Le 22 février 2022, le Comité Européen de la protection des données (CEPD – EUPD) a interpellé la Commission Européenne sur la nécessité d’adapter la Directive Produits Défectueux aux enjeux de l’intelligence artificielle. Une révision s’impose pour compléter la règlementation existante et permette aux victimes d’une défaillance d’un système d’IA de disposer de moyens de recours efficaces.
Le CEPD insiste sur quatre aspects :
- L’autonomie du régime de responsabilité par rapport au projet de Règlement sur l’intelligence artificielle (« IA Act »).
Le régime de responsabilité des produits défectueux concernerait l’ensemble des systèmes d’IA (et non les seuls systèmes d’IA à haut risque ou ceux traitant de données à caractère personnel). A défaut, il y aurait un vide législatif particulièrement préjudiciable aux utilisateurs.
- La clarification des rôles des différents acteurs, en particulier des fabricants.
Le CEPD souligne que le RGPD encadre en effet exclusivement la responsabilité du responsable de traitement et des sous-traitants. Or, il est essentiel de prendre en compte le rôle et la potentielle responsabilité des fournisseurs de systèmes d’IA, pour sécuriser le traitement de données, ce qui n’est pas le cas actuellement.
- La prise en compte des limites et risques spécifiques de l’IA en particulier l’aléa des résultats et la difficile identification des responsables en cas de survenance d’un dommage.
Le CEPD réitère ses recommandations de juin 2021 (avis conjoint 05/2021 sur le projet de règlement IA Act). Il rappelle la nécessité d’une explicabilité, transparence et intelligibilité des systèmes d’IA, afin de comprendre le fonctionnement normal du système, de disposer d’une visibilité suffisante sur les résultats attendus et de déterminer la cause d’une éventuelle défaillance. Il insiste également sur l’opportunité d’une supervision humaine systématique des systèmes, pour limiter les conséquences dommageables d’un comportement défaillant du système.
Le CEPD préconise par ailleurs que les fournisseurs soient tenus d’intégrer des éléments de « security by design » tout au long du cycle de vie du produit et de fournir des outils d’« atténuation » des conséquences dommageables en cas d’attaque (connues ou nouvelle). A l’inverse, l’utilisateur devrait être responsable d’assurer une exploitation sécurisée du système.
- Le déclenchement de ce régime en cas d’application inefficace des principes de protection des données par les fournisseurs et utilisateurs des systèmes, par exemple en cas de manque d’exactitude des données ou de défaut d’équité des décisions algorithmiques.
A noter que cette lettre s’inscrit dans le prolongement de la consultation publique effectuée en 2021 et 2022 par la Commission Européenne relative à l’adaptation des règles de responsabilité à l’ère numérique et à l’IA, qui devrait servir de base de travail à la rédaction d’un projet de texte en la matière (prévu au troisième trimestre 2022).
Source : ici
