En mars de cette année, le gouvernement britannique a annoncé un programme affirmé sur l’intelligence artificielle (IA) en lançant un Conseil britannique de cybersécurité et en révélant son intention de publier une stratégie nationale d’intelligence artificielle (la stratégie britannique).
Les détails de la stratégie britannique seront publiés plus tard cette année, mais à ce stade, nous comprenons qu’elle se concentrera en particulier sur la promotion de la croissance de l’économie grâce à une utilisation généralisée de l’IA avec, en même temps, un accent sur l’éthique, la sécurité, et un développement fiable de l’IA, notamment grâce à l’élaboration d’un cadre législatif pour l’IA qui favorisera la confiance du public et des règles du jeu équitables.
Peu de temps après l’annonce du gouvernement britannique, la Commission européenne a publié une proposition de cadre législatif européen sur l’IA (le règlement de l’UE) qui fait partie du «paquet IA» global de la Commission. Le règlement de l’UE vise à garantir la sécurité des personnes et la protection des droits fondamentaux de l’homme, et classe l’IA dans des cas d’utilisation inacceptables, à haut ou à faible risque.
À propos des auteurs
Cet article est rédigé par Mike Pierides, partenaire de Morgan Lewis, et Charlotte Roxon, associée
Sommaire
Règlement UE
Le règlement de l’UE propose de protéger les utilisateurs «là où les risques que posent les systèmes d’IA sont particulièrement élevés». La définition et les catégories de cas d’utilisation à haut risque de l’IA sont larges et englobent de nombreux cas d’utilisation, sinon la plupart, qui concernent des individus, y compris l’utilisation de l’IA dans le contexte de l’identification biométrique et de la catégorisation des personnes physiques, de la gestion des infrastructures essentielles et de l’emploi. et la gestion des travailleurs.
Une grande partie du règlement de l’UE vise à imposer des obligations prescrites concernant ces cas d’utilisation à haut risque, y compris des obligations d’entreprendre des «évaluations des risques» pertinentes, de mettre en place des systèmes d’atténuation tels que la surveillance humaine et de fournir des informations transparentes aux utilisateurs. Nous prévoyons qu’en plus de la conduite des politiques d’IA au sein des fournisseurs et des utilisateurs de l’IA, bon nombre de ces obligations seront répercutées par les clients dans leurs contrats avec les fournisseurs d’IA.
L’Union européenne a interdit les cas d’utilisation de l’IA qu’elle considère comme une menace «inacceptable» pour la sécurité, les moyens de subsistance et les droits des personnes. Ces cas incluent l’utilisation de systèmes d’identification biométrique à distance en temps réel à des fins d’application de la loi dans des espaces accessibles au public (sauf autorisation exceptionnelle par la loi) et l’utilisation de systèmes qui déploient des techniques subliminales pour déformer le comportement d’une personne ou exploiter les «vulnérabilités» d’individus. , de manière à causer ou être susceptible de causer un préjudice physique ou psychologique.
Le règlement de l’UE a également défini des cas d’utilisation de l’IA «à faible risque» (par exemple, l’utilisation dans des filtres anti-spam) dans lesquels aucune obligation spécifique n’est imposée, bien que les fournisseurs d’IA à faible risque soient encouragés à se conformer à un code de conduite de l’IA pour garantir que leur IA les systèmes sont dignes de confiance.
Le non-respect du règlement pourrait entraîner de lourdes amendes de type RGPD pour les entreprises et les fournisseurs, avec des amendes proposées allant jusqu’à 30 millions d’euros ou 6% du chiffre d’affaires mondial.
Le règlement de l’UE a une application extraterritoriale, ce qui signifie que les fournisseurs d’IA qui rendent leurs systèmes disponibles dans l’Union européenne ou dont les systèmes affectent des personnes dans l’Union européenne ou ont une production dans l’Union européenne, quel que soit leur pays d’établissement, seront tenus pour se conformer au nouveau règlement de l’UE.
Stratégie britannique: cadre législatif
D’un point de vue législatif, le point de départ du Royaume-Uni sur la législation relative à l’IA est similaire à celui de l’Union européenne, car la protection des données des personnes est principalement régie par la législation dans le RGPD et l’accent mis par cette législation sur la priorité accordée aux droits des individus. Après le Brexit, le Royaume-Uni montre des signes de volonté de s’écarter de «l’approche européenne» inscrite dans le RGPD, comme l’avait annoncé le secrétaire au numérique Oliver Dowden début mars, bien que les détails d’une telle divergence restent flous.
Cela pourrait indiquer que le cadre législatif britannique en matière d’IA s’écartera consciemment du règlement proposé de l’UE, probablement pour être moins prescriptif en ce qui concerne les obligations imposées aux fournisseurs et aux utilisateurs de ce que la Commission européenne a qualifié d’IA «à haut risque». cas d’utilisation. Cependant, pour le moment, il ne s’agit que de conjectures. L’un des défis auxquels le Royaume-Uni sera confronté, comme il le fait avec le RGPD, est l’impact extraterritorial du règlement de l’UE et la nécessité de garantir que les flux de données entre l’Union européenne et le Royaume-Uni restent relativement peu affectés par le Brexit.
Prochaines étapes
Au Royaume-Uni, le gouvernement a commencé à collaborer avec les fournisseurs d’IA et les consommateurs sur la feuille de route du Conseil de l’IA, qui se poursuivra tout au long de l’année pour développer la stratégie britannique.
Dans l’Union européenne, le Parlement européen et les États membres de l’UE devront adopter les propositions de la Commission européenne sur l’IA pour que le règlement de l’UE entre en vigueur.
Les détails de fond de la stratégie britannique étant encore inconnus, les acteurs du marché observeront attentivement dans quelle mesure la nouvelle stratégie du Royaume-Uni s’alignera sur le cadre législatif proposé par la Commission européenne.
