Article 13 de l'AI Act Transparence et fourniture d'informations aux déployeurs

Analyse juridique de l'article 13

Exigence de transparence par la conception

L'article 13, paragraphe 1, impose que les systèmes d'IA à haut risque soient « conçus et développés » de manière à garantir un fonctionnement suffisamment transparent. Cette formulation souligne qu'il s'agit d'une exigence de conception (transparency by design), qui doit être prise en compte dès les premières phases de développement du système, et non d'une simple obligation de documentation ex post.

La transparence requise est définie par sa finalité : permettre aux déployeurs d'interpréter les sorties du système et de l'utiliser de manière appropriée. Cette approche fonctionnelle de la transparence se distingue d'une transparence totale ou absolue, qui pourrait être techniquement impossible (notamment pour les systèmes d'apprentissage profond) ou inadaptée. La transparence doit être « suffisante » pour atteindre ses objectifs, ce qui introduit un principe de proportionnalité.

Le paragraphe 1 précise que le type et le degré de transparence doivent être appropriés pour garantir le respect des obligations des déployeurs et des fournisseurs. Cette formulation crée un lien direct entre la transparence et la capacité à respecter les autres obligations du règlement. Par exemple, pour qu'un déployeur puisse exercer la surveillance humaine requise à l'article 14, il doit disposer d'informations suffisantes sur le fonctionnement du système ; la transparence du système conditionne donc l'effectivité de la surveillance humaine.

En pratique, la transparence par la conception peut se traduire par différentes approches techniques : utilisation de modèles intrinsèquement interprétables lorsque possible ; mise en œuvre de techniques d'explicabilité (explainability) pour les modèles complexes, telles que LIME (Local Interpretable Model-agnostic Explanations) ou SHAP (SHapley Additive exPlanations) ; fourniture d'interfaces utilisateur présentant les informations pertinentes de manière compréhensible ; visualisation des données et des processus décisionnels.

Instructions d'utilisation : exigences formelles

L'article 13, paragraphe 2, impose que les systèmes d'IA à haut risque soient accompagnés d'instructions d'utilisation dans un format approprié. Ces instructions doivent être fournies « dans un format numérique approprié ou autre », ce qui permet une flexibilité dans le support (documentation électronique, manuel papier, intégration dans l'interface du système), tout en imposant que le format soit adapté à l'usage prévu.

Le paragraphe 2 énonce cinq qualités cumulatives que les instructions d'utilisation doivent présenter. Elles doivent être concises, c'est-à-dire aller à l'essentiel sans développements inutiles qui rendraient la documentation trop volumineuse et difficilement exploitable. Elles doivent être complètes, couvrant l'ensemble des informations nécessaires à l'utilisation appropriée du système. Elles doivent être correctes, c'est-à-dire exactes et à jour. Elles doivent être pertinentes, se concentrant sur les informations utiles pour les déployeurs. Enfin, elles doivent être accessibles et compréhensibles pour les déployeurs, ce qui implique l'utilisation d'un langage adapté au niveau de compétence attendu des utilisateurs professionnels.

Cette combinaison d'exigences apparemment contradictoires (concision et complétude) impose un effort de rédaction important : les instructions doivent fournir toutes les informations nécessaires tout en évitant les redondances et les développements superflus. Une structuration claire et une utilisation appropriée de niveaux de détail différents (par exemple, un résumé exécutif suivi de sections détaillées pour les utilisateurs souhaitant approfondir) peuvent faciliter cet équilibre.

Contenu des instructions d'utilisation

L'article 13, paragraphe 3, énumère six catégories d'informations que les instructions d'utilisation doivent « au moins » contenir. L'utilisation de « au moins » indique que cette liste est un minimum : d'autres informations peuvent devoir être fournies en fonction de la nature spécifique du système.

Le point a) impose l'identification du fournisseur et de son mandataire éventuel. Cette information permet aux déployeurs de savoir qui est responsable du système et qui contacter en cas de question, de problème ou de besoin d'assistance. L'identification doit inclure les coordonnées permettant un contact effectif (adresse, email, téléphone).

Le point b) concerne les caractéristiques, capacités et limites de performance du système. Cette catégorie englobe cinq sous-catégories d'informations détaillées.

Le sous-point i) exige la description de la finalité prévue du système. Cette information est fondamentale car elle délimite le périmètre d'utilisation légitime du système. La finalité prévue doit être décrite avec suffisamment de précision pour permettre au déployeur de déterminer si son cas d'usage particulier entre dans ce périmètre. Une description trop générique (« aide à la décision ») serait insuffisante ; une description appropriée préciserait le domaine d'application, le type de décisions concernées, les contextes d'utilisation prévus.

