Contexte institutionnel

Il peut être difficile de comprendre le fonctionnement de l'élaboration des politiques dans l'Union européenne. Cette page vise à améliorer la compréhension du contexte institutionnel de la loi européenne sur l'IA. Ce résumé a été élaboré par Hadrien Pouget, expert en politique de l'IA à la Fondation Carnegie pour la paix internationale. Il espère qu'il aidera d'autres personnes à s'y retrouver dans la loi sur l'IA et répondra volontiers à d'autres questions à l'adresse suivante : hadrien.pouget@ceip.org.

 

1. Introduction

L'Acte de l'UE sur l'IA (AIA) a suscité une attention internationale, et de nombreuses personnes qui ne s'étaient jamais intéressées à la législation de l'UE l'étudient pour en comprendre les implications. Aussi inédit que soit l'AIA, il reste fondamentalement un acte législatif de l'UE. Il s'inspire en grande partie de cadres européens communs, à tel point qu'il ne peut être correctement compris sans ce contexte plus large. Les personnes qui ne connaissent pas l'UE peuvent avoir du mal à discerner ce qui est réellement nouveau dans la loi et ce qui est simplement une pratique établie de l'UE, ou passer à côté de sous-entendus importants.

Ce guide vise à fournir une vue d'ensemble du contexte législatif de l'EAI, depuis la procédure législative à l'origine de l'EAI jusqu'aux mécanismes de conformité et d'application, qui s'inspirent tous des pratiques existantes dans l'UE. Dans cet esprit, il s'abstient en grande partie d'analyser le contenu de l'EAI ; de nombreuses analyses de ce type existent déjà.

Figure 1. Résumé des principaux acteurs de la création et de l'application de la loi sur l'IA, et de leurs relations.

2. Processus législatif

La loi sur l'IA est élaborée selon la procédure législative ordinaire de l'UE. procédure législative ordinaireLa loi sur l'IA est élaborée dans le cadre de la procédure législative ordinaire de l'UE, qui est le processus par lequel la plupart des textes législatifs européens sont produits. Les principaux acteurs et leurs interactions sont décrits ici.

Figure 2. Vue d'ensemble de la procédure législative ordinaire au cours de laquelle la loi sur l'IA est élaborée.

2.1. Acteurs clés

  1. Commission européenne - Composée de 27 commissaires, proposés par les États membres et approuvés par le Parlement européen. La Commission est l'organe exécutif de l'UE.
  2. Parlement européen -
    1. Représente les citoyens de l'UE. Les députés européens sont élus directement par les citoyens européens. Chaque État membre de l'UE se voit attribuer un nombre de sièges qui dépend en grande partie de sa population.
    2. Le Parlement compte plusieurs commissions qui sont censées prendre l'initiative sur les questions relevant de leur compétence. Dans le cas de l'AIA, il s'agit des commissions des libertés civiles, de la justice et des affaires intérieures (LIBE) et du marché intérieur et de la protection des consommateurs (IMCO).
    3. Pour chaque texte législatif, la commission a un "rapporteur", un député européen qui dirige les travaux de la commission. Dans le cas de l'AIA, il s'agit respectivement de Dragoş Tudorache (LIBE) et de Brando Benifei (IMCO). Une sélection d'autres commissions sont responsables des sections de la loi particulièrement pertinentes pour leur travail.
  3. Le Conseil de l'Union européenne ("le Conseil")[1] - Pour chaque question, le Conseil convoque les ministres concernés de chaque État membre. L'accord préalable en connaissance de cause est traité par les ministres des télécommunications dans le cadre du "Groupe de travail sur les télécommunications et la société de l'information (GT TELECOM)". La présidence du Conseil est assurée à tour de rôle par les États membres sur une base semestrielle. La présidence a le pouvoir de définir les priorités du Conseil et représente le Conseil dans ses relations avec les autres institutions de l'UE.

