L'article 7 du Règlement (UE) 2024/1689 confère à la Commission européenne le pouvoir d'adopter des actes délégués pour modifier l'annexe III, qui énumère les domaines d'application des systèmes d'IA considérés comme à haut risque. Cette disposition reconnaît le caractère évolutif des technologies d'intelligence artificielle et la nécessité d'adapter le cadre réglementaire en fonction des risques émergents et de l'évolution des connaissances scientifiques et techniques.
En permettant l'ajout, la modification ou le retrait de systèmes d'IA de la liste des systèmes à haut risque, l'article 7 assure la flexibilité et la pérennité du règlement. Il évite que le texte ne devienne obsolète face aux innovations technologiques rapides dans le domaine de l'IA, tout en garantissant que les modifications restent encadrées par des critères objectifs et des procédures transparentes.
Cette disposition s'inscrit dans une démarche d'équilibre entre stabilité juridique et adaptabilité réglementaire. Elle permet au législateur européen de réagir rapidement aux nouveaux risques identifiés, sans nécessiter une révision complète du règlement par la voie législative ordinaire, tout en maintenant un contrôle démocratique par le biais du mécanisme des actes délégués.
Texte officiel de l'article 7 de l'AI Act
L'article 7 de l'AI Act dispose :
« 1. La Commission est habilitée à adopter des actes délégués conformément à l'article 97 pour modifier l'annexe III en ajoutant ou en modifiant des systèmes d'IA à haut risque lorsque les deux conditions suivantes sont remplies :
a) les systèmes d'IA sont destinés à être utilisés dans l'un des domaines énumérés à l'annexe III ;
b) les systèmes d'IA présentent un risque de préjudice pour la santé et la sécurité ou un risque d'effet négatif sur les droits fondamentaux qui est équivalent ou supérieur au risque de préjudice ou d'effet négatif présenté par les systèmes d'IA à haut risque déjà inscrits à l'annexe III.
2. Lorsqu'elle évalue aux fins du paragraphe 1 si un système d'IA présente un risque de préjudice pour la santé et la sécurité ou un risque d'effet négatif sur les droits fondamentaux qui est équivalent ou supérieur au risque de préjudice ou d'effet négatif présenté par les systèmes d'IA à haut risque déjà inscrits à l'annexe III, la Commission tient compte des critères suivants :
a) la finalité prévue du système d'IA ;
b) la mesure dans laquelle un système d'IA a été utilisé ou est susceptible d'être utilisé ;
c) la nature et le volume des données traitées et utilisées par le système d'IA, en particulier si des catégories particulières de données à caractère personnel sont traitées ;
d) la mesure dans laquelle le système d'IA agit de manière autonome et la possibilité pour un être humain de ne pas appliquer sa production ;
e) la mesure dans laquelle l'utilisation du système d'IA a déjà causé un préjudice à la santé et à la sécurité, a eu un effet négatif sur les droits fondamentaux ou a donné lieu à d'importantes préoccupations en ce qui concerne la matérialisation d'un tel préjudice ou effet négatif, tel que reflété dans les rapports ou les pétitions documentés présentés aux autorités nationales compétentes ou au Bureau de l'IA ;
f) le potentiel qu'ont les systèmes d'IA de causer un préjudice pour la santé et la sécurité et un effet négatif sur les droits fondamentaux, en tenant compte de la gravité et de la probabilité de ce préjudice et de cet effet, ainsi que de la manière dont le système d'IA est utilisé ;
g) la mesure dans laquelle les personnes qui sont susceptibles d'être touchées par le système d'IA sont dépendantes du résultat produit par un système d'IA, en particulier parce qu'il n'est pas raisonnablement possible, pour des raisons pratiques ou juridiques, d'opter pour une alternative ;
h) la mesure dans laquelle les personnes qui sont susceptibles d'être touchées par le système d'IA se trouvent dans une position vulnérable vis-à-vis de l'utilisateur d'un système d'IA, en particulier en raison d'un rapport de force, de connaissances, de moyens économiques ou de compétences ;
i) la mesure dans laquelle le résultat produit par le système d'IA est facilement réversible ou peut être corrigé, compte tenu de l'impact technique du système d'IA sur le contenu du résultat.