Le sous-point ii) impose la communication des niveaux de précision, de robustesse et de cybersécurité atteints par le système lors des tests de validation, ainsi que des circonstances susceptibles d'affecter ces performances. Cette exigence crée un lien direct avec l'article 15. Les fournisseurs doivent communiquer les métriques de performance (par exemple, taux de précision, taux de faux positifs et faux négatifs, scores de robustesse) et préciser dans quelles conditions ces performances ont été mesurées. Ils doivent également identifier les facteurs susceptibles de dégrader les performances (par exemple, qualité des données d'entrée, conditions environnementales, évolution du contexte d'utilisation).

Le sous-point iii) impose la description des circonstances connues ou prévisibles pouvant entraîner des risques pour la santé, la sécurité ou les droits fondamentaux. Cette exigence reflète les résultats du système de gestion des risques (article 9) et permet aux déployeurs d'identifier et de gérer les risques dans leur contexte spécifique d'utilisation. Elle couvre à la fois l'utilisation conforme et la mauvaise utilisation raisonnablement prévisible.

Le sous-point iv) concerne les spécifications techniques relatives aux données d'entrée et aux ensembles de données d'entraînement, validation et test. Cette information permet aux déployeurs de vérifier que les données sur lesquelles ils appliqueront le système sont similaires à celles utilisées pour son développement, condition essentielle pour obtenir des performances comparables. Par exemple, pour un système de diagnostic médical, il faut préciser les caractéristiques démographiques et cliniques des populations sur lesquelles le système a été entraîné et testé.

Le sous-point v) impose la fourniture d'informations permettant aux déployeurs d'interpréter les sorties du système. Selon la nature du système, cela peut inclure : la signification des différents types de sorties possibles ; les niveaux de confiance ou scores de probabilité et leur interprétation ; les facteurs ayant le plus influencé le résultat (feature importance) ; des exemples d'interprétation correcte et incorrecte des sorties.

Le point c) concerne les modifications et mises à jour du système. Les instructions doivent décrire la politique de mise à jour du fournisseur : fréquence prévue des mises à jour, types de modifications possibles (corrections de bugs, améliorations de performance, nouvelles fonctionnalités), modalités de déploiement des mises à jour. Cette information permet aux déployeurs de planifier la gestion des mises à jour et de comprendre comment le système évoluera au fil du temps.

Le point d) impose la description des mesures de surveillance humaine prévues à l'article 14. Les instructions doivent expliquer comment la surveillance humaine doit être exercée, quelles sont les responsabilités des opérateurs humains, quelles mesures techniques facilitent cette surveillance (par exemple, interfaces permettant de comprendre les décisions du système, alertes en cas d'anomalie, possibilité d'override des décisions du système).

Le point e) exige la description des performances attendues du système pour des personnes ou groupes spécifiques sur lesquels il est destiné à être utilisé. Cette exigence reconnaît que les performances d'un système d'IA peuvent varier selon les sous-populations auxquelles il est appliqué. Par exemple, un système de reconnaissance faciale peut avoir des performances différentes selon l'âge, le sexe ou l'origine ethnique des personnes. Les fournisseurs doivent communiquer ces variations de performance lorsqu'elles sont connues, permettant aux déployeurs d'identifier d'éventuels biais et d'adapter leur utilisation du système en conséquence.

Le point f) impose, « le cas échéant » et « selon le caractère raisonnable », une description des mécanismes du système d'IA. Cette exigence introduit une certaine flexibilité : tous les systèmes n'ont pas besoin d'une description détaillée de leurs mécanismes internes. Le caractère raisonnable s'apprécie en fonction de la nature de la technologie (certains systèmes sont plus facilement explicables que d'autres) et de la finalité prévue (certains cas d'usage peuvent nécessiter une compréhension plus approfondie des mécanismes). Pour les systèmes complexes basés sur l'apprentissage profond, une description complète des mécanismes internes peut être impossible, mais une description de haut niveau de l'architecture et des principes de fonctionnement reste généralement possible et utile.

Articulation avec la protection des données personnelles

L'article 13 de l'AI Act présente des similitudes avec l'article 13 du RGPD, qui impose également une obligation d'information, mais dans un contexte et avec des objectifs différents. Alors que l'article 13 du RGPD vise à informer les personnes concernées par un traitement de données personnelles de leurs droits et des modalités du traitement, l'article 13 de l'AI Act vise à informer les déployeurs professionnels des caractéristiques et modalités d'utilisation du système d'IA.

