Le 17 mai 2024, le Comité des ministres du Conseil de l’Europe a adopté le texte de la Convention-cadre sur l’intelligence artificielle, droits de l’homme, à la démocratie et à l’État de droit (la Convention-cadre). Au sein de l’UE le 13 mars 2024, le Parlement européen a approuvé le texte du règlement sur l’intelligence artificielle (le Règlement). Le Règlement sur l’IA s’applique aux 27 États membres de l’UE. Par contre, la Convention-cadre sera le premier traité international juridiquement contraignant sur l’IA dans le monde. Elle s’appliquera non seulement aux 46 États membres du Conseil de l’Europe, mais sera également ouverte à la ratification par d’autres États dans le monde entier.
Champ d’application des deux cadres
Le Règlement sur l’IA vise à réguler la mise sur le marché, la mise en service et l’utilisation des systèmes d’IA sur le territoire de l’Union. Ce Règlement a également pour objectif d’interdire les IA qui présentent des risques inacceptables. Le Règlement s’applique directement aux fournisseurs et déployeurs de systèmes d’IA qui souhaitent mettre leurs systèmes sur le marché de l’UE ou dont les systèmes d’IA génèrent des résultats utilisés dans l’Union.
Quant à la Convention-cadre, elle exige que les États adoptent ou gardent en vigueur les mesures législatives et administratives pour donner effet aux dispositions prévues. La Convention-cadre précise que ces mesures doivent être adaptées à la gravité et à la probabilité des effets négatifs potentiels tout au long du cycle de vie des systèmes d’intelligence artificielle.
Ainsi, alors que le Règlement s’applique directement aux entreprises privées visant le marché de l’UE, la Convention-cadre s’applique par le biais de mesures prises par les États signataires pour garantir que les systèmes d’intelligence artificielle sont conformes aux droits de l’homme, à la démocratie et à l’État de droit.
Quelques aspects problématiques de la réalisation des cadres
L’un des sujets principaux des débats sur le Règlement a été l’identification biométrique. L’article 5 du Règlement interdit, entre autres, l’identification biométrique à distance en temps réel « dans des espaces accessibles au public à des fins répressives, sauf si dans la mesure où cette utilisation est strictement nécessaire eu égards à l’un des » trois objectifs suivants : la recherche de personnes disparues et de victimes d’exploitation sexuelle ; la prévention d’une menace imminente (attentat terroriste) ; et la localisation ou l’identification d’une personne soupçonnée d’avoir commis un crime. Une autorisation préalable doit être obtenue auprès d’une autorité judiciaire ou administrative indépendante dont la décision est contraignante. Toutefois, en cas d’urgence, le système peut être utilisé sans autorisation.
Les risques posés par le système d’identification à distance sont beaucoup plus élevés que ceux posés, par exemple, par les perquisitions à domicile. C’est pourquoi il semble inapproprié qu’une telle autorisation soit donnée par une autorité autre qu’une autorité judiciaire, même si une autorité administrative est indépendante. Surtout que la biométrie présente un plus grand potentiel d’abus, car elle permet de suivre les individus d’une manière que les mots de passe et les codes PIN actuels ne peuvent pas faire. En outre, il est problématique qu’une autorité administrative soit en mesure de prendre une décision équilibrée fondée sur le critère du « strictement nécessaire » requis par l’article 5(1)(h). Cette tâche incombe normalement à un juge.
En ce qui concerne la Convention-cadre, un des aspects problématique largement discuté au cours des négociations est l’exclusion de facto du secteur privé de son champ d’application, principalement poussée par les États non membres du Conseil de l’Europe, tels que les États-Unis, le Canada et Israël. La Convention-cadre prévoit l’obligation de traiter les risques et les impacts découlant de l’utilisation de systèmes d’IA par des acteurs privés dans une déclaration soumise au moment de la signature. La Convention-cadre permet de modifier ces déclarations à tout moment.
Pour les Etats qui ont choisi de ne pas appliquer la Convention-cadre aux activités des acteurs privés, les auteurs s’attendent à ce que leur approche de la réglementation du secteur privé évolue au fil du temps. Il est difficile de comprendre comment cela peut assurer la sécurité juridique et la transparence, et être compatible avec la protection des droits de l’homme contre les effets néfastes des systèmes d’IA.
L’APCE (l’Assemblée parlementaire du Conseil de l’Europe) a déclaré que les principes d’autorégulation introduits par les acteurs privés ne sont pas suffisants et a sévèrement critiqué cette approche, en disant que: “le système de déclaration est loin d’être idéal pour la sécurité juridique et la prévisibilité des obligations imposées par la Convention-cadre […] Il va également à l’encontre du principe selon lequel les Etats ont des obligations positives de protéger les individus contre les violations des droits de l’homme commises par des acteurs privés”. Les risques pour les droits de l’homme posés par les systèmes d’IA, dont la plupart sont déployés par des géants non européens tels que OpenAI, Microsoft, Meta, Google ou ByteDance, sont de plus en plus considérables. L’approche juridique proposée par la Convention semble donc tout à fait insatisfaisante, car elle permet de transformer les individus en simples produits.
Un moment critique supplémentaire concerne l’exclusion de la sécurité nationale et la défense nationale du champ d’application de la Convention. Il est très probable que la Cour européenne des droits de l’homme (la CEDH), qui est déjà surchargée de plaintes individuelles, verra à l’avenir une augmentation des plaintes liées à l’ingérence dans le droit à la vie privée et à la correspondance par l’utilisation d’instruments d’intelligence artificielle, la surveillance par des systèmes de reconnaissance biométrique à distance. Les gouvernements argueront de la proportionnalité de ces mesures en se référant à des motifs de sécurité nationale.
Ces deux instruments ne sont pas encore en vigueur, mais le seront très bientôt. Il reste à voir l’évolution de leur mise en œuvre et de leur application ainsi que le développement de la jurisprudence de la CJUE et de la CEDH relative à l’utilisation des systèmes d’IA dans un avenir proche.
Emiliya Ramazanova
Promotion 2023/2024
#AIActe #CoE #AIConvention #identificationbiometrique
Sources :