Actualités

Stratégie numérique européenne : de nouvelles exigences pour les technologies IA et Data


Publié le 23 Septembre 2022



La stratégie numérique de l’Union européenne (UE) se précise. En fixant ses propres normes pour développer un « écosystème de confiance » incluant les dimensions data, IA et cloud, la Commission européenne compte renforcer l’autonomie stratégique de l’UE. Améliorer le partage des données et pousser les différents acteurs à coopérer permettrait par ailleurs de décupler la création de valeur : la Commission table sur un marché européen des données générant 530 milliards d’euros par an. Différents règlements ont ainsi été récemment adoptés ou le seront dans un futur proche, avec un certain nombre d’exigences nouvelles qui affecteront particulièrement les projets numériques pour le secteur de l’énergie, explicitement défini comme domaine « critique ». Mardi 20 septembre, Damien Hervault du cabinet Quantmetry et Arno Pons du Think tank européen The Digital new Deal ont été conviés par l’association Think Smartgrids à présenter les grands enjeux de cette nouvelle stratégie européenne, et plus particulièrement la loi sur les données et les règlements sur la gouvernance des données et l’IA.

La loi sur les données (ou Data Act) et le règlement sur la gouvernance des données visent ainsi tous deux à supprimer les obstacles à l’accès aux données.

Le règlement sur la gouvernance des données, adopté en mai dernier, s’appliquera à partir du 24 septembre 2023. Il cible plus particulièrement les fournisseurs de service d’intermédiation de données et pose des règles et une gouvernance commune pour les Data Spaces, notamment pour les secteurs stratégiques comme l’énergie et la santé. Des dispositions visent en particulier à renforcer la confiance dans le partage des données, ainsi qu’à garantir la neutralité des marchés de données et un accès équitable des différents acteurs aux données. Arno Pons explique que ce règlement vient en quelque sorte compléter le règlement sur la protection des données personnelles (RGPD) en précisant les règles pour les transferts de données non personnelles, notamment vers des pays tiers.

Le Data Act, proposé en février par la Commission européenne, vise quant à lui à « supprimer les obstacles à l’accès aux données » pour créer de la valeur. Il précise les règles sur l’accès et le partage des données générées dans tous les secteurs économiques. L’un des enjeux est de faciliter l’accès des PME et startups aux données issues des objets connectés pour développer de nouveaux services, et d’établir des règles harmonisées et équitables d’accès et de partage des données pour favoriser l’innovation et permettre aux consommateurs d’avoir accès à davantage d’offres. À cette fin, le règlement imposera des limites aux solutions propriétaires pour le développement de l’IoT, facilitera l’accès des tiers à des données agrégées pour développer de nouveaux usages, ouvrira aux administrations publiques un droit de réquisition sur les données d’acteurs privés et imposera des garanties sur l’utilisation des données.

Attendu pour 2023 ou 2024, le projet de règlement dit « pour une IA de confiance » poursuit deux objectifs, parfois contradictoires : développer des technologies fiables, sûres et qui respectent un droit européen renforcé d’un côté, tout en restant compétitifs et innovants de l’autre.

Ce nouveau cadre juridique définit ainsi un certain nombre d’exigences :

  • respect de l’anonymat et de la vie privée,
  • non-discrimination des personnes,
  • transparence des modèles utilisés,
  • robustesse pour maîtriser les risques et incertitudes,
  • définition des responsabilités de chacune des parties prenantes,
  • mesure de l’impact environnemental dans l’objectif de le réduire a minima,
  • garantie d’un contrôle humain pour les prises de décision.

Ces exigences s’appliqueront aussi bien aux technologies de machine learning qu’à celles utilisant des approches statistiques, et pour tous les fournisseurs proposant des systèmes d’IA dans l’UE, même s’ils sont établis dans un pays tiers. L’application du règlement sera donc très large.

Les obligations qui en découleront seront ensuite déterminées par le niveau de risque estimé de chaque cas d’usage de l’IA : de simples recommandations et bonnes pratiques pour un niveau de risque minimal, à des obligations de certification pour les risques élevés, voire une interdiction pure et simple de mise sur le marché pour les cas où les droits et libertés des citoyens pourraient être affectés.

Damien Hervault de Quantmetry précise : un algorithme utilisé pour piloter des réseaux électriques correspondrait par exemple à un niveau de risque élevé, tandis que les outils digitaux utilisés par les techniciens pour optimiser leurs tournées correspondraient plutôt à un risque minimal.

Des sanctions financières très lourdes s’appliqueront en cas de non-respect de ces exigences : Jusqu’à 6% du chiffre d’affaires mondial annuel de l’entreprise ou 30 millions d’euros pour les infractions les plus lourdes.

La Commission européenne veut ainsi forcer tous les acteurs à se poser en amont des projets la question des impacts, pour chacune des technologies IA développée, puis cas d’usage par cas d’usage.

Pour anticiper ces nouvelles règlementations, Damien Hervault recommande à la filière smart grids d’évaluer systématiquement les technologies et projets développés pour comprendre à quel niveau de risque ils correspondent, puis d’évaluer les processus et les méthodes nécessaires pour répondre à ces nouvelles exigences, et enfin, de se former sur ces questions.

Think Smartgrids effectuera un travail de sensibilisation auprès de ses membres et de la filière pour les préparer à la mise en œuvre de ces nouvelles règlementations, qui devraient avoir des répercussions au moins aussi importantes que le RGPD pour les entreprises et concerneront tout particulièrement le secteur de l’énergie.