Lorsqu'un système d'IA à haut risque traite des données à caractère personnel, les deux obligations d'information s'appliquent cumulativement, mais s'adressent à des destinataires différents. Les instructions d'utilisation prévues par l'article 13 de l'AI Act s'adressent aux déployeurs (personnes morales utilisant le système dans le cadre de leur activité professionnelle), tandis que les informations prévues par l'article 13 du RGPD s'adressent aux personnes physiques dont les données sont traitées. Les déployeurs doivent donc recevoir les instructions d'utilisation du système d'IA et, en tant que responsables de traitement au sens du RGPD, fournir aux personnes concernées les informations requises par le RGPD.

Exemples concrets d'application

Articulation avec les autres dispositions de l'AI Act

L'article 13 s'articule étroitement avec l'article 14 sur la surveillance humaine : les informations fournies dans les instructions d'utilisation doivent permettre aux opérateurs humains d'exercer effectivement cette surveillance. Sans informations appropriées sur le fonctionnement du système, ses limites et l'interprétation de ses sorties, la surveillance humaine serait réduite à une formalité ineffective.

L'article 13 est en lien direct avec l'article 9 sur la gestion des risques : les informations relatives aux risques identifiés et aux circonstances pouvant affecter la sécurité ou les droits fondamentaux (paragraphe 3, point b, sous-point iii) découlent directement du système de gestion des risques. Les instructions d'utilisation constituent ainsi l'un des principaux vecteurs de communication des résultats de l'analyse des risques aux déployeurs.

L'article 13 s'inscrit dans la continuité de l'article 11 sur la documentation technique. Alors que la documentation technique s'adresse principalement aux autorités compétentes et aux organismes notifiés, les instructions d'utilisation s'adressent aux déployeurs. Ces deux types de documentation peuvent se recouper partiellement, mais poursuivent des objectifs distincts et s'adressent à des publics différents.

L'article 13 crée également un lien avec l'article 15 sur l'exactitude, la robustesse et la cybersécurité, puisque les instructions d'utilisation doivent communiquer les niveaux de performance atteints pour ces dimensions (paragraphe 3, point b, sous-point ii). Cette exigence garantit que les déployeurs connaissent les performances réelles du système et peuvent former des attentes appropriées.

Enfin, l'article 13 s'articule avec les obligations des déployeurs prévues à l'article 26, qui impose notamment aux déployeurs d'utiliser les systèmes d'IA conformément aux instructions d'utilisation. Les instructions constituent ainsi l'interface normative entre fournisseurs et déployeurs, définissant les conditions d'utilisation appropriée du système.

Implications pratiques pour les organisations

Pour les fournisseurs de systèmes d'IA à haut risque, l'article 13 impose un investissement significatif dans la rédaction d'instructions d'utilisation de qualité. Cette documentation ne peut être considérée comme une simple formalité administrative, mais doit constituer un véritable outil opérationnel facilitant l'utilisation appropriée du système par les déployeurs.

La rédaction des instructions d'utilisation doit mobiliser des compétences pluridisciplinaires : expertise technique pour expliquer le fonctionnement du système, connaissance du domaine d'application pour identifier les informations pertinentes pour les utilisateurs, compétences rédactionnelles pour produire une documentation claire et accessible. Le recours à des rédacteurs techniques professionnels et à des experts du domaine d'application peut être nécessaire pour garantir la qualité de la documentation.

L'exigence de transparence par la conception (paragraphe 1) doit être prise en compte dès les premières phases de développement du système. Les organisations doivent intégrer des fonctionnalités d'explicabilité et de visualisation des décisions du système dans les spécifications fonctionnelles initiales, plutôt que de tenter de les ajouter a posteriori. Le choix des architectures de modèles et des techniques d'apprentissage peut être influencé par cette exigence de transparence.

Les instructions d'utilisation doivent être maintenues à jour tout au long du cycle de vie du système, reflétant les modifications apportées au système, les mises à jour de performance, et les nouveaux risques ou limitations identifiés grâce à la surveillance après commercialisation. Les organisations doivent mettre en place des processus de gestion documentaire garantissant que la version en vigueur des instructions est toujours accessible aux déployeurs et correspond effectivement au système déployé.

Pour les déployeurs, l'article 13 impose de lire et de comprendre les instructions d'utilisation avant de déployer le système. Les organisations déployeuses doivent allouer du temps à la formation de leurs opérateurs sur la base de ces instructions, et s'assurer que les procédures internes d'utilisation du système sont cohérentes avec les instructions du fournisseur. Le non-respect des instructions d'utilisation peut engager la responsabilité du déployeur en cas d'incident.

Les contrats entre fournisseurs et déployeurs devraient inclure des clauses spécifiques relatives à la fourniture, la mise à jour et la prise en compte des instructions d'utilisation, définissant les responsabilités de chaque partie et les modalités de communication des mises à jour documentaires.