3. La Commission est habilitée à adopter des actes délégués conformément à l'article 97 pour modifier l'annexe III en retirant des systèmes d'IA à haut risque lorsque les deux conditions suivantes sont remplies :
a) le système d'IA à haut risque concerné ne présente plus de risque significatif pour les droits fondamentaux, la santé et la sécurité, compte tenu des critères énumérés au paragraphe 2 ;
b) la suppression ne diminue pas le niveau global de protection de la santé, de la sécurité et des droits fondamentaux en vertu du droit de l'Union. »
Cet article établit donc un mécanisme dynamique permettant d'adapter la liste des systèmes d'IA à haut risque en fonction de l'évolution des risques et des technologies.
Analyse juridique de l'article 7
Mécanisme des actes délégués
L'article 7 s'appuie sur le mécanisme des actes délégués prévu à l'article 290 du Traité sur le fonctionnement de l'Union européenne (TFUE). Les actes délégués permettent à la Commission d'adopter des actes juridiques de portée générale qui complètent ou modifient certains éléments non essentiels d'un acte législatif, dans le cadre des conditions fixées par le législateur.
Ce mécanisme présente plusieurs avantages : il permet une adaptation rapide du cadre réglementaire sans nécessiter une procédure législative complète impliquant le Parlement européen et le Conseil ; il assure une expertise technique grâce à l'intervention de la Commission, assistée par le Bureau de l'IA et les autorités compétentes ; il maintient un contrôle démocratique, puisque le Parlement européen et le Conseil peuvent s'opposer à l'adoption d'un acte délégué ou en demander la révocation.
L'article 97 de l'AI Act, auquel renvoie l'article 7, précise les modalités d'exercice de cette délégation : la Commission doit informer le Parlement européen et le Conseil de ses projets d'actes délégués, et ces institutions disposent d'un délai de trois mois (prorogeable de trois mois supplémentaires) pour formuler des objections.
Conditions d'ajout de systèmes d'IA à l'annexe III
Pour ajouter un nouveau système d'IA à l'annexe III, l'article 7, paragraphe 1, impose deux conditions cumulatives. Premièrement, le système d'IA doit être destiné à être utilisé dans l'un des domaines déjà énumérés à l'annexe III. Cette condition garantit une cohérence thématique : la Commission ne peut pas créer de nouveaux domaines d'application, mais seulement ajouter des cas d'usage spécifiques dans les domaines existants (identification biométrique, infrastructures critiques, éducation, emploi, services essentiels, etc.).
Deuxièmement, le système doit présenter un risque de préjudice équivalent ou supérieur à celui des systèmes déjà inscrits à l'annexe III. Cette condition de comparabilité assure que l'ajout de nouveaux systèmes n'étende pas de manière disproportionnée le champ d'application du règlement, mais corresponde bien à un niveau de risque justifiant les exigences strictes du Titre III.
Critères d'évaluation des risques
L'article 7, paragraphe 2, énumère neuf critères que la Commission doit prendre en considération pour évaluer le niveau de risque d'un système d'IA. Ces critères forment un cadre d'analyse multidimensionnel couvrant différents aspects du système et de son utilisation.
Les critères a) à c) concernent les caractéristiques intrinsèques du système : sa finalité, son degré d'utilisation et la nature des données traitées. Les critères d) et i) portent sur le degré d'autonomie du système et la réversibilité de ses décisions, éléments déterminants pour évaluer la possibilité d'un contrôle humain effectif. Les critères e) et f) analysent les préjudices réels et potentiels, en s'appuyant sur les retours d'expérience et les analyses prospectives. Enfin, les critères g) et h) évaluent la vulnérabilité des personnes affectées et leur dépendance vis-à-vis du système.
