Contexte institutionnel

Il peut être difficile de comprendre le fonctionnement de l'élaboration des politiques dans l'Union européenne. Cette page vise à améliorer la compréhension du contexte institutionnel de la loi européenne sur l'IA. Ce résumé a été élaboré par Hadrien Pouget, expert en politique de l'IA à la Fondation Carnegie pour la paix internationale. Il espère qu'il aidera d'autres personnes à s'y retrouver dans la loi sur l'IA et répondra volontiers à d'autres questions à l'adresse suivante : hadrien.pouget@ceip.org.

 

1. Introduction

L'Acte de l'UE sur l'IA (AIA) a suscité une attention internationale, et de nombreuses personnes qui ne s'étaient jamais intéressées à la législation de l'UE l'étudient pour en comprendre les implications. Aussi inédit que soit l'AIA, il reste fondamentalement un acte législatif de l'UE. Il s'inspire en grande partie de cadres européens communs, à tel point qu'il ne peut être correctement compris sans ce contexte plus large. Les personnes qui ne connaissent pas l'UE peuvent avoir du mal à discerner ce qui est réellement nouveau dans la loi et ce qui est simplement une pratique établie de l'UE, ou passer à côté de sous-entendus importants.

Ce guide vise à fournir une vue d'ensemble du contexte législatif de l'EAI, depuis la procédure législative qui a conduit à l'EAI, jusqu'aux mécanismes de conformité et d'application, dont beaucoup s'inspirent des pratiques existantes de l'UE. Dans cet esprit, il s'abstient en grande partie d'analyser le contenu de l'EAI ; de nombreuses analyses de ce type existent déjà.

Figure 1. Résumé des principaux acteurs de la création et de l'application de la loi sur l'IA, et de leurs relations.

2. Processus législatif

La loi sur l'IA a été élaborée selon la procédure législative ordinaire de l'UE procédure législative ordinairela procédure par laquelle la plupart des textes législatifs de l'UE sont élaborés. Les principaux acteurs et leurs interactions sont décrits ci-dessous.

Figure 2. Vue de haut niveau de la procédure législative ordinaire par laquelle la loi sur l'IA a été élaborée.

2.1. Acteurs clés

  1. Commission européenne - Composée de 27 commissaires, proposés par les États membres et approuvés par le Parlement européen. La Commission est l'organe exécutif de l'UE.
  2. Parlement européen -
    1. Représente les citoyens de l'UE. Les députés européens sont élus directement par les citoyens européens. Chaque État membre de l'UE se voit attribuer un nombre de sièges qui dépend en grande partie de sa population.
    2. Le Parlement compte plusieurs commissions qui sont censées prendre l'initiative sur les questions relevant de leur compétence. Dans le cas de l'AIA, il s'agit des commissions des libertés civiles, de la justice et des affaires intérieures (LIBE) et du marché intérieur et de la protection des consommateurs (IMCO).
    3. Pour chaque texte législatif, la commission a un "rapporteur", un député européen qui dirige les travaux de la commission. Dans le cas de l'AIA, il s'agissait respectivement de Dragoş Tudorache (LIBE) et de Brando Benifei (IMCO). D'autres commissions ont été chargées d'examiner des sections de la loi particulièrement pertinentes pour leur travail.
  3. Le Conseil de l'Union européenne ("le Conseil")[1] - Pour chaque question, le Conseil convoque les ministres concernés de chaque État membre. L'accord préalable en connaissance de cause a été traité par les ministres des télécommunications dans le cadre du "Groupe de travail sur les télécommunications et la société de l'information (GT TELECOM)". La présidence du Conseil est assurée à tour de rôle par les États membres sur une base semestrielle. La présidence dispose d'un certain pouvoir pour définir les priorités du Conseil et représente le Conseil dans ses relations avec les autres institutions de l'UE.

2.2. La procédure législative ordinaire

En résumé, la procédure législative ordinaire suit les étapes suivantes :

  1. La Commission élabore un premier projet de législation. Elle est la seule organisation à pouvoir le faire, ce qu'on appelle le "droit d'initiative".
  2. Le Parlement reçoit le premier projet et le transmet au Conseil, en y ajoutant des amendements jusqu'à ce qu'ils soient d'accord (la législation est adoptée), ou jusqu'à ce qu'il ait fait trois allers-retours sans accord (le processus se termine et aucune législation n'est adoptée). Pendant ce temps, des dialogues informels, appelés "trilogues", ont lieu entre le Conseil, le Parlement et la Commission. Dans la pratique, ces dialogues sont souvent décisifs : la législation est généralement adoptée dès le premier passage[2].[2], le Parlement et le Conseil s'accordant sur une orientation lors de réunions informelles.
  3. Une fois que le Parlement et le Conseil ont officiellement approuvé le texte, celui-ci est publié au Journal officiel de l'Union européenne (JOUE). La législation précise généralement le délai d'entrée en vigueur après sa publication.

