Cet article a été rédigé sur la base de la dernière version du projet de la Convention-cadre sur l’intelligence artificielle, les droits de l’homme, la démocratie et l’État de droit en date du 18 décembre 2023. Les informations présentées peuvent donc varier à la marge par rapport à la version du texte qui sera finalement adoptée.
Le Comité sur l’intelligence artificielle (CAI) du Conseil de l’Europe négocie actuellement une nouvelle convention-cadre sur l’IA, les droits de l’homme, la démocratie et l’État de droit (« Convention-cadre »).
5 points à retenir :
- Des principes généraux communs aux règlementations occidentales publiées à ce jour.
- Un champ d’application qui rejoint celui de l’AI Act à l’exception de l’exclusion du secteur privé défendue par les États-Unis contre la Commission européenne.
- Une approche fondée sur le risque des systèmes d’IA (« SIA ») d’atteinte aux droits fondamentaux.
- Une large marge de manœuvre laissée aux États signataires.
- Un risque d’exclusion du secteur privé du champ d’application de la Convention-cadre.
Introduction
Dans un contexte d’essor de l’intelligence artificielle, la **Convention-cadre** vise à établir des règles claires. La Chine, par exemple, ambitionne de devenir d’ici 2030, le leader mondial de ce secteur, notamment dans l’industrie automobile et la médecine. Le domaine de la santé est en effet prioritaire pour la Chine, qui, depuis 2014, est le deuxième pays le plus avancé au monde dans l’e-santé. La société chinoise Alibaba a par ailleurs développé en 2014 la plateforme AliHealth, devenue aujourd’hui une référence dans l’e-pharmacie.
Concrètement, que fait le Conseil de l’Europe avec cette **Convention-cadre** sur l’intelligence artificielle ? Peut-elle rivaliser avec les régulations en place dans des pays comme la Chine ou au sein de l’Union européenne ? Quelles sont les obligations pour les entreprises ? Cet article explore ainsi ces nouvelles pratiques et leurs implications.
Petit rappel sur le Conseil de l’Europe :
Le Conseil de l’Europe n’est pas un organe de l’Union européenne et ne doit pas être confondu avec le Conseil européen ni avec le Conseil de l’Union européenne. Il s’agit d’une organisation intergouvernementale qui a pour objectifs, entre autres, de défendre les droits de l’Homme, de promouvoir la diversité culturelle de l’Europe et de lutter contre les problèmes sociaux tels que la discrimination raciale et l’intolérance.
Il compte aujourd’hui 46 États membres, dont les 27 membres de l’Union européenne. Les États-Unis, le Canada, le Japon, le Saint Siège et le Mexique ont un statut d’observateurs.
En particulier, le Conseil de l’Europe a contribué à la création d’un espace juridique commun fondé sur la Convention européenne des droits de l’homme, à la mise en œuvre d’environ 25 000 arrêts de la Cour européenne des droits de l’homme et à l’élaboration de plus de 200 traités internationaux juridiquement contraignants, définissant des normes sur des questions telles que la violence à l’égard des femmes, les abus sexuels sur des enfants, la traite des êtres humains, la cybercriminalité et la protection des données.
La **Convention-cadre** s’ajouterait donc à la liste de ces traités internationaux.
Benchmark de la Convention-cadre sur l’IA et l’AI Act
L’exclusion des SIA en R&D : À l’instar de l’AI Act qui exclut de son champ d’application les SIA spécifiquement développés et mis en service dans le seul but de la recherche scientifique et du développement, la recherche et le développement sont exclus du cadre de la **Convention-cadre**, mais uniquement dans la mesure où elles n’interfèreraient pas avec les droits fondamentaux, la démocratie et l’État de droit.
L’exclusion des SIA utilisés à des fins de défense et de sécurité nationale : La défense et la sécurité nationales sont également exclues du champ d’application de la Convention, comme le prévoit l’AI Act (en plus de ceux développés ou utilisés à des fins militaires).
Une probable exclusion des SIA à haut risque du secteur privé : c’est le principal point d’achoppement et de différence majeure avec l’AI Act. Les négociateurs doivent encore décider si la convention s’appliquera uniquement à l’utilisation des systèmes d’IA par les autorités publiques et les entités agissant en leur nom, ou si elle s’appliquera également à l’IA à haut risque dans le secteur privé.
