À l'aube de 2024, la question de la protection des données et de l'intelligence artificielle (IA) est au cœur des débats, non seulement au Royaume-Uni, mais aussi dans le monde entier. La très attendue loi européenne sur l'IA, souvent présentée comme « la première loi mondiale exhaustive sur l'IA », est sur le point d'être mise en œuvre. En décembre 2023, le Parlement européen et le Conseil européen sont parvenus à un accord provisoire sur son contenu. Bien que le texte final n'ait pas encore été publié, les versions préliminaires offrent un aperçu précieux. Son adoption est prévue début 2024, et elle entrera pleinement en vigueur deux ans plus tard.
Les employeurs doivent prendre note que l'IA utilisée dans le cadre d'un emploi présentant un niveau de risque élevé, tel que defipar la législation, sera soumise à des obligations de conformité et à des garanties supplémentaires. Il est important de noter que la loi européenne sur l'IA aura une portée mondiale et concernera les entreprises internationales utilisant l'IA au sein de l'UE, quel que soit leur siège social. Les infractions à cette réglementation pourront entraîner des amendes considérables, pouvant atteindre 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial.
Réglementation de l'IA au Royaume-Uni : une approche différente
Contrairement à l'approche rigoureuse de l'UE, le Royaume-Uni privilégie une voie différente, en s'abstenant d'adopter une législation exhaustive sur l'IA. Il se concentre plutôt sur la promotion de l'innovation et sur une réglementation et des orientations sectorielles. Des critiques, notamment la Commission pour l'égalité et les droits de l'homme (EHRC), estiment que l'approche britannique est insuffisante. Néanmoins, des signes d'évolution réglementaire sont visibles, illustrés par le projet de loi sur la réglementation de l'intelligence artificielle, une proposition de loi d'initiative parlementaire déposée en novembre 2023. Ce projet de loi vise à créer une autorité centrale chargée de superviser la réglementation de l'IA.
Une lueur d'espoir est apparue en septembre 2023 lorsque le Congrès des syndicats britanniques (TUC) a appelé à une législation urgente pour protéger les droits des travailleurs et a créé un groupe de travail sur l'IA. Ce groupe de travail prévoit de présenter un projet de loi sur l'IA et l'emploi début 2024. Il plaidera en faveur de modifications législatives au RGPD britannique afin de traiter les problèmes potentiels tels que les algorithmes discriminatoires et les menaces à la protection des données liées à l'analyse par l'IA des expressions faciales, du ton de la voix et des accents lors de l'évaluation des candidats à l'embauche.
Le Royaume-Uni pourrait potentiellement se soustraire au RGPD
Après le Brexit, le gouvernement britannique a proposé le projet de loi sur la protection des données et l'information numérique, visant à simplifier et moderniser le cadre juridique britannique en matière de protection des données. Si cette évolution législative pourrait faciliter la mise en conformité des entreprises nationales, les employeurs internationaux devraient quant à eux maintenir le respect des normes strictes du RGPD. Une question se pose : cet écart par rapport au RGPD pourrait-il remettre en cause la décision d'adéquation accordée au Royaume-Uni par l'UE ? La perte de cette décision pourrait engendrer des formalités administratives supplémentaires pour les entreprises britanniques gérant des transferts de données en provenance de l'UE. L'adoption du projet de loi est prévue pour le printemps 2024, mais ce calendrier pourrait être influencé par les prochaines élections britanniques.
orientations de l'ICO et examen de la Commission européenne
Le Bureau du commissaire à l'information (ICO), l'autorité britannique de protection des données, devrait publier prochainement de nouvelles orientations afin de tenir compte de l'évolution des technologies et du cadre juridique. Celles-ci comprendront des ressources enrichies sur l'intelligence artificielle et des conseils ciblés à destination des employeurs, notamment en matière de transferts internationaux de données et de bonnes pratiques. Parallèlement, l'ICO sollicite actuellement des contributions sur un projet de lignes directrices portant sur divers sujets, tels que la conservation des dossiers d'emploi, le recrutement et la sélection.
En 2024, la Commission européenne procédera à un examen du RGPD. Si ce dernier a globalement permis d'harmoniser les règles de protection des données et de renforcer la protection de la vie privée, certains aspects mineurs, comme les contraintes de mise en conformité pour les petites organisations, pourraient faire l'objet d'un examen approfondi.
Domaines d'intervention réglementaires : l'IA dans le recrutement et la protection des données dans les services financiers
Dans le cadre de son programme stratégique, l'ICO s'est engagée à examiner de près le rôle de l'IA dans le recrutement et la conformité à la protection des données au sein du secteur des services financiers. En octobre 2023, l'ICO a adressé une mise en demeure préliminaire à une entreprise technologique pour avoir potentiellement omis d'évaluer correctement les risques pour la vie privée liés à un chatbot basé sur l'IA générative. Cette initiative laisse présager une augmentation probable des poursuites engagées par l'ICO contre les entreprises négligeant les implications de l'IA générative en matière de protection de la vie privée.
En résumé, 2024 s'annonce comme une année charnière pour la protection des données et la réglementation de l'IA au Royaume-Uni et dans l'UE. Si la loi européenne sur l'IA promet un contrôle exhaustif de l'IA, le Royaume-Uni privilégie une approche davantage axée sur l'industrie. Les deux régions doivent composer avec la complexité des enjeux liés à la protection des données et à l'IA, ce qui pourrait avoir des répercussions sur les employeurs, les responsables du traitement des données et les innovateurs technologiques.
