UNE CONDITION SINE QUA NON POUR ENCADRER LES SYSTÈMES D'INTELLIGENCE ARTIFICIELLE SELON LA PROPOSITION DE RÈGLEMENT SUR L'INTELLIGENCE ...

La page est créée Angelique Monnier

Science

Français

Like
Partager
Intégrer
Plein écran
Diapositives
Télécharger HTML
Télécharger PDF
Abus

←

CONTINUER À LIRE

→

Transcription du contenu de la page

Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous

JURIDICISER LA
GOUVERNANCE
DES DONNÉES :

UNE CONDITION SINE QUA NON POUR
ENCADRER LES SYSTÈMES
D’INTELLIGENCE ARTIFICIELLE SELON LA
PROPOSITION DE RÈGLEMENT SUR
L’INTELLIGENCE ARTIFICIELLE DE LA
COMMISSION EUROPÉENNE

Anne-Sophie Hulin
Postdoctorante en droit, ANITI (France)
Chercheuse associée Chaire en IA responsable à l’échelle globale
(uOttawa)

Introduction

Le 21 avril 2021, la Commission européenne présentait sa tant attendue
proposition de règlement en matière d'intelligence artificielle (Artificial
Intelligence Act, AIA). En offrant un cadre règlementaire dont la portée se veut
à la fois horizontale[1] et neutre[2], la Commission européenne fait une
nouvelle fois preuve d’innovation normative pour réaliser les ambitions de sa
stratégie numérique au sein de laquelle l’intelligence artificielle se déploie
dans un contexte de confiance. L’objectif du texte est très clair : concilier les
avantages et risques de l’IA afin de soutenir le fonctionnement du marché
unique (notamment en termes d’investissement et d’innovation en
intelligence artificielle) et assurer à l’Union une position de leader mondial
dans le développement d'une IA sûre, fiable et juridiquement encadrée.

Pour ce faire, la Commission européenne propose une règlementation
articulée autour des risques que présentent l’IA, ces derniers étant
appréhendés par degré d’intensité. De cette approche qui se veut à la fois
souple et proportionnée aux enjeux associés au développement de l’IA, les
systèmes d’intelligence artificielle (SIA) sont ainsi répartis selon trois niveaux
de risques : inacceptables, élevés ou limités. Pour chacun de ces niveaux, la
proposition de règlement définit les conditions auxquelles les SIA doivent se
soumettre pour intégrer et demeurer sur le marché unique.

Focus sur les SIA à risques élevés

La réglementation des SIA à risques élevés attire particulièrement notre
attention. Sont ainsi visés les SIA qui encourent un impact négatif significatif
sur la santé, la sécurité et les droits fondamentaux des personnes dans l'Union.
Certes, ces SIA occupent une place prédominante dans ce corpus normatif du
fait que leur champ définitionnel est vaste[3]. Surtout, en présentant un niveau
de risque intermédiaire, ces SIA se distinguent par le contenu des dispositions
et le degré d’encadrement auxquels ils sont soumis. Contrairement aux SIA
inacceptables, les SIA à risques élevés ne sont pas bannis du marché[4]. Leur
intégration est soumise à une série d’exigences obligatoires.

[1] Sur l’approche horizontale et non sectorielle, celle-ci est mise à plusieurs reprises dans
l’exposé des motifs du texte. Notons aussi que cette réglementation s’applique tant aux
organisations publiques que privées (AIA, art 3, sub verbo « provider »).
[2] Le texte se veut technologiquement neutre au regard des définitions fournies à l’article 3.1
AIA.
[3] AIA, art 6 et 7.
[4] AIA, art 5. Le texte prévoit des tempéraments à la prohibition de mise en marché des SIA à
risque inacceptable (voir AIA, art 5.2 et s).

Celles-ci permettent ainsi d’en assurer un rigoureux contrôle ex ante dans le
but de garantir qu’en dépit du risque élevé qui les caractérise[5], ces SIA ne
contreviennent pas aux intérêts publics reconnus et protégés par le droit de
l’Union. C’est ainsi que les SIA à risque élevé ne peuvent opérer sur le marché
unique[6] faute de disposer :

   « de systèmes adéquats d’évaluation et d’atténuation des risques (art 9);
   D’une qualité élevée des ensembles de données alimentant le système afin
   de réduire au minimum les risques et les résultats ayant un effet
   discriminatoire (art 10);
   D’une documentation détaillée fournissant toutes les informations
   nécessaires sur le système et sur sa finalité pour permettre aux autorités
   d’évaluer sa conformité (art 11);
   D’un enregistrement des activités afin de garantir la traçabilité des
   résultats (art 12);
   D’informations claires et adéquates à l’intention de l’utilisateur (art 13);
   d’un contrôle humain approprié pour réduire au minimum les risques (art
   14);
   d’un niveau élevé de robustesse, de sécurité et d’exactitude (art 15)[7]».