Cette approche multicritères permet une évaluation nuancée et complète des risques, évitant une analyse purement technique qui négligerait les dimensions sociales et éthiques de l'utilisation des systèmes d'IA.
Possibilité de retrait de systèmes de l'annexe III
L'article 7, paragraphe 3, prévoit également la possibilité de retirer des systèmes de l'annexe III lorsque deux conditions sont remplies : le système ne présente plus de risque significatif, et ce retrait ne diminue pas le niveau global de protection. Cette disposition reconnaît que l'évolution technologique peut non seulement créer de nouveaux risques, mais aussi réduire ceux qui étaient associés à certaines technologies.
Le retrait d'un système de l'annexe III a des conséquences importantes pour les opérateurs économiques : les obligations du Titre III cessent de s'appliquer, allégeant les contraintes réglementaires. Toutefois, la condition selon laquelle le retrait ne doit pas diminuer le niveau global de protection garantit que cette faculté ne soit pas utilisée pour affaiblir le cadre réglementaire.
Exemples concrets d'application
📋 Exemple concret d'application de l'article 7 de l'AI Act
Cas d'ajout d'un système à l'annexe III :
Supposons que se développent massivement des systèmes d'IA permettant d'évaluer automatiquement la solvabilité des personnes dans le cadre de l'attribution de crédits à la consommation, en analysant non seulement les données financières classiques mais aussi les comportements sur les réseaux sociaux, les habitudes de consommation et d'autres données numériques.
L'annexe III vise déjà les systèmes d'IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou établir leur cote de crédit. Cependant, si de nouveaux cas d'usage émergent, par exemple l'évaluation automatisée de la solvabilité pour l'accès au logement locatif, et que ces systèmes présentent des risques équivalents ou supérieurs (discrimination, atteinte à la vie privée, impact majeur sur l'accès à un droit fondamental), la Commission pourrait, sur la base de l'article 7, paragraphe 1, ajouter ce cas d'usage spécifique à l'annexe III.
Pour ce faire, la Commission devrait démontrer, en appliquant les critères de l'article 7, paragraphe 2, que :
- ces systèmes sont largement utilisés (critère b) ;
- ils traitent des catégories particulières de données personnelles (critère c) ;
- ils agissent de manière largement autonome, les bailleurs n'ayant souvent pas les moyens de vérifier les résultats (critère d) ;
- les personnes concernées sont dépendantes de ces décisions, l'accès au logement étant un besoin essentiel (critère g) ;
- elles se trouvent en position de vulnérabilité face aux bailleurs (critère h) ;
- les décisions de refus sont difficilement réversibles (critère i).
Cas de retrait d'un système de l'annexe III :
Imaginons qu'une technologie d'identification biométrique initialement considérée comme à haut risque en raison de son taux d'erreur élevé et de ses biais discriminatoires évolue significativement. Les nouvelles versions de cette technologie, grâce à des progrès techniques majeurs, atteignent un niveau de fiabilité et d'équité tel qu'elles ne présentent plus de risque significatif pour les droits fondamentaux lorsqu'elles sont utilisées dans certains contextes spécifiques (par exemple, uniquement pour l'authentification volontaire d'un utilisateur sur son propre dispositif).
La Commission pourrait, sur la base de l'article 7, paragraphe 3, envisager de retirer ce cas d'usage spécifique de l'annexe III, sous réserve de démontrer que ce retrait ne diminue pas le niveau global de protection. Cette démonstration pourrait s'appuyer sur des études techniques indépendantes, des rapports d'autorités compétentes et des consultations publiques.
