Notice: This is a Juremy.com rendered version. Only European Union documents published in the Official Journal of the European Union are deemed authentic. Juremy accepts no responsibility or liability whatsoever with regard to the content of this document.
Base data © European Union, 1998-2024. Postprocessed and marked-up data © 2019-2024 Juremy.com, all rights reserved.
Render version: 0.1, render date: 2024-07-24
Euroopan unionin
virallinen lehti
FI
Journal officiel
de l'Union européenne
FR
L-sarja
Série L
2024/1689
12.7.2024
2024/1689
12.7.2024
EUROOPAN PARLAMENTIN JA NEUVOSTON ASETUS (EU) 2024/1689,
RÈGLEMENT (UE) 2024/1689 DU PARLEMENT EUROPÉEN ET DU CONSEIL
annettu 13 päivänä kesäkuuta 2024,
du 13 juin 2024
tekoälyä koskevista yhdenmukaistetuista säännöistä ja asetusten (EY) N:o 300/2008, (EU) N:o 167/2013, (EU) N:o 168/2013, (EU) 2018/858, (EU) 2018/1139 ja (EU) 2019/2144 sekä direktiivien 2014/90/EU, (EU) 2016/797 ja (EU) 2020/1828 muuttamisesta (tekoälysäädös)
établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) no 300/2008, (UE) no 167/2013, (UE) no 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle)
(ETA:n kannalta merkityksellinen teksti)
(Texte présentant de l’intérêt pour l’EEE)
EUROOPAN PARLAMENTTI JA EUROOPAN UNIONIN NEUVOSTO, jotka
LE PARLEMENT EUROPÉEN ET LE CONSEIL DE L’UNION EUROPÉENNE,
ottavat huomioon Euroopan unionin toiminnasta tehdyn sopimuksen ja erityisesti sen 16 ja 114 artiklan,
vu le traité sur le fonctionnement de l’Union européenne, et notamment ses articles 16 et 114,
ottavat huomioon Euroopan komission ehdotuksen,
vu la proposition de la Commission européenne,
sen jälkeen kun esitys lainsäätämisjärjestyksessä hyväksyttäväksi säädökseksi on toimitettu kansallisille parlamenteille,
après transmission du projet d’acte législatif aux parlements nationaux,
ottavat huomioon Euroopan talous- ja sosiaalikomitean lausunnon (1),
vu l’avis du Comité économique et social européen (1),
ottavat huomioon Euroopan keskuspankin lausunnon (2),
vu l’avis de la Banque centrale européenne (2),
ottavat huomioon alueiden komitean lausunnon (3),
vu l’avis du Comité des régions (3),
noudattavat tavallista lainsäätämisjärjestystä (4),
statuant conformément à la procédure législative ordinaire (4),
sekä katsovat seuraavaa:
considérant ce qui suit:
(1)
Tämän asetuksen tarkoituksena on parantaa sisämarkkinoiden toimintaa vahvistamalla yhtenäinen oikeudellinen kehys erityisesti unionin arvojen mukaiselle tekoälyjärjestelmien kehittämiselle, markkinoille saattamiselle, käyttöönotolle ja käytölle unionissa, edistää ihmiskeskeisen ja luotettavan tekoälyn käyttöönottoa varmistaen samalla Euroopan unionin perusoikeuskirjassa, jäljempänä ”perusoikeuskirja”, vahvistettu terveyden, turvallisuuden ja perusoikeuksien, mukaan lukien demokratia, oikeusvaltio ja ympäristönsuojelu, suojelun korkea taso, suojautua tekoälyjärjestelmien haitallisilta vaikutuksilta unionissa sekä tukea innovointia. Tällä asetuksella varmistetaan tekoälyyn perustuvien tavaroiden ja palvelujen vapaa liikkuvuus rajojen yli, mikä estää jäsenvaltioita asettamasta tekoälyjärjestelmien kehittämistä, markkinoille saattamista ja käyttöä koskevia rajoituksia, ellei sitä nimenomaisesti sallita tällä asetuksella.
(1)
L’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur en établissant un cadre juridique uniforme, en particulier pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d’intelligence artificielle (ci-après dénommés «systèmes d’IA») dans l’Union, dans le respect des valeurs de l’Union, de promouvoir l’adoption de l’intelligence artificielle (IA) axée sur l’humain et digne de confiance tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée «Charte»), y compris la démocratie, l’état de droit et la protection de l’environnement, de protéger contre les effets néfastes des systèmes d’IA dans l’Union, et de soutenir l’innovation. Le présent règlement garantit la libre circulation transfrontière des biens et services fondés sur l’IA, empêchant ainsi les États membres d’imposer des restrictions au développement, à la commercialisation et à l’utilisation de systèmes d’IA, sauf autorisation expresse du présent règlement.
(2)
Tätä asetusta olisi sovellettava perusoikeuskirjassa vahvistettujen unionin arvojen mukaisesti, mikä helpottaa luonnollisten henkilöiden, yritysten, demokratian ja oikeusvaltion sekä ympäristön suojelua ja samalla edistää innovointia ja työllisyyttä sekä varmistaa unionin johtoaseman luotettavan tekoälyn käyttöönotossa.
(2)
Le présent règlement devrait être appliqué dans le respect des valeurs de l’Union consacrées dans la Charte, en facilitant la protection des personnes physiques, des entreprises, de la démocratie, de l’état de droit et de l’environnement, tout en stimulant l’innovation et l’emploi et en faisant de l’Union un acteur de premier plan dans l’adoption d’une IA digne de confiance.
(3)
Tekoälyjärjestelmiä voidaan ottaa helposti käyttöön monilla eri talouden ja yhteiskunnan aloilla, myös rajojen yli, ja ne voivat liikkua helposti kaikkialla unionissa. Eräät jäsenvaltiot ovat jo harkinneet kansallisten sääntöjen hyväksymistä sen varmistamiseksi, että tekoäly on luotettavaa ja turvallista ja että sitä kehitetään ja käytetään perusoikeuksia koskevien velvoitteiden mukaisesti. Toisistaan poikkeavat kansalliset säännöt voivat johtaa sisämarkkinoiden pirstoutumiseen ja heikentää tekoälyjärjestelmiä kehittävien, maahantuovien tai käyttävien toimijoiden oikeusvarmuutta. Sen vuoksi olisi varmistettava suojelun yhdenmukainen ja korkea taso koko unionissa, jotta tekoäly saadaan toimimaan luotettavasti, ja samalla estettävä erot, jotka haittaavat tekoälyjärjestelmien ja niihin liittyvien tuotteiden ja palvelujen vapaata liikkuvuutta, innovointia ja käyttöönottoa sisämarkkinoilla, vahvistamalla yhdenmukaiset velvoitteet toimijoille ja takaamalla yleiseen etuun liittyvien pakottavien syiden ja henkilöiden oikeuksien yhdenmukainen suojelu koko sisämarkkinoilla Euroopan unionin toiminnasta tehdyn sopimuksen 114 artiklan mukaisesti. Siltä osin kuin tämä asetus sisältää yksilöiden suojelua henkilötietojen käsittelyssä koskevia erityissääntöjä, joilla rajoitetaan tekoälyjärjestelmien lainvalvontatarkoituksessa tapahtuvaa käyttöä biometristä etätunnistusta, luonnollisia henkilöitä koskevia riskinarviointeja ja biometristä luokittelua varten, tämä asetus on aiheellista perustaa kyseisten erityissääntöjen osalta Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklaan. Kun otetaan huomioon nämä erityissäännöt ja Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan käyttö, on aiheellista kuulla Euroopan tietosuojaneuvostoa.
(3)
Les systèmes d’IA peuvent être facilement déployés dans un large éventail de secteurs de l’économie et dans de nombreux pans de la société, y compris transfrontières, et peuvent facilement circuler dans toute l’Union. Certains États membres ont déjà envisagé l’adoption de règles nationales destinées à faire en sorte que l’IA soit digne de confiance et sûre et à ce qu’elle soit développée et utilisée dans le respect des obligations en matière de droits fondamentaux. Le fait que les règles nationales divergent peut entraîner une fragmentation du marché intérieur et peut réduire la sécurité juridique pour les opérateurs qui développent, importent ou utilisent des systèmes d’IA. Il convient donc de garantir un niveau de protection cohérent et élevé dans toute l’Union afin de parvenir à une IA digne de confiance, et d’éviter les divergences qui entravent la libre circulation, l’innovation, le déploiement et l’adoption des systèmes d’IA et des produits et services connexes au sein du marché intérieur, en établissant des obligations uniformes pour les opérateurs et en garantissant la protection uniforme des raisons impérieuses d’intérêt général et des droits des citoyens dans l’ensemble du marché intérieur sur la base de l’article 114 du traité sur le fonctionnement de l’Union européenne. Dans la mesure où le présent règlement contient des règles spécifiques sur la protection des personnes physiques en ce qui concerne le traitement des données à caractère personnel, à savoir des restrictions portant sur l’utilisation de systèmes d’IA pour l’identification biométrique à distance à des fins répressives, sur l’utilisation de systèmes d’IA pour l’évaluation des risques liés à des personnes physiques à des fins répressives, et sur l’utilisation de systèmes d’IA de catégorisation biométrique à des fins répressives, il convient de fonder le présent règlement, pour ce qui est de ces règles spécifiques, sur l’article 16 du traité sur le fonctionnement de l’Union européenne. Compte tenu de ces règles spécifiques et du recours à l’article 16 du traité sur le fonctionnement de l’Union européenne, il convient de consulter le comité européen de la protection des données.
(4)
Tekoäly on nopeasti kehittyvä teknologiakokonaisuus, joka tuottaa monenlaisia taloudellisia, ympäristöön liittyviä ja yhteiskunnallisia hyötyjä kaikilla teollisuudenaloilla ja kaikessa sosiaalisessa toiminnassa. Tekoälyn käyttö voi tarjota yrityksille keskeisiä kilpailuetuja ja tukea yhteiskunnallisesti ja ympäristön kannalta suotuisia tuloksia esimerkiksi terveydenhuollon, maatalouden, elintarviketurvallisuuden, koulutuksen, tiedotusvälineiden, urheilun, kulttuurin, infrastruktuurin hallinnan, energian, liikenteen ja logistiikan, julkisten palvelujen, turvallisuuden, oikeuden, resurssi- ja energiatehokkuuden, ympäristönseurannan, luonnon monimuotoisuuden ja ekosysteemien säilyttämisen ja ennallistamisen sekä ilmastonmuutoksen hillitsemisen ja siihen sopeutumisen aloilla parantamalla ennakointia, optimoimalla toimintoja ja resurssien kohdentamista ja räätälöimällä yksilöille ja organisaatioille tarjolla olevia digitaalisia ratkaisuja.
(4)
L’IA est une famille de technologies en évolution rapide, contribuant à un large éventail de bienfaits économiques, environnementaux et sociétaux touchant l’ensemble des secteurs économiques et des activités sociales. En fournissant de meilleures prédictions, en optimisant les processus et l’allocation des ressources et en personnalisant les solutions numériques disponibles pour les particuliers et les organisations, le recours à l’IA peut donner des avantages concurrentiels décisifs aux entreprises et produire des résultats bénéfiques pour la société et l’environnement, dans des domaines tels que les soins de santé, l’agriculture, la sécurité des aliments, l’éducation et la formation, les médias, le sport, la culture, la gestion des infrastructures, l’énergie, les transports et la logistique, les services publics, la sécurité, la justice, l’utilisation efficace des ressources et de l’énergie, la surveillance de l’environnement, la préservation et la restauration de la biodiversité et des écosystèmes ainsi que l’atténuation du changement climatique et l’adaptation à celui-ci.
(5)
Samaan aikaan tekoäly voi sen erityiseen sovellukseen, käyttöön ja teknologisen kehityksen asteeseen liittyvistä olosuhteista riippuen aiheuttaa riskejä ja vahingoittaa unionin oikeudella suojattuja yleisiä etuja ja perusoikeuksia. Tällainen vahinko voi olla aineellista tai aineetonta, kuten fyysistä, psykologista, yhteiskunnallista tai taloudellista vahinkoa.
(5)
Cependant, en fonction des circonstances concernant son application et son utilisation et du niveau de développement technologique, l’IA peut générer des risques et porter atteinte aux intérêts publics et aux droits fondamentaux protégés par le droit de l’Union. Le préjudice causé peut être matériel ou immatériel, y compris physique, psychologique, sociétal ou économique.
(6)
Kun otetaan huomioon, että tekoälyllä voi olla merkittävä vaikutus yhteiskuntaan ja että on tarpeen rakentaa luottamusta, on erittäin tärkeää, että tekoälyä ja sen sääntelykehystä kehitetään Euroopan unionista tehdyn sopimuksen, jäljempänä ”SEU-sopimus”, 2 artiklassa vahvistettujen unionin arvojen, perussopimuksissa vahvistettujen perusoikeuksien ja -vapauksien sekä SEU-sopimuksen 6 artiklan nojalla perusoikeuskirjan mukaisesti. Tekoälyn ennakkoehtona olisi oltava teknologian ihmiskeskeisyys. Ihmisten olisi voitava käyttää sitä välineenä, jonka perimmäisenä tavoitteena on lisätä heidän hyvinvointiaan.
(6)
Compte tenu de l’incidence majeure que l’IA peut avoir sur nos sociétés et de la nécessité de bâtir la confiance, l’IA et son cadre réglementaire doivent impérativement être élaborés dans le respect des valeurs de l’Union consacrées à l’article 2 du traité sur l’Union européenne, des droits et libertés fondamentaux prévus par les traités, et, conformément à l’article 6 du traité sur l’Union européenne, de la Charte. Il est indispensable que l’IA soit une technologie axée sur l’humain. Elle devrait servir d’outil aux personnes, dans le but ultime d’accroître le bien-être des humains.
(7)
Jotta voidaan varmistaa terveyteen, turvallisuuteen ja perusoikeuksiin liittyvien yleisten etujen suojelun yhdenmukainen ja korkea taso, suuririskisille tekoälyjärjestelmille olisi vahvistettava yhteiset säännöt. Näiden sääntöjen olisi oltava perusoikeuskirjan mukaisia, syrjimättömiä ja yhteensopivia unionin kansainvälisten kauppasitoumusten kanssa. Niissä olisi myös otettava huomioon eurooppalainen julistus digitaalisen vuosikymmenen digitaalisista oikeuksista ja periaatteista ja tekoälyä käsittelevän korkean tason asiantuntijaryhmän luotettavaa tekoälyä koskevat eettiset ohjeet.
(7)
Afin d’assurer un niveau cohérent et élevé de protection des intérêts publics en ce qui concerne la santé, la sécurité et les droits fondamentaux, il convient d’établir des règles communes pour les systèmes d’IA à haut risque. Ces règles devraient être conformes à la Charte, non discriminatoires et compatibles avec les engagements commerciaux internationaux de l’Union. Elles devraient également tenir compte de la déclaration européenne sur les droits et principes numériques pour la décennie numérique et des lignes directrices en matière d’éthique pour une IA digne de confiance rédigées par le groupe d’experts de haut niveau sur l’intelligence artificielle (ci-après dénommé «GEHN IA»).
