PROPOSITION DE RÉSOLUTION EUROPÉENNE
relative à la proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l'intelligence artificielle et modifiant certains actes législatifs de l'Union COM(2021) 206 final
Le Sénat,
Vu l'article 88-4 de la Constitution,
Vu le traité sur l'Union européenne, en particulier ses articles 4, 10 et 26,
Vu le traité sur le fonctionnement de l'Union européenne, en particulier ses articles 16 et 114,
Vu la Charte des droits fondamentaux de l'Union européenne, 2000/C 364/01, en particulier ses articles 7, 8, 20 et 21,
Vu la convention de sauvegarde des droits de l'Homme et des libertés fondamentales, en particulier ses articles 6, 8, 13 et 14 et le protocole n° 12,
Vu la convention du Conseil de l'Europe pour la protection des personnes à l'égard du traitement automatisé des données à caractère personnel du 28 janvier 1981 et son protocole additionnel du 8 novembre 2001 (« Convention 108 + »), notamment son article 6,
Vu le règlement du Parlement européen et du Conseil du 27 avril 2016 relatif à la protection des personnes physiques à l'égard du traitement des données à caractère personnel et à la libre circulation des données, abrogeant la directive 95/46/CE, dit règlement général sur la protection des données - RGPD,
Vu la décision (UE) 2022/2481 du Parlement européen et du Conseil du 14 décembre 2022 établissant le programme d'action pour la décennie numérique à l'horizon 2030,
Vu la proposition de règlement du Parlement européen et du Conseil du 21 avril 2021 établissant des règles harmonisées concernant l'intelligence artificielle (législation sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union, COM(2021) 206 final,
Vu l'orientation générale du Conseil sur ladite proposition de règlement, adoptée le 25 novembre 2022, 14954/22,
Vu la proposition de directive du Parlement européen et du Conseil du 28 septembre 2022 relative à l'adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l'intelligence artificielle (Directive sur la responsabilité en matière d'IA), COM(2022) 496 final,
Vu la communication de la Commission au Parlement européen, au Conseil européen, au Conseil, au Comité économique et social européen et au Comité des régions du 25 avril 2018, intitulée « L'intelligence artificielle pour l'Europe », COM(2018) 237 final,
Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 19 février 2020, intitulée « Façonner l'avenir numérique de l'Europe », COM(2020) 67 final,
Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 9 mars 2021, intitulée « Une boussole numérique pour 2030 : l'Europe balise la décennie numérique », COM(2021) 118 final,
Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 21 avril 2021, intitulée « Favoriser une approche européenne en matière d'intelligence artificielle », COM(2021) 205 final,
Vu la communication de la Commission au Parlement européen, au Conseil, au Comité économique et social européen et au Comité des régions du 26 janvier 2022 établissant une déclaration européenne sur les droits et principes numériques pour la décennie numérique, COM(2022) 27 final,
Vu la Déclaration européenne sur les droits et principes numériques pour la décennie numérique, publiée le 23 janvier 2023,
Vu le Livre blanc du 19 février 2020 intitulé « Intelligence artificielle. Une approche européenne axée sur l'excellence et la confiance », COM(2020) 65,
Vu l'avis conjoint 05/2021 du Contrôleur européen de la protection des données et du Comité européen de la protection des données du 18 juin 2021,
Vu la résolution du Parlement européen du 20 octobre 2020 concernant un cadre pour les aspects éthiques de l'intelligence artificielle, de la robotique et des technologies connexes, 2020/2012(INL),
Vu la résolution du Parlement européen du 20 octobre 2020 sur le régime de responsabilité civile pour l'intelligence artificielle, 2020/2014(INL),
Vu le rapport d'information du Sénat n° 279 (2018-2019) de MM. André GATTOLIN, Claude KERN, Cyril PELLEVAT et Pierre OUZOULIAS, fait au nom de la commission des affaires européennes, intitulé Intelligence artificielle : l'urgence d'une ambition européenne, déposé le 31 janvier 2019,
Vu le rapport d'information du Sénat n° 627 (2021-2022) de MM. Marc-Philippe DAUBRESSE, Arnaud de BELENET et Jérôme DURAIN, fait au nom de la commission des lois, intitulé La reconnaissance biométrique dans l'espace public : 30 propositions pour écarter le risque d'une société de surveillance, déposé le 10 mai 2022,
