2- Une conformité nécessaire des bases
législatives avec celles du règlement général de
protection des données
L'importance des dangers, la Commission l'a bien comprise en
retenant une approche fondée sur les risques. La stratégie
adoptée est de focaliser la régulation sur les pratiques dites
«à haut risque» pour les droits fondamentaux, donc sur une
quantité limitée des systèmes d'IA. Cette solution est
considérée comme « flexible » car les conditions
d'application sont adaptées aux risques qu'ils représentent. Elle
figurait déjà dans le Livre Blanc du 19 février 2020 mais
elle se concrétise ici par l'élaboration d'un cadre juridique
strict.
C'est également dans ce livre blanc que les
systèmes à haut risque sont répartis selon plusieurs
critères, que l'IA Act s'est entaché de préciser. En
effet, l'article 6.1 prévoit les systèmes
considérés comme une composante de produits faisant
déjà l'objet d'une certification tierce-partie et l'article 6.2
ceux ayant des impacts prévisibles sur les droits fondamentaux. En
annexe, la Commission vient rajouter huit catégories de systèmes
à «haut risque» : l'identification biométrique et
catégorisation des personnes, la gestion et exploitation
d'infrastructures critiques, la formation et formation professionnelle,
l'emploi, la gestion des salariés et l'accès au travail
indépendant, l'accès et la jouissance de services privés
essentiels et de services publics, l'application de la loi (exécution
d'une décision de justice, enquête judiciaire), l'immigration,
l'asile et la gestion des contrôles à la frontière,
l'administration de la justice et processus démocratiques. Cependant,
cette disposition est contestable car les systèmes d'IA à
«haut risque» de cette liste ne font l'objet d'aucune réelle
justification, d'aucun critère commun. Or, l'encadrement de l'IA
étant en pleine construction, il est restrictif d'imaginer qu'aucune
mise à jour ou du moins difficilement puisse y être
ajoutée, pouvant remettre en cause le respect des valeurs
éthiques.
37
En remarquant que ces systèmes «à haut
risque» représentent en majeure partie des exploitations de
données personnelles, il est nécessaire de rappeler qu'un cadre
de protection des données personnelles existe déjà au
niveau de l'Union européenne en tant que règlement
général de la protection des données (RGPD) entré
en vigueur le 27 avril 2016. Il se fonde sur l'article 16 du Traité sur
le fonctionnement de l'UE (TFUE) qui garantit que «Toute personne a le
droit à la protection des données à caractère
personnelles la concernant». Il prévoit que les règles
sont fixées conjointement par le Parlement européen et le Conseil
et que son contrôle est assuré par les autorités
indépendantes. Le CEPD et le contrôleur européen
précisent dans leur avis qu'en instaurant un cadre juridique autour des
pratiques de l'IA, il est inévitable pour la Commission d'encadrer la
protection des données personnelles des personnes concernées.
Ainsi, le cadre de protection qu'elle envisage doit être en accord avec
celui du RGPD. Le CEPD, en tant que garant de l'application cohérente du
RGPD, insiste sur la nécessité de s'adapter aux restrictions et
aux réglementations établies dans ses dispositions pour
éviter des contradictions portant atteinte à la
sécurité juridique des usagers. Cela implique également
les relations entre les différentes autorités de protection au
sein de l'Union européenne qui doivent se fonder sur les mêmes
bases légales pour assurer une harmonisation dans cette protection.
Les autorités rappellent également l'importance
de cette conformité pour les professionnels. En effet, le respect des
obligations légales issues de la législation de l'Union est une
condition préalable pour pouvoir accéder au marché commun.
Elle passe par l'apposition du marquage CE, signe d'un respect des
législations techniques européennes. Ce marquage est obligatoire
pour tous les produits couverts par un nouveau cadre législatif
européen. Ils font l'objet d'un contrôle de conformité aux
exigences essentielles des textes européens pour pouvoir jouir du
principe de liberté de circulation garanti au sein de l'Union.
Ainsi, l'articulation avec le RGPD est un
élément essentiel qui permet d'affirmer l'approche
réglementaire européenne de l'intelligence artificielle
envisagée par la proposition de la Commission. Cette prise en compte ne
doit pas être négligée par la Commission car elle permet
d'élargir le spectre de la protection communautaire des données
personnelles à l'intelligence artificielle, renforçant de facto
le cadre juridique qui les entoure, propre aux exigences de l'Union. Ainsi, par
la garantie d'une sécurité juridique, la conformité des
bases législatives facilite l'investissement et l'essor de l'innovation
de l'intelligence artificielle à travers l'Union.
38
Ainsi, les critiques relatives à cette
réglementation se consacrent foncièrement à la protection
de cet encadrement. Cette sécurité recherchée repose sur
une analyse des dispositions de cette réglementation mais
également sur la mise en oeuvre institutionnelle et gouvernementale
rattachée à ce renforcement de la protection juridique.
| 