(8)
Sen vuoksi tarvitaan unionin oikeudellinen kehys, jossa vahvistetaan tekoälyä koskevat yhdenmukaistetut säännöt, jotta voidaan edistää tekoälyn kehittämistä, käyttöä ja käyttöönottoa sisämarkkinoilla ja samalla taata unionin oikeudessa tunnustettujen ja suojattujen yleisten etujen, kuten terveyden ja turvallisuuden, sekä perusoikeuksien, kuten demokratian, oikeusvaltion ja ympäristön, suojelun korkea taso. Tämän tavoitteen saavuttamiseksi olisi vahvistettava säännöt, joilla säännellään tiettyjen tekoälyjärjestelmien markkinoille saattamista, käyttöönottoa ja käyttöä ja varmistetaan siten sisämarkkinoiden moitteeton toiminta ja annetaan kyseisille järjestelmille mahdollisuus hyötyä tavaroiden ja palvelujen vapaan liikkuvuuden periaatteesta. Näiden sääntöjen olisi oltava selkeitä. Niiden olisi suojeltava hyvin perusoikeuksia, tuettava uusia innovatiivisia ratkaisuja ja mahdollistettava unionin arvojen mukaisia tekoälyjärjestelmiä kehittävien julkisten ja yksityisten toimijoiden eurooppalainen ekosysteemi. Niiden avulla olisi voitava hyödyntää digitalisaation mahdollisuuksia kaikilla unionin alueilla. Vahvistamalla kyseiset säännöt sekä innovointia tukevat toimenpiteet, joissa keskitytään erityisesti pk-yrityksiin, startup-yritykset mukaan luettuna, tällä asetuksella tuetaan Eurooppa-neuvoston asettamaa tavoitetta, jonka mukaan edistetään eurooppalaista ihmiskeskeistä tekoälyä ja unionin olisi oltava globaali edelläkävijä turvallisen, luotettavan ja eettisen tekoälyn kehittämisessä (5), ja varmistetaan eettisten periaatteiden suojelu, kuten Euroopan parlamentti on erityisesti pyytänyt (6).
(8)
Un cadre juridique de l’Union établissant des règles harmonisées sur l’IA est donc nécessaire pour favoriser le développement, l’utilisation et l’adoption de l’IA dans le marché intérieur, tout en garantissant un niveau élevé de protection des intérêts publics, comme la santé et la sécurité, et de protection des droits fondamentaux, y compris la démocratie, l’état de droit et la protection de l’environnement, tels qu’ils sont reconnus et protégés par le droit de l’Union. Pour atteindre cet objectif, des règles régissant la mise sur le marché, la mise en service et l’utilisation de certains systèmes d’IA devraient être établies, garantissant ainsi le bon fonctionnement du marché intérieur et permettant à ces systèmes de bénéficier du principe de libre circulation des marchandises et des services. Ces règles devraient être claires et solides pour protéger les droits fondamentaux, soutenir de nouvelles solutions innovantes, permettre la mise en place d’un écosystème européen d’acteurs publics et privés créant des systèmes d’IA conformes aux valeurs de l’Union, et libérer le potentiel de la transformation numérique dans l’ensemble des régions de l’Union. En établissant ces règles, ainsi que des mesures en faveur de l’innovation mettant un accent particulier sur les petites et moyennes entreprises (PME), parmi lesquelles les jeunes pousses, le présent règlement contribue à la réalisation de l’objectif qui consiste à promouvoir l’approche européenne de l’IA axée sur l’humain et faire de l’UE un acteur mondial de premier plan dans le développement d’une IA sûre, fiable et éthique, ainsi que l’avait formulé le Conseil européen (5), et il garantit la protection de principes éthiques expressément demandée par le Parlement européen (6).
(9)
Suuririskisten tekoälyjärjestelmien markkinoille saattamiseen, käyttöönottoon ja käyttöön sovellettavat yhdenmukaistetut säännöt olisi vahvistettava johdonmukaisesti Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 765/2008 (7), Euroopan parlamentin ja neuvoston päätöksen N:o 768/2008/EY (8) sekä Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/1020 (9), jäljempänä ”uusi lainsäädäntökehys”, kanssa. Tässä asetuksessa säädettyjä yhdenmukaistettuja sääntöjä olisi sovellettava kaikilla aloilla, ja uuden lainsäädäntökehyksen mukaisesti säännöt eivät saisi rajoittaa olemassa olevaa unionin oikeutta, joka koskee erityisesti tietosuojaa, kuluttajansuojaa, perusoikeuksia, työllisyyttä ja työntekijöiden suojelua sekä tuoteturvallisuutta ja jota tällä asetuksella täydennetään. Näin ollen kaikki tällaisessa unionin oikeudessa vahvistetut oikeudet ja oikeussuojakeinot kuluttajille ja muille henkilöille, joihin tekoälyjärjestelmillä voi olla kielteinen vaikutus, mukaan lukien neuvoston direktiivin 85/374/ETY (10) mukainen mahdollisten vahinkojen korvaaminen, säilyvät muuttumattomina ja niitä sovelletaan täysimääräisesti. Tämä asetus ei sen vuoksi saisi työllisyyden ja työntekijöiden suojelun aloilla vaikuttaa sosiaalipolitiikkaa koskevaan unionin oikeuteen eikä unionin oikeuden mukaiseen kansalliseen työlainsäädäntöön, joka koskee työehtoja ja -oloja, mukaan lukien työterveys ja -turvallisuus, sekä työnantajien ja työntekijöiden välistä suhdetta. Tämä asetus ei myöskään saisi vaikuttaa jäsenvaltioissa ja unionin tasolla tunnustettujen perusoikeuksien noudattamiseen, mukaan lukien oikeus tai vapaus ryhtyä lakkoon tai muuhun jäsenvaltioiden työmarkkinajärjestelmien piiriin kuuluvaan toimeen, sekä oikeus neuvotella, tehdä ja panna täytäntöön työehtosopimuksia tai ryhtyä työtaistelutoimiin kansallisen lainsäädännön mukaisesti. Tämä asetus ei saisi vaikuttaa työolojen parantamisesta alustatyössä annettavassa Euroopan parlamentin ja neuvoston direktiivissä vahvistettuihin säännöksiin, joilla pyritään parantamaan työoloja alustatyössä. Tämän lisäksi tällä asetuksella pyritään vahvistamaan tällaisten olemassa olevien oikeuksien ja oikeussuojakeinojen vaikuttavuutta ottamalla käyttöön erityisiä vaatimuksia ja velvoitteita, jotka koskevat muun muassa tekoälyjärjestelmien avoimuutta, teknistä dokumentaatiota ja tietojen säilyttämistä. Lisäksi tämän asetuksen nojalla tekoälyn arvoketjun eri toimijoille asetettuja velvoitteita olisi sovellettava rajoittamatta kansallista lainsäädäntöä, unionin oikeuden mukaisesti, siten, että vaikutuksena on tiettyjen tekoälyjärjestelmien käytön rajoittaminen, silloin kun tällainen lainsäädäntö ei kuulu tämän asetuksen soveltamisalaan tai sillä on muita oikeutettuja yleisen edun mukaisia tavoitteita kuin tässä asetuksessa asetetaan. Tämä asetus ei saisi vaikuttaa esimerkiksi kansalliseen työlainsäädäntöön ja alaikäisten, eli alle 18-vuotiaiden henkilöiden, suojelua koskeviin lakeihin ottaen huomioon lapsen oikeuksien yleissopimuksen yleinen huomautus nro 25 (2021) lapsen oikeuksista suhteessa digitaaliseen ympäristöön siltä osin kuin ne eivät koske tekoälyjärjestelmiä ja niillä on muita oikeutettuja yleisen edun mukaisia tavoitteita.
(9)
Des règles harmonisées applicables à la mise sur le marché, à la mise en service et à l’utilisation de systèmes d’IA à haut risque devraient être établies conformément au règlement (CE) no 765/2008 du Parlement européen et du Conseil (7), à la décision no 768/2008/CE du Parlement européen et du Conseil (8) et au règlement (UE) 2019/1020 du Parlement européen et du Conseil (9) (ci-après dénommé «nouveau cadre législatif»). Les règles harmonisées énoncées dans le présent règlement devraient s’appliquer dans tous les secteurs et, conformément au nouveau cadre législatif, être sans préjudice du droit de l’Union en vigueur, en particulier en ce qui concerne la protection des données, la protection des consommateurs, les droits fondamentaux, l’emploi et la protection des travailleurs, et la sécurité des produits, que le présent règlement vient compléter. En conséquence, tous les droits et recours prévus par ce droit de l’Union pour les consommateurs et les autres personnes sur lesquelles les systèmes d’IA sont susceptibles d’avoir des incidences négatives, y compris en ce qui concerne la réparation de dommages éventuels conformément à la directive 85/374/CEE du Conseil (10), demeurent inchangés et pleinement applicables. En outre, dans le contexte de l’emploi et de la protection des travailleurs, le présent règlement ne devrait donc pas avoir d’incidence sur le droit de l’Union en matière de politique sociale ni sur le droit national du travail, dans le respect du droit de l’Union, en ce qui concerne les conditions d’emploi et de travail, y compris la santé et la sécurité au travail et les relations entre employeurs et travailleurs. Par ailleurs, le présent règlement ne devrait pas porter atteinte à l’exercice des droits fondamentaux reconnus dans les États membres et au niveau de l’Union, notamment le droit ou la liberté de faire grève ou d’entreprendre d’autres actions prévues par les mécanismes de concertation sociale propres aux États membres, ainsi que le droit de négocier, de conclure et d’appliquer des conventions collectives ou de mener des actions collectives conformément au droit national. Le présent règlement ne devrait pas avoir d’incidence sur les dispositions visant à améliorer les conditions de travail dans le cadre du travail via une plateforme, établies dans la directive du Parlement européen et du Conseil relative à l’amélioration des conditions de travail dans le cadre du travail via une plateforme. De plus, le présent règlement vise à renforcer l’efficacité de ces droits et recours existants en établissant des exigences et des obligations spécifiques, y compris en ce qui concerne la transparence, la documentation technique et la tenue de registres des systèmes d’IA. Par ailleurs, les obligations imposées aux différents opérateurs intervenant dans la chaîne de valeur de l’IA en vertu du présent règlement devraient s’appliquer sans préjudice du droit national, dans le respect du droit de l’Union, ayant pour effet de limiter l’utilisation de certains systèmes d’IA lorsque ces législations ne relèvent pas du champ d’application du présent règlement ou poursuivent des objectifs légitimes d’intérêt public autres que ceux poursuivis par le présent règlement. Ainsi, le droit national du travail et les lois sur la protection des mineurs, à savoir des personnes âgées de moins de 18 ans, compte tenu de l’observation générale no 25 (2021) de la CNUDE sur les droits de l’enfant en relation avec l’environnement numérique, dans la mesure où ils ne sont pas spécifiques aux systèmes d’IA et poursuivent d’autres objectifs légitimes d’intérêt public, ne devraient pas être affectés par le présent règlement.
(10)
Henkilötietojen suojaa koskeva perusoikeus on turvattu erityisesti Euroopan parlamentin ja neuvoston asetuksilla (EU) 2016/679 (11) ja (EU) 2018/1725 (12) sekä Euroopan parlamentin ja neuvoston direktiivillä (EU) 2016/680 (13). Lisäksi Euroopan parlamentin ja neuvoston direktiivillä 2002/58/EY (14) suojellaan yksityisyyttä ja viestinnän luottamuksellisuutta, mukaan lukien säätämällä ehdoista, jotka koskevat kaikkien henkilötietojen ja muiden kuin henkilötietojen tallentamista päätelaitteelle ja pääsyä näihin tietoihin. Kyseiset unionin säädökset luovat perustan kestävälle ja vastuulliselle datankäsittelylle, myös silloin kun data-aineistossa on sekä henkilötietoja että muuta dataa kuin henkilötietoja. Tällä asetuksella ei pyritä vaikuttamaan henkilötietojen käsittelyä koskevan voimassa olevan unionin oikeuden soveltamiseen, mukaan lukien kyseisten säädösten noudattamisen valvonnasta vastaavien riippumattomien valvontaviranomaisten tehtävät ja toimivalta.Tämä asetus ei vaikuta niihin tekoälyjärjestelmien tarjoajien ja käyttöönottajien velvoitteisiin rekisterinpitäjinä tai tietojen käsittelijöinä, jotka johtuvat henkilötietojen suojaa koskevasta unionin tai kansallisesta lainsäädännöstä, siltä osin kuin tekoälyjärjestelmien suunnitteluun, kehittämiseen ja käyttöön liittyy henkilötietojen käsittelyä. On myös asianmukaista selventää, että rekisteröidyillä on kaikki tällaisen unionin oikeuden mukaiset oikeudet ja takeet, myös pelkästään automatisoituun yksittäispäätöksentekoon liittyvät oikeudet, mukaan lukien profilointi. Tässä asetuksessa vahvistetuilla yhdenmukaistetuilla säännöillä tekoälyjärjestelmien markkinoille saattamiseksi, käyttöön ottamiseksi tai käyttämiseksi olisi helpotettava henkilötietojen suojaa koskevassa unionin oikeudessa taattujen rekisteröityjen oikeuksien ja muiden oikeussuojakeinojen sekä muiden perusoikeuksien tosiasiallista täytäntöönpanoa ja mahdollistettava niiden käyttö.
(10)
Le droit fondamental à la protection des données à caractère personnel est garanti en particulier par les règlements (UE) 2016/679 (11) et (UE) 2018/1725 (12) du Parlement européen et du Conseil, ainsi que par la directive (UE) 2016/680 du Parlement européen et du Conseil (13). Par ailleurs, la directive 2002/58/CE du Parlement européen et du Conseil (14) protège la vie privée et la confidentialité des communications, y compris en prévoyant des conditions régissant le stockage de données à caractère personnel et non personnel dans des équipements terminaux ainsi que les conditions d’accès à ces données depuis ces équipements. Ces actes législatifs de l’Union servent de base à un traitement pérenne et responsable des données, y compris lorsque les ensembles de données contiennent un mélange de données à caractère personnel et de données à caractère non personnel. Le présent règlement n’entend pas modifier l’application du droit de l’Union régissant le traitement des données à caractère personnel, ni les tâches et les pouvoirs des autorités de contrôle indépendantes chargées de veiller au respect de ces ins truments. Il n’a pas non plus d’incidence sur les obligations des fournisseurs et des déployeurs de systèmes d’IA en leur qualité de responsables du traitement ou de sous-traitants découlant du droit de l’Union ou du droit national relatif à la protection des données à caractère personnel dans la mesure où la conception, le développement ou l’utilisation de systèmes d’IA implique le traitement de données à caractère personnel. Il convient également de préciser que les personnes concernées continuent de jouir de tous les droits et garanties qui leur sont conférés par le droit de l’Union, dont les droits liés à la prise de décision individuelle entièrement automatisée, y compris le profilage. Des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation des systèmes d’IA établies en vertu du présent règlement devraient faciliter la mise en œuvre effective des droits et autres voies de recours garantis par le droit de l’Union relatif à la protection des données à caractère personnel et d’autres droits fondamentaux, et permettre aux personnes concernées de faire valoir ces droits et autres voies de recours.
(11)
Tämä asetus ei saisi rajoittaa Euroopan parlamentin ja neuvoston asetuksessa (EU) 2022/2065 (15) vahvistettujen välityspalvelujen tarjoajien vastuuta koskevien säännösten soveltamista.
(11)
Le présent règlement devrait être sans préjudice des dispositions relatives à la responsabilité des fournisseurs de services intermédiaires prévue dans le règlement (UE) 2022/2065 du Parlement européen et du Conseil (15).
