Application du Règlement sur l’IA à des entreprises suisses

Dans la foulée du Règlement général de l’UE sur la protection des données (RGPD), le règlement européen sur l’intelligence artificielle (RIA) prévoit un champ d’application territorial large, qui couvre non seulement les entreprises incorporées au sein de l’UE, mais aussi certaines localisées dans des pays tiers tels que la Suisse. Les intermédiaires financiers suisses peuvent donc être concernés par le RIA, dont la dimension extraterritoriale est présentée dans ce commentaire.

A. Critères de fixation du champ d’application territorial du RIA

Nous traiterons ici des deux critères alternatifs qui déterminent si un fournisseur (provider) ou un déployeur (deployer) non-UE entre dans le champ d’application du RIA. À noter que les autres rôles prévus par le RIA – comme celui de distributeur (distributor) ou de fabricant de produit (product manufacturer) – peuvent également entraîner une application extraterritoriale du RIA.

Critère 1 (article 2 (1) (a) RIA) : applicable uniquement aux fournisseurs non-UE

Le RIA est applicable aux fournisseurs, indépendamment de leur localisation (UE ou hors-UE), qui :

• « mettent sur le marché » ou « mettent en service » dans l’UE un système d’IA (SIA) ; ou
• « mettent sur le marché » dans l’UE un modèle d’IA à usage général (GPAIM).

Les variables qui sous-tendent ce critère sont donc au nombre de quatre : SIA, GPAIM, « mise sur le marché » et « mise en service ». Sur les notions de SIA et de GPAIM, nous renvoyons à Caballero Cuevas, cdbf.ch/1382/. En revanche, les deux autres concepts méritent une explication :

• Le concept de « mise sur le marché » (placing on the market) est défini à l’article 3 (9) RIA comme « la première mise à disposition d’un [SIA] ou d’un [GPAIM] sur le marché de l’Union ». Le texte vise la première distribution au sein de l’UE, ce qui s’explique par le fait que le RIA est une règlementation d’accès au marché et de sécurité des produits (le RIA se distingue ainsi du RGPD, qui règlemente plutôt des comportements). Ce critère n’est ainsi pas rempli par celui qui met un SIA à la disposition d’un client dans l’UE si ce SIA a déjà été commercialisé dans l’UE. De même, l’importation d’un SIA par une personne pour son propre usage (exemple : un téléphone portable équipé d’un SIA) ne constitue pas une « mise sur le marché ».
• Le concept de « mise en service » (putting into service) est défini à l’article 3 (11) RIA comme la « livraison » dans l’UE (au sens de « mise à disposition ») d’un SIA (i) pour une première utilisation par un déployeur ou (ii) pour l’usage propre du fournisseur. Le concept de « mise en service » s’applique aux SIA, mais pas aux GPAIM, qui, selon la conception du RIA (cf. notamment article 3 (63) RIA), ne sont qu’une composante d’un SIA (Caballero Cuevas, cdbf.ch/1382/).

Critère 2 (article 2 (1) (c) RIA) : applicable aux fournisseurs et aux déployeurs non-UE

Même en l’absence d’une « mise sur le marché » ou d’une « mise en service » dans l’UE selon le Critère 1, le RIA peut s’appliquer à un fournisseur ou à un déployeur suisse lorsque la « sortie » (soit le terme utilisé par le RIA pour désigner ce qui est communément appelle l’output) est utilisée dans l’UE.

Le considérant 22 du RIA suggère que ce critère a été introduit pour éviter les arbitrages règlementaires en délocalisant en dehors de l’UE des activités qui pourraient avoir une influence sur le marché intérieur européen. Le texte de l’article 2 (1) (c) RIA est toutefois plus large et englobe toute utilisation d’un output au sein de l’UE.

Un fournisseur ou un déployeur peut donc tomber sous le coup du RIA du seul fait que l’output est destiné à être utilisé dans l’UE et l’est effectivement.

