utilisation qui les accompagnent… » (Article 26, paragraphe 1)

« Les déployeurs confient la surveillance humaine à des personnes physiques qui ont les compétences, la formation et l’autorité nécessaires, ainsi que le soutien nécessaire. » (Article 26, paragraphe 2)

« Lorsque les responsables du déploiement ont des raisons de considérer que l’utilisation du système d’IA à haut risque conformément aux instructions peut avoir pour conséquence que ce système d’IA présente un risque au sens de l’article 79, paragraphe 1, ils en informent sans tarder le fournisseur ou le distributeur et l’autorité de surveillance du marché concernée, et suspendent l’utilisation de ce système. » (Article 26, paragraphe 5)

Implications Générales :

L’Article 26 impose une responsabilité significative aux déployeurs de systèmes d’IA à haut risque. Il met l’accent sur la diligence raisonnable, la transparence, la surveillance humaine, la gestion des risques et la coopération avec les autorités. Pour les organisations, cela implique la nécessité de mettre en place des processus internes robustes, des formations adéquates pour le personnel, des mécanismes de suivi et de signalement, et une compréhension approfondie des cadres réglementaires en matière de protection des données. La loi vise clairement à garantir que l’innovation en IA ne se fasse pas au détriment des droits fondamentaux et de la sécurité des citoyens.