Vu la résolution européenne du Sénat n° 76 (2018-2019) du 8 mars 2019 sur les investissements dans l'intelligence artificielle en Europe,
Vu la résolution européenne du Sénat n° 138 (2021-2022) du 22 juillet 2022 sur le programme d'action numérique de l'Union européenne à l'horizon 2030,
Considérant l'importance cruciale des technologies numériques, et en particulier le rôle croissant joué par les technologies d'intelligence artificielle, dans tous les aspects économiques, sociaux, sociétaux et environnementaux, notamment pour la compétitivité des entreprises, l'efficacité des services publics, la sécurité et le bien-être de nos sociétés ;
Considérant que ce processus de numérisation et de diffusion de l'intelligence artificielle ne doit en aucun cas amoindrir la protection des droits fondamentaux, y compris le haut niveau de protection des données à caractère personnel dont les Européens jouissent actuellement, et que ces technologies doivent être au service des personnes et soumises aux valeurs, principes et droits fondamentaux de l'Union européenne ;
Considérant les risques que posent les technologies d'intelligence artificielle pour le respect de la vie privée et la protection des données à caractère personnel, la sécurité des données et la non-discrimination au regard du genre, de l'origine ethnique, de l'âge, de la religion, de l'opinion mais aussi du statut économique ;
Considérant néanmoins les applications positives que peut recevoir l'intelligence artificielle (IA) dans le domaine de la protection des droits fondamentaux ;
Considérant que l'opacité inhérente aux systèmes d'IA constitue une entrave inédite à l'information des utilisateurs ou à la capacité des organismes de contrôle à exercer leurs missions ;
Considérant l'absence de définition universellement acceptée des systèmes d'intelligence artificielle ;
Considérant que l'Europe ne pourra tirer pleinement parti des potentialités économiques et sociétales de l'IA, que grâce à une meilleure sécurité juridique entourant son déploiement, ce qui passe par l'élaboration de règles claires, précises et compréhensibles par tous ;
Considérant que la rapidité des évolutions technologiques et d'usages de l'IA nécessite de pouvoir ajuster à intervalles réguliers le cadre juridique applicable ;
Considérant l'intensité de la concurrence mondiale dans le secteur de l'IA et l'impératif d'assurer la capacité de l'Union à y faire face ;
Considérant que, pour atteindre ses objectifs en matière numérique, notamment en matière de sécurité et de protection des droits fondamentaux, l'Union européenne doit assortir son approche par la régulation d'un soutien à la transition numérique, qui permette le développement d'une offre véritablement européenne lui garantissant une totale souveraineté dans tous les aspects de son développement numérique ;
Considérant qu'une répartition équilibrée des prérogatives entre la Commission et les autorités nationales de contrôle constitue un prérequis indispensable à une régulation efficace du secteur de l'IA ;
Sur le principe du règlement
Accueille favorablement la volonté de la Commission européenne de mettre en place une réglementation horizontale harmonisée de l'intelligence artificielle, au niveau européen, et de la faire entrer en vigueur le plus tôt possible ;
Se félicite que soient soumis aux obligations établies par le règlement l'ensemble des fournisseurs ciblant le marché européen, même établis dans un États tiers, et que des obligations subsidiaires soient établies pour les importateurs et les distributeurs de systèmes d'IA ;
Appelle à ce que les fournisseurs de systèmes d'IA à usage générique soient également soumis à des obligations spécifiques au titre du présent règlement, au regard de l'utilisation de plus en plus fréquente de ces systèmes et des risques qu'ils sont susceptibles de faire encourir ;
Soutient l'établissement d'une liste de pratiques interdites en matière d'IA, ainsi que de pratiques « à haut risque », au regard de la menace qu'elles représentent pour les droits fondamentaux ;
Regrette que la proposition ne traite pas spécifiquement des risques de surveillance de masse qui découlent de la collecte et du traitement par des algorithmes d'intelligence artificielle, par de grandes compagnies privées, d'un nombre considérable de données à caractère personnel et non personnel ;