Articulation avec les autres dispositions de l'AI Act
L'article 7 complète directement l'article 6, qui définit les règles de classification des systèmes d'IA à haut risque en se référant à l'annexe III. Ensemble, ces deux articles forment le socle de la qualification des systèmes à haut risque : l'article 6 établit le principe de classification, tandis que l'article 7 en assure l'adaptabilité dans le temps.
L'article 7 s'articule également avec l'article 97, qui encadre l'exercice de la délégation de pouvoir conférée à la Commission. Ce renvoi garantit que les modifications de l'annexe III respectent les principes de transparence, de contrôle démocratique et de limitation dans le temps propres aux actes délégués.
En outre, l'article 7 doit être mis en relation avec les articles 8 à 15, qui définissent les exigences applicables aux systèmes d'IA à haut risque. Toute modification de l'annexe III entraîne automatiquement l'application ou la cessation d'application de ces exigences pour les systèmes concernés, avec des conséquences pratiques importantes pour les opérateurs économiques.
Enfin, l'article 7 s'inscrit dans le cadre plus large de la gouvernance européenne de l'IA, en lien avec le Bureau de l'IA institué par l'article 64 et le Comité européen de l'intelligence artificielle créé par l'article 65. Ces organes peuvent être consultés par la Commission dans le cadre de l'élaboration des actes délégués modifiant l'annexe III.
Implications pratiques pour les organisations
Pour les organisations développant ou utilisant des systèmes d'IA, l'article 7 introduit une incertitude juridique qu'il convient d'anticiper. Un système d'IA qui n'est pas considéré comme à haut risque au moment de sa mise sur le marché pourrait le devenir ultérieurement si la Commission ajoute son cas d'usage à l'annexe III. À l'inverse, un système à haut risque pourrait être déqualifié si son cas d'usage est retiré de l'annexe.
Les fournisseurs doivent donc mettre en place une veille réglementaire pour suivre les projets d'actes délégués publiés par la Commission. Ils ont la possibilité de participer aux consultations publiques organisées dans le cadre de l'élaboration de ces actes, permettant ainsi de faire valoir leur expertise technique et leur retour d'expérience.
Pour les systèmes d'IA opérant dans des domaines proches de ceux énumérés à l'annexe III ou présentant des caractéristiques similaires à celles de systèmes à haut risque, il est recommandé d'adopter une approche prudente en anticipant une éventuelle qualification future comme système à haut risque. Cela peut se traduire par l'adoption volontaire de certaines bonnes pratiques prévues pour les systèmes à haut risque, facilitant ainsi une mise en conformité rapide en cas de modification de l'annexe III.
Les déployeurs doivent quant à eux être informés par leurs fournisseurs de toute modification du statut réglementaire des systèmes qu'ils utilisent, afin d'adapter leurs pratiques en conséquence. Les contrats entre fournisseurs et déployeurs devraient prévoir les modalités de gestion de cette éventualité.
L'article 7 de l'AI Act constitue une disposition essentielle pour assurer la pérennité et l'adaptabilité du cadre réglementaire européen face à l'évolution rapide des technologies d'intelligence artificielle. En conférant à la Commission le pouvoir d'adapter l'annexe III par le biais d'actes délégués, il permet au règlement de rester en phase avec les risques émergents et les innovations technologiques.
Les critères d'évaluation énoncés au paragraphe 2 garantissent que ces modifications s'appuient sur une analyse rigoureuse et multidimensionnelle des risques, prenant en compte non seulement les aspects techniques mais aussi les dimensions sociales et éthiques de l'utilisation des systèmes d'IA. La possibilité de retirer des systèmes de l'annexe III témoigne également de la volonté du législateur d'assurer une proportionnalité continue entre les obligations imposées et les risques réels.
Pour les organisations, l'article 7 implique une vigilance constante et une capacité d'adaptation aux évolutions réglementaires. La participation active aux processus de consultation publique et le dialogue avec les autorités compétentes constituent des stratégies essentielles pour anticiper et accompagner ces évolutions.