Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 315

Une souplesse nécessaire
pour l'identification des
systèmes d'IA à « haut risque »
Le choix d'une qualification des
systèmes d'IA à « haut risque » par
référence à une liste prédéterminée
(Annexe III) peut être interrogée.
Si la Commission dispose bien
du pouvoir de modifier régulièrement
cette Annexe50
, une telle
approche peut avoir pour effet
d'affaiblir l'approche plus générale
par le prisme des risques, pourtant
choisie par celle-ci. En effet, une
description détaillée des domaines
et des caractéristiques des systèmes
d'IA considérés comme à haut
risque dans cette Annexe III a non
seulement pour désavantage de
figer l'état de la technologie à un
instant donné (et ainsi de manquer
d'adaptabilité), mais également
de permettre le contournement
d'une telle qualification pour des
systèmes d'IA présentant le même
degré de risques mais n'entrant pas
dans la définition proposée.
L'adoption d'un mécanisme
semblable à celui adopté par le
RGPD pour la réalisation d'analyse
d'impact (AIPD)5
semblerait toutefois
plus cohérent avec les objectifs
poursuivis par le règlement : (i) principe
de réalisation obligatoire d'une
analyse d'impact par le responsable
de traitement lorsqu'un traitement
est
susceptible
d'engendrer
un
risque élevé pour les droits et
libertés des personnes ; (ii) mise
en place de critères objectifs pour
guider une telle analyse et déterminer
si le traitement concerné
peut présenter de tels risques ; (iii)
accompagnement par les autorités
de contrôle par la publication de
listes de types d'opérations de traitement
pour lesquelles une AIPD
est requise ou, à l'inverse, n'est pas
requise, sans remettre en cause la
nécessité de la mettre en œuvre
pour les traitements ne figurant pas
dans ces listes. La Commission, a
sur ce point, déjà établi au sein de la
Proposition des critères permettant
d'évaluer le risque de préjudice que
peut présenter un système d'IA52
qui ne sont toutefois applicables
,
à ce stade que pour la mise à jour,
par ses soins, de l'Annexe III. Ces
critères pourraient être utilisés, à
l'inverse, par les opérateurs pour
mener une analyse permettant
d'identifier la nature du système
d'IA concerné et déterminer s'il
constitue ou non un système d'IA
à haut risque, la liste de l'Annexe
III ne faisant office que d'exemples
concrets non exhaustifs, donnés
régulièrement par la Commission.
Enfin, le contenu même de l'Annexe
III proposé par la Commission
est discuté, puisque l'EDPB et
l'EDPS, dans leur avis conjoint,
sollicitent que ces annexes soient
a minima complétées par des finalités
impliquant des risques significatifs
(utilisation de systèmes
d'IA pour déterminer des primes
d'assurance, pour l'évaluation de
traitements médicaux, etc.).
L'analyse de conformité,
difficile à mettre
en œuvre en pratique
L'analyse de conformité requise au
titre du règlement est un mécanisme
utile qui devra toutefois
faire l'objet de clarifications. La
Commission ayant fait le choix
d'une approche par les risques et
non par la technologie concernée,
les risques inhérents à un système
d'IA devront désormais être évalués
par le fournisseur en fonction des
projets mis en œuvre avec chaque
client. Or, le fournisseur ne sera
pas toujours en mesure d'anticiper
toutes les utilisations qui pourront
être faites de son système. Si
dans certains cas la qualification
du système d'IA sera toujours la
même (d'autant plus lorsqu'il s'agit
d'une offre standardisée), certains
fournisseurs (mettant par exemple
à disposition une technologie
pouvant faire l'objet d'applications
multiples dans diverses industries)
pourraient en revanche voir leur
système d'IA soumis à des qualifications
différentes, en fonction des
finalités poursuivis par leurs clients
et de la spécificité des projets mis
en œuvre par ces derniers. Cela
contraindrait en théorie ces acteurs
à réaliser une analyse de conformité
EXPERTISES SEPTEMBRE 2021
du système pour chaque projet mis
en œuvre avec un client, ce qui n'est
pas très réaliste en pratique.