2.2. La procédure législative ordinaire

En résumé, la procédure législative ordinaire suit les étapes suivantes :

  1. La Commission élabore un premier projet de texte législatif. Elle est la seule organisation à pouvoir le faire, ce qu'on appelle le "droit d'initiative".
  2. Le Parlement reçoit le premier projet et le transmet au Conseil, en y ajoutant des amendements jusqu'à ce qu'ils soient d'accord (la législation est adoptée), ou jusqu'à ce qu'il ait fait trois allers-retours sans accord (le processus se termine et aucune législation n'est adoptée). Pendant ce temps, des dialogues informels, appelés "trilogues", ont lieu entre le Conseil, le Parlement et la Commission. Dans la pratique, ces dialogues sont souvent décisifs : la législation est généralement adoptée dès le premier passage[2].[2], le Parlement et le Conseil s'accordant sur une orientation lors de réunions informelles.
  3. Une fois que le Parlement et le Conseil ont officiellement approuvé le texte, celui-ci est publié au Journal officiel de l'Union européenne (JOUE). La législation précise généralement le délai d'entrée en vigueur après sa publication.

2.3. Mise à jour de l'acte après sa publication

L'UE dispose de deux outils importants pour mettre à jour la législation existante sans avoir à répéter l'ensemble du processus législatif : les actes d'exécution et les actes délégués. La législation doit préciser quand ces instruments peuvent être utilisés et dans quel but. Les deux mécanismes sont similaires ; ils permettent tous deux à la Commission de créer ou de modifier des textes législatifs après leur adoption, bien qu'ils requièrent des mécanismes de contrôle légèrement différents. mécanismes de contrôle.

L'AIA utilisera probablement les deux mécanismes (les projets récents l'ont fait), ce qui lui permettra d'être mis à jour en fonction de l'évolution technologique. Ils permettent également à la loi de laisser des vides non essentiels dans l'AIA qui seront comblés à une date ultérieure.

Pour continuer à apporter de l'expertise à l'UE, un "conseil de l'IA" sera mis en place. Il fournira probablement des conseils sur les actes d'exécution et les actes délégués, ainsi que sur de nombreux autres domaines dans lesquels une expertise pourrait s'avérer nécessaire lors de la mise en œuvre et de l'application de la législation.

 

2.4. Faits marquants du calendrier législatif (en décembre 2022)

Commission européenne Parlement européen Conseil européen
21 avril 2021 : Publication du premier projet.

20 avril 2022 &14 juin 2022 : Projet de rapport par IMCO/LIBE.

Projet rassemblant tous les avis et propositions d'amendements. Il sert de base aux négociations au sein du Parlement. À ce stade, la plupart des autres commissions concernées ont publié leur propre avis.

6 décembre 2022 : Adoption de la position du Conseil position du Conseil par le GT TELECOM.

Une position, également connue sous le nom d'" approche générale " du Conseil, a été adoptée.approche générale est élaborée pour servir de signal au Parlement.

Début 2023 : Vote sur le projet amendé.

Ce vote signifierait que le Parlement transmet l'acte au Conseil.

Négociations du trilogue visant à unifier la position du Parlement et du Conseil. Négociations du trilogue visant à unifier la position du Parlement et du Conseil. Négociations du trilogue visant à unifier la position du Parlement et du Conseil.
?? : Le Conseil accepte la proposition du Parlement ou propose ses propres amendements.
...
Fin 2023 - début 2024 (estimation) : La loi sur l'IA entre en vigueur peu de temps après sa publication au Journal officiel de l'Union européenne.

24+ mois plus tard : La loi sur l'AI s'applique intégralement.

Le calendrier exact fait encore l'objet de débats, mais différents éléments commenceront à être appliqués à différents moments au cours des deux ou trois premières années suivant l'entrée en vigueur de la loi.

3. Contexte législatif

3.1. Types de législation européenne

L'UE peut produire plusieurs types de législation. L'EAI est la forme la plus forte, un règlement.