En revanche, un simple « effet de débordement » non intentionnel qui découlerait d’une présence fortuite de l’output dans l’UE ne devrait pas être suffisant pour déclencher l’application du RIA. Faute de pratique publiée sur la question, l’on ne peut naturellement que spéculer sur ce que pourrait être un tel « effet de débordement » non intentionnel : à notre sens, l’on pourrait prendre l’exemple fictif et sans doute un peu simpliste d’une société américaine qui a développé un SIA pour analyser les tendances de certaines classes d’actifs sur le marché boursier aux États-Unis et qui génère des publications basées sur les données du marché américain. Un investisseur basé dans l’UE accède à ces publications via un abonnement en ligne et les utilise pour investir sur les marchés boursiers européens (car cet investisseur entend mettre en œuvre une stratégie d’investissement fondée sur les interconnexions entre les marchés financiers). Dans ce cas, la société américaine pourrait, à notre sens, prendre la position que le SIA n’a pas été « destiné à être utilisé dans l’UE ».

Par ailleurs, certains auteurs argumentent que le critère de l’intention (qui est évoqué au considérant 22 du RIA : « destiné à être utilisé ») contiendrait implicitement un seuil de minimis. Le texte du RIA ne le dit toutefois pas expressément. Il appartiendra sans doute au Comité européen de l’intelligence artificielle (Comité IA) de concrétiser le concept d' »utilisation » d’un output dans l’UE.

En partant du principe que la plupart des intermédiaires financiers suisses agiront probablement en qualité de déployeur (les notions de « fournisseur » et de « déployeur » feront l’objet d’un prochain commentaire), le RIA pourra par exemple être déclenché lorsqu’un intermédiaire financier suisse rend des services utilisant l’IA à des clients résidents dans l’UE.

B. Illustrations

Nous pouvons illustrer ce qui précède à l’aide de quelques cas pratiques. Les descriptions ci-après reflètent l’interprétation actuelle du texte du RIA et sont sous réserve de clarifications ultérieures de la part des autorités.

1. Chatbot sur le site Internet : Une banque suisse met à disposition sur son site Internet un chatbot qu’elle a elle-même créé et qui fournit des réponses à des questions générales sur ses services (cf. à ce sujet, Jotterand, cdbf.ch/1377/). Le chatbot peut être utilisé par des résidents UE. L’entreprise suisse sera soumise au RIA (application du Critère 2 : output utilisé dans l’UE).
2. SIA utilisé à des fins de marketing : Une banque suisse a développé un SIA et l’utilise pour créer des campagnes marketing (textes et images). Il est prévu que des prospects dans l’UE reçoivent le contenu généré par le SIA (par exemple sous forme d’un email promotionnel). L’entreprise suisse sera soumise au RIA (application du Critère 2 : output utilisé dans l’UE).
3. SIA utilisé par le département RH : Une entreprise suisse utilise un SIA pour analyser et filtrer les candidatures (une activité qui tomberait sous la définition des « traitements à haut risque » au sens de l’Annexe II du RIA) pour un poste en Suisse. Cette entreprise ne devrait pas être soumise au RIA, même si des candidatures émanant de l’UE sont analysées, pour autant que l’output ne soit utilisé qu’au siège de l’entreprise en Suisse (Critère 1 : non rempli car pas de « mise sur le marché » / « mise en service » dans l’UE / Critère 2 : non rempli car pas d’output utilisé dans l’UE).

C. Conséquences concrètes d’une application du RIA

Certaines entreprises suisses soumises au RIA devront tenir compte de cette règlementation à compter de son entrée en vigueur (cf. la timeline disponible sur le lien suivant : cdbf.ch/1359). Les obligations matérielles découlant du RIA feront l’objet d’un commentaire séparé qui sera publié sur cette plateforme. L’on peut toutefois dire à ce stade déjà que les principales obligations risquent de concerner le fournisseur non-UE d’un SIA à haut risque (y compris la nécessité de nommer un représentant au sein de l’UE / article 22 RIA). En revanche, le déployeur non-UE d’un SIA à haut risque ou le fournisseur/déployeur non-UE d’une SIA à risque limité devra principalement se préoccuper du respect de l’obligation de transparence.