L'articulation de cette obligation
avec celle découlant du RGPD
de mettre en œuvre une AIPD
lorsque le système d'IA implique le
traitement de données à caractère
personnel pouvant représenter un
risque élevé pour les personnes
doit également être clarifiée. A cet
égard, l'EDPB et l'EDPS soulignent
à juste titre, que dans la plupart des
cas, les responsables de traitement
(sur lesquels reposent l'obligation de
réaliser une AIPD) seront les utilisateurs
des systèmes d'IA et non les
fournisseurs. Cette difficulté pourrait
être résolue, comme le suggère
l'EDPB et l'EDPS, en requérant du
fournisseur qu'il réalise une analyse
de conformité générale de toutes les
finalités basiques auxquelles son
système d'IA pourrait être destiné,
tandis que l'utilisateur devra pour
sa part réaliser une AIPD53
. Le
cas dans lequel aucune donnée à
caractère personnel n'est traitée
par le système d'IA devra être
également adressé. Un mécanisme
similaire pourrait être envisagé,
imposant au fournisseur de réaliser
et de communiquer à l'utilisateur
l'analyse de conformité générale
qu'il aura réalisée pour les finalités
usuelles de son système d'IA, l'utilisateur
étant alors en charge de
réaliser une analyse de conformité
complémentaire pour s'assurer que
l'utilisation qu'il compte faire en
pratique du système d'IA n'entraîne
pas une qualification différente
de celle qui aura été identifiée en
amont par le fournisseur.
En tout état de cause, une clarification
de l'articulation entre certaines
des obligations figurant dans le
RGPD et les obligations découlant
de cette nouvelle réglementation en
matière d'IA est vivement souhaitée
par les autorités de contrôle.
Ne devra toutefois pas être oubliée
la nécessité de traiter ces problématiques
également
lorsque les
systèmes d'IA n'impliquent aucun
traitement de données à caractère
personnel. Ces clarifications seront
315

Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia

Table des matières de la publication Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia

Couverture
SOMMAIRE
Editorial
FOCUS - CYBERSURVEILLANCE : L'UE RENFORCE LE CONTRÔLE DE L'EXPORT DES LOGICIELS ESPIONS
EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
INTERVIEW - ENTENTES ALGORITHMIQUES
DOCTRINE
DONNÉES PERSONNELL - LES NOUVELLES CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION EUROPÉENNE
INTELLIGENCE ARTIFICIELLE - EMERGENCE D’UN CADRE LÉGAL HARMONISÉ : DE L’ÉTHIQUE A LA CONFORMITÉ
LOGICIEL - SAISIE-CONTREFAÇON : RETOUR SUR LES SINGULARITÉS DE LA DEMANDE DE MAINLEVÉE
DONNÉES PERSONNELLES - CNIL ET PLATEFORMES COLLABORATIVES : LES PRESTATAIRES AMÉRICAINS DE NOUVEAU DANS LE VISEUR
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - Couverture
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - SOMMAIRE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - Editorial
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - FOCUS - CYBERSURVEILLANCE : L'UE RENFORCE LE CONTRÔLE DE L'EXPORT DES LOGICIELS ESPIONS
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 289
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - EN BREF - L'INFORMATION RAPIDE SUR LE MONDE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 291
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 292
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 293
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - MAGAZINE - L'INFORMATION LÉGALE ET JURISPRUDENTIELLE DU NUMÉRIQUE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 295
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 296
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - INTERVIEW - ENTENTES ALGORITHMIQUES
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 298
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 299
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 300
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 301
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELL - LES NOUVELLES CLAUSES CONTRACTUELLES TYPES DE LA COMMISSION EUROPÉENNE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 303
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 304
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 305
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 306
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 307
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 308
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - INTELLIGENCE ARTIFICIELLE - EMERGENCE D’UN CADRE LÉGAL HARMONISÉ : DE L’ÉTHIQUE A LA CONFORMITÉ
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 310
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 311
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 312
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 313
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 314
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 315
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 316
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 317
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - LOGICIEL - SAISIE-CONTREFAÇON : RETOUR SUR LES SINGULARITÉS DE LA DEMANDE DE MAINLEVÉE
