Loi sur l’IA : des eurodéputés visent un premier compromis sur les procédures administratives et les normes techniques

Les co-rapporteurs du Parlement européen ont fait circuler jeudi (7 juillet) la première série d’amendements de compromis pour la loi sur l’intelligence artificielle (IA) de l’UE, qui serviront de base à une discussion technique lundi (11 juillet).

La loi sur l’IA a reçu plus de 3 000 amendements au sein des commissions du Marché intérieur et des Libertés civiles du Parlement, qui sont conjointement responsables du dossier. Cette série d’amendements est la première tentative de trouver un compromis entre les différents groupes politiques, mais, pour l’instant, elle ne représente que le point de vue des co-rapporteurs.

« Les co-rapporteurs ont fait un excellent travail en trouvant la partie la moins controversée », a déclaré un responsable du Parlement européen à EURACTIV.

Les principaux législateurs voulaient marquer des progrès avant la pause estivale, comptant se plonger dans des sujets plus controversés à l’automne.

Procédures de notification aux autorités

Le changement le plus important de cette série d’amendements de compromis réside dans le fait que les deux législateurs ont complètement supprimé les dispositions relatives à la dérogation à la procédure d’évaluation de la conformité.

Cette procédure d’urgence permettrait à toute autorité nationale de contourner temporairement l’autorisation de mise sur le marché d’un système d’IA considéré comme essentiel pour la sécurité publique, la santé des personnes, la protection de l’environnement ou la protection des infrastructures critiques.

Le reste des modifications concerne essentiellement la procédure administrative et les exigences relatives à la création des organismes notifiés. Ces organismes évalueront si un système d’IA est conforme aux règles de l’UE avant son lancement sur le marché.

Les eurodéputés souhaitent que les autorités nationales chargées d’autoriser et de superviser le fonctionnement de ces organismes d’évaluation de la conformité disposent d’un personnel compétent en matière de protection des droits fondamentaux.

Ces autorités notifiantes doivent informer la Commission européenne lorsqu’un organisme d’évaluation de la conformité est jugé adéquat en vertu du règlement. L’accréditation de l’organisme peut être contestée par l’exécutif européen ou un autre État membre dans un délai de deux semaines à compter de la notification.

En cas d’objection, la Commission consulterait le pays concerné, mais Bruxelles aurait le dernier mot en adoptant une législation secondaire. La Commission coordonnerait l’échange de bonnes pratiques entre les autorités notifiantes.

Exigences pour les organismes notifiés

Les organismes notifiés devront assurer des évaluations en temps utile, notamment pour les PME, respecter des obligations de confidentialité strictes et se conformer aux exigences de cybersécurité de la directive révisée sur la sécurité des réseaux et des systèmes d’information (NIS2).

Les organismes d’évaluation de la conformité ne doivent avoir aucun conflit d’intérêts avec le fournisseur d’IA évalué, avec des règles strictes contre le « pantouflage » pour les fournisseurs de systèmes à haut risque. Ils pourront néanmoins utiliser des outils alimentés par l’IA pour mener leur évaluation.

La durée de la certification de conformité fournie par les organismes notifiés a été réduite de cinq à quatre ans. Le certificat peut être suspendu ou retiré lorsque l’organisme constate que le système d’IA ne répond plus aux exigences.

Les autorités nationales devront veiller à ce que les fournisseurs d’IA puissent faire appel des décisions des organismes notifiés, y compris celles concernant un certificat qui a déjà été délivré.

Documentation de conformité

Les fournisseurs devront conserver leur déclaration de conformité de l’UE uniquement pour les systèmes à haut risque, soit pendant dix ans, soit pendant tout le cycle de vie du système, la période la plus longue étant retenue. Le document doit détailler la conformité avec le règlement sur l’IA et la législation européenne sur la protection des données.

Les systèmes d’IA à haut risque qui ont passé l’évaluation de conformité avec les règles d’IA et de protection des données comprendraient le marquage physique ou numérique de conformité européenne (CE) avant leur mise sur le marché.

Le marquage CE serait accompagné du numéro d’identification de l’organisme qui a certifié la conformité du système.

L’obligation d’enregistrer les systèmes d’IA à haut risque dans la base de données publique a été étendue des fournisseurs d’IA aux organismes d’administration publique utilisant ces systèmes. La base de données publique devra être accessible aux personnes handicapées.

Normes techniques

Les principaux eurodéputés souhaitent que la Commission publie les demandes de normes techniques dans les deux mois suivant l’entrée en vigueur du règlement. Les demandes devraient préciser que les normes doivent être alignées sur les autres règles de l’UE, y compris les règles sectorielles, et être faciles à mettre en œuvre.

En outre, « le processus de normalisation assure une représentation équilibrée des intérêts et une participation réelle de toutes les parties prenantes concernées », les organismes de normalisation ayant parfois été accusés de faire peu de place à la société civile.

En cas de retard excessif dans le processus de normalisation ou de rejet de la demande, la Commission peut adopter des spécifications communes pour les exigences en matière de santé et de sécurité, de protection des consommateurs et de l’environnement, ainsi que pour d’autres raisons d’intérêt public, par le biais de la législation secondaire.

Ces spécifications expireraient au moment où les normes correspondantes seraient mises en place. Toutefois, la Commission peut adopter des exigences à tout moment si des préoccupations spécifiques en matière de droits fondamentaux le justifient.

L’exécutif européen devrait, lors de l’élaboration de ces spécifications, consulter les autorités nationales, les organismes de normalisation, les experts et les représentants de l’industrie afin de justifier les raisons pour lesquelles ils ne recourent pas à une norme.

Un paragraphe a été ajouté au préambule du texte, précisant que « lorsque les systèmes d’IA sont destinés à être utilisés sur le lieu de travail, les normes harmonisées devraient se limiter aux spécifications techniques et aux procédures. »