Sur la définition des systèmes d'IA
Estime abusive la possibilité ouverte à la Commission de recourir à des actes délégués, ultérieurement à l'entrée en vigueur du règlement, pour modifier les techniques et approches listées dans l'annexe I comme caractérisant un système d'IA ;
Suggère que soit directement incluse dans le règlement la définition des systèmes d'IA telle qu'établie par l'Organisation de coopération et de développement économiques (OCDE), technologiquement neutre et ainsi moins sujette à obsolescence ;
Sur les systèmes d'IA « à haut risque »
Souligne la nécessité de pouvoir compléter la liste des systèmes à haut risque en fonction des évolutions de technologies et d'usages ;
Souhaite que les modifications apportées à la liste des systèmes à haut risque puissent être au préalable soumises à un examen attentif de scientifiques et de praticiens de l'IA, en se fondant sur des éléments objectifs et documentés, par exemple dans le cadre du futur Comité européen de l'intelligence artificielle ;
Préconise de qualifier plus précisément les systèmes à haut risque visés à l'annexe III, afin d'en délimiter le champ avec justesse et de prévenir tout risque de surconformité, qui serait préjudiciable au développement économique européen de l'IA ;
Demande que soient classés dans les applications à haut risque les systèmes d'IA susceptibles d'influencer ou d'avoir des incidences négatives sur les droits des personnes vulnérables, en particulier des enfants ; susceptibles d'avoir un impact direct sur l'état de santé des personnes ; utilisés pour déterminer les primes d'assurance ; utilisés pour évaluer des traitements médicaux ou à des fins de recherche médicale ; composantes d'applications de santé et de bien-être ; destinés à établir des priorités dans l'envoi des services de police ;
Appelle à la prise en compte, dans la définition des systèmes d'IA à haut risque, des risques systémiques, c'est-à-dire concernant les individus dans leur ensemble ; souhaite en particulier que soient incluses dans la liste des systèmes d'IA à haut risque les applications susceptibles de causer des préjudices environnementaux ainsi que les algorithmes de recommandations de contenus visant à maximiser le temps passé par les utilisateurs sur les réseaux sociaux, en promouvant les contenus de désinformation et les contenus clivants ;
Préconise la création d'un registre public des organismes ou autorités publics utilisant des systèmes d'IA à haut risque, afin que les citoyens soient parfaitement informés des processus décisionnels associés à l'usage des technologies d'IA par le secteur public, sauf dans les cas où une telle transparence serait de nature à mettre en péril l'action des autorités répressives ;
Sur les pratiques interdites en matière d'IA
Considère que les pratiques en matière d'IA interdites pour le secteur public devraient l'être également pour le secteur privé ;
Appelle à l'interdiction des pratiques susceptibles d'exploiter les éventuelles vulnérabilités économiques et sociales d'un groupe de personnes et risquant d'entraîner un préjudice social ou économique ;
Appelle à l'interdiction générale des systèmes de reconnaissance des émotions ; des systèmes de notation sociale ; des systèmes ayant pour objet la catégorisation des personnes dans l'espace public ; des systèmes visant à classer les individus à partir de données biométriques dans des groupes relevant de catégories correspondant à des données sensibles ;
Estime que l'interdiction des systèmes d'identification biométrique à distance dans l'espace public devrait ne pas concerner exclusivement ceux permettant une telle identification en temps réel ;
Sur les systèmes d'IA utilisés par les forces de sécurité et les autorités répressives
Soutient l'exclusion du champ d'application du règlement des systèmes d'IA développés ou utilisés à des fins militaires, y compris les systèmes d'IA duaux ;
Appelle à l'exclusion du champ d'application du règlement les systèmes d'IA développés ou utilisés aux fins d'activités ayant trait à la défense et à la sécurité nationale ;
Estime que, sous réserve de garanties appropriées pour la protection des droits fondamentaux, des aménagements doivent être apportés aux règles régissant l'utilisation des systèmes d'IA par les autorités répressives, afin de préserver leurs capacités d'action ;