  • Les règlements sont contraignants et directement applicables dans tous les États membres.
  • Les directives définissent des résultats contraignants, mais ne précisent pas comment les atteindre. Les États membres sont tenus d'élaborer leurs propres lois sur la manière d'atteindre ces résultats.
  • Les décisions sont contraignantes et peuvent concerner des pays ou des entreprises spécifiques de l'UE.
  • Les recommandations et les avis ne sont pas contraignants.

3.2. Nouveau cadre législatif - Outils d'application de la législation sur les produits

Le "nouveau cadre législatif" (NLF), adopté en 2008, décrit la structure générale que suivent les textes législatifs de l'UE sur les produits, ainsi que les outils dont dispose la nouvelle législation[3].[3] Il fournit un grand nombre de modèles standard qui peuvent ensuite être repris et adaptés par la nouvelle législation. L'EAI s'articule autour de ce cadre.

3.2.1. Exigences essentielles

L'un des principaux résultats de la législation européenne sur les produits, comme l'AIA, est un ensemble d'"exigences essentielles" auxquelles les produits doivent satisfaire. Une fois ces exigences remplies, les entreprises peuvent accéder à l'ensemble du marché de l'UE - une population nombreuse et relativement riche, ce qui constitue une incitation tentante. Les exigences essentielles peuvent couvrir tout ce que l'UE décide d'exiger du produit ou de son producteur.

Ils évitent délibérément les détails techniques et ne sont que suffisamment précis pour créer des obligations juridiquement contraignantes[4].[4] Les fabricants peuvent alors tenter de remplir ces obligations à leur manière ou utiliser les "normes harmonisées" correspondantes.

3.2.2. Normes harmonisées

Les normes techniques, produites selon la procédure décrite dans le document "Processus de normalisationLes normes techniques, produites comme décrit dans la section " Processus de normalisation ", contribuent à rendre les exigences essentielles plus concrètes. Une fois qu'un texte législatif a été adopté, des normes techniques sont conçues pour répondre à des exigences essentielles particulières. Le respect de ces normes suffit à établir la conformité avec les exigences essentielles concernées, car ces normes sont assorties d'une "présomption de conformité"[5].[5] Ces normes sont publiées au Journal officiel de l'Union européenne, d'où leur nom de"normes harmonisées".

Par exemple, l'AIA exige l'adoption de "des mesures appropriées de gestion des risques". Qu'entend-on par "appropriées" est ambigu, et des normes harmonisées apporteraient de la clarté à ce type d'exigences.

Dans la pratique, les normes harmonisées jouent un rôle crucial. Elles constituent le moyen le plus simple d'adhérer aux exigences essentielles. Si les fabricants peuvent satisfaire aux exigences essentielles sans adhérer aux normes harmonisées, il n'est souvent pas utile de naviguer dans la zone grise qui en résulte, et ils doivent généralement démontrer que leur solution alternative est au moins équivalente à la norme.

Dans les cas où il n'existe pas de normes harmonisées, les projets actuels d'EAI précisent que la Commission peut créer "spécifications communes" pour compenser. Celles-ci sont analogues aux normes harmonisées, mais contrairement à celles-ci (développées par des organisations indépendantes de l'UE), le processus de développement reste entièrement entre les mains des institutions de l'UE.

3.2.3. Évaluation de la conformité

Les évaluations de conformité sont l'un des outils de mise en œuvre mis à disposition par le NLF. Elles doivent être effectuées avant la mise sur le marché d'un produit. S'il s'avère que le produit est conforme à toutes les exigences applicables, une déclaration de conformité est faite et un certificat de conformité est délivré. "CE" est apposé. Le produit peut alors être mis sur le marché.

