Une des échéances s’agissant de la
désignation d’une autorité compétente, fixée au 2 novembre, n’a pas été honorée
par la France.
Alors que le rapport
de la mission relative à la mise en œuvre du règlement européen sur
l’intelligence artificielle (RIA ; ou IA Act en anglais), qui propose des pistes pour plus de transparence
sur les données d’entraînement des modèles d’IA, vient d’être présenté au
Conseil supérieur de la propriété littéraire et artistique mi-décembre, une
échéance manquée par n’a, pour sa part, pas fait beaucoup parler d’elle.
Première législation générale
sur l’intelligence artificielle, le RIA, adopté le 13 juin 2024, vise à
encadrer le développement et l’utilisation de systèmes d'intelligence
artificielle qui peuvent faire courir des risques pour la santé, la sécurité ou
les droits fondamentaux, et définit quatre niveaux de risques.
Si le règlement doit
connaître une mise en application progressive de 2025 à 2027, il prévoyait cependant
qu’ « au plus tard le 2 novembre 2024, chaque État membre
identifie les autorités ou organismes publics [qui contrôlent ou veillent au
respect des obligations en matière de protection des droits fondamentaux, y
compris le droit à la non-discrimination, en ce qui concerne l'utilisation des
systèmes d'IA à haut risque (…) ] et met une liste de ceux-ci à la disposition
du public ». Un rendez-vous allègrement raté par la France, donc - et la
plupart de ses voisins européens.
La CNIL en pole position ?
À ce jour, toujours aucune
information n’a été rendue publique par la France pour signifier le choix de cet/ces
organisme(s). Ce(s) dernier(s) semble(nt) pourtant distinct(s) de ceux visés à l’article
70 du RIA, lequel précise que « Chaque État membre établit ou
désigne en tant qu’autorités nationales compétentes au moins une autorité
notifiante et au moins une autorité de surveillance du marché (…) au plus tard
le 2 août 2025 ».
Dans une étude publiée en
2022 sur l’intelligence artificielle et l’action publique, le Conseil d’Etat plaidait pour confier à une CNIL « transformée » « le pilotage de la régulation des systèmes
d’intelligence artificielle ». En évoquant l’articulation du RIA avec
le règlement sur la protection des données (RGPD), le rapport remarquait que « la très forte adhérence entre la régulation
des systèmes d’intelligence artificielle et celle des données, en particulier
des données à caractère personnel, et l’intérêt d’une internalisation
institutionnelle de l’articulation des deux régimes juridiques, plaident assez
naturellement pour que la CNIL se voie confier les deux fonctions ». Il
soulignait qu’un tel choix supposerait de renforcer les moyens de l’instance,
notamment en termes d’effectifs.
Le 7 novembre, la Commission
nationale de l'informatique et des libertés (CNIL) a publié une décision relative à l’organisation de ses services,
dans laquelle elle fait part de l’ajout de la mention de l’intelligence
artificielle dans les fonctions de ses différentes directions.
Au soutien de cette possibilité,
l’avocat Pascal Alix, spécialiste des sujets liés à la protection des données
et à l’intelligence artificielle, estime que « si l’on n’a pas beaucoup
parlé du RGPD pour l'IA, en réalité, ce dernier va trouver à s'appliquer assez
souvent. D'où la grande légitimité de la CNIL d'avoir un rôle important, en
tout cas dans la surveillance de l'application du RIA ». Il souligne qu'il y a, « dans
l'article 2 du RIA, des dispositions qui prévoient [que le règlement] ne peut
pas déroger au RGPD si jamais il y a un conflit entre les deux règles ».
Néanmoins, au vu de
l’éventail des compétences impliquées par les trois autorités nationales (minimum)
requises par le règlement, Pascal Alix juge que différents organismes pourraient
être réquisitionnés : « Le rôle de
l'autorité de surveillance du marché est assez vaste, il y a beaucoup de choses
à surveiller. Parmi les autorités existantes, il n'y en a donc aucune qui est
parfaitement légitime pour assumer l'intégralité des rôles. On pense à l'ARCOM,
pour les contenus, l'ANSSI pour la sécurité des systèmes d'information. Mais
aujourd’hui, aucun n'a l'intégralité des compétences nécessaires pour assumer
la mission qui est prévue par le RIA. »
Un article
publié par vie-publique.fr, mis à jour le 10 décembre, indique certes que « les
autorités françaises identifiées sont : la Direction générale de la
concurrence, de la consommation et de la répression des fraudes (DGCCRF) ; la Commission nationale de l’informatique et
des libertés (CNIL) ; le Défenseur des Droits. Cette liste pourra être
complétée ». Une information qui ne semble, actuellement, pas avoir
été reprise ailleurs, et qui n’apporte pas de précisions sur la façon dont ces
organismes ont été identifiés, ni sur leur périmètre. Ce qui paraît illustrer
le manque d’avancement sur la question.
Qu’en est-il des autres pays
européens ?
Le 29 novembre dernier, au
Luxembourg, les ministres réunis en conseil ont donné leur accord sur un
projet mettant en œuvre certaines dispositions du RIA. Le communiqué
gouvernemental se félicite que le Luxembourg soit un des premiers pays
européens à mettre en œuvre l’AI Act. Le projet de loi prévoit ainsi de
charger la Commission nationale pour la protection des données « de la coordination des autorités nationales
compétentes sectorielles », mais aussi de lui donner les fonctions de « point de contact unique et d'autorité de
surveillance du marché par défaut ».
En Grèce, quatre autorités
distinctes ont été désignées : l’Autorité de protection des données à caractère
personnel, le Médiateur de la République, l’Autorité de confidentialité des communications,
et la Commission nationale des droits de l’Homme.
Dans les autres pays, les
choses semblent être encore en cours d’élaboration. Les États membres de
l’Union européenne ont encore huit mois pour faire connaître leurs autorités de
surveillance du marché et leurs autorités notifiantes. Cette fois, seront-ils
au rendez-vous ?
Etienne
Antelme