Le futur cadre règlementaire européen sur l'IA
Le 21 avril 2021, la Commission européenne a publié la proposition de règlement sur l’intelligence artificielle, communément appelé « AI-Act ». Celui-ci sera complété par une convention européenne convention sur l'IA, laquelle sera le premier outil sur l’intelligence artificielle, qui soit légalement contraignant à un niveau international.
Dans le contexte de l'application de cette future règlementation, s'est alors posée la question de définir au niveau national une autorité de contrôle, de coordination et de supervision.
Le Conseil d’État a proposé, dès l’été 2022, que la CNIL remplisse ce rôle.
C'est ainsi que, dans le cadre de la future règlementation sur l’IA ; le Conseil d'Etat a souligné « la très forte adhérence entre la régulation des systèmes d'IA [à venir] et celle des données, en particulier des données à caractère personnel ».
C'est chose faite puisque la Cnil vient d'annoncer la création d'un service dédié à l'IA, lequel sera rattaché à la direction des technologies et de l’innovation.
Répondant à un enjeu de société, l'ambition de la CNIL est : "d'organiser la transparence et la compréhension d’une technologie bien souvent perçue comme une « boîte noire » afin d’en assurer une régulation équilibrée et permettre aux organismes, aux personnes concernées, et à la CNIL de maîtriser les risques pour la vie privée".
Dès lors, la compréhension fine du fonctionnement des systèmes d’IA, ainsi que les impacts sur la vie privée et autres droits fondamentaux devient ainsi un enjeu essentiel pour les régulateurs du numérique.
Et en pratique ?
Le projet de règlement sur l’IA de la Commission européenne prévoit que les systèmes d’IA jugés à « haut risque » pour la vie privée devront faire l’objet audits, qui conduiront à un « marquage CE » attestant de leur conformité (certifiés par un organisme notifié ou par contrôle interne).
Dans une logique de conformité continue, ces audits devront assurer, en amont de la mise en place des systèmes d’IA, que leurs caractéristiques sont conformes avec les exigences inscrites dans la réglementation.
A ce titre des sanctions plus importantes encore que celles du RGPD sont prévues (6 millions d'euros du CA ou 30 millions d'euros).
Si l'Intelligence Artificielle est déjà soumise au RGPD, cette nouvelle règlementation européenne ainsi que les prochaines recommandations de la CNIL dessineront un nouveau périmètre d'activité pour les DPO et tous les professionnels de la data.
Mais pas de panique ! Dastra vous a déjà concocté des modèles d'audits sur la mise en place d'un système d'IA.
L'IA pose des questions cruciales et nouvelles au regard de la conformité au RGPD, si vous avez des questions, n'hésitez pas à nous contacter !