(12)
Tekoälyjärjestelmän käsite tässä asetuksessa olisi määriteltävä selkeästi ja yhdenmukaistettava mahdollisimman pitkälle tekoälyn alalla parissa kansainvälisten organisaatioiden tekemän työn kanssa, jotta voidaan taata oikeusvarmuus, edistää kansainvälistä lähentymistä ja laajaa hyväksyntää sekä samalla tarjota joustovaraa alan nopean teknologisen kehityksen huomioon ottamiseksi. Lisäksi käsitteen olisi perustuttava tekoälyjärjestelmien keskeisiin ominaisuuksiin, jotka erottavat sen yksinkertaisemmista perinteisistä ohjelmistojärjestelmistä tai ohjelmointitavoista. Se ei saisi kattaa järjestelmiä, jotka perustuvat yksinomaan luonnollisten henkilöiden määrittelemiin sääntöihin toimien suorittamiseksi automaattisesti. Yksi tekoälyjärjestelmien keskeisistä piirteistä on niiden päättelykyky. Päättelykyvyllä tarkoitetaan prosessia, jossa saadaan tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysiseen ja virtuaaliympäristöön, ja tekoälyjärjestelmien kykyyn johtaa malleja tai algoritmeja tai molempia syöttötiedoista tai datasta. Tekoälyjärjestelmää kehitettäessä käytettäviä päättelyn mahdollistavia tekniikoita ovat esimerkiksi koneoppimismenetelmät, jotka oppivat datan avulla, miten tietyt tavoitteet voivat saavuttaa, ja logiikkaan ja tietämykseen perustuvat menetelmät, jotka päättelevät tuotoksensa koodatun tietämyksen tai ratkaistavan tehtävän symbolisen esityksen perusteella. Tekoälyjärjestelmän päättelykyky on laajempi kuin perustietojenkäsittelyn. Sen ansiosta tekoälyjärjestelmä voi oppia, tehdä johtopäätöksiä tai mallintaa asioita. ”Konepohjaisella” tarkoitetaan, että tekoälyjärjestelmät toimivat koneissa. Eksplisiittisillä ja implisiittisillä tavoitteilla tarkoitetaan, että tekoälyjärjestelmät voivat toimia eksplisiittisesti määriteltyjen tavoitteiden tai implisiittisten tavoitteiden mukaisesti. Tekoälyjärjestelmän tavoitteet voivat erota tekoälyjärjestelmän käyttötarkoituksesta jossakin tietyssä yhteydessä. Tätä asetusta sovellettaessa ympäristöillä olisi katsottava tarkoitettavan olosuhteita, joissa tekoälyjärjestelmät toimivat, kun taas tekoälyjärjestelmän tuotokset kuvaavat tekoälyjärjestelmien suorittamia erilaisia toimintoja ja voivat olla esimerkiksi ennusteita, sisältöä, suosituksia ja päätöksiä. Tekoälyjärjestelmät on suunniteltu toimimaan eriasteisen itsenäisesti, mikä tarkoittaa, että ne toimivat jossakin määrin ihmisen toimista riippumattomasti ja kykenevät ainakin jossakin määrin toimimaan ilman ihmisen ohjausta. Tekoälyjärjestelmän mahdollinen mukautuvuus käyttöönoton jälkeen viittaa itseoppimiskykyyn, jonka avulla järjestelmä voi muuttua käytön aikana. Tekoälyjärjestelmiä voidaan käyttää erillisinä tai tuotteen osina riippumatta siitä, onko järjestelmä fyysisesti integroitu tuotteeseen (sulautettu) vai palveleeko se tuotteen toiminnallisuutta ilman, että se on integroitu siihen (sulauttamaton).
(12)
La notion de «système d’IA» figurant dans le présent règlement devrait être clairement définie et devrait être étroitement alignée sur les travaux des organisations internationales œuvrant dans le domaine de l’IA afin de garantir la sécurité juridique, et de faciliter la convergence internationale et une large acceptation, tout en offrant la souplesse nécessaire pour tenir compte des évolutions technologiques rapides dans ce domaine. En outre, la définition devrait être fondée sur les caractéristiques essentielles des systèmes d’IA qui la distinguent des systèmes logiciels ou des approches de programmation traditionnels plus simples, et ne devrait pas couvrir les systèmes fondés sur les règles définies uniquement par les personnes physiques pour exécuter automatiquement des opérations. Une caractéristique essentielle des systèmes d’IA est leur capacité d’inférence. Cette capacité d’inférence concerne le processus consistant à générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions, qui peuvent influencer l’environnement physique ou virtuel, et la capacité des systèmes d’IA à inférer des modèles ou des algorithmes, ou les deux, à partir d’entrées ou de données. Les techniques permettant l’inférence lors de la construction d’un système d’IA comprennent des approches d’apprentissage automatique qui apprennent à partir des données la manière d’atteindre certains objectifs, et des approches fondées sur la logique et les connaissances qui font des inférences à partir des connaissances encodées ou de la représentation symbolique de la tâche à résoudre. La capacité d’un système d’IA à faire des inférences va au-delà du traitement de données de base en ce qu’elle permet l’apprentissage, le raisonnement ou la modélisation. Le terme «fondé sur des machines» renvoie au fait que les systèmes d’IA tournent sur des machines. La référence à des objectifs explicites ou implicites souligne que les systèmes d’IA peuvent fonctionner selon des objectifs explicites définis ou des objectifs implicites. Les objectifs du système d’IA peuvent être différents de la destination du système d’IA dans un contexte spécifique. Aux fins du présent règlement, les environnements devraient s’entendre comme étant les contextes dans lesquels les systèmes d’IA fonctionnent, tandis que les sorties générées par le système d’IA correspondent à différentes fonctions exécutées par les systèmes d’IA et consistent en des prévisions, du contenu, des recommandations ou des décisions. Les systèmes d’IA sont conçus pour fonctionner à différents niveaux d’autonomie, ce qui signifie qu’ils bénéficient d’un certain degré d’indépendance dans leur action par rapport à une ingérence humaine et de capacités à fonctionner sans intervention humaine. La faculté d’adaptation dont un système d’IA pourrait faire preuve après son déploiement est liée à des capacités d’auto-apprentissage, qui permettent au système d’évoluer en cours d’utilisation. Les systèmes d’IA peuvent être utilisés seuls ou en tant que composant d’un produit, que le système soit physiquement incorporé dans le produit (intégré) ou qu’il serve la fonctionnalité du produit sans y être incorporé (non intégré).
(13)
Tässä asetuksessa tarkoitetun ”käyttöönottajan” käsitteen olisi tulkittava tarkoittavan tekoälyjärjestelmää käyttävää luonnollista tai oikeushenkilöä, mukaan lukien viranomainen, virasto tai muu elin, jonka valvonnassa järjestelmää käytetään, paitsi jos tekoälyjärjestelmää käytetään henkilökohtaisessa muussa kuin ammattitoiminnassa. Tekoälyjärjestelmän tyypistä riippuen järjestelmän käyttö voi vaikuttaa muihin henkilöihin kuin käyttöönottajaan.
(13)
Il convient d’interpréter la notion de «déployeur» visée dans le présent règlement comme désignant toute personne physique ou morale, y compris une autorité publique, une agence ou un autre organisme, utilisant sous sa propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel. En fonction du type de système d’IA, l’utilisation du système peut concerner des personnes autres que le déployeur.
(14)
Tässä asetuksessa käytettyä biometristen tietojen käsitettä olisi tulkittava asetuksen (EU) 2016/679 4 artiklan 14 alakohdassa, asetuksen (EU) 2018/1725 3 artiklan 18 alakohdassa ja direktiivin (EU) 2016/680 3 artiklan 13 alakohdassa määritellyn biometristen tietojen käsitteen perusteella. Biometrisen datan avulla voidaan todentaa, tunnistaa tai luokitella luonnollisia henkilöitä ja tunnistaa heidän tunteitaan.
(14)
Il convient d’interpréter la notion de «données biométriques» utilisée dans le présent règlement à la lumière de la notion de données biométriques au sens de l’article 4, point 14), du règlement (UE) 2016/679, de l’article 3, point 18), du règlement (UE) 2018/1725, et de l’article 3, point 13), de la directive (UE) 2016/680. Des données biométriques peuvent permettre l’authentification, l’identification ou la catégorisation des personnes physiques, ainsi que la reconnaissance de leurs émotions.
(15)
Tässä asetuksessa tarkoitettu biometrisen tunnistuksen käsite olisi määriteltävä ihmisen fyysisten, fysiologisten ja käyttäytymiseen liittyvien ominaisuuksien, kuten kasvojen, silmien liikkeen, kehon muodon, äänen, prosodian, kävelyn, asennon, sydämen lyöntitiheyden, verenpaineen, hajun, näppäinpainallusten tai muiden ominaisuuksien automaattiseksi tunnistamiseksi yksilön henkilöllisyyden toteamiseksi vertaamalla kyseisen yksilön biometrisiä tietoja viitetietokantaan tallennettuihin toisten yksilöiden biometrisiin tietoihin riippumatta siitä, onko kyseinen yksilö antanut tähän suostumustaan. Näihin eivät kuulu tekoälyjärjestelmät, joita on tarkoitus käyttää biometriseen todennukseen, joka käsittää tunnistautumisen, ja joiden ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa, sekä vahvistaa luonnollisen henkilön henkilöllisyys ainoastaan jonkin palvelun käyttämiseksi, laitteen lukituksen poistamiseksi tai valvottuun tilaan pääsemiseksi.
(15)
La notion d’«identification biométrique» visée dans le présent règlement devrait être définie comme la reconnaissance automatisée de caractéristiques physiques, physiologiques et comportementales d’une personne, telles que le visage, les mouvements oculaires, la forme du corps, la voix, la prosodie, la démarche, la posture, le rythme cardiaque, la pression sanguine, l’odeur et la frappe au clavier, aux fins d’établir l’identité d’une personne par comparaison des données biométriques de cette personne avec les données biométriques de personnes stockées dans une base de données de référence, que la personne ait donné son approbation ou non. En sont exclus les systèmes d’IA destinés à être utilisés à des fins de vérification biométrique, ce qui inclut l’authentification, dont la seule finalité est de confirmer qu’une personne physique donnée est bien celle qu’elle prétend être et de confirmer l’identité d’une personne physique dans le seul but d’avoir accès à un service, de déverrouiller un dispositif ou de disposer d’un accès sécurisé à des locaux.
(16)
Tässä asetuksessa tarkoitettu biometrisen luokittelun käsite olisi määriteltävä luonnollisten henkilöiden luokitteluksi heidän biometristen tietojensa perusteella tiettyihin ryhmiin. Tällaiset ryhmät voivat liittyä esimerkiksi sukupuoleen, ikään, hiustenväriin, silmien väriin, tatuointeihin, käyttäytymiseen tai persoonallisuuspiirteisiin, kieleen, uskontoon, kansalliseen vähemmistöön kuulumiseen taikka seksuaaliseen tai poliittiseen suuntautumiseen. Tähän eivät kuulu biometriset luokittelujärjestelmät, jotka ovat pelkästään toiseen kaupalliseen palveluun olennaisesti liittyvä liitännäistoiminto, mikä tarkoittaa, että kyseistä toimintoa ei voida objektiivisista teknisistä syistä käyttää ilman pääasiallista palvelua, ja kyseisen toiminnon integrointi ei ole keino kiertää tämän asetuksen sääntöjen soveltamista. Esimerkiksi verkkomarkkinapaikoilla käytettävät kasvonpiirteitä tai kehon ominaisuuksia luokittelevat suodattimet voisivat olla tällainen liitännäistoiminto, koska niitä voidaan käyttää ainoastaan pääasiallisen palvelun yhteydessä eli tuotteen myynnissä siten, että kuluttajaa autetaan tekemään ostopäätös esittämällä, miltä tuote näyttäisi hänen yllään. Verkkoyhteisöpalveluissa käytettäviä suodattimia, jotka luokittelevat kasvonpiirteitä tai kehon ominaisuuksia, jotta käyttäjät voivat lisätä kuvia tai videoita tai muokata niitä, voidaan myös pitää liitännäistoimintoina, koska tällaista suodatinta ei voi käyttää ilman pääasiallista palvelua eli verkkoyhteisöpalvelua, jossa sisältöä jaetaan verkossa.
(16)
La notion de «catégorisation biométrique» visée dans le présent règlement devrait être définie comme le classement de personnes physiques dans certaines catégories sur la base de leurs données biométriques. Ces catégories spécifiques peuvent concerner des aspects tels que le sexe, l’âge, la couleur des cheveux, la couleur des yeux, les tatouages, les traits liés au comportement ou à la personnalité, la langue, la religion, l’appartenance à une minorité nationale ou encore l’orientation sexuelle ou politique. Cela n’inclut pas les systèmes de catégorisation biométrique qui sont une caractéristique purement accessoire intrinsèquement liée à un autre service commercial, ce qui signifie que cette caractéristique ne peut, pour des raisons techniques objectives, être utilisée sans le service principal, et l’intégration de cette caractéristique ou fonctionnalité n’est pas un moyen de contourner l’applicabilité des règles du présent règlement. Ainsi, les filtres de catégorisation des caractéristiques faciales ou corporelles qui sont utilisés sur les places de marché en ligne pourraient correspondre à ce type de caractéristique accessoire, étant donné qu’ils ne peuvent être utilisés qu’en lien avec le service principal, qui consiste à vendre un produit en permettant au consommateur d’afficher un aperçu du produit porté par lui-même et de l’aider à prendre une décision d’achat. Les filtres utilisés sur les services de réseaux sociaux en ligne qui classent par catégorie les caractéristiques faciales ou corporelles afin de permettre aux utilisateurs d’ajouter ou de modifier des images ou des vidéos pourraient également être considérés comme des fonctionnalités accessoires, étant donné que ce type de filtre ne peut pas être utilisé sans le service principal des services de réseau social consistant à partager des contenus en ligne.
(17)
Tässä asetuksessa käytetty biometrisen etätunnistusjärjestelmän käsite olisi määriteltävä toiminnallisesti tekoälyjärjestelmäksi, joka on tarkoitettu luonnollisten henkilöiden tunnistamiseen tyypillisesti etäältä ilman heidän aktiivista osallistumistaan vertaamalla henkilön biometrisiä tietoja viitetietokannan sisältämiin biometrisiin tietoihin riippumatta käytetyistä tekniikoista, prosesseista tai biometristen tietojen tyypeistä. Tällaisia biometrisiä etätunnistusjärjestelmiä käytetään tyypillisesti havainnoimaan useita henkilöitä tai heidän käyttäytymistään samanaikaisesti, jotta voidaan merkittävästi helpottaa luonnollisten henkilöiden tunnistamista ilman heidän aktiivista osallistumistaan. Näihin eivät kuulu tekoälyjärjestelmät, joita on tarkoitus käyttää biometriseen todennukseen, joka käsittää tunnistautumisen, ja joiden ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa, sekä vahvistaa luonnollisen henkilön henkilöllisyys ainoastaan jonkin palvelun käyttämiseksi, laitteen lukituksen poistamiseksi tai valvottuun tilaan pääsemiseksi. Tämä soveltamisalan ulkopuolelle jättäminen voidaan perustella sillä, että tällaisilla järjestelmillä on todennäköisesti vähäinen vaikutus luonnollisten henkilöiden perusoikeuksiin verrattuna biometrisiin etätunnistusjärjestelmiin, joita voidaan käyttää suuren ihmismäärän biometristen tietojen käsittelyyn ilman heidän aktiivista osallistumistaan. Reaaliaikaisissa järjestelmissä biometristen tietojen kerääminen, vertailu ja tunnistaminen tapahtuvat välittömästi, lähes välittömästi tai joka tapauksessa ilman merkittävää viivettä. Tältä osin ei pitäisi olla mahdollista kiertää tämän asetuksen sääntöjä, jotka koskevat kyseisten tekoälyjärjestelmien reaaliaikaista käyttöä, käyttämällä vähäisiä viivästyksiä. Reaaliaikaisissa järjestelmissä käytetään kameran tai muun toiminnoltaan samankaltaisen laitteen tuottamaa ”suoraa” tai ”lähes suoraa” materiaalia, kuten videokuvaa. Jälkikäteisissä järjestelmissä biometriset tiedot on sitä vastoin jo kerätty, ja vertailu ja tunnistaminen tapahtuvat vasta merkittävän viiveen jälkeen. Kyse on kameravalvontajärjestelmien tai yksityisten laitteiden tuottamien kuvien tai videokuvan kaltaisesta materiaalista, joka on luotu ennen kuin järjestelmää käytetään asianomaisiin luonnollisiin henkilöihin.