Le NLF décrit différents processus que les évaluations de conformité peuvent suivre,[6] et permet à l'un de ces trois groupes de mener l'évaluation :

  • Les fabricants du produit eux-mêmes. Les fabricants doivent évidemment documenter l'évaluation pour prouver qu'elle s'est déroulée correctement. C'est souvent l'option par défaut pour les produits à faible enjeu.
  • Les organismes d'évaluation de la conformité. Ces organismes doivent être accrédités par des "autorités notifiantes", que les États membres doivent mettre en place. Une fois qu'un organisme d'évaluation de la conformité est accrédité, il est également appelé "organisme notifié".
  • Les autorités publiques.

Il appartient à chaque législation d'adapter les outils des NLF à son contexte - par exemple, l'AIA peut autoriser l'auto-évaluation pour certaines demandes à haut risque, et exiger des organismes notifiés pour d'autres.

3.2.4. Surveillance du marché

Chaque État membre est également responsable de la surveillance du marché sur son territoire ; il doit retirer les produits qui ne sont pas conformes à la législation de l'UE ou qui le sont mais qui ont été jugés trop dangereux.

La législation fournit généralement des détails supplémentaires sur la manière dont les autorités de surveillance du marché concernées fonctionneront. L'EAI, par exemple, précise les types de données auxquels les autorités de surveillance du marché doivent avoir accès (documentation, ensembles de données, code source, etc.) et dans quelles conditions. ) et dans quelles conditions. Il précise également comment les autorités doivent se coordonner avec la Commission, les organismes notifiés ou les autorités d'autres pays.

3.2.5. Responsabilité

Les fournisseurs de systèmes d'IA, comme toute personne commercialisant un produit sur le marché de l'UE, sont également responsables des dommages causés par leurs produits défectueux. Bien que la responsabilité ne soit pas explicitement couverte par l'EAI, le non-respect de la réglementation de l'UE facilite les poursuites à l'encontre d'une organisation. Les propositions de révision de la directive sur la responsabilité du fait des produitset de la nouvelle directive sur la responsabilité en matière d directive sur la responsabilité en matière d'intelligence artificielle rendent cette situation encore plus claire.

4. Loi sur l'AI - Table des matières annotée

Bien que la loi sur l'IA soit encore à l'état de projet, sa structure devrait rester largement inchangée. Cette table des matières souligne en vert comment l'AIA est un produit du NLF. Elle est basée sur la position commune publiée par le Conseil le 25 novembre 2022, disponible ici.

