La plus grande économie en développement s’attaque à la gouvernance de l’IA
Le Sénat fédéral du Brésil a approuvé le projet de loi n° 2 338/2023 en décembre 2024, créant le cadre réglementaire le plus complet pour l’IA en dehors de l’Union européenne. Actuellement en examen final à la Chambre des députés, le texte régirait les systèmes d’IA desservant le cinquième pays le plus peuplé au monde et la neuvième économie par PIB.
Contrairement à l’AI Act européen, issu de l’un des blocs économiques les plus riches au monde, l’approche brésilienne prend explicitement en compte les contraintes et priorités d’une économie en développement. Le projet concilie protection des droits fondamentaux et dispositions visant à ne pas étouffer une industrie nationale de l’IA naissante, incluant des bacs à sable réglementaires permettant aux développeurs de tester des systèmes d’IA dans des environnements contrôlés avant un déploiement complet sur le marché.
Cette législation arrive alors que le Brésil exécute sa stratégie nationale d’IA, le PBIA 2024-2028, qui positionne le pays comme leader régional en Amérique latine. Avec l’Argentine, le Chili et la Colombie qui explorent leurs propres cadres, le projet brésilien pourrait devenir le modèle de gouvernance de l’IA pour l’ensemble de la région.
Trois niveaux de risque, une hiérarchie claire
Le projet adopte une architecture basée sur les risques qui classe les systèmes d’IA en trois niveaux. Les systèmes jugés « excessivement risqués » sont purement et simplement interdits. Cela inclut les applications d’IA qui exploitent les groupes vulnérables, permettent la notation sociale indiscriminée par les gouvernements ou déploient des techniques de manipulation subliminale causant des dommages.
Les systèmes à haut risque subissent la charge réglementaire la plus lourde. Le projet les définit comme des systèmes d’IA affectant directement la vie ou les droits des individus dans des domaines critiques : diagnostics de santé, justice pénale, notation de crédit, décisions d’embauche et applications de sécurité publique. Les développeurs de systèmes à haut risque doivent réaliser des évaluations d’impact algorithmique avant la mise sur le marché, assurer une supervision humaine pour les décisions conséquentes, fournir de la transparence sur le fonctionnement de l’IA et tester les biais discriminatoires.
Le troisième niveau couvre tous les autres systèmes d’IA, soumis à des exigences de transparence de base mais à une friction réglementaire minimale. Cette approche à trois niveaux reflète la structure de l’AI Act européen mais avec des adaptations notables à l’environnement réglementaire brésilien, particulièrement dans la définition des catégories à haut risque et des mécanismes d’application.
Publicité
L’ANPD prend les rênes de la réglementation
Le projet désigne l’Autorité nationale de protection des données du Brésil (ANPD) comme coordinatrice du nouveau Système national de réglementation et de gouvernance de l’intelligence artificielle, connu sous le nom de SIA. Cette décision s’appuie sur l’infrastructure institutionnelle construite par le Brésil pour sa loi de protection des données de 2020, la LGPD, plutôt que de créer un organisme réglementaire entièrement nouveau.
L’ANPD agira comme « régulateur résiduel » pour les questions d’IA non clairement attribuées à des autorités sectorielles. Lorsque les systèmes d’IA traitent des données personnelles, l’ANPD sert de régulateur principal. Pour les applications sectorielles comme l’IA en santé ou en finance, l’ANPD coordonne avec les régulateurs existants tels que l’ANVISA (santé) et la Banque centrale.
L’application dispose d’un arsenal significatif. Les sanctions administratives incluent des amendes pouvant atteindre 50 millions de R$ par infraction (environ 9 millions de dollars), ou jusqu’à 2 % du chiffre d’affaires annuel du groupe contrevenant de l’exercice précédent, le montant le plus élevé étant retenu. L’ANPD peut également ordonner la reclassification du niveau de risque d’un système ou imposer des évaluations d’impact algorithmique pour orienter les enquêtes.
