Mise en œuvre de la réglementation européenne sur l’IA

En cours d’examen à la Chambre des Députés du Luxembourg, le projet de loi n° 8476 a pour objectif la mise en œuvre des aspects organisationnels et procéduraux du règlement sur l’IA en vue de l'application de certaines de ses dispositions dès ce mois-ci.

Le 23 décembre 2024, le projet de loi n° 8476 a été publié pour mettre en œuvre les principales dispositions du règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, qui établit des règles harmonisées sur l'intelligence artificielle (le règlement sur l'IA - voir plus en détail une contribution dans le bulletin d'information de juillet 2024 de BSP). Le projet de loi, actuellement en discussion à la Chambre des Députés du Luxembourg, se concentre sur la mise en œuvre des aspects organisationnels et procéduraux du règlement sur l’IA en vue de l'application de certaines de ses dispositions qui entrent en vigueur en février 2025. Les mesures proposées dans le projet de loi s’alignent sur le cadre réglementaire bien établi de l'Union européenne (UE). Son adoption représente une étape clef pour renforcer la conformité et la surveillance des systèmes d’IA au Luxembourg.

Un cadre européen pionnier en matière d’IA

Le règlement sur l’IA est un effort législatif historique qui établit le premier cadre mondial complet pour réglementer l'utilisation de plus en plus répandue de l'intelligence artificielle (IA). À l'instar de ses efforts dans le domaine environnemental, social et de la gouvernance (ESG), il  reflète l'ambition de l’Union européenne de jouer un rôle de premier plan dans la gouvernance de domaines délicats et non réglementés et d’orienter l’économie mondiale vers la durabilité, - voir plusieurs contributions dans la lettre d'information d'octobre 2024 de BSP.

Avec la montée en puissance des entreprises dites « Big Tech », principalement basées aux États-Unis, et le marché croissant des produits et services intégrant l'IA, le règlement sur l’IA nécessite une structure réglementaire étendue. Ce cadre doit permettre d’identifier efficacement les systèmes d’IA à haut risque et de mettre en œuvre des mesures correctives appropriées au sein du marché commun de l’UE, qui compte vingt-sept États membres.

La structure organisationnelle, les pouvoirs et les procédures décrits dans le projet de loi n° 8476 s'inspirent largement du règlement (UE) 2019/1020 relatif à la surveillance du marché et à la conformité des produits (le règlement relatif à la conformité). Pierre angulaire de la surveillance du marché de l'UE, le règlement relatif à la conformité établit des mécanismes visant à garantir le respect des règles harmonisées de l’UE, en définissant les pouvoirs d’exécution, les sanctions et les procédures de coopération pour les autorités nationales. 

Le règlement sur l’IA ne détaille pas tous les aspects procéduraux de son application, déléguant plutôt aux États membres la responsabilité d'identifier les autorités compétentes conformément aux principes énoncés dans le règlement relatif à la conformité. Le projet de loi contribue donc à combler cette lacune réglementaire dans le cadre national luxembourgeois. 

Organismes de notification et d'évaluation de la conformité

Comme pour les autres secteurs régis par les règlements européens, l’entrée sur le marché des produits et services d’IA repose principalement sur l’auto-évaluation de la conformité par les producteurs et prestataires de services nationaux. Les fournisseurs de services d’IA qui déploient des systèmes d’IA ne présentant pas de risque élevé, tels que les chatbots ou les moteurs de recommandation basés sur l’IA, doivent veiller à respecter les principes de transparence et d’éthique énoncés dans le règlement sur l'IA. Toutefois, ces fournisseurs ne sont pas tenus d’obtenir une approbation préalable avant d’introduire leurs produits sur le marché. Chaque fournisseur doit déterminer si son système d’IA relève de la catégorie « à haut risque » à l'aide des critères définis à l'annexe III du règlement sur l’IA. 

Inversement, les fournisseurs de systèmes d’IA à haut risque ne sont pas seulement soumis à une obligation d'auto-évaluation, mais doivent également s’assurer que les autorités de l’État membre dans lequel ils sont établis sont formellement informées de leur déploiement. 

À cette fin, en vertu du règlement sur l’IA, certaines autorités nationales, désignées comme « autorités notifiantes », ont pour rôle d'informer la Commission européenne et les autres autorités nationales des notifications reçues. Le projet de loi n° 8476 précise qu'au Luxembourg, les trois autorités notifiantes sont principalement :

• l'Office luxembourgeois d’accréditation et de surveillance (OLAS) ; 
• l’Agence luxembourgeoise des médicaments et produits de santé (ALMPS), pour les systèmes d’IA à haut risque appliqués aux dispositifs médicaux et à leurs accessoires, ainsi qu'aux dispositifs médicaux de diagnostic ; et 
• Le Commissariat du gouvernement à la protection des données auprès de l’État (CGPD), pour les systèmes d’IA susceptibles d’affecter les données à caractère personnel selon les besoins des procédures gérées par l’État et ses ministères et organismes.