    • Titre I - "Dispositions générales"
      • Champ d'application, définitions et actes d'exécution pour mettre à jour la définition de l'IA
    • Titre Ia - "Systèmes d'intelligence artificielle à usage général".
      • Comment les systèmes d'intelligence artificielle à usage général devraient être traités
    • Titre II - "Pratiques interdites en matière d'intelligence artificielle".
      • Pratiques interdites par la loi sur l'IA
    • Titre III - "Systèmes d'IA à haut risque".
      • Chapitre 1 - "Classification des systèmes d'IA comme étant à haut risque"
        • Quels sont les systèmes à considérer comme étant à haut risque, les actes délégués permettant des ajouts ou des suppressions.
      • Chapitre 2 - "Exigences relatives aux systèmes d'IA à haut risque".
        • Les exigences essentielles auxquelles les systèmes d'intelligence artificielle doivent répondre
        • Il comprend un système de gestion des risques et des instructions sur la gouvernance des données, la documentation, le contrôle, la surveillance humaine, etc.
      • Chapitre 3 - "Obligations des fournisseurs et des utilisateurs de systèmes d'IA à haut risque et des autres parties"
        • Un résumé, avec des références à d'autres parties pertinentes du texte, des obligations de ceux qui fournissent et utilisent le système d'IA, y compris des obligations spéciales pour les importateurs et les distributeurs".
      • Chapitre 4 - "Autorités de notification et organismes notifiés"
        • La méthode de fonctionnement des autorités notifiantes et des organismes notifiés est décrite.
      • Chapitre 5 - "Normes, évaluation de la conformité, certificats, enregistrement".
        • Les normes harmonisées comportent une présomption de conformité
        • Comment élaborer des spécifications communes
        • Quels sont les types d'évaluation de la conformité requis dans chaque cas ?
        • Responsabilités des autorités notifiées dans l'évaluation de la conformité
        • Base de données des systèmes à haut risque
    • Titre IV - "Obligations de transparence pour les fournisseurs et les utilisateurs de certains systèmes d'IA".
      • Les consommateurs devraient être informés lorsqu'ils interagissent avec des systèmes d'IA (pas seulement ceux à haut risque) ou des contenus générés.
    • Titre V - "Mesures de soutien à l'innovation"
      • Les bacs à sable réglementaires, gérés par notification aux autorités et autorités de surveillance du marché
        • Tester les systèmes d'IA à haut risque dans des conditions réelles, et mettre en œuvre des actes pour fournir des détails supplémentaires sur le processus.
        • Soutien et exemptions pour les petites entreprises
    • Titre VI - "Gouvernance"
      • Chapitre 1 - "Le Comité européen de l'intelligence artificielle" (European Artificial Intelligence Board)
        • Un conseil d'experts en IA doit être mis en place et ses mécanismes de gouvernance et ses responsabilités doivent être définis.
      • Chapitre 2 - "Autorités nationales compétentes"
        • Création d'une autorité de surveillance du marché et d'une autorité de notification
    • Titre VII - "Base de données de l'UE sur les systèmes d'IA à haut risque énumérés à l'annexe III".
      • La création et la gouvernance d'une base de données pour les systèmes à haut risque
      • Chapitre 1 - "La surveillance après la mise sur le marché"
        • Comment assurer le suivi d'un système une fois qu'il est sur le marché ?
      • Chapitre 2 - "Partage d'informations sur les incidents graves"
        • Exige que les incidents qui constituent un manquement à une obligation soient signalés aux autorités de surveillance du marché. autorités de surveillance du marché
      • Chapitre 3 - "L'application de la loi"
        • La Commission définit les modalités de fonctionnement des autorités de surveillance du marché
        • Procédures d'application plus générale des droits de l'homme et de la sécurité
        • Explique ce qui constitue une non-conformité ou un risque malgré la conformité
    • Titre VIII - "Suivi post-commercialisation, partage d'informations, surveillance du marché".
    • Titre IX - " Codes de conduite
      • Encourage la création de codes de conduite volontaires pour les fournisseurs de systèmes d'IA
    • Titre X - "Confidentialité et sanctions".
      • Décrit comment et quelles informations peuvent être partagées par les différents acteurs.
      • Explique les sanctions que les autorités de surveillance du marché peuvent imposer
    • Titre XI - "Délégation de pouvoir et procédure de comité"
      • Explique le contrôle des actes délégués
    • Titre XII - "Dispositions finales"
      • Modifications d'autres textes législatifs nécessaires à la cohérence
      • La fréquence à laquelle certains aspects de l'acte doivent être réexaminés
      • Comment l'acte entrera-t-il en vigueur ?

    [1] À noter que ce Conseil est distinct du Conseil européen (composé des chefs d'État des États membres de l'UE) et du Conseil de l'Europe (une organisation internationale entièrement distincte de l'UE).

    [2] Selon le Parlement européen, 89 % des actes adoptés entre 2014 et 2019 l'ont été en "première lecture". Source ici.

    [3] Règlement (CE) n° 765/2008 (ici), décision n° 768/2008/CE (ici), et le règlement UE 2019/1020 (ici) décrivent le fonctionnement de la surveillance du marché, la manière dont les évaluations de la conformité doivent être effectuées et la manière dont les organismes indépendants d'évaluation de la conformité sont accrédités. La décision n° 768/2008/CE contient une grande partie des éléments de base sur lesquels repose l'EAI.

    [4] Points (8) et (11) du préambule, et article 3 de la décision n° 768/2008/CE(ici).

    [5] Article R8 de la décision n° 768/2008/CE (ici).

    [6] Annexe II de la décision n° 768/2008/CE (ici).