Qui doit réguler les systèmes d’IA à haut risque? Sur le sujet, les autorités européennes de protection des données ont officialisé leur position et réclament d’être désignées comme autorité de contrôle de cette catégorie de systèmes d’intelligence artificielle.
Le règlement européen sur l’intelligence artificielle doit entrer en application à partir du 1er août 2024. Il prévoit que les États membres désignent une autorité de contrôle du marché chargée de s’assurer de la régulation des systèmes d’intelligence artificielle « à haut risque ».
Des IA pas comme les autres
Cette catégorie concerne les outils d’intelligence artificielle utilisés dans plusieurs domaines jugés sensibles et strictement définis par le règlement : les applications d’identification biométrique, de contrôle aux frontières, de gestion des migrations et les demandes d’asiles, mais aussi les systèmes chargés de l’administration de la justice ou des processus démocratiques.
Ces systèmes à haut risque doivent être soumis à des exigences supplémentaires, comme l’obligation de mettre en œuvre une journalisation du système, de s’assurer de la bonne qualité des données utilisées pour entraîner le modèle, de prévoir une analyse de risques préalable ou encore d’assurer une surveillance du système par des humains.
Dans ce contexte, les autorités européennes de protection des données souhaiteraient se voir désignées comme compétentes sur les systèmes d’IA à haut risque. Elles rappellent que cette désignation permettrait de s’assurer de la compatibilité entre le RGPD et le règlement sur l’IA. Les autorités de protection des données soulignent aussi qu’elles disposent déjà d’une expérience en matière de régulation des IA, du fait de leurs travaux sur la protection des données personnelles.
Prendre les devants
Comme le rappellent les membres du comité européen des autorités de protection des données, les États membres ont jusqu’au 2 août 2025 pour désigner une ou plusieurs autorités de contrôle chargées de s’assurer du respect des obligations. Au mois de mars, la Commission européenne appelait les États membres à se pencher sur la question afin de pouvoir proposer une ou plusieurs autorités de régulations compétentes avant la date limite.
Ces différentes autorités nationales travailleront en collaboration avec le bureau IA mis en place en février 2024 par la Commission européenne, chargé de coordonner et d’harmoniser la régulation au niveau européen.
Ce n’est pas exactement une surprise : la CNIL avait déjà évoqué le sujet lors de son dernier rapport d’activité annuel, rappelant que la Commission se tenait prête à prendre sa part dans l’effort de régulation des IA. La commission multiplie également depuis le début de l’année les publications visant à encadrer le déploiement des systèmes d’intelligence artificielle : ce matin, la Cnil a par exemple publié deux documents visant à clarifier les modalités de déploiement d’outils d’intelligence artificielle générative dans le respect de la législation existante en matière de protection des données.