(17)
La notion de «système d’identification biométrique à distance» visée dans le présent règlement devrait être définie, sur le plan fonctionnel, comme un système d’IA destiné à identifier des personnes physiques sans leur participation active, en règle générale à distance, par la comparaison des données biométriques d’une personne avec celles contenues dans une base de données de référence, quels que soient la technologie, les processus ou les types de données biométriques particuliers utilisés. Ces systèmes d’identification biométrique à distance sont généralement utilisés pour la perception simultanée de plusieurs personnes ou de leur comportement afin de faciliter sensiblement l’identification de personnes physiques sans leur participation active. Sont exclus les systèmes d’IA destinés à être utilisés à des fins de vérification biométrique, ce qui inclut l’authentification, dont la seule finalité est de confirmer qu’une personne physique donnée est bien celle qu’elle prétend être et de confirmer l’identité d’une personne physique dans le seul but d’avoir accès à un service, de déverrouiller un dispositif ou de disposer d’un accès sécurisé à des locaux. Cette exclusion est justifiée par le fait que ces systèmes sont susceptibles d’avoir une incidence mineure sur les droits fondamentaux des personnes physiques par rapport aux systèmes d’identification biométrique à distance qui peuvent être utilisés pour le traitement des données biométriques d’un grand nombre de personnes sans leur participation active. Dans le cas des systèmes «en temps réel», la capture des données biométriques, la comparaison et l’identification se font toutes instantanément, quasi instantanément ou en tout état de cause sans décalage significatif. À cet égard, il convient, en prévoyant la possibilité de légers décalages, d’empêcher le contournement des règles du présent règlement relatives à l’utilisation «en temps réel» des systèmes d’IA concernés. Les systèmes «en temps réel» reposent sur l’utilisation d’éléments «en direct» ou «en léger différé», comme des séquences vidéo, générés par une caméra ou un autre appareil doté de fonctionnalités similaires. Dans le cas des systèmes «a posteriori», en revanche, les données biométriques sont prélevées dans un premier temps et la comparaison et l’identification n’ont lieu qu’après un délai substantiel. Cela suppose des éléments tels que des images ou des séquences vidéo, qui ont été générés par des caméras de télévision en circuit fermé ou des appareils privés avant l’utilisation du système à l’égard des personnes physiques concernées.
(18)
Tässä asetuksessa tarkoitettu tunteentunnistusjärjestelmän käsite olisi määriteltävä tekoälyjärjestelmäksi, jonka avulla luonnollisten henkilöiden tunteita tai aikomuksia voidaan tunnistaa tai päätellä heidän biometristen tietojensa perusteella. Tunteilla tai aikomuksilla tarkoitetaan tässä yhteydessä esimerkiksi onnellisuutta, surua, vihaa, yllättyneisyyttä, inhoa, häpeää, kiihtyneisyyttä, halveksuntaa, tyytyväisyyttä ja huvittuneisuutta. Ne eivät sisällä fyysisiä olotiloja, kuten kipua tai väsymystä, mukaan lukien esimerkiksi järjestelmät, joita käytetään ammattilentäjien tai -kuljettajien väsymyksen havaitsemiseen onnettomuuksien ehkäisemiseksi. Sillä ei myöskään viitata pelkkään ilmeisen selvien ilmeiden, eleiden tai liikkeiden havaitsemiseen, ellei niitä käytetä tunteiden tunnistamiseen tai päättelemiseen. Tällaiset ilmeet voivat olla perusilmeitä, kuten rypistynyt otsa tai hymy, tai eleitä, kuten käsien, käsivarsien tai pään liikkeitä, tai henkilön äänen piirteitä, esimerkiksi korotettua ääntä tai kuiskaamista.
(18)
La notion de «système de reconnaissance des émotions» visée dans le présent règlement devrait être définie comme un système d’IA servant à identifier les émotions ou les intentions de personnes physiques ou à faire des déductions quant à leurs émotions ou intentions, sur la base de leurs données biométriques. Cette notion renvoie à des émotions ou des intentions telles que le bonheur, la tristesse, la colère, la surprise, le dégoût, la gêne, l’excitation, la honte, le mépris, la satisfaction et l’amusement. Cette notion ne recouvre pas les états physiques, tels que la douleur ou la fatigue, qui comprennent, par exemple, des systèmes utilisés pour déceler l’état de fatigue des pilotes ou des conducteurs professionnels aux fins de la prévention des accidents. Elle ne recouvre pas non plus la simple détection d’expressions, de gestes ou de mouvements dont l’apparence est immédiate, à moins que ceux-ci ne soient utilisés pour identifier ou déduire des émotions. Ces expressions peuvent être des expressions faciales toutes simples telles qu’un froncement de sourcils ou un sourire, ou des gestes tels qu’un mouvement de mains, de bras ou de tête, ou encore des caractéristiques de la voix d’une personne, comme le fait de parler fort ou de chuchoter.
(19)
Tätä asetusta sovellettaessa julkisen tilan käsitteen olisi ymmärrettävä tarkoittavan mitä tahansa fyysistä tilaa, johon määrittämättömällä määrällä luonnollisia henkilöitä on pääsy, riippumatta siitä, onko kyseinen tila yksityisessä vai julkisessa omistuksessa, ja riippumatta toiminnasta, johon tilaa voidaan käyttää, kuten kaupankäyntiin (esimerkiksi kaupat, ravintolat, kahvilat), palveluihin (esimerkiksi pankit, ammatillinen toiminta, majoitus- ja ravitsemisala), urheiluun (esimerkiksi uimahallit, kuntosalit, urheilukentät), liikenteeseen (esimerkiksi linja-auto-, metro- ja rautatieasemat, lentoasemat, liikennevälineet), viihteeseen (esimerkiksi elokuvateatterit, teatterit, museot, konsertti- ja kokoussalit), vapaa-aikaan tai muuhun ajanviettoon (esimerkiksi yleiset tiet ja aukiot, puistot, metsät, leikkikentät). Tila olisi luokiteltava julkiseksi tilaksi myös, jos riippumatta mahdollisista kapasiteetti- tai turvallisuusrajoituksista pääsyyn sovelletaan tiettyjä ennalta määritettyjä edellytyksiä, jotka määrittämätön määrä henkilöitä voi täyttää, kuten lipun tai matkalipun ostamista, ennakkorekisteröitymistä tai tiettyä ikää. Sitä vastoin tilaa ei olisi katsottava julkiseksi tilaksi, jos pääsy on rajattu tietyille ja määritellyille luonnollisille henkilöille joko unionin tai jäsenvaltioiden lainsäädännössä, joka liittyy suoraan yleiseen turvallisuuteen, tai sen henkilön selkeän tahdonilmaisun avulla, jolla on tilaa koskeva asiaankuuluva määräysvalta. Pelkästään pääsyn tosiasiallinen mahdollisuus (esimerkiksi lukitsematon ovi, aidassa oleva avoin portti) ei merkitse sitä, että tila on julkinen tila, jos on olemassa osoituksia tai olosuhteita, jotka viittaavat päinvastaiseen (esimerkiksi pääsyn kieltävät tai sitä rajoittavat merkit). Yritysten ja tehtaiden tilat sekä toimistot ja työpaikat, joihin on tarkoitettu olevan pääsy ainoastaan asiaankuuluvilla työntekijöillä ja palveluntarjoajilla, ovat paikkoja, jotka eivät ole julkisia tiloja. Julkisiin tiloihin ei saisi sisältyä vankiloita tai rajatarkastusasemia. Jotkin muut tilat voivat sisältää sekä tiloja, jotka ovat julkisia, että tiloja, jotka eivät ole julkisia, esimerkiksi yksityisen asuinrakennuksen käytävä, jonka kautta on kuljettava lääkärin vastaanotolle, tai lentoasema. Käsite ei kata myöskään verkkoympäristöjä, sillä ne eivät ole fyysisiä tiloja. Se, onko yleisöllä pääsy tiettyyn tilaan, olisi kuitenkin määritettävä tapauskohtaisesti ottaen huomioon kulloisenkin yksittäisen tilanteen erityispiirteet.
(19)
Aux fins du présent règlement, la notion d’«espace accessible au public» devrait s’entendre comme désignant tout espace physique accessible à un nombre indéterminé de personnes physiques, que l’espace en question soit privé ou public, et indépendamment de l’activité pour laquelle il peut être utilisé, comme pour le commerce, par exemple, magasins, restaurants ou cafés, pour la prestation de services, par exemple, banques, activités professionnelles ou hôtellerie, pour la pratique de sports, par exemple, piscines, salles de sport ou stades, pour les transports, par exemple, gares routières, stations de métro et gares ferroviaires, aéroports ou moyens de transport, pour les divertissements, par exemple, cinémas, théâtres, musées, salles de concert et de conférence, ou pour les loisirs ou autres, par exemple, routes et places publiques, parcs, forêts ou terrains de jeux. Un espace devrait également être classé comme accessible au public si, indépendamment de la capacité potentielle ou des restrictions de sécurité, l’accès est soumis à certaines conditions prédéterminées qui peuvent être remplies par un nombre indéterminé de personnes, telles que l’achat d’un billet ou d’un titre de transport, l’enregistrement préalable ou le fait d’avoir un certain âge. En revanche, un espace ne devrait pas être considéré comme étant accessible au public si l’accès est limité à certaines personnes physiques, définies soit par le droit de l’Union soit par le droit national directement lié à la sûreté ou à la sécurité publiques, ou par la manifestation claire de la volonté de la personne disposant de l’autorité compétente sur l’espace. Le seul fait d’avoir une possibilité d’accès, comme une porte déverrouillée ou une porte ouverte dans une clôture, n’implique pas que l’espace est accessible au public en présence d’indications ou de circonstances suggérant le contraire, comme des signes d’interdiction ou de restriction d’accès. Les locaux des entreprises et des usines, ainsi que les bureaux et les lieux de travail qui sont destinés à être accessibles uniquement aux employés et prestataires de services concernés ne sont pas des espaces accessibles au public. Les espaces accessibles au public ne devraient pas inclure les prisons ni le contrôle aux frontières. D’autres espaces peuvent comprendre à la fois des espaces accessibles au public et des espaces non accessibles au public, comme le hall d’un bâtiment d’habitation privé par lequel il faut passer pour accéder au bureau d’un médecin ou le hall d’un aéroport. Les espaces en ligne ne sont pas couverts, car ce ne sont pas des espaces physiques. Le caractère accessible ou non au public d’un espace donné devrait cependant être déterminé au cas par cas, en tenant compte des particularités de la situation en question.
(20)
Jotta saadaan mahdollisimman paljon hyötyä tekoälyjärjestelmistä ja samalla suojellaan perusoikeuksia, terveyttä ja turvallisuutta ja mahdollistetaan demokraattinen valvonta, tarjoajilla, käyttöönottajilla ja henkilöillä, joihin vaikutukset kohdistuvat, olisi oltava riittävä tekoälylukutaito, jotta he ymmärtävät tarvittavat käsitteet ja voivat tehdä tekoälyjärjestelmiä koskevia tietoon perustuvia päätöksiä. Nämä käsitteet voivat vaihdella asiayhteyden mukaan, ja niitä voivat olla esimerkiksi käsitys teknisten elementtien asianmukaisesta soveltamisesta tekoälyjärjestelmän kehitysvaiheessa, järjestelmän käytön aikana sovellettavista toimenpiteistä ja sopivista tavoista tulkita tekoälyjärjestelmän tuotoksia sekä henkilöiden, joihin vaikutukset kohdistuvat, osalta tarvittava tietämys sen ymmärtämiseksi, miten tekoälyn avulla tehdyt päätökset vaikuttavat heihin. Tämän asetuksen soveltamisen yhteydessä kaikilla tekoälyn arvoketjun asiaankuuluvilla toimijoilla olisi oltava riittävä tekoälylukutaito, jotta voidaan varmistaa asetuksen asianmukainen noudattaminen ja täytäntöönpano. Lisäksi toteuttamalla tekoälylukutaitoa koskevia toimia laaja-alaisesti ja ottamalla käyttöön asianmukaiset jatkotoimet voitaisiin osaltaan parantaa työoloja ja viime kädessä lujittaa luotettavaa tekoälyä ja sen innovointipolkua unionissa. Euroopan tekoälyneuvoston, jäljempänä ”tekoälyneuvosto”, olisi tuettava komissiota, jotta voidaan edistää tekoälylukutaidon välineitä sekä yleistä tietoisuutta ja ymmärrystä tekoälyjärjestelmien käyttöön liittyvistä hyödyistä, riskeistä, suojatoimista, oikeuksista ja velvollisuuksista. Komission ja jäsenvaltioiden olisi yhteistyössä asiaankuuluvien sidosryhmien kanssa edistettävä vapaaehtoisten käytännesääntöjen laatimista, jotta voidaan parantaa tekoälyn kehittämisestä, toiminnasta ja käytöstä vastaavien henkilöiden tekoälylukutaitoa.
(20)
Afin de tirer le meilleur parti des systèmes d’IA tout en protégeant les droits fondamentaux, la santé et la sécurité et de permettre un contrôle démocratique, il convient que les fournisseurs, les déployeurs et les personnes concernées acquièrent, dans le cadre de la maîtrise de l’IA, les notions nécessaires pour prendre des décisions éclairées concernant les systèmes d’IA. Ces notions peuvent varier en fonction du contexte et peuvent recouvrir le faire de comprendre l’application correcte des éléments techniques au cours de la phase de développement du système d’IA, les mesures à appliquer pendant son utilisation, les moyens appropriés d’interpréter les sorties du système d’IA et, dans le cas des personnes concernées, les connaissances nécessaires pour comprendre comment les décisions prises avec l’aide de l’IA auront une incidence sur elles. Dans le cadre de l’application du présent règlement, la maîtrise de l’IA devrait fournir à tous les acteurs pertinents de la chaîne de valeur de l’IA les connaissances nécessaires pour en garantir le respect approprié et la mise en application correcte. En outre, la mise en œuvre à grande échelle de mesures relatives à la maîtrise de l’IA et l’introduction d’actions de suivi appropriées pourraient contribuer à améliorer les conditions de travail et, à terme, soutenir la consolidation et une trajectoire d’innovation d’une IA digne de confiance dans l’Union. Le Comité européen de l’intelligence artificielle (ci-après dénommé «Comité IA») devrait soutenir la Commission afin de promouvoir les outils de maîtrise de l’IA, la sensibilisation du public et la compréhension des avantages, des risques, des garanties, des droits et des obligations liés à l’utilisation des systèmes d’IA. En coopération avec les parties prenantes concernées, la Commission et les États membres devraient faciliter l’élaboration de codes de conduite volontaires au service de la maîtrise de l’IA chez les personnes chargées du développement, du fonctionnement et de l’utilisation de l’IA.
(21)
Jotta voidaan varmistaa tasapuoliset toimintaedellytykset ja yksilöiden oikeuksien ja vapauksien tehokas suojelu kaikkialla unionissa, tällä asetuksella vahvistettuja sääntöjä olisi sovellettava tekoälyjärjestelmien tarjoajiin syrjimättömällä tavalla riippumatta siitä, ovatko ne sijoittautuneet unioniin vai kolmanteen maahan, sekä unioniin sijoittautuneisiin tekoälyjärjestelmien käyttöönottajiin.
(21)
Afin de garantir des conditions de concurrence équitables et une protection efficace des droits et libertés des citoyens dans toute l’Union, les règles établies par le présent règlement devraient s’appliquer de manière non discriminatoire aux fournisseurs de systèmes d’IA, qu’ils soient établis dans l’Union ou dans un pays tiers, et aux déployeurs de systèmes d’IA établis dans l’Union.
