[Brèves] Intelligence artificielle : publication de l'avis du CEPD et du Contrôleur européen de la protection des données sur le futur Règlement européen

►Le 18 juin 2021, la CNIL, ses homologues européens et le Contrôleur européen de la protection des données ont adopté un avis sur la proposition de Règlement de la Commission européenne sur l'intelligence artificielle (IA).

Même si la proposition de Règlement est susceptible d’évoluer encore fortement, au gré des amendements du texte effectués par le Parlement ou le Conseil européen, les autorités de protection européennes ont jugé indispensable de prendre position à travers la publication d’un avis. À noter que cet avis est consultatif et ne constitue pas une déclinaison du cadre juridique en vigueur.

La nécessité de tracer des lignes rouges aux futurs usages de l’IA. Les autorités de protection des données ont salué la volonté de la Commission européenne de préciser les usages interdits afin de construire une IA éthique et de confiance au sein de l’Union européenne (UE). Dans leur avis du 18 juin, le Comité européen de la protection des données (CEPD) et le Contrôleur européen de la protection des données indiquent toutefois la nécessité d’élargir le champ des systèmes d’IA interdits et de clarifier leur définition, les garde-fous envisagés dans la proposition de Règlement n’étant pas considérés satisfaisants.

Ainsi, compte tenu des risques extrêmement élevés posés par l'identification biométrique à distance des personnes dans les espaces publics (reconnaissance des visages, de la démarche, des empreintes digitales, de la voix, etc.), les autorités de protection des données européennes proposent que soient retirées les exceptions à l’interdiction générale. L’avis recommande également une interdiction des systèmes biométriques utilisés aux fins de classer les individus dans des groupes basés sur l'ethnicité supposée, le sexe, l'orientation politique ou sexuelle, ou d'autres motifs pour lesquels la discrimination est interdite en vertu de l'article 21 de la Charte des droits fondamentaux de l’UE (N° Lexbase : L8117ANX). L'utilisation de systèmes d'IA pour déduire les émotions d'une personne physique est par ailleurs considérée comme hautement indésirable et devrait également être soumise à une interdiction de principe (sauf cas très spécifiques, tels que certains objectifs de santé). Enfin, les systèmes utilisés pour la notation sociale (« social scoring ») doivent être systématiquement interdits.

Cet avis doit être mis en perspective avec plusieurs prises de position publiques de la CNIL appelant à la tenue d’un débat démocratique sur les nouveaux usages vidéo en septembre 2018, concernant la reconnaissance faciale en novembre 2019 et appelant à la vigilance sur l’utilisation des caméras dites « intelligentes » et des caméras thermiques en juin 2020 dans le cadre de l’épidémie de Covid-19.

La CNIL considère qu’une clarification du cadre, précisant ce qui est permis et ce qui est interdit, est au bénéfice des citoyens mais également des professionnels. Elle permettrait à ces derniers de savoir si les produits qu’ils pourraient proposer sont autorisés ou non, sans divergences d’interprétation selon les secteurs ou les États membres.

Le défi de l’articulation avec le « RGPD ». Les autorités de protection des données ont apprécié l'approche retenue par la Commission européenne basée sur les risques. Celle-ci doit permettre de ne focaliser l’effort de régulation que sur un volume limité de systèmes d’IA dit « à haut risque » pour les droits fondamentaux.

La CNIL et ses homologues ont par ailleurs relevé que ces systèmes seraient dans une écrasante majorité des cas appelés à exploiter des données personnelles, impliquant donc un enjeu majeur d’articulation du Règlement sur l'IA avec le « RGPD » (Règlement n° 2016/679 du 27 avril 2016 N° Lexbase : L0189K8I) et la Directive « Police-Justice » (Directive n° 2016/680 du 27 avril 2016 N° Lexbase : L9729K7H). Les autorités de protection des données européennes ont ainsi indiqué dans leur avis que la classification d'un système d'IA comme « à haut risque » ne signifiait pas que son utilisation était autorisée et pouvait être déployée dans tous les cas. En effet, le respect des obligations légales découlant de la législation de l'Union y compris en matière de protection des données personnelles doit être une condition préalable à l'entrée sur le marché européen en tant que produit portant le marquage CE.

L’importance d’une gouvernance harmonisée. Dans leur avis, la CNIL et ses homologues demandent que la gouvernance du « Comité européen de l'intelligence artificielle » (CEIA) soit précisée, à la fois pour garantir son indépendance mais également pour renforcer ses pouvoirs et lui permettre ainsi d’exercer un véritable contrôle, notamment lors de la mise en œuvre de systèmes d’IA à l’échelle européenne.

Par ailleurs, comme ses homologues, la CNIL considère que les autorités de protection des données devraient être désignées comme autorités de contrôle national de l’IA. Elle estime notamment qu’une telle désignation faciliterait la bonne application du futur Règlement sur l’IA et la constitution d’un écosystème européen de l’IA favorable à l’innovation :

- en application du « RGPD » et de la Directive « Police-Justice », la CNIL régule déjà des systèmes d’IA impliquant des données personnelles, afin de garantir la protection des droits fondamentaux et plus particulièrement le droit à la protection des données. Dans la pratique, la CNIL est donc régulièrement amenée à échanger avec les fournisseurs de solutions d’IA et à évaluer des systèmes de ce type ;

- la mise en œuvre d’une proposition de Règlement de l’ambition de celle de la Commission européenne nécessite d’avoir un régulateur compétent et expérimenté ;

- l'approche réglementaire retenue devrait veiller à offrir un cadre cohérent et un interlocuteur clairement identifié pour les professionnels, minimisant ainsi l’insécurité juridique et la complexité administrative. Pour cela, il convient d’éviter de multiplier les autorités de contrôle ou de coordonner des mises en œuvre différentes dans chaque État membre et au contraire viser à garantir une interprétation cohérente des dispositions relatives aux algorithmes dans l'ensemble de l'UE ;

- la proposition de Règlement de la Commission européenne investit le Contrôleur européen de la protection des données du pouvoir d’autorité compétente pour ce qui relève des systèmes d’IA mis en œuvre par les institutions et agences européennes. Un tel choix indique clairement l’intérêt de se reposer sur un régulateur existant pour la mise en œuvre du Règlement et en particulier sur les autorités de protection des données étant donné le fort recouvrement avec les prérogatives de celles-ci. 

Un accompagnement de l’innovation indispensable. En dehors des cas interdits, la proposition de Règlement doit permettre de soutenir l’innovation et la conception de systèmes d’IA conformes aux valeurs et aux principes européens. L’avis des autorités de protection des données relève qu’il appartiendra au régulateur de savoir combiner les exigences de protection et une compréhension avancée des enjeux technologiques des fournisseurs de solution afin de proposer une vision équilibrée de la régulation.

La proposition de Règlement prévoit que ces mesures de soutien – et en particulier les bacs à sable réglementaires – soient mises en œuvre par les autorités nationales compétentes. En France, la CNIL a déjà pour mission d’accompagner les professionnels, et notamment les acteurs les plus innovants, vers la conformité. 

© Reproduction interdite, sauf autorisation écrite préalable