Considère notamment qu'en matière de transparence, le cadre juridique applicable aux systèmes d'IA utilisés par les autorités répressives doit tenir compte de la nécessité de respecter la confidentialité de certaines données opérationnelles sensibles ;
Souhaite que, dans le secteur répressif et celui de la gestion des migrations, de l'asile et des contrôles aux frontières, l'exploitation des résultats obtenus à l'aide de systèmes d'identification biométrique à distance soit soumise à l'exigence d'un contrôle humain, mais non pas double, ce qui serait onéreux et peu opérant du point de vue de la protection des droits fondamentaux ;
Invite à mieux définir les critères permettant d'activer les exceptions prévues à l'interdiction des systèmes d'identification biométrique à distance « en temps réel » par les autorités répressives, afin de prévenir toute dérive en ce domaine ;
Préconise, dans un contexte marqué par le développement du métavers, d'intégrer la notion d'espace public virtuel, afin qu'y soient appliquées les mêmes restrictions en matière d'usage de l'IA que dans l'espace public physique ;
Sur les obligations pesant sur les fournisseurs
Souhaite que soit généralisée l'évaluation par des tiers de la conformité des systèmes d'IA ;
Appelle à mieux prendre en compte, dans cette évaluation de conformité, l'action de l'ensemble des acteurs intervenant dans la conception et la mise en oeuvre des systèmes d'IA, en particulier les utilisateurs, compte tenu du fait que les risques pour la sécurité ou les droits fondamentaux peuvent découler tant de la conception que des conditions et modalités de mise en oeuvre des systèmes d'IA ;
Invite à mieux caractériser l'obligation faite aux fournisseurs de dresser la liste de toutes les mauvaises utilisations prévisibles d'un système ;
Considère que l'obligation de gestion et d'atténuation des risques par les fournisseurs doit être circonscrite aux risques identifiés ;
Souhaite que préalablement à l'utilisation de toutes données à caractère personnel ou non personnel, obligation soit faite aux fournisseurs de vérifier que ces dernières ont été obtenues de manière licite et conforme à la réglementation européenne en matière de protection des données ;
Appelle en conséquence à un renforcement des exigences relatives à la documentation afférente aux jeux de données utilisés pour l'entraînement des systèmes, qu'il s'agisse des conditions de collecte ou des éventuelles lacunes identifiées ;
Estime nécessaire de garantir une meilleure protection des personnes susceptibles d'être affectées par l'IA sans en être directement utilisatrices, au sens du règlement ;
Demande dans ce cadre la mise à disposition par les fournisseurs et les utilisateurs de systèmes d'IA d'une information intelligible et accessible à tous, garantissant que les personnes exposées à un système d'IA puissent en être systématiquement informées ;
Préconise de réfléchir à l'élaboration d'un mécanisme d'alerte permettant aux personnes affectées par les systèmes d'IA de signaler aux régulateurs, aux fournisseurs ou aux utilisateurs les éventuels usages abusifs ou performances défaillantes des systèmes d'IA, ainsi que les manquements constatés aux règles établies par le règlement européen sur l'IA, y compris dans le cas où ces derniers n'entraîneraient pas de préjudice direct et immédiat pour la personne affectée ;
Sur l'articulation avec le règlement général sur la protection des données (RGPD)
Souhaite que le règlement sur l'IA s'applique sans préjudice du RGPD et que ceci soit explicitement précisé dans le règlement ;
Rappelle que la conformité d'un système d'IA au règlement sur l'IA n'implique pas automatiquement sa conformité au RGPD et réciproquement ;
Recommande l'édiction, par le Comité européen de la protection des données ou, à défaut, par les autorités nationales de protection des données, de lignes directrices relatives à l'articulation entre le règlement sur l'IA et le RGPD, permettant notamment d'expliciter le degré de souplesse avec lequel ce dernier peut être interprété dans le contexte du développement de l'IA en Europe ;
Soutient la possibilité pour les fournisseurs de traiter de catégories particulières de données à caractère personnel, dans le but de lutter contre les biais et le caractère potentiellement discriminatoire du fonctionnement de certains systèmes d'IA, sous le contrôle des autorités nationales de protection des données ;
