IA : confier la gestion des systèmes à haut risque aux autorités européennes

En session plénière mi-juillet, le Comité européen de la protection des données (CEPD) a adopté une déclaration sur le rôle des autorités de protection des données (APD) dans le cadre de la législation sur l’intelligence artificielle.

Les APD comme garantes de l’application de la législation

La législation européenne sur l’IA prévoit que les États membres désignent des autorités de surveillance nationales avant le 2 août 2025. Ces autorités superviseront l’application et la mise en œuvre de la législation sur l’IA.
Au regard de leur expérience et de leur expertise sur l’incidence de l’IA sur les droits fondamentaux, en particulier le droit à la protection des données à caractère personnel, les autorités de protection des données (APD) devraient selon le CEPD être désignées en tant qu’autorités de surveillance du marché (ASM). L’objectif est d’optimiser la coordination entre les différentes autorités de régulation, de renforcer à la fois la sécurité juridique de toutes les parties prenantes ainsi que la surveillance et l’application de la législation sur l’IA, mais aussi la législation de l’UE en matière de protection des données.
« Les APD devraient jouer un rôle de premier plan dans l’application de la législation sur l’IA, étant donné que la plupart des systèmes d’IA impliquent le traitement de données à caractère personnel. Je suis fermement convaincue que les APD sont adaptées à ce rôle en raison de leur indépendance totale et de leur compréhension approfondie des risques de l’IA pour les droits fondamentaux, sur la base de leur expérience existante », a déclaré Irene Loizidou Nicolaidou, vice-présidente du Comité européen de la protection des données.

Quatre recommandations
Le CEPD insiste sur quatre points essentiels :

• Comme déjà indiqué dans la législation sur l’IA, les APD devraient être désignées comme ASM pour les systèmes d’IA à haut risque utilisés à des fins répressives, de gestion des frontières, d’administration de la justice et de processus démocratiques ;
• Les États membres devraient envisager de désigner des APD comme ASM également pour d’autres systèmes d’IA à haut risque, en tenant compte des points de vue de l’APD nationale, en particulier lorsque ces systèmes d’IA à haut risque se trouvent dans des secteurs susceptibles d’avoir une incidence sur les droits et libertés des personnes physiques en ce qui concerne le traitement des données à caractère personnel ;
• Les APD, lorsqu’elles sont désignées comme ASM, devraient être désignées comme points de contact uniques pour le public et leurs homologues au niveau des États membres et de l’Union européenne ;
• Des procédures claires devraient être établies pour la coopération entre les autorités de surveillance du marché et les autres autorités de régulation chargées de la surveillance des systèmes d’IA, y compris les autorités chargées de la protection des données. En outre, une coopération appropriée devrait être établie entre l’Office de l’Union européenne pour l’IA et les APD.

Un label européen de protection des données

Par ailleurs, le CEPD a approuvé le catalogue des critères EuroPriSe pour la certification des activités de traitement par les sous-traitants, qui a donné lieu à un label européen de protection des données, élément constitutif de la conformité au RGPD. Déjà applicables en Allemagne depuis septembre 2022, ces critères de certification EuroPriSe sont aujourd’hui généralisés à la suite d’une mise à jour du système. L’objectif est d’améliorer l’évaluation du degré de protection des produits, services, processus ou systèmes utilisés par les organisations qui traitent des données à caractère personnel. Le CEPD précise que cet avis adopté en session plénière est soumis aux vérifications juridiques, linguistiques et de formatage nécessaires et sera ensuite mis à disposition sur le site Web du Comité.