IA Act : «Un énorme pan de traitements nouveaux va s’intégrer dans le périmètre du DPO», Patrick Blum
26.02.2024
Gestion d'entreprise
Adopté le 2 février, l’IA Act vise à encadrer le développement de l'intelligence artificielle au niveau de l'Union européenne. Quel impact pour les directeurs juridiques et les DPO ? Quel est l’encadrement prévu par le texte ? Patrick Blum, délégué général de l’AFCDP, nous en dit plus sur les enjeux pratiques liés à cette nouvelle réglementation.
Obligations pour les entreprises qui utilisent l'IA, catégories d'IA interdites, les nouvelles missions du DPO... Nous faisons le point sur les apports concrets et les enjeux pratiques de l'IA Act avec Patrick Blum, délégué général de l’AFCDP.
De manière générale, que pensez-vous du texte ?
C’est un document de 270 pages dont la version définitive n’est pas encore disponible. En particulier, la numérotation des articles est encore provisoire après ajouts et suppressions successifs. Il comporte environ 89 considérants et 120 articles.
C’est un texte compliqué, peut-être encore plus que le RGPD. La difficulté est qu’il dépend des technologies, ce qui n’était pas le cas avec le RGPD ou la loi Informatique et Libertés qui étaient applicables quelle que soit la technologie.
Le texte définit 4 grands types d’IA et ce sont des catégories liées aux technologies. Le jour où une nouvelle technologie de rupture sera créée, le texte continuera-t-il à bien s’appliquer ? C’est le risque.
L’IA Act vise-t-il toutes les entreprises qui utilisent l’IA ou uniquement celles qui créent une solution d’IA ?
A priori, le texte concerne d’abord les fournisseurs « les fabricants », les distributeurs « les personnes de la chaîne d’approvisionnement » qui met un service d’IA sur le marché, et les déployeurs (c’est-à-dire, les utilisateurs).
Quel encadrement est prévu ?
Les nouvelles obligations prévues par le réglement découlent des classifications d’IA à quatre niveaux :
- les IA à risque minime,
- les IA à risque faible (qui nécessitent de fournir plus d’informations et de transparence vis-à-vis des utilisateurs),
- les IA à haut risque (qui doivent être estampillées),
- et les IA à risque inacceptable (interdites).
Il y a également deux catégories particulières : les IA génératives et les IA à usage général (qui proposent une large variété de tâches distinctes) comme ChatGPT.
L’encadrement comporte beaucoup de problématiques. Comment le langage est-il entraîné ? Est-ce qu’il utilise des données personnelles en contradiction avec le RGPD ? L’IA Act cite le RGPD à plusieurs reprises et indique qu’il doit être respecté. Cela pose des contraintes importantes pour les éditeurs d’IA. Par ailleurs, est-ce que l’IA respecte le droit de la PI ? Est-ce qu’il ne va pas être biaisé ?
Ce sont des risques inévitables car l’IA aura plus ou moins de biais en fonction de ce qu’elle a ingurgité.
L’IA Act vise notamment à empêcher l'utilisation de l'IA à des fins de surveillance. Quelles sont les autres interdictions prévues par le texte ?
Parmi les interdictions, il y a le scoring social, l’utilisation de techniques subliminales, l’identification biométrique à distance généralisée, les deep fakes, la manipulation de contenus, le profilage à des fins de prédiction criminelle et le fait de porter atteinte à certaines catégories de population.
Pour ce qui est des IA à haut risque, il y a une liste en annexe. Cette liste peut être modifiée par des actes délégués adoptés par la Commission.
Dans l’application du règlement, d’autres points peuvent être précisés par des actes délégués de la Commission européenne.
Le calendrier d’application comporte plusieurs étapes : les IA interdites devraient être interdites à partir de 6 mois à compter de la publication du texte.
Concernant les mesures liées aux IA à haut risque, elles devront entrer en vigueur dans un délai de 24 ou 36 mois.
Quel est l’impact pour les juristes et les DPO ?
Un énorme pan de traitements nouveaux va s’intégrer dans le périmètre du DPO. Jusqu’à présent, le DPO s’occupait des traitements RH, clients, des prospects, etc. Si on intègre l’IA dans la pratique de l’entreprise, par exemple pour apporter des réponses automatiques aux clients, le DPO devra regarder ces nouveaux traitements au même titre que les autres. L’IA pourrait notamment être entraînée avec des données personnelles ou induire leur utilisation.
L’outil va savoir par exemple qui parle, qui écrit et à qui il apporte des réponses. Peut-être aussi qu’il enregistrera ces réponses et qu’il les analysera pour une autre finalité.
Selon notre dernier baromètre de l’AFCDP, un grand nombre de DPO se sentent impliqués par l’IA Act mais ils ne savent pas encore comment et quelle sera l’ampleur de cette implication. Pour les DPO, l’impact de l’IA Act reste flou, voire théorique.
Aujourd’hui, où en est-on au niveau des négociations sur le texte ? Est-il finalisé ?
Non, le texte n’est pas encore totalement finalisé. Pour le moment, nous ne disposons encore que d’un document de travail, une version écrite conforme au dernier compromis oral et le texte écrit final n’est pas définitivement adopté. Il devrait être adopté par le Parlement européen le 10 ou le 11 mars.
Quelles sont les prochaines étapes d’entrée en vigueur ?
Il faut encore que le Conseil le valide, peut-être fin mars. Il devra ensuite être traduit dans les 27 langues : cela devrait encore prendre 2 ou 3 mois. Au mieux, il sera publié au JOUE cet été. C’est seulement à ce moment-là qu’on pourra le lire en français et en tirer des conclusions réellement opérationnelles.