(22)
Tiettyjen tekoälyjärjestelmien digitaalisen luonteen vuoksi niiden olisi kuuluttava tämän asetuksen soveltamisalaan myös silloin, kun niitä ei saateta markkinoille, oteta käyttöön eikä käytetä unionissa. Tämä koskee esimerkiksi tilanteita, joissa unioniin sijoittautunut toimija hankkii tiettyjä palveluja kolmanteen maahan sijoittautuneelta toimijalta sellaisen tekoälyjärjestelmän toteuttaman toiminnon osalta, joka katsotaan suuririskiseksi. Tällaisessa tapauksessa kolmanteen maahan sijoittautuneen toimijan käyttämä tekoälyjärjestelmä voisi käsitellä dataa, joka on kerätty unionissa ja siirretty sieltä laillisesti, ja toimittaa unionissa sijaitsevalle hankintasopimuksen tehneelle toimijalle tästä käsittelystä saatavia tekoälyjärjestelmän tuloksia ilman, että kyseistä tekoälyjärjestelmää saatetaan markkinoille, otetaan käyttöön tai käytetään unionissa. Jotta estettäisiin tämän asetuksen kiertäminen ja varmistettaisiin unionissa sijaitsevien luonnollisten henkilöiden tehokas suojelu, tätä asetusta olisi sovellettava myös kolmanteen maahan sijoittautuneisiin tekoälyjärjestelmien tarjoajiin ja käyttöönottajiin siltä osin kuin kyseisten järjestelmien tuottamaa tuotosta on tarkoitus käyttää unionissa.Jotta otettaisiin kuitenkin huomioon olemassa olevat järjestelyt ja erityiset tarpeet tulevaan yhteistyöhön sellaisten ulkomaisten kumppanien kanssa, joiden kanssa vaihdetaan tietoja ja todisteita, tätä asetusta ei pitäisi soveltaa kolmannen maan viranomaisiin eikä kansainvälisiin järjestöihin, kun ne toimivat unionin tai sen jäsenvaltioiden kanssa yhteistyössä tai unionin tai kansallisella tasolla tehtyjen lainvalvontaa ja rikosoikeudellista yhteistyötä koskevien kansainvälisten sopimusten puitteissa edellyttäen, että asiaankuuluva kolmas maa tai kansainvälinen järjestö antaa yksityisyydensuojaa, perusoikeuksia ja yksilön vapauksia koskevat riittävät takeet. Tarvittaessa tämä voi kattaa sellaisten yhteisöjen toimet, joille kolmannet maat ovat antaneet erityistehtäviä, joilla tuetaan tällaista lainvalvonta- ja oikeusyhteistyötä. Tällaisia yhteistyökehyksiä on otettu käyttöön ja tällaisia sopimuksia on tehty kahdenvälisesti jäsenvaltioiden ja kolmansien maiden välillä tai Euroopan unionin, Europolin ja muiden unionin virastojen sekä kolmansien maiden ja kansainvälisten järjestöjen välillä. Viranomaisten, joilla on tämän asetuksen nojalla toimivalta valvoa lainvalvonta- ja oikeusviranomaisia, olisi arvioitava, sisältävätkö nämä yhteistyökehykset tai kansainväliset sopimukset riittävät takeet yksilöiden perusoikeuksien ja -vapauksien suojelemiseksi. Vastaanottavat kansalliset viranomaiset ja unionin toimielimet, elimet ja laitokset, jotka käyttävät tällaisia tuotoksia unionissa, vastaavat sen varmistamisesta, että niiden käyttö on unionin oikeuden mukaista. Kun kyseisiä kansainvälisiä sopimuksia tarkistetaan tai uusia sopimuksia tehdään tulevaisuudessa, sopimuspuolten olisi pyrittävä kaikin keinoin saattamaan kyseiset sopimukset tämän asetuksen vaatimusten mukaisiksi.
(22)
Compte tenu de leur nature numérique, certains systèmes d’IA devraient relever du présent règlement même lorsqu’ils ne sont pas mis sur le marché, mis en service, ou utilisés dans l’Union. Cela devrait notamment être le cas lorsqu’un opérateur établi dans l’Union confie à un opérateur externe établi dans un pays tiers la tâche d’exécuter certains services ayant trait à une activité devant être réalisée par un système d’IA qui serait considéré comme étant à haut risque. Dans ces circonstances, le système d’IA utilisé dans un pays tiers par l’opérateur pourrait traiter des données légalement collectées et transférées depuis l’Union, et fournir à l’opérateur contractant établi dans l’Union les sorties dudit système d’IA provenant de ce traitement, sans que ce système d’IA soit mis sur le marché, mis en service ou utilisé dans l’Union. Afin d’éviter le contournement des règles du présent règlement et d’assurer une protection efficace des personnes physiques situées dans l’Union, le présent règlement devrait également s’appliquer aux fournisseurs et aux déployeurs de systèmes d’IA qui sont établis dans un pays tiers, dans la mesure les sorties produites par ces systèmes sont destinées à être utilisées dans l’Union. Néanmoins, pour tenir compte des dispositions existantes et des besoins particuliers de coopération future avec les partenaires étrangers avec lesquels des informations et des preuves sont échangées, le présent règlement ne devrait pas s’appliquer aux autorités publiques d’un pays tiers ni aux organisations internationales lorsqu’elles agissent dans le cadre d’accords de coopération ou d’accords internationaux conclus au niveau de l’Union ou au niveau national pour la coopération des services répressifs et judiciaires avec l’Union ou avec les États membres, à condition que le pays tiers concerné ou les organisations internationales concernées fournissent des garanties adéquates en ce qui concerne la protection des libertés et droits fondamentaux des personnes. Le cas échéant, cela peut couvrir les activités des entités chargées par les pays tiers d’exécuter des tâches spécifiques à l’appui de cette coopération policière et judiciaire. De tels cadres de coopération ou accords ont été conclus bilatéralement entre des États membres et des pays tiers ou entre l’Union européenne, Europol et d’autres agences de l’Union, des pays tiers et des organisations internationales. Les autorités compétentes pour la surveillance des autorités répressives et judiciaires au titre du présent règlement devraient évaluer si ces cadres de coopération ou accords internationaux comportent des garanties adéquates en ce qui concerne la protection des libertés et droits fondamentaux des personnes. Les autorités nationales bénéficiaires et les institutions, organes et organismes de l’Union qui utilisent ces sorties dans l’Union demeurent responsables de veiller à ce que leur utilisation soit conforme au droit de l’Union. Lors de la révision de ces accords internationaux ou de la conclusion de nouveaux accords à l’avenir, les parties contractantes devraient tout mettre en œuvre pour aligner ces accords sur les exigences du présent règlement.
(23)
Tätä asetusta olisi sovellettava myös unionin toimielimiin, elimiin ja laitoksiin, kun ne toimivat tekoälyjärjestelmän tarjoajana tai käyttöönottajana.
(23)
Le présent règlement devrait également s’appliquer aux institutions, organes et organismes de l’Union lorsqu’ils agissent en tant que fournisseurs ou déployeurs d’un système d’IA.
(24)
Jos ja siltä osin kuin tekoälyjärjestelmiä saatetaan markkinoille, otetaan käyttöön tai käytetään tällaisten järjestelmien muutoksin tai ilman muutoksia sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin, ne olisi suljettava tämän asetuksen soveltamisalan ulkopuolelle riippumatta siitä, minkä tyyppinen toimija toteuttaa näitä toimia, esimerkiksi siitä, onko se julkinen vai yksityinen toimija. Kun kyseessä ovat sotilaalliset ja puolustustarkoitukset, tällainen soveltamisalan ulkopuolelle sulkeminen perustuu sekä SEU-sopimuksen 4 artiklan 2 kohtaan että SEU-sopimuksen V osaston 2 luvun piiriin kuuluvan jäsenvaltioiden puolustuspolitiikan ja unionin yhteisen puolustuspolitiikan erityispiirteisiin, joihin sovelletaan kansainvälistä julkisoikeutta, joka on näin ollen asianmukaisempi oikeuskehys tekoälyjärjestelmien sääntelylle tappavan voimankäytön yhteydessä ja muiden tekoälyjärjestelmien sääntelylle sotilas- ja puolustustoimien yhteydessä. Kun kyseessä ovat kansallisen turvallisuuden tarkoitukset, tällainen soveltamisalan ulkopuolelle sulkeminen perustuu sekä siihen, että kansallinen turvallisuus kuuluu jäsenvaltioiden yksinomaiseen toimivaltaan SEU 4 artiklan 2 kohdan mukaisesti, että kansallisen turvallisuuden toimien erityisluonteeseen ja operatiivisiin tarpeisiin ja näihin toimiin sovellettaviin erityisiin kansallisiin sääntöihin. Jos sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin kehitettyä, markkinoille saatettua, käyttöön otettua tai käytettyä tekoälyjärjestelmää kuitenkin käytetään väliaikaisesti tai pysyvästi muihin tarkoituksiin, esimerkiksi siviili- tai humanitaarisiin tarkoituksiin, lainvalvonnan tai yleisen turvallisuuden tarkoituksiin, järjestelmä kuuluu tämän asetuksen soveltamisalaan. Tässä tapauksessa toimijan, joka käyttää tekoälyjärjestelmää muihin kuin sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin, olisi varmistettava, että tekoälyjärjestelmässä noudatetaan tätä asetusta, jollei järjestelmässä jo noudateta tätä asetusta. Tekoälyjärjestelmät, jotka saatetaan markkinoille tai otetaan käyttöön soveltamisalan ulkopuolelle jääviin tarkoituksiin eli sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin ja yhteen tai useampaan soveltamisalaan kuuluvaan tarkoitukseen, kuten siviilitarkoituksiin tai lainvalvonnan tarkoituksiin, kuuluvat tämän asetuksen soveltamisalaan ja näiden järjestelmien tarjoajien olisi varmistettava tämän asetuksen noudattaminen. Näissä tapauksissa sen seikan, että tekoälyjärjestelmä voi kuulua tämän asetuksen soveltamisalaan, ei saisi vaikuttaa kansallisen turvallisuuden, puolustuksen ja sotilaallisia toimia toteuttavien toimijoiden, riippumatta siitä, minkä tyyppinen toimija toteuttaa näitä toimia, mahdollisuuteen käyttää tekoälyjärjestelmiä, joiden käyttö on suljettu tämän asetuksen soveltamisalan ulkopuolelle, kansallisen turvallisuuden, sotilaallisiin ja puolustuksen tarkoituksiin. Tekoälyjärjestelmän, joka saatetaan markkinoille siviili- tai lainvalvontatarkoituksia varten ja jota käytetään muutoksin tai ilman muutoksia sotilaallisiin, puolustuksen tai kansallisen turvallisuuden tarkoituksiin, ei pitäisi kuulua tämän asetuksen soveltamisalaan riippumatta siitä, minkä tyyppinen toimija toteuttaa näitä toimia.
(24)
Si et dans la mesure où des systèmes d’IA sont mis sur le marché, mis en service ou utilisés avec ou sans modification de ces systèmes à des fins militaires, de défense ou de sécurité nationale, ces systèmes devraient être exclus du champ d’application du présent règlement, indépendamment du type d’entité exerçant ces activités, par exemple qu’il s’agisse d’une entité publique ou privée. En ce qui concerne l’usage à des fins militaires et de défense, une telle exclusion est justifiée tant par l’article 4, paragraphe 2, du traité sur l’Union européenne que par les spécificités de la politique de défense des États membres et de la politique de défense commune de l’Union relevant du titre V, chapitre 2, du traité sur l’Union européenne, qui sont soumises au droit international public, lequel constitue donc le cadre juridique le plus approprié pour la réglementation des systèmes d’IA dans le contexte de l’utilisation de la force létale et d’autres systèmes d’IA dans le cadre d’activités militaires et de défense. En ce qui concerne l’usage à des fins de sécurité nationale, l’exclusion est justifiée tant par le fait que la sécurité nationale reste de la seule responsabilité de chaque État membre, conformément à l’article 4, paragraphe 2, du traité sur l’Union européenne, que par la nature spécifique et les besoins opérationnels des activités liées à la sécurité nationale et par les règles nationales spécifiques applicables à ces activités. Néanmoins, si un système d’IA développé, mis sur le marché, mis en service ou utilisé à des fins militaires, de défense ou de sécurité nationale est, temporairement ou définitivement, utilisé en dehors de ce cadre à d’autres fins (par exemple, à des fins civiles ou humanitaires, à des fins répressives ou de sécurité publique), un tel système relèverait du champ d’application du présent règlement. Dans ce cas, l’entité qui utilise le système d’IA à des fins autres que militaires, de défense ou de sécurité nationale devrait veiller à la mise en conformité du système d’IA avec le présent règlement, à moins qu’il le soit déjà. Les systèmes d’IA mis sur le marché ou mis en service à des fins exclues, à savoir à des fins militaires, de défense ou de sécurité nationale, et à une ou plusieurs fins non exclues, comme à des fins civiles ou répressives, relèvent du champ d’application du présent règlement et les fournisseurs de ces systèmes devraient veiller au respect du présent règlement. En l’occurrence, le fait qu’un système d’IA puisse relever du champ d’application du présent règlement ne devrait pas affecter la possibilité pour les entités exerçant des activités de sécurité nationale, de défense et militaires, indépendamment du type d’entité exerçant ces activités, d’utiliser des systèmes d’IA à des fins de sécurité nationale, militaires et de défense, dont l’utilisation est exclue du champ d’application du présent règlement. Un système d’IA mis sur le marché à des fins civiles ou répressives qui est utilisé avec ou sans modification à des fins militaires, de défense ou de sécurité nationale ne devrait pas relever du champ d’application du présent règlement, indépendamment du type d’entité exerçant ces activités.
(25)
Tällä asetuksella olisi tuettava innovointia, kunnioitettava tieteen vapautta, eikä se saisi heikentää tutkimus- ja kehitystoimintaa. Sen vuoksi on tarpeen jättää sen soveltamisalan ulkopuolelle tekoälyjärjestelmät ja -mallit, jotka on erityisesti kehitetty ja otettu käyttöön yksinomaan tieteellistä tutkimusta ja kehittämistoimintaa varten. Lisäksi on tarpeen varmistaa, että tämä asetus ei muulla tavoin vaikuta tekoälyjärjestelmiä tai -malleja koskevaan tieteelliseen tutkimukseen ja kehittämistoimintaan ennen niiden markkinoille saattamista tai käyttöönottoa. Tekoälyjärjestelmiä tai -malleja koskevan tuotesuuntautuneen tutkimus-, testaus- ja kehittämistoiminnan osalta tämän asetuksen säännöksiä ei myöskään pitäisi soveltaa ennen näiden järjestelmien ja mallien käyttöönottoa tai markkinoille saattamista. Tämä poissulkeminen ei rajoita velvoitetta noudattaa tätä asetusta, kun tämän asetuksen soveltamisalaan kuuluva tekoälyjärjestelmä saatetaan markkinoille tai otetaan käyttöön tällaisen tutkimus- ja kehitystoiminnan tuloksena, eikä tekoälyn sääntelyn testiympäristöjä ja tosielämän olosuhteissa tapahtuvaa testausta koskevien säännösten soveltamista. Lisäksi kaikkiin muihin tekoälyjärjestelmiin, joita voidaan käyttää tutkimus- ja kehitystoimintaan, olisi sovellettava tämän asetuksen säännöksiä, rajoittamatta sellaisten tekoälyjärjestelmien poissulkemista, jotka on erityisesti kehitetty ja otettu käyttöön yksinomaan tieteellistä tutkimusta ja kehitystoimintaa varten. Kaikissa tutkimus- ja kehitystoimissa olisi joka tapauksessa noudatettava tunnustettuja tutkimuseettisiä ja -ammatillisia periaatteita sekä sovellettavaa unionin oikeutta.
(25)
Le présent règlement devrait soutenir l’innovation et respecter la liberté scientifique et ne devrait pas compromettre les activités de recherche et de développement. Il est donc nécessaire d’exclure de son champ d’application les systèmes et modèles d’IA spécifiquement développés et mis en service aux seules fins de la recherche et du développement scientifiques. En outre, il est nécessaire de veiller à ce que le présent règlement n’affecte pas autrement les activités de recherche et de développement scientifiques relatives aux systèmes ou modèles d’IA avant leur mise sur le marché ou leur mise en service. En ce qui concerne les activités de recherche, d’essai et de développement axées sur les produits, relatives aux systèmes ou modèles d’IA, les dispositions du présent règlement ne devraient pas non plus s’appliquer avant la mise en service ou la mise sur le marché de ces systèmes et modèles. Cette exclusion est sans préjudice de l’obligation de se conformer au présent règlement lorsqu’un système d’IA relevant du champ d’application du présent règlement est mis sur le marché ou mis en service à la suite de cette activité de recherche et de développement, et sans préjudice de l’application des dispositions relatives aux bacs à sable réglementaires de l’IA et aux essais en conditions réelles. En outre, sans préjudice de l’exclusion des systèmes d’IA spécifiquement développés et mis en service aux seules fins de la recherche et du développement scientifiques, tout autre système d’IA susceptible d’être utilisé pour mener une activité de recherche et de développement devrait rester soumis aux dispositions du présent règlement. En tout état de cause, toute activité de recherche et de développement devrait être menée conformément à des normes éthiques et professionnelles reconnues en matière de recherche scientifique et dans le respect du droit de l’Union applicable.