2.3. Mise à jour de l'acte après sa publication

L'UE dispose de deux outils importants pour mettre à jour ou soutenir la législation existante sans avoir à répéter l'ensemble du processus législatif : les actes d'exécution et les actes délégués. La législation doit préciser quand ces instruments peuvent être utilisés et dans quel but. Les deux mécanismes sont similaires, bien que les actes d'exécution tendent à se concentrer sur la mise en œuvre de la loi (par exemple en fournissant des orientations officielles sur la conformité), tandis que les actes délégués sont plus proches des amendements législatifs, modifiant des détails inscrits dans la loi sur l'IA. Les deux sont des pouvoirs conférés à la Commission et comprennent des mécanismes de contrôle.

L'EAI fait appel à ces deux mécanismes, ce qui permet à la Commission d'actualiser l'acte en fonction de l'évolution technologique. Ils permettent également à l'acte de ne pas contenir de détails non essentiels qui seront complétés ultérieurement.

Afin de continuer à apporter une expertise à l'UE, un bureau AI sera mis en place. Il fournira des conseils sur certains actes d'exécution et actes délégués, ainsi que sur de nombreux autres domaines dans lesquels une expertise pourrait être nécessaire lors de la mise en œuvre et de l'application. 

Chronologie des principaux développements

Pour une chronologie des développements les plus significatifs du processus législatif, voir ici.

3. Contexte législatif

3.1. Types de législation européenne

L'UE peut produire plusieurs types de législation. L'EAI est la forme la plus forte, un règlement.

  • Les règlements sont contraignants et directement applicables dans tous les États membres.
  • Les directives définissent des résultats contraignants, mais ne précisent pas comment les atteindre. Les États membres sont tenus d'élaborer leurs propres lois sur la manière d'atteindre ces résultats.
  • Les décisions sont contraignantes et peuvent concerner des pays ou des entreprises spécifiques de l'UE.
  • Les recommandations et les avis ne sont pas contraignants.

3.2. Nouveau cadre législatif - Outils d'application de la législation sur les produits

Le "nouveau cadre législatif" (NLF), adopté en 2008, décrit la structure générale que suivent les textes législatifs de l'UE sur les produits, ainsi que les outils dont dispose la nouvelle législation[3].[3] Il fournit un grand nombre de modèles standard qui peuvent ensuite être repris et adaptés par la nouvelle législation. L'EAI s'articule autour de ce cadre.

3.2.1. Exigences essentielles

L'un des principaux résultats de la législation européenne sur les produits, comme l'AIA, est un ensemble d'"exigences essentielles" auxquelles les produits doivent satisfaire. Une fois ces exigences remplies, les entreprises peuvent accéder à l'ensemble du marché de l'UE - une population nombreuse et relativement riche, ce qui constitue une incitation tentante. Les exigences essentielles peuvent couvrir tout ce que l'UE décide d'exiger du produit ou de son producteur.

Ils évitent délibérément les détails techniques et ne sont que suffisamment précis pour créer des obligations juridiquement contraignantes[4].[4] Les fabricants peuvent alors tenter de remplir ces obligations à leur manière ou utiliser les "normes harmonisées" correspondantes.

3.2.2. Normes harmonisées

Les normes techniques, produites selon la procédure décrite dans le document "Processus de normalisationLes normes techniques, produites comme décrit dans la section " Processus de normalisation ", contribuent à rendre les exigences essentielles plus concrètes. Une fois qu'un texte législatif a été adopté, des normes techniques sont conçues pour répondre à des exigences essentielles particulières. Le respect de ces normes suffit à établir la conformité avec les exigences essentielles concernées, car ces normes sont assorties d'une "présomption de conformité"[5].[5] Ces normes sont publiées au Journal officiel de l'Union européenne, d'où leur nom de"normes harmonisées".

Par exemple, l'AIA exige l'adoption de "des mesures appropriées de gestion des risques". Qu'entend-on par "appropriées" est ambigu, et des normes harmonisées apporteraient de la clarté à ce type d'exigences.

