Projet de règlement sur l’IA (I) : des concepts larges retenus par la Commission

La très attendue proposition « Artificial Intelligence Act » est le fruit d’un travail étalé sur plusieurs années (v. not. Comm. eur., Livre blanc, 24 févr. 2020, COM(2020) 65 final, Dalloz actualité, 28 févr. 2020, obs. C. Crichton ; Communication, 25 avr. 2018, COM(2018) 237 final). Tant les aspects à réguler que la manière d’appréhender les notions sont effectivement un défi de taille. La Commission européenne propose à ce titre d’embrasser largement le concept d’intelligence artificielle, tout en faisant le choix de ne pas la réguler entièrement. La proposition étant vaste, ce premier article s’attachera à développer la conception de l’intelligence artificielle retenue par la Commission et les acteurs concernés par la réglementation. Puisque seuls certains systèmes d’intelligence artificielle sont couverts par la proposition, un second article précisera leur nature et leur régime (v. Projet de règlement sur l’IA (II) : une approche fondée sur les risques, Dalloz actualité, à paraître).

Systèmes d’intelligence artificielle concernés

Sans surprise, la Commission européenne maintient l’expression de « systèmes d’intelligence artificielle » (v. déjà « Lignes directrices en matière d’éthique pour une IA digne de confiance », 8 avr. 2019, § 143) au lieu de se risquer au seul terme « intelligence artificielle » qui renvoie, au mieux, à une discipline. Le système d’intelligence artificielle est ainsi défini comme un logiciel développé à partir d’une ou plusieurs techniques listées en annexe (art. 3, 1). Cette annexe I énumère trois catégories de systèmes : les systèmes auto-apprenants (a), les systèmes logiques (b) et les systèmes statistiques (c). Les systèmes auto-apprenants sont ce qu’il est coutume de dénommer le « machine learning ». L’annexe I, a), précise à ce titre les trois principales méthodes utilisées – apprentissage supervisé, apprentissage profond et apprentissage par renforcement – sans en limiter la liste grâce à l’adverbe « incluant » puisqu’il existe pour l’heure des méthodes hybrides. Les systèmes logiques, dits également symboliques ou déterministes, suivent une trame logique prédéfinie pour parvenir à un résultat. Couramment utilisés depuis les années 70 notamment sous la dénomination de « systèmes experts » ou KBS (knowledge-based system), ils étaient considérés comme une forme d’intelligence artificielle avant l’essor du machine learning de la dernière décennie. Enfin, les systèmes statistiques incluent selon le c) de l’annexe I les estimations bayésiennes, qui continuent à se développer, ainsi que les méthodes de recherche et d’optimisation, bien ancrées dans la pratique.

Il est heureux que la définition ne se limite pas qu’au machine learning, ce qui était déjà pressenti à la lecture du livre blanc de la Commission qui exposait que les techniques d’apprentissage automatique « constituent l’une des branches de l’IA » (COM(2020) 65 final, préc., p. 19). Le groupe d’experts de haut niveau incluait également dans sa définition les systèmes « appliquant un raisonnement aux connaissances », soit les systèmes logiques (Lignes directrices en matière d’éthique pour une IA digne de confiance, préc., § 143). En effet, la large médiatisation du machine learning lors des années 2010 ne doit pas avoir pour effet d’évincer des pratiques antérieures qui étaient bien ancrées et qui continuent de se développer. Avant cela, les techniques de machine learning ne connaissaient que des applications très ponctuelles, comme la lecture de chèques, ce notamment en raison d’un défaut de puissance de calcul. De la sorte les anciennes techniques continuent d’être exploitées et il est tout à fait possible de concevoir qu’un système puisse utiliser plusieurs techniques, voire que de nouvelles techniques soient découvertes à l’avenir. Limiter les systèmes d’IA aux seules techniques de machine learning serait alors trop réducteur et trop ancré dans notre acception contemporaine, risquant une obsolescence rapide non souhaitable.

En revanche, la définition proposée à l’article 3, 1) ajoute quelques précisions qui ne semblent pas opportunes. Ainsi ces systèmes d’IA « peuvent, pour un ensemble donné d’objectifs définis par un être humain, générer des résultats de sortie (output) tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent ». Il apparaît curieux d’avoir ajouté le fait que les objectifs soient obligatoirement définis par un être humain alors que la proposition de règlement se veut prospective – d’autant plus qu’un objectif clairement défini n’est pas nécessairement spécifié (not. pour le clustering) –. De la même manière, le fait de préciser qu’une décision influence un environnement semble convenu. Enfin, ajouter une liste d’exemples pourrait emporter une certaine confusion à l’ensemble.

