Le comité européen de la protection des données et le CEPD demandent l’interdiction de l’utilisation de l’IA pour la reconnaissance automatique des caractéristiques humaines dans les espaces accessibles au public, ainsi que d’autres utilisations de l’IA q

21 June 2021

Bruxelles, le 21 juin - Le comité européen de la protection des données et le CEPD ont adopté un avis conjoint sur la proposition de règlement de la Commission européenne établissant des règles harmonisées concernant l’intelligence artificielle (IA).

Le comité européen de la protection des données et le CEPD saluent la volonté de traiter la question de l’utilisation des systèmes d’IA au sein de l’Union européenne, y compris l’utilisation des systèmes d’IA par les institutions, organes ou agences de l’UE. Dans le même temps, le comité européen de la protection des données et le CEPD sont préoccupés par l’exclusion de la coopération internationale en matière d’application des lois du champ d’application de la proposition.

Le comité européen de la protection des données et le CEPD soulignent également la nécessité de clarifier explicitement que la législation européenne existante en matière de protection des données (RGPD, RPDUE et directive en matière de protection des données dans le domaine répressif) s’applique à tout traitement de données à caractère personnel relevant du champ d’application du projet de règlement sur l’IA.

Le comité européen de la protection des données et le CEPD saluent l’approche fondée sur les risques qui sous-tend la proposition, mais ils considèrent que le concept de «risque pour les droits fondamentaux» devrait être aligné sur le cadre de l’UE en matière de protection des données. Le comité européen de la protection des données et le CEPD recommandent que les risques sociétaux pour les groupes de personnes soient également évalués et atténués. En outre, ils partagent le constat exprimé dans la proposition selon lequel la classification d’un système d’IA comme étant à haut risque ne signifie pas nécessairement qu’il est licite en soi et qu’il peut être déployé par l’utilisateur en tant que tel. Le comité européen de la protection des données et le CEPD considèrent également que le respect des obligations légales découlant de la législation de l’Union, y compris en matière de protection des données à caractère personnel, devrait être une condition préalable à l’entrée sur le marché européen en tant que produit portant le marquage CE.

Compte tenu des risques extrêmement élevés posés par l’identification biométrique à distance des personnes dans les espaces accessibles au public, le comité européen de la protection des données et le CEPD appellent à une interdiction générale de toute utilisation de l’IA pour la reconnaissance automatique des caractéristiques humaines dans les espaces accessibles au public, telle que la reconnaissance des visages, de la démarche, des empreintes digitales, de l’ADN, de la voix, des frappes au clavier et d’autres signaux biométriques ou comportementaux, quel que soit le contexte. De même, le comité européen de la protection des données et le CEPD recommandent une interdiction des systèmes d’IA utilisant la biométrie pour classer les individus dans des groupes basés sur l’origine ethnique, le genre, les opinions politiques ou l’orientation sexuelle, ou selon d’autres critères à l’égard desquels la discrimination est interdite en vertu de l’article 21 de la Charte des droits fondamentaux. En outre, le comité européen de la protection des données et le CEPD considèrent que l’utilisation de l’IA pour déduire les émotions d’une personne physique est hautement indésirable et devrait être interdite, sauf dans des cas très spécifiques, comme par exemple à certaines fins médicales pour lesquelles la reconnaissance des émotions du patient est importante. En outre, l’utilisation de l’IA pour tout type de notation sociale devrait être interdite.

À cet égard, Andrea Jelinek, présidente du comité européen de la protection des données, et Wojciech Wiewiórowski, CEPD, ont fait la déclaration suivante: «le déploiement de l’identification biométrique à distance dans les espaces accessibles au public signifie la fin de l’anonymat dans ces lieux. Les applications comme la reconnaissance faciale en direct interfèrent avec les droits et libertés fondamentaux dans une telle mesure qu’elles pourraient remettre en cause l’essence même de ces droits et libertés. L’approche de précaution doit être appliquée immédiatement. Une interdiction générale de l’utilisation de la reconnaissance faciale dans les zones accessibles au public est le point de départ nécessaire si nous voulons préserver nos libertés et créer un cadre juridique centré sur l’humain pour l’IA. Le règlement proposé devrait également interdire tout type d’utilisation de l’IA à des fins de notation sociale, car celle-ci va à l’encontre des valeurs fondamentales de l’UE et peut entraîner des discriminations.»

Le comité européen de la protection des données et le CEPD saluent également le fait que la proposition désigne le CEPD comme l’autorité compétente et l’autorité de surveillance du marché pour la supervision des institutions, agences et organes de l’Union. Cependant, le rôle et les tâches du CEPD devraient être précisés, notamment en ce qui concerne son rôle d’autorité de surveillance du marché.

Le comité européen de la protection des données et le CEPD rappellent que les autorités de protection des données appliquent déjà le RGPD et la directive en matière de protection des données dans le domaine répressif concernant les systèmes d’IA utilisant des données à caractère personnel, afin de garantir la protection des droits fondamentaux et plus particulièrement du droit à la protection des données. Par conséquent, la désignation des autorités de protection des données en tant qu’autorités de contrôle nationales garantirait une approche réglementaire plus harmonisée et contribuerait à l’interprétation cohérente des dispositions relatives au traitement des données dans l’ensemble de l’UE. Par conséquent, le comité européen de la protection des données et le CEPD considèrent que, pour assurer une application harmonieuse de ce nouveau règlement, les autorités de protection des données devraient être désignées comme autorités de contrôle nationales conformément à l’article 59 de la proposition.

Enfin, le comité européen de la protection des données et le CEPD émettent des réserves quant au choix d’octroyer un rôle prédominant à la Commission européenne dans le «Comité européen de l’intelligence artificielle», car cela irait à l’encontre de la nécessité d’un organe européen de l’IA indépendant de toute influence politique. Pour garantir l’indépendance du Comité européen de l’intelligence artificielle, la proposition devrait lui donner plus d’autonomie et faire en sorte qu’il puisse agir de sa propre initiative.

 

Note aux éditeurs:
Veuillez noter que tous les documents adoptés en séance plénière par le comité européen de la protection des données sont soumis aux vérifications juridiques, linguistiques et de mise en forme nécessaires, et seront publiés sur le site web du comité européen de la protection des données une fois ces vérifications effectuées.

EDPB_Press Release_statement_2021_05