Là encore, un point particulier attire notre attention. Aussi évidente sinon
anodine qu’elle puisse paraître, la seconde obligation visée à l’article 10
relative à la qualité des données constitue la pierre angulaire du contrôle ex
ante des SIA à risque élevé. Car, si seul l’article 10 renvoie expressément à la
notion de gouvernance des données, les obligations qui suivent sont le
prolongement de l’exigence de mettre en œuvre des pratiques adaptées de
gouvernance des données.

La gouvernance des données : clé de voûte de l’encadrement des SIA à
risques élevés

Notion fuyante, il semble communément admis que la gouvernance de données
consiste en la gestion globale de la disponibilité, de l’exploitabilité, de l’intégrité
et de la sécurité des données utilisées par une organisation. Entendues comme
l’ensemble des pratiques liées aux données par une organisation (ex : stratégie
relative aux données, qualité des données et gestion des données), la
gouvernance des données s’est progressivement constituée comme un
incontournable organisationnel du fait du passage à l’ère des données massives.

[5] AIA, art 2.1(c).
[6] AIA, art 16, 33 et 48.
[6] Céline Castets-Renard, « Nouvelles règles et actions pour l’excellence et la confiance en l’IA
», en ligne : https://chaireia.openum.ca/publications/la-commission-europeenne-propose-de-
nouvelles-regles-et-actions-pour-lexcellence-et-la-confiance-dans-lintelligence-artificielle/

Outil convoité de valorisation des données, elle permet en effet de veiller
rigoureusement à la qualité, la conformité et à la sécurité des données. La
gouvernance des données est donc un important vecteur pour améliorer le
niveau de confiance dans l’information et, dans le contexte de la proposition
de règlement de la Commission européenne, un support nécessaire pour
mettre en œuvre les exigences en termes de haute qualité des données. En
effet, le considérant 44 de la proposition insiste sur la nécessité de disposer de
données de haute qualité dans le cas précis des SIA à risques élevés afin de
garantir l’acceptabilité et la légalité de ces derniers. Si cette exigence s’avère
fondamentale pour la performance de ces SIA[8], elle permet également
d’éviter que ceux reposant sur des modèles d’entrainement ne deviennent
sources de discriminations, et ainsi contraires aux objectifs de la
réglementation de l’Union européenne[9]. Ici, il convient de souligner le lien
avec le Data Governance Act du 25 novembre 2020 (DGA), texte fondateur de
la stratégie des données de l’Union européenne et sur lequel la présente
proposition s’appuie. Car pour que les SIA à risques élevés puissent reposer sur
des jeux de données hautement qualitatif, encore faut-il que les fournisseurs
puissent accéder à des jeux de données suffisants ou appropriés à la finalité
visée du SIA[10], et notamment répondre aux exigences d’exactitude et de
robustesse[11]. Ainsi, la structuration du marché unique des données autour
d’intermédiaires de service de partage facilite la mise en œuvre des exigences
imposées au déploiement des SIA à risques élevés, participe à contenir les
risques qui leur sont inhérents. Ainsi, le DGA et la proposition de règlement
s’imbriquent étroitement puisque « la facilitation du partage des données
entre les entreprises et avec les pouvoirs publics dans l'intérêt public
contribuera à fournir un accès fiable, responsable et non discriminatoire à des
données de haute qualité pour l'entraînement, la validation et le test des
systèmes d'IA[12] ». Le DGA est donc un des leviers nécessaires pour le
développement d’une IA de confiance.

Un changement de paradigme pour la gouvernance des données

Fort de ces éléments, il appert que la gouvernance des données constitue un
outil fondamental pour répondre aux exigences de la présente proposition et
que, de fait, celle-ci est en proie de changer la nature de cette pratique
organisationnellement valorisée; passant du statut de bonne pratique à celui
d’obligation juridique à la charge des fournisseurs qui doivent en rendre
compte. L’importance de ce changement de nature ne saurait être sous-
estimée au regard de deux séries de considérations.

[8] AIA, art 15.
[9] Communication de la Commission européenne, A European Data Strategy, 19 February
2020, COM(2020) 66 final https://ec.europa.eu/info/sites/default/files/communication-
european-strategy-data-19feb2020_en.pdf.
[10] AIA, considérant 45.
[11] AIA, art 15.
[12] Traduction suggérée du considérant 45, supra note 10.

D’une part, comme toute obligation juridique, la proposition prend soin de
définir l’objet « pratiques de gouvernance des données appropriées » (art 10.2)
et ses spécificités dans le cas précis de données d’entrainement, de validation
et d’essai (art 10.3 à 10.5). Par exemple, il est précisé que ces dernières doivent
tenir compte, dans la mesure où cela est nécessaire selon l'objectif visé, des
caractéristiques ou des éléments propres au contexte géographique,
comportemental ou fonctionnel spécifique dans lequel le système d'IA est
destiné à être utilisé[13]. Notons d’ailleurs que le respect de ces exigences
posées permet au fournisseur de jouir d’une présomption de conformité[14],
favorisant la procédure de marquage CE aux fins de mise en marché[15].

