A ses missions de protection des données, la CNPD en ajoute d’autres, celles de superviser et de coordonner, au Luxembourg et en Europe, les développements de l’intelligence artificielle. (Photo: Matic Zorman / Maison Moderne)

A ses missions de protection des données, la CNPD en ajoute d’autres, celles de superviser et de coordonner, au Luxembourg et en Europe, les développements de l’intelligence artificielle. (Photo: Matic Zorman / Maison Moderne)

À la veille de la trêve des confiseurs, la ministre déléguée auprès du Premier ministre, chargée des Médias et de la Connectivité, Elisabeth Margue, a déposé un texte qui place la Commission nationale pour la protection des données (CNPD) au coeur du futur dispositif d’encadrement de l’intelligence artificielle au Luxembourg, dans la foulée de l’IA Act européen.

«La CNPD a exprimé son engagement à soutenir l’innovation responsable et à faciliter le développement et l’utilisation de l’IA en conformité avec la législation sur la protection des données personnelles», nous répondait la Commission nationale de la protection nationale des données, au début de l’automne, sur les discussions en cours. «Nous accueillons favorablement l’AI Act, qui renforcera la compétitivité mondiale de l’Europe et la souveraineté des données, tout en apportant des avantages aux citoyens et aux entreprises. L’AI Act et d’autres nouvelles réglementations européennes (comme le DMA, le DSA, le DGA ou le DA) s’ajoutent au RGPD, soit en le modifiant légèrement, soit en le développant davantage. Ces nouvelles réglementations intègrent la protection des données dès la conception (“privacy by design”), en prenant les principes de protection des données personnelles comme base sur laquelle les autres aspects sont construits. Tous ces textes font explicitement référence au RGPD.»

À la veille de la trêve liée aux fêtes de Noël et de Nouvel An, la ministre déléguée auprès du Premier ministre, chargée des Médias et de la Connectivité, (CSV), a déposé le texte qui sacralise cette organisation à la fois horizontale et verticale, dans un souci d’homogénéité et d’efficacité.

L'autorité de surveillance du marché horizontale, responsable de la surveillance de l'IA dans tous les domaines qui ne sont pas spécifiquement attribués à d'autres autorités, aura une fonction de surveillance et de coordination au côté des autres régulateurs désignés en raison de leurs domaines de compétences respectifs:

- l’Autorité de contrôle judiciaire pour les systèmes d’IA utilisés par les juridictions de l’ordre judiciaire, y compris le ministère public, et de l’ordre administratif dans l’exercice de leurs fonctions juridictionnelles;

- la Commission de surveillance du secteur financier (CSSF);

- le Commissariat aux assurances (CAA);

- l’Institut luxembourgeois de la normalisation, de l’accréditation, de la sécurité et qualité des produits et services (Ilnas)

- l’Institut luxembourgeois de régulation (ILR) pour les «déployeurs de systèmes d'IA à haut risque», des opérateurs de services essentiels ou importants au sens de la cybersécurité;

- l’Agence luxembourgeoise des médicaments et produits de santé (ALMPS)

- l’Autorité luxembourgeoise indépendante de l’audiovisuel (Alia) pour les contenus (output) produits par un système d’IA, comme les images, le texte, le son et la vidéo.

Ces entités peuvent notamment demander des informations, réaliser des enquêtes, et imposer des sanctions administratives.

Quatre de ces acteurs sont aussi désignés «autorités notifiantes», c’est-à-dire qu’ils doivent contrôler produits et services avant leur mise sur le marché:  l'Ilnas, le Commissariat du gouvernement à la protection des données auprès de l'État et l'ALMPS.

«Nous devrons apprendre à fonctionner avec les nouvelles règles et coopérer entre les Autorités de protection des données et avec d’autres autorités existantes ou nouvellement créées. Cette coopération sera essentielle pour garantir une application cohérente et efficace des nouvelles règles», disait aussi la CNPD en septembre. «Les APD, avec leur vaste expérience en matière de traitement des données, de sécurité des données et d’évaluation des risques pour les droits fondamentaux posés par les nouvelles technologies, devraient jouer un rôle de premier plan dans ce nouveau cadre d’application. Notre expérience dans l’élaboration de lignes directrices et de bonnes pratiques peut servir d’exemple pour d’autres autorités nationales et nouveaux organismes européens.

Cette nouvelle organisation, qui veut à la fois éviter les lacunes et les doublons, s’accompagne aussi – logique – de nouveaux besoins humains et financiers, chiffrés dans le projet de loi: 8 équivalents temps-plein dès 2025 et trois en 2026, soit un  estimé à 3,1 millions d’euros pour les deux années à venir pour la CNPD; 41.300 euros pour l’Alia et 3 ETP supplémentaires dès la première année d'entrée en vigueur de la loi, soit 500.000 euros par an, tandis que les autres régulateurs n’avaient pas encore répondu à l’estimation de leurs besoins supplémentaires.

Le sandboxing à venir

Ces besoins pourraient augmenter pour la CNPD puisque le projet de loi luxembourgeois relatif à l'IA prévoit la mise en place de «bacs à sable réglementaires» pour l'IA, des environnements contrôlés où les entreprises et les développeurs peuvent tester leurs systèmes d'IA innovants avant leur mise sur le marché, en collaboration avec les autorités compétentes. L'objectif est de faciliter l'innovation et le développement de l'IA tout en assurant le respect des exigences légales et éthiques. La CNPD aura lancé au moins une sandbox avant le 2 août 2026.

Le projet prévoit des sanctions administratives pour le non-respect des dispositions du règlement sur l’IA, allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total de l’entreprise.

Avec cet texte, le Luxembourg serait le deuxième pays après Malte à avoir réglé cette question, une fois que le processus législatif sera allé à son terme. Selon le Future of Life Institute (Fli), plus des deux tiers des États membres, qui ont jusqu’au 2 août pour agir, ont commencé à s’intéresser sérieusement à ce nouveau texte européen, l’IA Act, avec des degrés de clarté et de précision très différents. «L'Espagne», indique le Fli en soulignant la latitude que laisse le texte européen aux États membres, «a créé une agence espagnole de surveillance de l'intelligence artificielle (AESIA) qui agit en tant qu'autorité unique de surveillance du marché sous l'égide du ministère espagnol de la transformation numérique. En revanche, la Finlande a proposé un modèle décentralisé désignant dix autorités de surveillance du marché déjà existantes, dont l'Autorité de l'énergie, l'Agence des transports et des communications et l'Agence des médicaments.»

Si le Luxembourg est dans la première vague, il ne peut pas «s’endormir» sur ses lauriers: les premières interdictions à certains systèmes d’IA entreront en vigueur en février; les codes de bonne pratique doivent être envoyés à la Commission européenne avant le 2 mai et une grande partie des règles seront en vigueur dès le 2 août, un an après l’entrée en vigueur de l’IA Act, tandis que ceux qui ont déjà lancé leurs produits sur le marché avant le texte européen auront jusqu’à 2027 pour se mettre en règle.

Enfin, contrairement à une idée répandue, l’Europe n’est pas le seul bloc qui règlemente et encadre les développements de l’IA: 700 textes sont passés cette année aux États-Unis, après 200 l’an dernier et la Chine a un dispositif complet, dans les deux cas dans des environnements complètement différents de l’Union européenne.

Articles Associés