Rappelle néanmoins que cette dérogation doit être suffisamment encadrée pour prémunir contre tout risque d'utilisation détournée de ces données sensibles, notamment à des fins commerciales ;
Sur le soutien à l'innovation
Accueille favorablement toute initiative européenne visant à soutenir le développement de l'IA dans le cadre des règles européennes existantes et à venir ;
Relève l'inadéquation de l'obligation d'évaluation de la conformité ex ante avec la dynamique de recherche produit qui nécessite un va-et-vient entre le développement en milieu fermé et le marché ;
Soutient fortement la mise en place de bacs à sables réglementaires ;
Souhaite que leur fonctionnement soit aussi homogène que possible à travers les États membres, afin d'encourager l'innovation ;
Approuve l'octroi d'un accès préférentiel des petits acteurs et startups auxdits bacs à sable réglementaires ;
Recommande que les modalités et les conditions de mise en place et de fonctionnement desdits bacs à sable réglementaires soient soumises pour avis au Comité européen de l'intelligence artificielle ;
Souligne également l'importance pour l'Union et ses États membres de s'engager au sein des instances de normalisation internationales, afin d'y promouvoir des normes ambitieuses en matière de robustesse, de cybersécurité et de protection des droits fondamentaux ;
Appelle, en complément des évolutions législatives et réglementaires proposées, à la mise en oeuvre d'une politique industrielle ambitieuse dans le secteur numérique, passant notamment par la mobilisation des investissements nécessaires, afin de permettre le développement d'une offre européenne souveraine en matière d'intelligence artificielle ;
Sur le contrôle de l'application du règlement
Relève le caractère hétérogène des moyens techniques et humains alloués aux autorités de contrôle nationales au sein de l'Union et souligne les difficultés qu'une telle situation pourrait poser s'agissant de l'application uniforme du règlement ;
Rappelle que le soutien à la mise en oeuvre du règlement et le contrôle de celle-ci nécessiteront des moyens importants de la part des autorités de contrôle européennes et nationales, et appelle à anticiper la mise à disposition de ces moyens, compte tenu des risques pour les droits fondamentaux causés par le déploiement de systèmes d'IA non conformes ;
Recommande la désignation de la commission nationale de l'informatique et des libertés (CNIL) comme autorité compétente pour la surveillance de l'application du règlement sur l'IA, hors cas spécifiques prévus par le règlement ;
Appelle à expliciter que le respect de la propriété intellectuelle et le secret des affaires impliquent, de la part des autorités de régulation, une obligation de non divulgation des données dont elles ont ainsi connaissance et non un droit d'opposition des entreprises concernées à l'accès de ces autorités à leurs données ;
Sur la gouvernance
Souligne le rôle crucial du Comité européen de l'intelligence artificielle créé par le règlement pour garantir une coopération efficace des États membres en matière d'IA, condition sine qua non d'une application uniforme et cohérente du présent règlement au sein de l'Union ;
Rappelle que le Comité européen de l'intelligence artificielle ne pourra remplir ses fonctions d'assistance aux États membres et de conseil à la Commission que s'il bénéficie d'un degré d'autonomie suffisant ;
Recommande à cet effet de revoir la composition de ce Comité, pour y inclure notamment des scientifiques et des praticiens de l'IA, capables de produire des expertises techniques et de fournir des conseils opérationnels dans des délais restreints ;
Appelle à un renforcement des compétences consultatives du Comité, garantissant qu'il soit étroitement associé aux modifications apportées au règlement ultérieurement à son adoption, a fortiori quand elles se rapportent à la liste des applications à haut risque figurant à l'annexe III ;
Souhaite que soit octroyé au Comité un droit d'initiative, lui permettant de formuler des avis et recommandations sans saisine préalable de la Commission, dans le but de renforcer le caractère prospectif de ses travaux ;
Préconise un approfondissement des liens entre le Comité et l'ensemble des acteurs de l'écosystème de l'IA, afin de garantir une bonne intégration de cette nouvelle instance dans cet écosystème, par le biais notamment de consultations périodiques ;
Invite le Gouvernement à faire valoir cette position dans les négociations au Conseil.