Dans la pratique, les normes harmonisées jouent un rôle crucial. Elles constituent le moyen le plus simple d'adhérer aux exigences essentielles. Si les fabricants peuvent satisfaire aux exigences essentielles sans adhérer aux normes harmonisées, il n'est souvent pas utile de naviguer dans la zone grise qui en résulte, et ils doivent généralement démontrer que leur solution alternative est au moins équivalente à la norme.

Dans les cas où il n'existe pas de normes harmonisées, les projets actuels de l'AIA précisent que la Commission peut créer "spécifications communes" pour compenser. Celles-ci sont analogues aux normes harmonisées, mais contrairement à celles-ci (développées par des organisations indépendantes de l'UE), le processus de développement reste entièrement entre les mains des institutions de l'UE.

3.2.3. Évaluation de la conformité

Les évaluations de conformité sont l'un des outils de mise en œuvre mis à disposition par le NLF. Elles doivent être effectuées avant la mise sur le marché d'un produit. S'il s'avère que le produit est conforme à toutes les exigences applicables, une déclaration de conformité est faite et un certificat de conformité est délivré. "CE" est apposé. Le produit peut alors être mis sur le marché.

Le NLF décrit différents processus que les évaluations de conformité peuvent suivre,[6] et permet à l'un de ces trois groupes de mener l'évaluation :

  • Les fabricants du produit eux-mêmes. Les fabricants doivent évidemment documenter l'évaluation pour prouver qu'elle s'est déroulée correctement. C'est souvent l'option par défaut pour les produits à faible enjeu.
  • Les organismes d'évaluation de la conformité. Ces organismes doivent être accrédités par des "autorités notifiantes", que les États membres doivent mettre en place. Une fois qu'un organisme d'évaluation de la conformité est accrédité, il est également appelé "organisme notifié".
  • Les autorités publiques.

Il appartient à chaque législation d'adapter les outils des NLF à son contexte - par exemple, l'AIA peut autoriser l'auto-évaluation pour certaines demandes à haut risque, et exiger des organismes notifiés pour d'autres.

3.2.4. Surveillance du marché

Chaque État membre est également responsable de la surveillance du marché sur son territoire ; il doit retirer les produits qui ne sont pas conformes à la législation de l'UE ou qui le sont mais qui ont été jugés trop dangereux.

La législation fournit généralement des détails supplémentaires sur la manière dont les autorités de surveillance du marché concernées fonctionneront. L'EAI, par exemple, précise les types de données auxquels les autorités de surveillance du marché doivent avoir accès (documentation, ensembles de données, code source, etc.) et les conditions dans lesquelles elles doivent le faire. ) et dans quelles conditions. Il précise également comment les autorités doivent se coordonner avec la Commission, les organismes notifiés ou les autorités d'autres pays.

3.2.5. Responsabilité

Les fournisseurs de systèmes d'IA, comme toute personne commercialisant un produit sur le marché de l'UE, sont également responsables des dommages causés par leurs produits défectueux. Bien que la responsabilité ne soit pas explicitement couverte par l'EAI, le non-respect de la réglementation de l'UE facilite les poursuites à l'encontre d'une organisation. Les propositions de révision de la directive sur la responsabilité du fait des produitset de la nouvelle directive sur la responsabilité en matière d directive sur la responsabilité en matière d'intelligence artificielle rendent cette situation encore plus claire.

Notes

 

[1] À noter que ce Conseil est distinct du Conseil européen (composé des chefs d'État des États membres de l'UE) et du Conseil de l'Europe (une organisation internationale entièrement distincte de l'UE).

[2] Selon le Parlement européen, 89 % des actes adoptés entre 2014 et 2019 l'ont été en "première lecture". Source ici.

[3] Règlement (CE) n° 765/2008 (ici), décision n° 768/2008/CE (ici), et le règlement UE 2019/1020 (ici) décrivent le fonctionnement de la surveillance du marché, la manière dont les évaluations de la conformité doivent être effectuées et la manière dont les organismes indépendants d'évaluation de la conformité sont accrédités. La décision n° 768/2008/CE contient une grande partie des éléments de base sur lesquels repose l'EAI.

[4] Points (8) et (11) du préambule, et article 3 de la décision n° 768/2008/CE(ici).

[5] Article R8 de la décision n° 768/2008/CE (ici).

[6] Annexe II de la décision n° 768/2008/CE (ici).