Le Conseil des ministres espagnol a approuvé un avant-projet de loi pour une « utilisation éthique, inclusive et bénéfique de l’intelligence artificielle ». Il s’agit des adaptations au droit espagnol du règlement européen dit « AI Act » adopté par le Parlement européen en mars 2024, entré en vigueur en août dernier, et dont les mesures devront être déployées d’ici 2027.

• Droit

  AI Act européen : un compromis de haute lutte, de rares interdictions

  Droit

  Lundi 11 décembre 2023 à 16h35 11/12/2023 16h35

  2

« L’intelligence artificielle doit être utilisée pour la recherche sur le cancer ou la maladie d’Alzheimer, mais pas pour répandre la haine et attaquer les démocraties », a déclaré lors d’une conférence de presse Óscar López Águeda, ministre de la Transformation numérique et de la Fonction publique, rapporte l’édition espagnole de WIRED :

« L’IA est un outil très puissant, qui peut servir à améliorer nos vies ou à attaquer la démocratie. Il peut être utilisé pour rechercher le cancer ou la maladie d’Alzheimer, prévenir les catastrophes naturelles et découvrir de nouveaux médicaments. Mais c’est aussi un instrument pour répandre de fausses nouvelles et répandre la haine. C’est pourquoi sa bonne utilisation et sa gouvernance sont essentielles. »

Les contenus GenAI devront être identifiés comme tels au premier coup d’œil

Le non-respect de l’obligation d’étiqueter correctement toute image, son ou vidéo généré ou manipulé par l’IA « et montrant des personnes réelles ou inexistantes disant ou faisant des choses qu’elles n’ont jamais faites ou dans des lieux où elles ne sont jamais allées », qu’il s’agisse de « deepfakes » ou d’articles « GenAI », sera considéré comme une « infraction grave » :

« Ces contenus doivent être identifiés comme des contenus générés par l’IA « d’une manière claire et distincte au plus tard lors de la première interaction ou exposition », comme le précise le règlement de l’UE. »

Parmi les autres exemples d’infractions « graves », le Conseil des ministres cite également l’absence de supervision humaine d’une IA intégrant la biométrie pour contrôler la présence des travailleurs, ou encore l’absence de système de gestion de la qualité dans les robots contrôlés par IA et effectuant des tâches d’inspection et de maintenance dans les secteurs industriels.

Les sanctions iront de 500 000 euros à 7,5 millions d’euros ou de 1 % à 2 % du chiffre d’affaires mondial des entités prises en défaut. Wired et El Pais relèvent cependant que ni le règlement européen ni le ministre espagnol ne précisent comment cet étiquetage des contenus GenAI devrait être réalisé.

« Lorsque la réglementation sera élaborée, l’agence espagnole de supervision de l’intelligence artificielle (Aesia) établira les normes », a précisé Óscar López Águeda. Créée l’an passé, l’Aesia prévoit d’embaucher au moins 80 experts de diverses disciplines d’ici 2026, qui seront chargés d’examiner l’adéquation des différentes applications d’IA aux réglementations.

Les « infractions très graves » en matière de « systèmes à haut risque »

L’avant-projet de loi rappelle que les « systèmes à haut risque » susceptibles d’être poursuivies pour des « infractions très graves » devront quant à eux respecter un certain nombre d’obligations, « telles qu’un système de gestion des risques et de supervision humaine, une documentation technique, une gouvernance des données, la tenue de registres, la transparence et la communication des informations aux responsables du déploiement, un système de qualité, etc. ».

Sont notamment concernés les systèmes faisant partie des domaines suivants :

• biométrie, infrastructures critiques, éducation et formation professionnelle, emploi, accès et jouissance de services privés essentiels (tels que les services de crédit ou d’assurance) et de services et prestations publiques essentiels (tels que les services d’urgence ou de triage) ;
• tous ceux qui peuvent être ajoutés en tant que dispositifs de sécurité aux produits industriels, jouets, équipements radio, dispositifs médicaux et produits de transport ;
• ceux qui sont destinés à l’application de la loi, à la gestion des migrations, de l’asile et des contrôles aux frontières, à l’administration de la justice et aux processus démocratiques.

Sera par exemple considéré comme une infraction « très grave » le fait pour l’exploitant d’un système d’IA de ne pas signaler un incident grave (« tel que le décès d’une personne, un dommage ayant compromis une infrastructure critique ou un dommage à l’environnement »), ou de ne pas se conformer aux injonctions d’une autorité de surveillance du marché. Dans ce cas, les sanctions s’échelonneront de 7,5 à 15 millions d’euros, ou jusqu’à 2 à 3 % du chiffre d’affaires mondial de l’année précédente.

Jusqu’à 35 millions d’euros d’amendes pour les « pratiques interdites »

L’avant-projet de loi rappelle enfin que le règlement européen définit, depuis le 2 février 2025, des « pratiques interdites » qui pourront, à partir du 2 août 2025, être sanctionnées par des amendes ou d’autres mesures complémentaires, telles que l’ « obligation d’adapter le système pour le rendre conforme, l’interdiction de le commercialiser, etc. ».

Est par exemple interdite l’utilisation de techniques subliminales pour « manipuler des décisions sans consentement », causant un « préjudice considérable » à la personne (« addictions, violence sexiste ou atteinte à l’autonomie »). Le projet évoque par exemple le fait pour un chatbot d’identifier les utilisateurs ayant une addiction au jeu et de les inciter à accéder, par des techniques subliminales, à une plateforme de jeu en ligne.

Est également interdit le fait d’exploiter les vulnérabilités liées à l’âge, au handicap ou au statut socio-économique pour « modifier substantiellement » les comportements d’une manière qui leur cause ou serait susceptible de leur causer un « préjudice important ». Exemple : un jouet pour enfants doté d’une intelligence artificielle qui encouragerait des mineurs à relever des défis susceptibles de leur causer un préjudice physique grave.

La classification biométrique des personnes en fonction de leur race ou de leur orientation politique, religieuse ou sexuelle (« par exemple, un système biométrique de catégorisation faciale censé déduire l’orientation politique ou sexuelle d’une personne en analysant ses photos sur les médias sociaux ») est bien évidemment interdite, tout comme :

• la notation d’individus ou de groupes sur la base de leur comportement social ou de leurs traits personnels, pour leur refuser des subventions ou des prêts par exemple ;
• l’évaluation du risque qu’une personne commette un délit sur la base de données personnelles telles que les antécédents familiaux, le niveau d’éducation ou le lieu de résidence, « sauf exceptions légales » ;
• la déduction ou inférence des émotions sur le lieu de travail ou dans les établissements d’enseignement en tant que méthode d’évaluation en vue d’une promotion ou d’un licenciement, « sauf pour des raisons médicales ou de sécurité ».

Les sanctions pour ce type de systèmes oscilleront entre 7,5 et 35 millions d’euros, ou entre 2 % et 7 % du volume d’affaires mondial de l’année précédente, si ce dernier chiffre est plus élevé, « le montant le plus élevé étant retenu, sauf dans le cas des PME, qui peut être le plus petit des deux montants ».

Les autorités chargées de contrôler les systèmes interdits seront l’Agence espagnole de protection des données (pour les systèmes biométriques et la gestion des frontières), le Conseil général du pouvoir judiciaire (pour les systèmes d’IA dans le domaine de la justice), le Conseil central électoral (pour les systèmes d’IA affectant les processus démocratiques) et l’Agence espagnole de supervision de l’intelligence artificielle dans tous les autres cas.

L’Espagne serait le premier pays européen à adapter l’AI Act. À notre connaissance, la France n’a pas encore de projet similaire.