Plus généralement, certaines distinctions superflues ont été abandonnées, comme la distinction entre l’interaction avec un environnement physique ou virtuel. En supprimant cette mention, la Commission européenne fait le choix de réguler toute forme de système d’IA, qu’elle soit intégrée dans un corps physique dédié (robot) ou dans une machine plus polyvalente comme un ordinateur ou un ordiphone (bot). En tout état de cause, la Commission définit les systèmes d’IA comme un « logiciel » (software) sans renvoyer expressément à la directive 2009/24/CE du 23 avril 2009 concernant la protection juridique des programmes d’ordinateur, laissant donc au droit de la propriété intellectuelle le soin de qualifier le régime de protection le cas échéant.

Il est à relever, enfin, que ce n’est pas parce que la Commission adopte une définition large des systèmes d’IA qu’elle entend réguler tous les systèmes d’IA. D’une part, le règlement ne s’applique pas aux systèmes d’IA développés ou utilisés exclusivement à des fins militaires (art. 2, § 3). D’autre part, il ne s’applique qu’à certaines pratiques d’IA qui seront développées dans une seconde partie (v. Projet de règlement sur l’IA (II) : une approche fondée sur les risques, D. actu. 4 mai 2021). Des pratiques jugées inacceptables sont interdites (art. 5), celles jugées à haut-risque soumises à un strict régime de compliance (art. 6 à 51), et quelques-unes jugées à faible risque régies par un principe de transparence (art. 52).

Acteurs concernés

Les anciens projets ouvraient une brèche qui semblait dangereuse. S’interrogeant sur la question houleuse de la répartition des responsabilités, la Commission évoquait dans son Livre blanc les acteurs suivants : « le développeur, le déployeur (l’intervenant qui utilise un produit ou service à base d’IA) et potentiellement d’autres intervenants (le producteur, le distributeur ou l’importateur, le prestataire de services, et l’utilisateur professionnel ou privé) » (COM(2020) 65 final, préc., p. 26). La proposition de règlement présente un retour à l’orthodoxie par l’abandon des nouveaux concepts au profit de termes préexistants. Ainsi les acteurs évoqués par le texte demeurent simplement fournisseur, utilisateur, mandataire, importateur et distributeur (art. 3, 8).

Le fournisseur d’un système d’IA devient l’acteur central. Il est défini comme la personne physique ou morale, l’agence ou tout autre organisme qui développe un système d’IA ou qui possède un système d’IA déjà développé en vue de sa mise sur le marché ou de sa mise en service, sous son propre nom ou sa propre marque, à titre onéreux ou gratuit (art. 3, 2). L’importateur, quant à lui, est la personne établie dans l’Union qui met sur le marché un système d’IA pour lequel est apposé le nom ou la marque d’une personne établie hors Union (art. 3, 6). Le distributeur, enfin, est une personne physique ou morale autre que le fournisseur ou importateur, qui dans la chaîne d’approvisionnement rend disponible un système d’IA sans en affecter ses propriétés (art. 3, 7).

Cette simplicité ne peut qu’être saluée. Les termes « développeur » et « déployeur », inconnus du juriste, auraient mis à mal l’application d’une quelconque réglementation y afférent en raison de la nécessité de qualifier préalablement les parties, conduisant avant tout débat au fond à des discussions portant sur l’interprétation précise de ces termes. Outre la question de la qualification, ces termes auraient alourdi la charge du justiciable dans la détermination de la preuve de cette qualité ainsi que dans la question du juge compétent en présence de plusieurs développeurs ou déployeurs. Et ces obstacles risquent de dissuader nombre d’actions à leur encontre. Couplée aux obligations de documentation extrêmement détaillées par la proposition de règlement (v. Projet de règlement sur l’IA (II) : une approche fondée sur les risques, Dalloz actualité, 4 mai 2021, à paraître), la proposition de règlement prévient tout risque qu’un opérateur se prémunisse des tant redoutées boîtes noires.

De la sorte et pour résumer, seule est responsable la personne ayant apposé son nom ou sa marque sur un système d’IA, facilitant sa désignation. En apposant un quelconque signe distinctif, le producteur assume ainsi la charge de se soumettre aux obligations du règlement. Cette désignation simplifiée du responsable n’est pas sans rappeler la responsabilité du producteur du fait d’un produit défectueux puisqu’est également désignée comme producteur la « personne qui se présente comme producteur en apposant sur le produit son nom, sa marque ou un autre signe distinctif » (Dir. 85/374/CEE, 25 juill. 1985, art. 3, § 1), aux fins de faciliter l’action de la victime.

L’utilisateur, enfin, est la personne physique ou morale, l’autorité publique, l’agence ou autre organisme, qui utilise un système d’IA, excluant toutefois l’utilisation à des fins personnelles (art. 3, 4). Autrement dit, tout utilisateur agissant à des fins autres que professionnelles est exclu du champ d’application du règlement.