(26)
Tekoälyjärjestelmiä koskevien oikeasuhteisten ja tehokkaiden sitovien sääntöjen käyttöön ottamiseksi olisi noudatettava selkeästi määriteltyä riskiperusteista lähestymistapaa. Tässä lähestymistavassa tällaisten sääntöjen tyyppi ja sisältö olisi sovitettava niiden riskien voimakkuuden ja laajuuden mukaan, joita tekoälyjärjestelmät voivat aiheuttaa. Sen vuoksi on tarpeen kieltää tietyt tekoälyyn liittyvät käytännöt, joita ei voida hyväksyä, vahvistaa suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset ja asianomaisten toimijoiden velvollisuudet sekä asettaa avoimuusvelvoitteita tietyille tekoälyjärjestelmille.
(26)
Afin d’introduire un ensemble proportionné et efficace de règles contraignantes pour les systèmes d’IA, il convient de suivre une approche clairement définie fondée sur les risques. Cette approche devrait adapter le type et le contenu de ces règles à l’intensité et à la portée des risques que les systèmes d’IA peuvent générer. Il est donc nécessaire d’interdire certaines pratiques inacceptables en matière d’IA, de fixer des exigences pour les systèmes d’IA à haut risque et des obligations pour les opérateurs concernés, ainsi que de fixer des obligations de transparence pour certains systèmes d’IA.
(27)
Riskiperusteinen lähestymistapa toimii perustana oikeasuhteisille ja tehokkaille sitoville säännöille. On kuitenkin tärkeää palauttaa mieleen komission nimittämän tekoälyä käsittelevän korkean tason asiantuntijaryhmän laatimat luotettavaa tekoälyä koskevat eettiset ohjeet vuodelta 2019. Asiantuntijaryhmä laati näihin ohjeisiin seitsemän ei-sitovaa tekoälyä koskevaa eettistä periaatetta, joiden on tarkoitus auttaa varmistamaan, että tekoäly on luotettavaa ja eettisesti hyväksyttävää. Nämä seitsemän periaatetta ovat ihmisen toimijuus ja ihmisen suorittama valvonta, tekninen vakaus ja turvallisuus, yksityisyyden suoja ja datanhallinta, avoimuus, monimuotoisuus, syrjimättömyys ja oikeudenmukaisuus sekä yhteiskunnallinen ja ympäristöön liittyvä hyvinvointi ja vastuuvelvollisuus. Eettisillä ohjeilla edistetään johdonmukaisen, luotettavan ja ihmiskeskeisen tekoälyn suunnittelua perusoikeuskirjan ja unionin perustana olevien arvojen mukaisesti, sanotun kuitenkaan rajoittamatta tämän asetuksen oikeudellisesti sitovien vaatimusten ja muun sovellettavan unionin oikeuden soveltamista. Tekoälyä käsittelevän korkean tason asiantuntijaryhmän eettisten ohjeiden mukaan ihmisen toimijuudella ja ihmisen suorittamalla valvonnalla tarkoitetaan, että tekoälyjärjestelmät kehitetään työkaluiksi ja niitä käytetään työkaluina, jotka palvelevat ihmisiä, kunnioittavat ihmisarvoa ja itsemääräämisoikeutta ja toimivat siten, että ihmisen on mahdollista hallita ja valvoa niitä.Teknisellä vakaudella ja turvallisuudella tarkoitetaan, että tekoälyjärjestelmät kehitetään ja niitä käytetään tavalla, jolla tahattomat ongelmatilanteet voidaan ratkaista vakaasti, jolla tekoälyjärjestelmä voi palautua yrityksistä muuttaa sen käyttöä tai toimintaa siten, että kolmannet osapuolet voisivat käyttää sitä laittomasti, ja jolla pidetään tahattomat haitat mahdollisimman vähäisinä. Yksityisyydellä ja datanhallinnalla tarkoitetaan, että tekoälyjärjestelmät kehitetään ja niitä käytetään yksityisyydensuojaa ja tietosuojaa koskevien säännösten mukaisesti käsiteltäessä tietoja, jotka täyttävät tiukat vaatimukset laadun ja eheyden osalta. Avoimuudella tarkoitetaan, että tekoälyjärjestelmiä kehitetään ja käytetään tavalla, joka mahdollistaa asianmukaisen jäljitettävyyden ja selitettävyyden, saa ihmiset tietoiseksi siitä, että he viestivät tai ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa, ja tiedottaa käyttöönottajille asianmukaisesti kulloisenkin tekoälyjärjestelmän suorituskykyyn liittyvistä valmiuksista ja rajoituksista sekä henkilöille, joihin vaikutukset kohdistuvat, heidän oikeuksistaan. Monimuotoisuudella, syrjimättömyydellä ja oikeudenmukaisuudella tarkoitetaan, että tekoälyjärjestelmiä kehitetään ja käytetään tavalla, jossa on mukana monimuotoisia toimijoita ja jolla edistetään yhtäläisiä mahdollisuuksia, sukupuolten tasa-arvoa ja kulttuurien monimuotoisuutta ja vältetään unionin tai kansallisessa lainsäädännössä kiellettyjä syrjiviä vaikutuksia ja epäoikeudenmukaisia vääristymiä. Sosiaalisella ja ympäristöön liittyvällä hyvinvoinnilla tarkoitetaan, että tekoälyjärjestelmiä kehitetään ja käytetään kestävällä ja ympäristöystävällisellä tavalla sekä siten, että ne ovat hyödyksi kaikille ihmisille, seuraten ja arvioiden samalla pitkän aikavälin vaikutuksia yksilöihin, yhteyskuntaan ja demokratiaan. Nämä periaatteet olisi mahdollisuuksien mukaan otettava huomioon tekoälymallien suunnittelussa ja käytössä. Niiden olisi joka tapauksessa toimittava perustana, kun tämän asetuksen mukaiset käytännesäännöt laaditaan. Kaikkia sidosryhmiä, kuten teollisuutta, tiedeyhteisöä, kansalaisyhteiskuntaa ja standardointijärjestöjä, kannustetaan ottamaan tarvittaessa huomioon eettiset periaatteet, kun ne kehittävät vapaaehtoisia parhaita käytäntöjä ja standardeja.
(27)
Si l’approche fondée sur les risques constitue la base d’un ensemble proportionné et efficace de règles contraignantes, il importe de rappeler les lignes directrices en matière d’éthique pour une IA digne de confiance, élaborées en 2019 par le GEHN IA indépendant constitué par la Commission. Dans ces lignes directrices, le GEHN IA a élaboré sept principes éthiques non contraignants pour l’IA, qui sont destinés à contribuer à faire en sorte que l’IA soit digne de confiance et saine sur le plan éthique. Il s’agit des sept principes suivants: action humaine et contrôle humain; robustesse technique et sécurité; respect de la vie privée et gouvernance des données; transparence; diversité, non-discrimination et équité; bien-être sociétal et environnemental; et responsabilité. Sans préjudice des exigences juridiquement contraignantes du présent règlement et de toute autre disposition législative de l’Union applicable, ces lignes directrices contribuent à la conception d’une IA cohérente, fiable et axée sur l’humain, conformément à la Charte et aux valeurs sur lesquelles l’Union est fondée. Conformément aux lignes directrices du GEHN IA, «action humaine et contrôle humain» renvoient au fait que les systèmes d’IA sont développés et utilisés comme un outil au service des personnes, qui respecte la dignité humaine et l’autonomie de l’individu, et qui fonctionne de manière à pouvoir être contrôlé et supervisé par des êtres humains.«Robustesse technique et sécurité» renvoient au fait que les systèmes d’IA sont développés et utilisés de manière à ce qu’ils soient techniquement robustes en cas de problème et résilients aux tentatives visant à en corrompre l’utilisation ou les performances afin de permettre à des tiers d’en faire une utilisation abusive, et à réduire le plus possible les atteintes involontaires. «Respect de la vie privée et gouvernance des données» renvoient au fait que les systèmes d’IA sont développés et utilisés conformément aux règles en matière de respect de la vie privée et de protection des données, dans le cadre d’un traitement de données répondant à des normes élevées en matière de qualité et d’intégrité. «Transparence» renvoie au fait que les systèmes d’IA sont développés et utilisés de manière à permettre une traçabilité et une explicabilité appropriées, faisant en sorte que les personnes réalisent qu’elles communiquent ou interagissent avec un système d’IA, que les déployeurs soient dûment informés des capacités et des limites de ce système d’IA et que les personnes concernées soient informées de leurs droits. «Diversité, non-discrimination et équité» renvoient au fait que les systèmes d’IA sont développés et utilisés de manière à inclure des acteurs divers et à promouvoir l’égalité d’accès, l’égalité de genre et la diversité culturelle, tout en évitant les effets discriminatoires et les biais injustes, qui sont interdits par le droit de l’Union ou le droit national. «Bien-être sociétal et environnemental» renvoie au fait que les systèmes d’IA sont développés et utilisés d’une manière durable et respectueuse de l’environnement, mais aussi de manière à ce que tous les êtres humains en profitent, tout en surveillant et en évaluant les effets à long terme sur l’individu, la société et la démocratie. Ces principes devraient se retrouver, autant que possible, dans la conception et l’utilisation des modèles d’IA. Ils devraient en tout état de cause servir de base à l’élaboration de codes de conduite au titre du présent règlement. Toutes les parties prenantes, y compris l’industrie, le monde universitaire, la société civile et les organismes de normalisation, sont encouragées à tenir compte, ainsi qu’il convient, des principes éthiques pour l’élaboration de bonnes pratiques et de normes volontaires.
(28)
Tekoälyn monien hyödyllisten käyttötarkoitusten lisäksi sitä voidaan myös käyttää väärin, ja se voi tarjota uusia ja tehokkaita välineitä käytäntöihin, joihin liittyy manipulointia, hyväksikäyttöä ja sosiaalista valvontaa. Tällaiset käytännöt ovat erityisen haitallisia ja loukkaavia, ja ne olisi kiellettävä, koska ne ovat ihmisarvon kunnioittamista, vapautta, tasa-arvoa, demokratiaa ja oikeusvaltiota koskevien unionin arvojen sekä perusoikeuskirjassa vahvistettujen perusoikeuksien vastaisia, mukaan lukien oikeus syrjimättömyyteen, tietosuoja ja yksityisyyden suoja sekä lapsen oikeudet.
(28)
Si l’IA peut être utilisée à de nombreuses fins positives, elle peut aussi être utilisée à mauvais escient et fournir des outils nouveaux et puissants à l’appui de pratiques de manipulation, d’exploitation et de contrôle social. De telles pratiques sont particulièrement néfastes et abusives et devraient être interdites, car elles sont contraires aux valeurs de l’Union relatives au respect de la dignité humaine, à la liberté, à l’égalité, à la démocratie et à l’état de droit, ainsi qu’aux droits fondamentaux consacrés dans la Charte, y compris le droit à la non-discrimination, le droit à la protection des données et à la vie privée et les droits de l’enfant.
(29)
Tekoälyä hyödyntäviä manipulointitekniikoita voidaan käyttää taivuttelemaan henkilöitä haitallisiin käyttäytymismalleihin tai harhauttamaan heitä suuntaamalla heitä tekemään päätöksiä tavalla, joka horjuttaa ja heikentää heidän itsenäisyyttään, päätöksentekoaan ja valinnanvapauttaan. Sellaisten tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tai käyttö, joiden tarkoitus on vääristää olennaisesti tai joiden käytön tuloksena vääristetään olennaisesti ihmisten käyttäytymistä, mistä todennäköisesti aiheutuu huomattavia haittoja, joilla on erityisesti riittävän merkittävä kielteinen vaikutus fyysiseen tai psyykkiseen terveyteen taikka taloudellisiin etuihin, on erityisen vaarallista ja se olisi näin ollen kiellettävä. Tällaisissa tekoälyjärjestelmissä käytetään subliminaalisia komponentteja, kuten ääni-, kuva- ja videoärsykkeitä, joita henkilöt eivät voi havaita, koska tällaiset ärsykkeet ovat ihmisen havaitsemiskyvyn ulkopuolella, tai muita manipuloivia tai harhaanjohtavia tekniikkoja, joilla horjutetaan tai heikennetään henkilön itsenäisyyttä, päätöksentekoa ja valinnanvapautta tavoilla, joista ihmiset eivät ole tietoisia tai vaikka olisivatkin, he voivat silti tulla harhaanjohdetuiksi tai eivät pysty hallitsemaan tai vastustamaan niitä. Tällaista harhaanjohtamista voisivat helpottaa esimerkiksi aivojen ja tietokoneen rajapinnat tai virtuaalitodellisuus, koska niiden avulla voidaan paremmin hallita sitä, mitä ärsykkeitä esitetään henkilöille, siinä määrin kuin ne voivat vääristää olennaisesti heidän käyttäytymistään merkittävästi haitallisella tavalla. Lisäksi tekoälyjärjestelmissä voidaan myös muutoin hyödyntää henkilön tai tietyn henkilöryhmän haavoittuvuuksia, jotka liittyvät heidän ikäänsä, Euroopan parlamentin ja neuvoston direktiivissä (EU) 2019/882 (16) tarkoitettuun vammaan tai erityiseen sosiaaliseen tai taloudelliseen tilanteeseen, joka todennäköisesti saattaa nämä henkilöt haavoittuvammiksi hyväksikäytölle, kuten äärimmäisessä köyhyydessä elävät henkilöt tai etniset tai uskonnolliset vähemmistöt.Tällaisia tekoälyjärjestelmiä saatetaan saattaa markkinoille, ottaa käyttöön tai käyttää siten, että tavoitteena tai vaikutuksena on henkilön käytöksen olennainen vääristyminen, ja tavalla, joka aiheuttaa tai kohtuullisella todennäköisyydellä aiheuttaa huomattavaa haittaa kyseiselle henkilölle tai muulle henkilölle tai henkilöryhmälle, mukaan lukien ajan kuluessa mahdollisesti kumuloituvat haitat, ja siksi tekoälyjärjestelmien tällainen käyttö olisi kiellettävä. Voi olla mahdotonta olettaa, että käyttäytymisen vääristyminen on tarkoituksellista, jos käyttäytymisen vääristyminen johtuu tekoälyjärjestelmän ulkopuolisista tekijöistä, jotka eivät ole tarjoajan tai käyttöönottajan hallittavissa, eli tekijöistä, joita tekoälyjärjestelmän tarjoaja tai käyttöönottaja ei voi kohtuudella ennustaa ja näin ollen lieventää. Joka tapauksessa tarjoajalla tai käyttöönottajalla ei tarvitse olla aikomusta aiheuttaa huomattavaa haittaa, vaan kiellon perusteeksi riittää, että tällaista haittaa aiheutuu manipuloivista tai hyväksikäyttävistä tekoälyä hyödyntävistä käytännöistä. Tällaisia tekoälykäytäntöjä koskevilla kielloilla täydennetään Euroopan parlamentin ja neuvoston direktiivissä 2005/29/EY (17) olevia säännöksiä erityisesti siltä osin, että kuluttajille taloudellisia tai rahoituksellisia haittoja aiheuttavat hyvän kauppatavan vastaiset käytännöt kielletään kaikissa olosuhteissa riippumatta siitä, onko ne otettu käyttöön tekoälyjärjestelmien avulla tai muutoin. Tässä asetuksessa säädetyt manipuloivien ja hyväksikäyttävien käytäntöjen kiellot eivät saisi vaikuttaa laillisiin käytäntöihin sairaanhoidon alalla, kuten mielenterveyshäiriöiden psykologiseen hoitoon tai fyysiseen kuntoutumiseen, kun tällaiset käytännöt toteutetaan sovellettavan lainsäädännön ja sovellettavien lääketieteellisten standardien mukaisesti, esimerkiksi edellyttämällä asianomaisten henkilöiden tai heidän edustajiensa nimenomaista suostumusta. Sovellettavan lainsäädännön mukaisten, esimerkiksi mainonnan alalla toteutettavien yleisten ja oikeutettujen kaupallisten menettelyjen ei myöskään saisi itsessään katsoa olevan haitallisia manipuloivia tekoälyä hyödyntäviä käytäntöjä.