Compte tenu du risque d'emprise réglementaire et de la nécessité d’une application impartiale du règlement sur l’IA, le projet de loi n° 8476 établit expressément que les autorités notifiantes doivent exercer leurs pouvoirs de manière indépendante, impartiale et sans parti. En tant qu’organes chargés de fonctions d’intérêt général, les autorités notifiantes sont censées jouer un rôle crucial dans la garantie du respect des droits fondamentaux. 

Il convient de noter que l’évaluation des systèmes d’IA à haut risque n'est pas immédiatement effectuée par les autorités notifiantes, mais par des organismes d’évaluation de la conformité (OEC). organisations indépendantes désignées par les autorités notifiantes. Elles ont pour mission d’évaluer la conformité des systèmes d'IA classés à haut risque avec les règles du règlement sur l'IA, sur la base de normes, de documentation, d'essais et d'audits et dans le respect des exigences en matière de sécurité, de transparence et de surveillance humaine. Étant donné que les OEC préparent en dernier ressort les notifications pertinentes pour les autorités notifiantes, ils sont des entités réglementées soumises aux exigences du règlement sur l’IA (dont l'impartialité) et restent sous la surveillance des autorités notifiantes. 

Dans le cas des systèmes d'IA à haut risque destinés aux autorités chargées de l'application de la loi, de l'immigration ou de l'asile, ou aux institutions ou organes de l'UE, et en raison de la nature sensible des données concernées, l'évaluation normalement effectuée par les OEC est confiée à la Commission nationale pour la protection des données (CNPD).

Autorités de surveillance

Les missions des autorités de surveillance sont plus étendues que celles des autorités de notification, puisqu’elles englobent le contrôle du respect du règlement sur l’IA par tous les opérateurs du marché. Le projet de loi n° 8476 adopte une approche fondée sur les compétences pour identifier les autorités de surveillance au Luxembourg. Il élargit les tâches des autorités et organismes existants pour y inclure la surveillance de toutes les parties prenantes concernées par les systèmes d’IA (par exemple, les fournisseurs, les distributeurs, les déployeurs, les opérateurs). De manière cohérente, les entités suivantes sont identifiées comme étant les autorités de surveillance, dans la mesure où les systèmes d’IA sont mis sur le marché, mis en service ou utilisés par des entités soumises à leur surveillance :

• la Commission nationale pour la protection des données (CNPD) ; 
• l’Autorité de contrôle judiciaire ; 
• la Commission de surveillance du secteur financier (CSSF) et le Commissariat aux assurances (CAA) ;
• l’Institut luxembourgeois de la normalisation, de l'accréditation, de la sécurité et qualité des produits et services (ILNAS) ;
• l’Institut luxembourgeois de régulation (ILR) ;
• l’Agence luxembourgeoise des médicaments et produits de santé (ALMPS) ; et 
• l’Autorité luxembourgeoise indépendante de l'audiovisuel (ALIA).

Parmi celles-ci, la CNPD est désignée par défaut comme l'autorité horizontale de surveillance du marché, ce qui s’explique aisément par le fait qu’un grand nombre de données traitées par les systèmes d’IA sont des données à caractère personnel et que la plupart des pratiques d'IA couvertes par le règlement sur l’IA impliquent l’utilisation de données à caractère personnel. Il convient également de noter que, conformément aux règles de l’Union bancaire, la CSSF est invitée à communiquer à la Banque centrale européenne toute information sur les systèmes d’IA, identifiée dans le cadre de ses activités de surveillance du marché, qui pourrait présenter un intérêt potentiel pour les missions de surveillance prudentielle de cette dernière.

Dans un souci d’exhaustivité réglementaire, le projet de loi définit la liste des missions des autorités de surveillance en se référant expressément à la liste des missions prévues par le règlement relatif à la conformité. En ce qui concerne les produits ou services intégrant l’IA commercialisés dans le marché commun de l'UE, ces missions peuvent être résumées comme suit : 

• ­surveillance des opérateurs du marché, 
• adoption de mesures correctives appropriées et proportionnées en cas de non-respect du règlement sur l’IA, et 
• sanctions proportionnées et adéquates, le cas échéant. 