On notera que l’obligation de mettre en œuvre des procédures adaptées de
gouvernance des données n’est pas réduite aux SIA qui reposent sur des
techniques impliquant l'apprentissage de modèles[16]. Si ces derniers sont
soumis à des exigences particulières, il n’en demeure pas moins que les autres
SIA à risques élevés doivent également répondre de procédures adaptées de
gouvernance des données ce qui octroie à l’obligation de l’article 10 un vaste
champ d’application. À cela, soulignons que le champ d’application de cette
obligation est d’autant plus large qu’elle comporte, comme l’ensemble des
dispositions contenues dans la proposition, d’une portée extraterritoriale (art
2). Notamment, les fournisseurs et utilisateurs des systèmes d’IA qui sont
localisés dans un pays hors de l’Union européenne, mais dont le résultat
produit par le système est utilisé dans l'Union sont soumis aux mêmes
obligations que les fournisseurs mettant sur le marché européen les systèmes
d’IA (ou mise en service) ou que les utilisateurs localisés dans l’Union[17]. Ainsi,
l’obligation de mettre en œuvre des procédures adaptées de gouvernance des
données jouit d’un vaste champ d’application tant au plan matériel que
territorial et dont les contours sont rigoureusement encadrés.

D’autre part, en devenant une obligation juridique, la gouvernance des
données s’inscrit dans un cadre juridiquement contraignant. Celui-ci se
matérialise à deux niveaux. En premier lieu, sans une gouvernance des
données bien établie, les fournisseurs de SIA ne sauraient s’autodéclarer
conforme aux obligations du Chapitre II de la proposition et ainsi bénéficier du
marquage européen des SIA à risques élevés, procédure obligatoire pour leur
mise en marché[18]. En second lieu, en cas de non-conformité aux obligations,
le fournisseur s’expose à des sanctions administratives conformément à
l’article 71 de la proposition. Ici, il convient de souligner que le non-respect de
l’obligation de mise en œuvre de pratiques appropriées de gouvernance des
données entraine le plus haut niveau de sanctions administratives (art 71.3).

[13] AIA, art 10.4.
[14] AIA, art 42.
[15] AIA, art 43.
[16] AIA, art 10.6.
[17] AIA, art 2.1.
[18] AIA, art 6.

Ces dernières peuvent atteindre jusqu’à 30 millions d’euros, et si le
contrevenant est une entreprise un montant de l’ordre de 6% de son chiffre
d’affaires mondial annuel. Notons que ce niveau de sanction est le même que
celui appliqué à la violation de l’interdiction de la mise sur le marché des SIA
jugés inacceptables et limitativement énumérés à l’article 5. Si la procédure
d’encadrement des SIA à risques élevés se veut souple du fait de la possibilité
laissée aux acteurs de s’auto-réguler[19], le montant des sanctions est
suffisamment haut pour inciter les fournisseurs à se conformer aux
dispositions de l’article 10, et ce d’autant plus si l’entreprise jouit d’un
rayonnement international.

Conclusion

Condition sine qua non pour tempérer et canaliser le risque élevé de certains
SIA, la gouvernance des données se meut en une contrainte juridique à
laquelle les acteurs doivent se conformer pour opérationnaliser la confiance
dans les données et a fortiori dans le déploiement de systèmes d’IA à risques
élevés. Ces derniers doivent également rendre compte du respect de cette
obligation sous peine de lourdes sanctions administratives. La gouvernance
des données change ainsi de paradigme. De bonne pratique laissée à
l’initiative et à la discrétion des organisations, elle devient une arme juridique
pour traquer les dangers et potentielles discriminations que le manque de
robustesse des SIA à risques élevés est susceptible de générer; notamment en
institutionnalisant la surveillance, la détection et la correction des biais.
L’article 10 de la proposition s’avère essentiel dans la lutte contre le risque de
discrimination algorithmique que la Commission européenne entend mener
et imposer aux acteurs de l’IA. Ce faisant, la Commission montre non
seulement qu’elle a pris conscience de ce risque pour les droits
fondamentaux, mais prend aussi le leadership des moyens juridiques pour
tenter de contrer ce risque, là où la plupart des États, comme le Canada, se
contente à ce jour de règles éthiques. En d’autres termes, la juridicisation de la
gouvernance des données ne constitue pas seulement d’un changement de
culture et de pratique, mais elle témoigne surtout d’une avancée discrète mais
cruciale vers la réalisation d’une IA sûre, fiable et juridiquement encadrée.

[19] AIA, art 43.

Vous pouvez aussi lire