(29)
Des techniques de manipulation fondées sur l’IA peuvent être utilisées pour persuader des personnes d’adopter des comportements indésirables ou pour les tromper en les poussant à prendre des décisions d’une manière qui met à mal et compromet leur autonomie, leur libre arbitre et leur liberté de choix. La mise sur le marché, la mise en service ou l’utilisation de certains systèmes d’IA ayant pour objectif ou pour effet d’altérer substantiellement les comportements humains, avec le risque de causer des dommages importants, en particulier d’avoir des incidences suffisamment importantes sur la santé physique ou psychologique ou sur les intérêts financiers, sont particulièrement dangereuses et devraient dès lors être interdites. Ces systèmes d’IA font intervenir des composants subliminaux, tels que des stimuli sonores, visuels ou vidéo que l’individu ne peut percevoir, étant donné que ces stimuli échappent à la perception humaine, ou d’autres techniques manipulatrices ou trompeuses qui mettent à mal ou altèrent l’autonomie de la personne, son libre arbitre ou sa liberté de choix de telle sorte que l’individu n’est pas conscient de ces techniques ou, à supposer qu’il le soit, sans qu’il puisse échapper à la duperie ni opposer une résistance ou un contrôle auxdites techniques. Cela pourrait être facilité, par exemple, par des interfaces cerveau-machine ou par la réalité virtuelle étant donné qu’elles permettent d’avoir plus de contrôle sur les stimuli qui sont présentés aux personnes, dans la mesure où elles peuvent en altérer sensiblement le comportement d’une manière très nocive. En outre, des systèmes d’IA peuvent également exploiter les vulnérabilités d’une personne ou d’un groupe particulier de personnes en raison de leur âge, d’un handicap au sens de la directive (UE) 2019/882 du Parlement européen et du Conseil (16), ou d’une situation sociale ou économique spécifique susceptible de rendre ces personnes plus vulnérables à l’exploitation, telles que les personnes vivant dans une extrême pauvreté ou appartenant à des minorités ethniques ou religieuses. De tels systèmes d’IA peuvent être mis sur le marché, mis en service ou utilisés avec pour objectif ou pour effet d’altérer substantiellement le comportement d’une personne d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne ou à une autre personne ou à des groupes de personnes, y compris des dommages susceptibles de s’accumuler au fil du temps, et il y a lieu, par conséquent, de les interdire. Il peut s’avérer impossible de présumer l’existence d’une intention d’altérer le comportement lorsque cette altération résulte de facteurs externes au système d’IA qui échappent au contrôle du fournisseur ou du déployeur, à savoir de facteurs qui ne peuvent être raisonnablement prévisibles, et partant, ne peuvent être atténués par le fournisseur ou le déployeur du système d’IA. En tout état de cause, il n’est pas nécessaire que le fournisseur ou le déployeur ait l’intention de causer un préjudice important, du moment que ce préjudice résulte de pratiques de manipulation ou d’exploitation reposant sur l’IA. Les interdictions de telles pratiques en matière d’IA complètent les dispositions de la directive 2005/29/CE du Parlement européen et du Conseil (17), notamment concernant le fait que les pratiques commerciales déloyales entraînant des préjudices économiques ou financiers pour les consommateurs sont interdites en toutes circonstances, qu’elles soient mises en place au moyen de systèmes d’IA ou autrement. Les interdictions des pratiques de manipulation et d’exploitation prévues par le présent règlement ne devraient pas affecter les pratiques licites dans le cadre de traitements médicaux tels que le traitement psychologique d’une maladie mentale ou la rééducation physique, lorsque ces pratiques sont effectuées conformément à la législation applicable et aux normes médicales, comme le consentement explicite des personnes ou de leurs représentants légaux. En outre, les pratiques commerciales courantes et légitimes, par exemple dans le domaine de la publicité, qui respectent le droit applicable ne devraient pas, en soi, être considérées comme constituant des pratiques de manipulation préjudiciables reposant sur l’IA.
(30)
Olisi kiellettävä biometriset luokittelujärjestelmät, jotka perustuvat luonnollisten henkilöiden biometrisiin tietoihin, kuten henkilön kasvokuva- tai sormenjälkitietoihin, joiden perusteella päätellään tai johdetaan henkilön poliittisia mielipiteitä, ammattiliiton jäsenyyttä, uskonnollista tai filosofista vakaumusta, rotua, seksuaalista käyttäytymistä tai seksuaalista suuntautumista koskevia seikkoja. Tämä kielto ei saisi koskea sellaisten biometristen tietoaineistojen laillista merkitsemistä, suodattamista tai luokittelua, jotka on hankittu biometrisiä tietoja koskevan unionin tai kansallisen lainsäädännön mukaisesti, mukaan lukien hiusten tai silmien värin mukaan tapahtuva kuvien lajittelu, jota voidaan käyttää esimerkiksi lainvalvonnassa.
(30)
Il y a lieu d’interdire les systèmes de catégorisation biométrique fondés sur les données biométriques des personnes physiques, comme le visage ou les empreintes digitales, utilisés pour arriver à des déductions ou des inférences concernant les opinions politiques d’un individu, son affiliation à une organisation syndicale, ses convictions religieuses ou philosophiques, sa race, sa vie sexuelle ou son orientation sexuelle. Cette interdiction ne devrait pas couvrir l’étiquetage, le filtrage ou la catégorisation licites des ensembles de données biométriques acquis dans le respect du droit de l’Union ou du droit national en fonction de données biométriques, comme le tri des images en fonction de la couleur des cheveux ou de celle des yeux, qui peuvent par exemple être utilisés dans le domaine répressif.
(31)
Tekoälyjärjestelmät, joiden avulla julkiset tai yksityiset toimijat toteuttavat luonnollisten henkilöiden sosiaalista pisteyttämistä, voivat johtaa syrjiviin tuloksiin ja tiettyjen ryhmien syrjäytymiseen. Ne voivat loukata oikeutta ihmisarvoon ja syrjimättömyyteen sekä tasa-arvon ja oikeussuojan arvoja. Tällaiset tekoälyjärjestelmät arvioivat tai luokittelevat luonnollisia henkilöitä tai henkilöryhmiä tiettyinä ajanjaksoina heidän sosiaaliseen käyttäytymiseensä useissa yhteyksissä liittyvien monien tietopisteiden perusteella tai heidän tunnettujen, pääteltyjen tai ennakoitujen henkilökohtaisten ominaisuuksiensa tai luonteenpiirteidensä perusteella. Tällaisista tekoälyjärjestelmistä saadut sosiaaliset pisteet voivat johtaa luonnollisten henkilöiden tai kokonaisten henkilöryhmien haitalliseen tai epäedulliseen kohteluun sosiaalisissa yhteyksissä, jotka eivät liity siihen asiayhteyteen, jossa tiedot alun perin tuotettiin tai kerättiin, tai haitalliseen kohteluun, joka on suhteetonta tai perusteetonta heidän sosiaalisen käyttäytymisensä vakavuuteen nähden. Tekoälyjärjestelmät, jotka tuottavat tällaisia pisteytyskäytäntöjä, joita ei voida hyväksyä ja jotka johtavat tällaisiin haitallisiin tai epäedullisiin tuloksiin, olisi näin ollen kiellettävä. Tämä kielto ei saisi vaikuttaa luonnollisten henkilöiden lainmukaisiin arviointikäytäntöihin, joita toteutetaan erityistä tarkoitusta varten unionin ja kansallisen lainsäädännön mukaisesti.
(31)
Les systèmes d’IA permettant la notation sociale des personnes physiques par des acteurs publics ou privés peuvent conduire à des résultats discriminatoires et à l’exclusion de certains groupes. Ils peuvent porter atteinte au droit à la dignité et à la non-discrimination et sont contraires aux valeurs d’égalité et de justice. Ces systèmes d’IA évaluent ou classent les personnes physiques ou les groupes de personnes physiques en fonction de plusieurs points de données liées à leur comportement social dans divers contextes ou de caractéristiques personnelles ou de personnalité connues, déduites ou prédites pendant un certain temps. La note sociale obtenue à partir de ces systèmes d’IA peut conduire au traitement préjudiciable ou défavorable de personnes physiques ou de groupes entiers dans des contextes sociaux qui sont dissociés du contexte dans lequel les données ont été initialement générées ou collectées, ou à un traitement préjudiciable disproportionné ou injustifié au regard de la gravité de leur comportement social. Il y a donc lieu d’interdire les systèmes d’IA impliquant de telles pratiques de notation inacceptables et produisant de tels effets préjudiciables ou défavorables. Cette interdiction ne devrait pas avoir d’incidence sur les évaluations licites des personnes physiques qui sont pratiquées dans un but précis, dans le respect du droit de l’Union et du droit national.
(32)
Käyttämällä tekoälyjärjestelmiä luonnollisten henkilöiden reaaliaikaiseen biometriseen etätunnistukseen julkisissa tiloissa lainvalvontatarkoituksessa puututaan erityisen pitkälle menevällä tavalla asianomaisten henkilöiden oikeuksiin ja vapauksiin, sillä tämä voi vaikuttaa suuren väestönosan yksityiselämään, synnyttää tunteen jatkuvasta valvonnasta ja estää välillisesti kokoontumisvapauden ja muiden perusoikeuksien käyttämisen. Luonnollisten henkilöiden biometriseen etätunnistukseen tarkoitettujen tekoälyjärjestelmien tekniset epätarkkuudet voivat johtaa vinoutuneisiin tuloksiin ja aiheuttaa syrjiviä vaikutuksia. Tällaiset mahdolliset vinoutuneet tulokset ja syrjivät vaikutukset ovat erityisen merkityksellisiä, kun ne liittyvät ikään, etniseen alkuperään, rotuun, sukupuoleen tai vammaisuuteen. Lisäksi tällaisten reaaliaikaisten järjestelmien käyttöön liittyvien vaikutusten välittömyys ja rajalliset mahdollisuudet lisätarkastuksiin tai korjauksiin lisäävät asianomaisten henkilöiden oikeuksiin ja vapauksiin kohdistuvia riskejä lainvalvontatoimien yhteydessä tai asianomaisten henkilöiden, joihin lainvalvontatoimet vaikuttavat, oikeuksiin ja vapauksiin kohdistuvia riskejä.
(32)
L’utilisation de systèmes d’IA pour l’identification biométrique à distance «en temps réel» de personnes physiques dans des espaces accessibles au public à des fins répressives est particulièrement intrusive pour les droits et les libertés des personnes concernées, dans la mesure où elle peut toucher la vie privée d’une grande partie de la population, susciter un sentiment de surveillance constante et dissuader indirectement l’exercice de la liberté de réunion et d’autres droits fondamentaux. Les inexactitudes techniques des systèmes d’IA destinés à l’identification biométrique à distance des personnes physiques peuvent conduire à des résultats biaisés et entraîner des effets discriminatoires. Ce risque de résultats biaisés et d’effets discriminatoires est particulièrement significatif en ce qui concerne l’âge, l’appartenance ethnique, la race, le sexe ou le handicap. En outre, du fait de l’immédiateté des effets et des possibilités limitées d’effectuer des vérifications ou des corrections supplémentaires, l’utilisation de systèmes fonctionnant en temps réel engendre des risques accrus pour les droits et les libertés des personnes concernées dans le cadre d’activités répressives ou affectées par celles-ci.
(33)
Näiden järjestelmien käyttö lainvalvontatarkoituksiin olisi sen vuoksi kiellettävä lukuun ottamatta tyhjentävästi lueteltuja ja kapeasti määriteltyjä tilanteita, joissa käyttö on ehdottoman välttämätöntä sellaisen tärkeän yleisen edun saavuttamiseksi, jonka merkitys on riskejä suurempi. Näihin tilanteisiin kuuluvat tiettyjen rikosten uhrien, myös kadonneiden henkilöiden, etsintä; tietyt luonnollisten henkilöiden henkeen tai fyysiseen turvallisuuteen kohdistuvan uhat tai terrori-iskun uhat; sekä tämän asetuksen liitteessä lueteltujen rikosten tekijöiden tai tällaisista rikoksista epäiltyjen paikantaminen tai tunnistaminen, jos näistä rikoksista voi asianomaisessa jäsenvaltiossa seurata vapaudenmenetyksen käsittävä rangaistus tai turvaamistoimenpide, jonka enimmäisaika on vähintään neljä vuotta, sellaisina kuin ne on määritelty kyseisen jäsenvaltion lainsäädännössä. Tällainen kansallisen lainsäädännön mukaisen vapaudenmenetyksen käsittävän rangaistuksen tai turvaamistoimenpiteen vähimmäisaika auttaa osaltaan varmistamaan, että rikoksen olisi oltava riittävän vakava, jotta sillä voidaan tarvittaessa perustella reaaliaikaisten biometristen etätunnistusjärjestelmien käyttö. Lisäksi tämän asetuksen liitteessä vahvistettu rikosten luettelo perustuu neuvoston puitepäätöksessä 2002/584/YOS (18) lueteltuihin 32 rikokseen ottaen huomioon, että jotkin niistä ovat käytännössä todennäköisesti merkityksellisempiä kuin toiset, koska reaaliaikaiseen biometriseen etätunnistukseen turvautuminen olisi oletettavasti hyvin vaihtelevassa määrin välttämätöntä ja oikeasuhteista, kun eri lueteltujen rikosten tekijöitä tai niistä epäiltyjä pyritään käytännössä paikantamaan tai tunnistamaan ja kun otetaan huomioon todennäköiset erot vahingon tai mahdollisten kielteisten seurausten vakavuudessa, todennäköisyydessä ja laajuudessa. Välitön uhka, joka kohdistuu luonnollisen henkilön henkeen tai fyysiseen turvallisuuteen, voi olla seurausta myös Euroopan parlamentin ja neuvoston direktiivin (EU) 2022/2557 (19) 2 artiklan 4 alakohdassa määritellyn elintärkeän infrastruktuurin vakavasta häiriöstä, kun tällaisen elintärkeän infrastruktuurin vahingoittuminen tai tuhoutuminen johtaisi henkilön henkeen tai fyysiseen turvallisuuteen kohdistuvaan välittömään uhkaan, myös väestölle tarkoitettujen perustarvikkeiden toimitukselle tai valtion ydintehtävien hoitamiselle aiheutuvan vakavan haitan kautta. Lisäksi tässä asetuksessa olisi säilytettävä lainvalvonta-, rajavalvonta-, maahanmuutto- ja turvapaikkaviranomaisten kyky suorittaa henkilöllisyyden toteamistoimia kyseessä olevan henkilön läsnä ollessa unionin ja jäsenvaltioiden lainsäädännössä tällaisille tarkastuksille asetettujen edellytysten mukaisesti. Lainvalvonta-, rajavalvonta-, maahanmuutto- ja turvapaikkaviranomaisten olisi erityisesti voitava käyttää tietojärjestelmiä unionin tai jäsenvaltioiden lainsäädännön mukaisesti tunnistaakseen henkilön, joka henkilöllisyyden toteamisen yhteydessä joko kieltäytyy henkilöllisyyden toteamisesta tai ei pysty ilmoittamaan tai todistamaan henkilöllisyyttään, ilman että niiltä vaaditaan tässä asetuksessa ennakkoluvan saamista. Kyseessä voisi olla esimerkiksi rikokseen osallistunut henkilö, joka ei halua tai pysty onnettomuuden tai sairauden takia ilmoittamaan henkilöllisyyttään lainvalvontaviranomaisille.