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 319
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 320
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 321
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - DONNÉES PERSONNELLES - CNIL ET PLATEFORMES COLLABORATIVES : LES PRESTATAIRES AMÉRICAINS DE NOUVEAU DANS LE VISEUR
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 323
Expertises des Systèmes d'information - Septembre 2021 - N°471 - Le mensuel du droit de l'informatique et du multimédia - 324
https://www.nxtbook.fr/newpress/celog/celog-expertises-2110_472
https://www.nxtbook.fr/newpress/celog/celog-expertises-2109_471
https://www.nxtbook.fr/newpress/celog/celog-expertises-2107_470
https://www.nxtbook.fr/newpress/celog/celog-expertises-2106_469
https://www.nxtbook.fr/newpress/celog/celog-expertises-2105_468
https://www.nxtbook.fr/newpress/celog/celog-expertises-2104_467
https://www.nxtbook.fr/newpress/celog/celog-expertises-2103_466
https://www.nxtbook.fr/newpress/celog/celog-expertises-2102_465
https://www.nxtbook.fr/newpress/celog/celog-expertises-2101_464
https://www.nxtbook.fr/newpress/celog/celog-expertises-2012_463
https://www.nxtbook.fr/newpress/celog/celog-expertises-2011_462
https://www.nxtbook.fr/newpress/celog/celog-expertises-2010_461
https://www.nxtbook.fr/newpress/celog/celog-expertises-2009_460
https://www.nxtbook.fr/newpress/celog/celog-expertises-2007_459
https://www.nxtbook.fr/newpress/celog/celog-expertises-2006_458
https://www.nxtbook.fr/newpress/celog/celog-expertises-2005_457
https://www.nxtbook.fr/newpress/celog/celog-expertises-2004_456
https://www.nxtbook.fr/newpress/celog/celog-expertises-2003_455
https://www.nxtbook.fr/newpress/celog/celog-expertises-2002_454
https://www.nxtbook.fr/newpress/celog/celog-expertises-2001_453
https://www.nxtbook.fr/newpress/celog/celog-expertises-1912_452
https://www.nxtbook.fr/newpress/celog/celog-expertises-1911_451
https://www.nxtbook.fr/newpress/celog/celog-expertises-1910_450
https://www.nxtbook.fr/newpress/celog/celog-expertises-1909_449
https://www.nxtbook.fr/newpress/celog/celog-expertises-1907_448
https://www.nxtbook.fr/newpress/celog/celog-expertises-1906_447
https://www.nxtbook.fr/newpress/celog/celog-expertises-1905_446
https://www.nxtbook.fr/newpress/celog/celog-expertises-1904_445
https://www.nxtbook.fr/newpress/celog/celog-expertises-1903_444
https://www.nxtbook.fr/newpress/celog/celog-expertises-1902_443
https://www.nxtbook.fr/newpress/celog/celog-expertises-1901_442
https://www.nxtbook.fr/newpress/celog/celog-expertises-1812_441
https://www.nxtbook.fr/newpress/celog/celog-expertises-1811_440
https://www.nxtbook.fr/newpress/celog/celog-expertises-1810_439
https://www.nxtbook.fr/newpress/celog/celog-expertises-1809_438
https://www.nxtbook.fr/newpress/celog/celog-expertises-1807_437
https://www.nxtbook.fr/newpress/celog/celog-expertises-1806_436
https://www.nxtbook.fr/newpress/celog/celog-expertises-1805_435
https://www.nxtbook.fr/newpress/celog/celog-expertises-1804_434
https://www.nxtbook.fr/newpress/celog/celog-expertises-1803_433
https://www.nxtbook.fr/newpress/celog/celog-expertises-1802_432
https://www.nxtbook.fr/newpress/celog/celog-expertises-1801_431
https://www.nxtbook.fr/newpress/celog/celog-expertises-1712_430
https://www.nxtbook.fr/newpress/celog/celog-expertises-1711_429
https://www.nxtbook.fr/newpress/celog/celog-expertises-1710_428
https://www.nxtbook.fr/newpress/celog/celog-expertises-1709_427
https://www.nxtbook.fr/newpress/celog/celog-expertises-1707_426
https://www.nxtbook.fr/newpress/celog/celog-expertises-1706_425
https://www.nxtbook.fr/newpress/celog/celog-expertises-1705_424
https://www.nxtbook.fr/newpress/celog/celog-expertises-1704_423
https://www.nxtbook.fr/newpress/celog/celog-expertises-1703_422
https://www.nxtbook.fr/newpress/celog/celog-expertises-1702_421
https://www.nxtbook.fr/newpress/celog/celog-expertises-1701_420
https://www.nxtbook.fr/newpress/celog/celog-expertises-1612_419
https://www.nxtbook.fr/newpress/celog/celog-expertises-1611_418
https://www.nxtbook.fr/newpress/celog/celog-expertises-1610_417
https://www.nxtbook.fr/newpress/celog/celog-expertises-1609_416
https://www.nxtbook.fr/newpress/celog/celog-expertises-1607_415
https://www.nxtbook.fr/newpress/celog/celog-expertises-1606_414
https://www.nxtbook.fr/newpress/celog/celog-expertises-1605_413
https://www.nxtbook.fr/newpress/celog/celog-expertises-1604_412
https://www.nxtbook.fr/newpress/celog/celog-expertises-1603_411
https://www.nxtbook.fr/newpress/celog/celog-expertises-1602_410
https://www.nxtbook.fr/newpress/celog/celog-expertises-1601_409
https://www.nxtbook.fr/newpress/celog/celog-expertises-1512_408
https://www.nxtbook.fr/newpress/celog/celog-expertises-1511_407
https://www.nxtbook.fr/newpress/celog/celog-expertises-1510_406
https://www.nxtbook.fr/newpress/celog/celog-expertises-1509_405
https://www.nxtbook.fr/newpress/celog/celog-expertises-1507_404
https://www.nxtbook.fr/newpress/celog/celog-expertises-1506_403
https://www.nxtbook.fr/newpress/celog/celog-expertises-1502_399
https://www.nxtbookmedia.com