Les évaluations d’impact algorithmique deviennent obligatoires
Pour les systèmes d’IA à haut risque et à usage général, le projet exige des évaluations d’impact algorithmique (EIA) avant toute mise sur le marché. Ces évaluations doivent analyser les risques potentiels, quantifier les bénéfices et détailler les mesures d’atténuation. Elles doivent être mises à jour tout au long du cycle de vie du système, et pas seulement au lancement.
Le projet précise que les EIA doivent être réalisées par une équipe professionnelle disposant d’une expertise technique, scientifique et juridique appropriée. L’autorité compétente conserve le pouvoir de réglementer les normes d’évaluation et d’assurer l’indépendance des équipes d’évaluation. Cette exigence s’inspire du cadre brésilien existant d’évaluation d’impact sur la protection des données dans le cadre de la LGPD, créant un parcours de conformité harmonisé pour les entreprises déjà soumises aux règles de protection des données.
L’autorité brésilienne de la concurrence, le CADE, s’est également prononcée, suggérant des amendements pour traiter les risques de concentration sur les marchés de l’IA et veiller à ce que le cadre réglementaire ne favorise pas par inadvertance les acteurs établis au détriment des startups.
Pourquoi ce projet de loi compte au-delà du Brésil
La portée du texte dépasse largement les frontières brésiliennes. En tant que première grande loi sur l’IA conçue pour une économie en développement, elle offre un modèle réglementaire conciliant protection des droits et enjeux de développement économique. La disposition sur les bacs à sable réglementaires est particulièrement notable : elle permet aux développeurs d’IA de tester des systèmes dans des environnements contrôlés avec des exigences réglementaires réduites, offrant aux petites entreprises et startups un chemin vers l’innovation sans supporter l’intégralité de la charge de conformité dès le premier jour.
Pour les multinationales technologiques, le projet crée une juridiction de conformité supplémentaire avec des sanctions significatives. Les entreprises exploitant des systèmes d’IA au Brésil devront réaliser des évaluations d’impact, mettre en place des mécanismes de transparence et potentiellement désigner des représentants locaux, comme la LGPD l’exigeait pour la protection des données.
Le texte établit également le principe de précaution et la « prévention par conception » comme concepts fondateurs, exigeant des développeurs qu’ils anticipent et atténuent les préjudices potentiels avant qu’un système n’atteigne le marché. Cette approche proactive contraste avec les modèles d’application réactive encore courants dans de nombreuses juridictions.
Questions Fréquemment Posées
Qu’est-ce que le projet de loi IA brésilien PL 2338/2023 et quand deviendra-t-il loi ?
Le PL 2338/2023 est le projet de loi brésilien de réglementation globale de l’IA, approuvé par le Sénat fédéral en décembre 2024. Il est actuellement en examen final à la Chambre des députés. Une fois adopté par la Chambre et signé par le président, il établira un cadre de risque à trois niveaux régissant tous les systèmes d’IA opérant au Brésil, affectant plus de 215 millions de citoyens.
En quoi la réglementation IA brésilienne diffère-t-elle de l’AI Act européen ?
Bien que les deux utilisent des systèmes de classification basés sur les risques, le projet brésilien est spécifiquement conçu pour une économie en développement. Il inclut des bacs à sable réglementaires permettant aux startups de tester des systèmes d’IA avec des charges de conformité réduites, et désigne l’ANPD, l’autorité de protection des données existante, comme régulateur de l’IA plutôt que de créer une nouvelle institution. Les amendes plafonnent à 50 millions de R$ ou 2 % du chiffre d’affaires, contre 7 % du CA mondial pour l’UE.
Que doivent faire les entreprises pour se conformer à la loi IA brésilienne ?
Les entreprises déployant des systèmes d’IA à haut risque au Brésil doivent réaliser des évaluations d’impact algorithmique avant la mise sur le marché, mettre en place une supervision humaine pour les décisions conséquentes, assurer la transparence sur le fonctionnement du système d’IA et tester les biais discriminatoires. Ces évaluations doivent être mises à jour tout au long du cycle de vie du système par des équipes professionnelles qualifiées en expertise technique, scientifique et juridique.