En outre, le projet de loi fait également référence à la liste des pouvoirs pris en compte dans le règlement relatif à la conformité dont les plus importants sont les suivants :

• obtenir des opérateurs du marché des documents et, d’une manière générale, des informations de toute nature sur les systèmes d’IA, dans la mesure où ils sont pertinents pour l’enquête ;
• lancement d’enquêtes et d’investigations sur les opérateurs du marché ;
• effectuer des inspections et des descentes à l’aube, ainsi que des contrôles physiques des produits ;
• l’accès aux locaux, terrains, moyens de transport, etc. ;
• exiger des opérateurs du marché qu'ils prennent des mesures appropriées pour mettre fin à la non-conformité ou éliminer les risques ;
• adopter des mesures en cas de manquement à l’obligation de prendre des mesures correctives ou d’éliminer les risques, y compris restreindre la disponibilité des produits sur le marché, ou ordonner leur retrait ou leur rappel ;
• sanctionner les opérateurs du marché ; et
• acquérir des échantillons de produits, y compris sous une identité d'emprunt, pour les inspecter.

Comme les autorités notifiantes, les autorités de surveillance doivent également exercer leurs pouvoirs de manière indépendante, impartiale et sans parti pris. Ainsi, en veillant au respect du règlement sur l’IA, les autorités de surveillance jouent un rôle essentiel dans la promotion de la confiance dans les systèmes d’IA tout en préservant les intérêts publics.

Coopération entre les autorités nationales de l'UE

Le projet de loi contient également des règles visant à clarifier les dispositions du règlement sur l’IA relatives à la coopération entre les autorités nationales (tant en matière de notification que de surveillance), ce qui est essentiel pour garantir une application uniforme dudit règlement dans les États membres de l’UE, renforçant ainsi l’équité et la prévisibilité de sa mise en œuvre. Dans ce cadre, la CNPD est désignée comme point de contact unique.

Dans ce cadre, conformément au principe de coopération loyale, les autorités nationales doivent se coordonner et coopérer lorsque cela est nécessaire pour l’application du règlement sur l’IA. Conformément à ces objectifs, dans le cadre de la réglementation sur l’IA et d’autres secteurs réglementés, les autorités nationales peuvent établir des accords de coopération formels afin d’améliorer le partage d’informations et la coordination. 

En vertu du règlement sur l’IA, les décisions de contrôle prises par une autorité nationale pour corriger les cas de non-conformité susceptibles de dépasser le territoire de l'État membre sont notifiées à la Commission européenne et aux autres autorités de surveillance. En cas de non-respect de ces décisions correctives, les autorités nationales peuvent interdire ou restreindre la commercialisation des systèmes d’IA non conformes. Si ces mesures restrictives ne sont pas respectées, la Commission européenne peut intervenir pour diriger une procédure de sauvegarde de l’Union impliquant les autorités nationales et les opérateurs, qui pourrait se terminer par une décision effective pour ces derniers ainsi que pour l’ensemble du marché commun de l'UE.

Ainsi, le secret professionnel – bien que protégé par diverses réglementations sectorielles luxembourgeoises – ne doit pas faire obstacle à la coopération et à l’échange d’informations lorsque cela est nécessaire pour assurer une surveillance efficace du marché et l’application du règlement sur l’IA. 

Perspectives et défis à venir 

Le projet de loi n° 8476 aligne de manière significative le paysage réglementaire luxembourgeois sur les efforts ambitieux de l’UE pour établir un cadre harmonisé en matière d’IA visant à garantir que les systèmes d’IA entrant sur le marché respectent les exigences de transparence, d’éthique et de sécurité. De ce point de vue, l’établissement d’une approche de la surveillance basée sur les compétences et la désignation de la CNPD comme point de contact unique reflètent le rôle critique de l’expertise et de la protection des données dans la gouvernance de l’IA, soulignant la nécessité de mécanismes de surveillance robustes, en particulier pour les applications d’IA à haut risque.

Comme dans le cas d'autres domaines réglementés de l'UE, une coordination transfrontalière efficace, le partage d'informations et la réaction contre les opérateurs non conformes seront essentiels pour éviter les lacunes et les incohérences réglementaires susceptibles de compromettre les objectifs primordiaux du règlement sur l’IA. Il sera essentiel de trouver un juste équilibre entre l’innovation et la surveillance réglementaire pour que les technologies de l’IA apportent une contribution positive à la société tout en atténuant les risques potentiels. Cela est d’autant plus important que les systèmes d’IA sont massivement pilotés par des entreprises non européennes. 

À cet égard, le recours aux OEC pour les systèmes d’IA à haut risque, bien qu’il ne soit pas inconnu dans d'autres zones du marché commun de l’UE, présente également des défis potentiels, notamment le risque de fragmentation réglementaire et de forum shopping entre les États membres de l’UE. Veiller à ce que les OEC fonctionnent de manière indépendante, impartiale et en étroite coordination avec les autorités de notification sera l’un des points cruciaux pour maintenir la confiance du public et assurer une application cohérente dans les différentes juridictions.