Principes généraux de la Convention-cadre
La **Convention-cadre** impose deux obligations générales : des mesures doivent être adoptées et maintenues par les États (1) pour garantir la compatibilité des SIA avec les obligations nationales et internationales en matière de droits de l’homme et (2) pour protéger la participation aux processus démocratiques.
Le texte prévoit huit principes généraux que les États doivent intégrer dans leur propre système juridique national. Ces principes sont communs aux instruments juridiques occidentaux déployés à ce jour, contraignants ou non, tels que l’AI Act, l’Executive Order du Président Biden, le « Blueprint for an AI Bill of Rights », les principes dégagés par l’OCDE, par le processus d’Hiroshima ou la déclaration de Betchley :
- Dignité humaine et autonomie individuelle
- Transparence et contrôle
- Explicabilité et responsabilité
- Égalité et non-discrimination
- Protection de la vie privée et des données à caractère personnel
- Préservation de la santé et de l’environnement
- Fiabilité et confiance
- Innovation sûre
À l’instar de l’AI Act, la **Convention-cadre** adopte une approche fondée sur les risques des SIA. Les systèmes d’IA à haut risque, en particulier ceux pouvant porter atteinte aux valeurs de la Convention-cadre, sont encadrés.
Exigences relatives à l’évaluation et à l’atténuation des risques
Le texte consacre un chapitre spécifique à l’évaluation et à l’atténuation des risques par la mise en place de mesures répondant à huit exigences relatives aux SIA:
- Prendre dûment en compte le contexte et l’utilisation prévue du SIA
- Tenir compte de la gravité, de la durée et de la réversibilité des risques potentiels et des impacts négatifs liés au SIA
- Intégrer le point de vue de toutes les parties prenantes concernées, y compris toute personne dont les droits pourraient être affectés par le SIA au long de son cycle de vie
- Exiger l’enregistrement, le suivi et la prise en compte des impacts négatifs résultant de l’utilisation des SIA
- Veiller à ce que les processus de gestion des risques et des incidences soient menés de manière itérative tout au long de la conception, du développement, de l’utilisation ou de la mise hors service du système d’intelligence artificielle
- Exiger que les processus de gestion des risques et des incidences soient dûment documentés
- Exiger la publication des informations relatives aux efforts déployés pour identifier, évaluer, atténuer et prévenir les risques et les impacts négatifs
- Exiger la mise en œuvre de mesures de prévention et d’atténuation suffisantes pour faire face aux risques et aux incidences négatives identifiés, y compris, le cas échéant, l’obligation de procéder à des essais préalables du système avant qu’il ne soit mis à disposition pour une première utilisation
Les systèmes d’IA à moindre risque sont exclus du champ d’application de la convention et ne fournit pas de liste distincte de SIA interdits.
Cependant, elle autorise les parties à adopter des moratoires, des interdictions ou d’autres mesures concernant certaines utilisations de SIA jugées incompatibles avec les droits de l’homme, la démocratie et l’État de droit, laissant la décision d’interdire des applications spécifiques de l’IA à la discrétion des États contractants.
Articulation entre la Convention-cadre sur l’IA et l’AI Act
Le projet de **Convention-cadre** est ouvert à la signature puis à la ratification des États parties, des États non-membres qui ont participé à son élaboration et des États membres de l’Union européenne.
Contrairement à l’AI Act, elle ne confère pas directement de droits ou n’impose pas d’obligations aux personnes physiques ou aux organisations privées. Sa fonction première est de lier les États signataires et les autres organisations internationales à la convention.
L’entrée en vigueur des dispositions de l’AI Act dans les législations des États membres de l’Union Européenne ne constituera pas une adhésion automatique aux exigences de la **Convention-cadre**. Chacun des 27 États membres qui le souhaite devra la signer, la ratifier et s’engager à mettre en œuvre les principes spécifiques aux droits de l’homme, à la démocratie et à l’état de droit issus de cette dernière.
Étant donné que le texte en est encore à l’état de projet et qu’il n’est pas encore juridiquement contraignant, son application future dépendra donc de la manière dont il sera ratifié et intégré dans les législations nationales des parties.