(33)
L’utilisation de ces systèmes à des fins répressives devrait donc être interdite, sauf dans des situations précisément répertoriées et rigoureusement définies, dans lesquelles l’utilisation se limite au strict nécessaire à la réalisation d’objectifs d’intérêt général dont l’importance l’emporte sur les risques encourus. Ces situations comprennent la recherche de certaines victimes d’actes criminels, y compris de personnes disparues; certaines menaces pour la vie ou la sécurité physique des personnes physiques, ou des menaces d’attaque terroriste; et la localisation ou l’identification des auteurs ou des suspects des infractions pénales énumérées dans une annexe du présent règlement, lorsque ces infractions pénales sont passibles, dans l’État membre concerné, d’une peine ou d’une mesure de sûreté privative de liberté d’une durée maximale d’au moins quatre ans et telles qu’elles sont définies dans le droit dudit État membre. Le seuil fixé pour la peine ou la mesure de sûreté privative de liberté prévue par le droit national contribue à garantir que l’infraction soit suffisamment grave pour justifier l’utilisation de systèmes d’identification biométrique à distance «en temps réel». En outre, la liste des infractions pénales figurant en annexe du présent règlement sont basées sur les 32 infractions pénales énumérées dans la décision-cadre 2002/584/JAI du Conseil (18), compte tenu du fait que certaines de ces infractions sont, en pratique, susceptibles d’être plus pertinentes que d’autres, dans le sens où le recours à l’identification biométrique à distance «en temps réel» pourrait, vraisemblablement, être nécessaire et proportionné, à des degrés très divers, pour les mesures pratiques de localisation ou d’identification d’un auteur ou d’un suspect de l’une des différentes infractions pénales répertoriées, eu égard également aux différences probables dans la gravité, la probabilité et l’ampleur du préjudice ou des éventuelles conséquences négatives. Une menace imminente pour la vie ou pour la sécurité physique des personnes physiques pourrait également résulter d’une grave perturbation d’une infrastructure critique, au sens de l’article 2, point 4), de la directive (UE) 2022/2557 du Parlement européen et du Conseil (19), lorsque l’arrêt ou la destruction de cette infrastructure critique entraînerait une menace imminente pour la vie ou la sécurité physique d’une personne, notamment en portant gravement atteinte à la fourniture de produits de base à la population ou à l’exercice de la fonction essentielle de l’État. Par ailleurs, le présent règlement devrait préserver la capacité des autorités répressives, des autorités chargées des contrôles aux frontières, des services de l’immigration ou des autorités compétentes en matière d’asile d’effectuer des contrôles d’identité en présence de la personne concernée conformément aux conditions prévues par le droit de l’Union et le droit national pour ces contrôles. En particulier, les autorités répressives, les autorités chargées des contrôles aux frontières, les services de l’immigration ou les autorités compétentes en matière d’asile devraient pouvoir utiliser des systèmes d’information, conformément au droit de l’Union ou au droit national, pour identifier une personne qui, lors d’un contrôle d’identité, soit refuse d’être identifiée, soit n’est pas en mesure de décliner son identité ou de la prouver, sans qu’il leur soit fait obligation par le présent règlement d’obtenir une autorisation préalable. Il peut s’agir, par exemple, d’une personne impliquée dans une infraction, qui ne veut pas ou ne peut pas divulguer son identité aux autorités répressives en raison d’un accident ou de son état de santé.
(34)
Sen varmistamiseksi, että näitä järjestelmiä käytetään vastuullisella ja oikeasuhteisella tavalla, on myös tärkeää vahvistaa, että kussakin näistä tyhjentävästi luetellusta ja suppeasti määritellystä tilanteesta olisi otettava huomioon tietyt tekijät, erityisesti pyynnön perusteena olevan tilanteen luonne ja käytön seuraukset kaikkien asianomaisten henkilöiden oikeuksille ja vapauksille sekä käyttöä koskevat suojatoimet ja ehdot. Lisäksi reaaliaikaisia biometrisiä etätunnistusjärjestelmiä olisi käytettävä julkisissa tiloissa lainvalvontatarkoituksessa ainoastaan vahvistamaan kohteena olevan yksilön henkilöllisyys ja tämä käyttö olisi rajoitettava siihen, mikä on ehdottoman välttämätöntä, kun otetaan huomioon tällaisen järjestelmän käytön kesto sekä maantieteellinen ja henkilötason laajuus ja erityisesti uhkia, uhreja tai rikoksentekijää koskevat todisteet tai tiedossa olevat seikat. Reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö julkisissa tiloissa olisi sallittava vain, jos lainvalvontaviranomainen on saattanut päätökseen perusoikeuksia koskevan vaikutustenarvioinnin ja, jollei tässä asetuksessa toisin säädetä, rekisteröinyt järjestelmän tietokantaan tämän asetuksen mukaisesti. Henkilöitä koskevan viitetietokannan olisi oltava kuhunkin käyttötapaukseen sopiva kussakin edellä mainitussa tapauksessa.
(34)
Afin de s’assurer que ces systèmes soient utilisés de manière responsable et proportionnée, il est également important d’établir que, dans chacune des situations précisément répertoriées et rigoureusement définies, certains éléments devraient être pris en considération, notamment en ce qui concerne la nature de la situation donnant lieu à la demande et les conséquences de l’utilisation pour les droits et les libertés de toutes les personnes concernées, ainsi que les garanties et les conditions associées à l’utilisation. En outre, l’utilisation, à des fins répressives, de systèmes d’identification biométrique à distance «en temps réel» dans des espaces accessibles au public ne devrait être déployée que pour confirmer l’identité de la personne spécifiquement ciblée et elle devrait être limitée au strict nécessaire dans le temps, ainsi que du point de vue de la portée géographique et personnelle, eu égard en particulier aux preuves ou aux indications concernant les menaces, les victimes ou les auteurs. L’utilisation du système d’identification biométrique à distance en temps réel dans des espaces accessibles au public ne devrait être autorisée que si l’autorité répressive compétente a réalisé une analyse d’impact sur les droits fondamentaux et, sauf disposition contraire du présent règlement, a enregistré le système dans la base de données prévue par le présent règlement. La base de données de référence des personnes devrait être appropriée pour chaque cas d’utilisation dans chacune des situations mentionnées ci-dessus.
(35)
Jokaisen reaaliaikaisen biometrisen etätunnistusjärjestelmän käytön julkisissa tiloissa lainvalvontatarkoituksessa olisi edellytettävä nimenomaista ja erityistä lupaa jäsenvaltion oikeusviranomaiselta tai riippumattomalta hallintoviranomaiselta, jonka päätös on sitova. Tällainen lupa olisi periaatteessa saatava ennen kuin tekoälyjärjestelmää käytetään henkilön tai henkilöiden tunnistamiseksi. Poikkeuksia tähän sääntöön olisi sallittava asianmukaisesti perustelluissa kiireellisissä tapauksissa eli tilanteissa, joissa kyseisten järjestelmien käyttötarve on sellainen, että luvan saaminen ennen tekoälyjärjestelmän käytön aloittamista on tosiasiallisesti ja objektiivisesti mahdotonta. Tällaisissa kiireellisissä tilanteissa tekoälyjärjestelmän käyttö olisi rajoitettava siihen, mikä on ehdottoman välttämätöntä, ja siihen olisi sovellettava asianmukaisia suojatoimia ja ehtoja, jotka määritellään kansallisessa lainsäädännössä ja jotka lainvalvontaviranomainen itse määrittää kunkin yksittäisen kiireellisen käyttötapauksen yhteydessä. Lisäksi lainvalvontaviranomaisen olisi näissä tilanteissa pyydettävä tällaista lupaa ja esitettävä samalla ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluessa syyt siihen, miksi se ei ole voinut pyytää lupaa aikaisemmin. Jos lupa evätään, siihen liittyvien reaaliaikaisten biometristen tunnistusjärjestelmien käyttö olisi lopetettava välittömästi ja kaikki tällaiseen käyttöön liittyvät tiedot olisi poistettava. Tällaisia tietoja ovat esimerkiksi syöttötiedot, jotka tekoälyjärjestelmä on sen käytön aikana hankkinut suoraan, sekä kyseiseen lupaan liittyvän käytön tulokset ja tuotokset. Siihen ei pitäisi sisällyttää tietoja, jotka on hankittu laillisesti jonkin muun unionin tai kansallisen lainsäädännön mukaisesti. Missään tapauksessa päätöstä, jolla on henkilöön kohdistuvia kielteisiä oikeusvaikutuksia, ei saisi tehdä pelkästään biometrisen etätunnistusjärjestelmän tuotosten perusteella.
(35)
Toute utilisation d’un système d’identification biométrique à distance «en temps réel» dans des espaces accessibles au public à des fins répressives devrait être subordonnée à l’autorisation expresse et spécifique d’une autorité judiciaire ou d’une autorité administrative indépendante d’un État membre dont la décision est contraignante. Cette autorisation devrait en principe être obtenue avant l’utilisation du système d’IA en vue d’identifier une ou plusieurs personnes. Des exceptions à cette règle devraient être autorisées dans des situations dûment justifiées en raison du caractère urgent, c’est-à-dire des situations où la nécessité d’utiliser les systèmes en question est de nature à rendre effectivement et objectivement impossible l’obtention d’une autorisation avant de commencer à utiliser le système d’IA. Dans de telles situations d’urgence, l’utilisation du système d’IA devrait être limitée au strict nécessaire et assortie de garanties et de conditions appropriées, telles qu’elles sont déterminées dans le droit national et spécifiées dans le contexte de chaque cas d’utilisation urgente par les autorités répressives elles-mêmes. En outre, l’autorité répressive devrait, dans ce genre de situation, solliciter une telle autorisation tout en indiquant les raisons pour lesquelles elle n’a pas été en mesure de le faire plus tôt, sans retard injustifié et au plus tard dans un délai de 24 heures. Lorsqu’une demande d’autorisation est rejetée, l’utilisation de systèmes d’identification biométrique en temps réel liés à cette autorisation devrait cesser immédiatement et toutes les données relatives à cette utilisation devraient être mises au rebut et supprimées. Ces données comprennent les données d’entrée directement acquises par un système d’IA au cours de l’utilisation de ce système, ainsi que les résultats et sorties de l’utilisation liée à cette autorisation. Cela ne devrait pas comprendre les entrées qui sont légalement acquises dans le respect d’un autre droit national ou du droit de l’Union. En tout état de cause, aucune décision produisant des effets juridiques défavorables à l’égard d’une personne ne devrait être prise sur la seule base des sorties du système d’identification biométrique à distance.
(36)
Jotta asianomainen markkinavalvontaviranomainen ja kansallinen tietosuojaviranomainen voisivat hoitaa tehtävänsä tässä asetuksessa ja kansallisissa säännöissä vahvistettujen vaatimusten mukaisesti, niille olisi ilmoitettava aina, kun reaaliaikaista biometristä tunnistusjärjestelmää käytetään. Ilmoituksia saaneiden markkinavalvontaviranomaisten ja kansallisten tietosuojaviranomaisten olisi toimitettava komissiolle vuosittain kertomus reaaliaikaisten biometristen tunnistusjärjestelmien käytöstä.
(36)
Afin de s’acquitter de leurs tâches conformément aux exigences énoncées dans le présent règlement ainsi que dans les règles nationales, l’autorité de surveillance du marché concernée et l’autorité nationale chargée de la protection des données devraient être informées de chaque utilisation du système d’identification biométrique en temps réel. Les autorités de surveillance du marché et les autorités nationales chargées de la protection des données auxquelles une notification a été adressée devraient présenter à la Commission un rapport annuel sur l’utilisation des systèmes d’identification biométrique en temps réel.
(37)
Osana tässä asetuksessa vahvistettuja kattavia puitteita on myös aiheellista säätää, että tällaisen tämän asetuksen mukaisen käytön olisi oltava mahdollista jäsenvaltion alueella vain jos ja siltä osin kuin kyseinen jäsenvaltio on kansallisen lainsäädäntönsä yksityiskohtaisissa säännöissä nimenomaisesti päättänyt säätää mahdollisuudesta sallia tällainen käyttö. Näin ollen jäsenvaltiot voivat tämän asetuksen nojalla olla säätämättä tällaisesta mahdollisuudesta lainkaan tai säätää tällaisesta mahdollisuudesta vain joidenkin tässä asetuksessa yksilöityjen tavoitteiden osalta, joilla sallittu käyttö voidaan perustella. Tällaisista kansallisista säännöistä olisi ilmoitettava komissiolle 30 päivän kuluessa niiden hyväksymisestä.
(37)
En outre, il convient de prévoir, dans le cadre exhaustif établi par le présent règlement, qu’une telle utilisation sur le territoire d’un État membre conformément au présent règlement ne devrait être possible que dans le cas et dans la mesure où l’État membre concerné a décidé de prévoir expressément la possibilité d’autoriser une telle utilisation dans des règles détaillées de son droit national. Par conséquent, les États membres restent libres, en vertu du présent règlement, de ne pas prévoir une telle possibilité, ou de prévoir une telle possibilité uniquement pour certains objectifs parmi ceux susceptibles de justifier l’utilisation autorisée définis dans le présent règlement. Ces règles nationales devraient être notifiées à la Commission dans les 30 jours suivant leur adoption.
(38)
Tekoälyjärjestelmien käyttö luonnollisten henkilöiden reaaliaikaiseen biometriseen etätunnistukseen julkisissa tiloissa lainvalvontatarkoituksessa edellyttää välttämättä biometristen tietojen käsittelyä. Tämän asetuksen sääntöjä, joissa kielletään tietyin poikkeuksin tällainen käyttö ja jotka perustuvat Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklaan, olisi sovellettava erityissäännöksinä (lex specialis) suhteessa direktiivin (EU) 2016/680 10 artiklaan sisältyviin biometristen tietojen käsittelyä koskeviin sääntöihin, eli niillä säännellään kattavasti tällaista käyttöä ja siihen liittyvien biometristen tietojen käsittelyä. Sen vuoksi tällaisen käytön ja käsittelyn olisi oltava mahdollista ainoastaan siinä määrin kuin se on yhteensopivaa tässä asetuksessa vahvistetun kehyksen kanssa, eikä toimivaltaisten viranomaisten pitäisi kyseisen kehyksen ulkopuolella lainvalvontatarkoituksessa toimiessaan voida käyttää tällaisia järjestelmiä ja käsitellä niiden yhteydessä tällaisia tietoja direktiivin (EU) 2016/680 10 artiklassa luetelluin perustein. Tässä yhteydessä tämän asetuksen tarkoituksena ei ole muodostaa oikeusperustaa direktiivin (EU) 2016/680 8 artiklan mukaiselle henkilötietojen käsittelylle. Reaaliaikaisten biometristen etätunnistusjärjestelmien käyttöä julkisissa tiloissa muihin tarkoituksiin kuin lainvalvontaan, myös toimivaltaisten viranomaisten toimesta, ei kuitenkaan pitäisi sisällyttää tässä asetuksessa vahvistettuun erityiskehykseen, joka koskee tällaista käyttöä lainvalvontatarkoituksessa. Tällaisen muussa kuin lainvalvontatarkoituksessa tapahtuvan käytön ei sen vuoksi pitäisi edellyttää tämän asetuksen mukaista lupaa eikä sen täytäntöönpanemiseksi annettujen kansallisen lainsäädännön yksityiskohtaisten sääntöjen soveltamista.
(38)
L’utilisation de systèmes d’IA pour l’identification biométrique à distance en temps réel de personnes physiques dans des espaces accessibles au public à des fins répressives passe nécessairement par le traitement de données biométriques. Les règles du présent règlement qui interdisent, sous réserve de certaines exceptions, une telle utilisation, et qui sont fondées sur l’article 16 du traité sur le fonctionnement de l’Union européenne, devraient s’appliquer en tant que lex specialis pour ce qui est des règles sur le traitement des données biométriques figurant à l’article 10 de la directive (UE) 2016/680, réglementant ainsi de manière exhaustive cette utilisation et le traitement des données biométriques qui en résulte. Par conséquent, une telle utilisation et un tel traitement ne devraient être possibles que dans la mesure où ils sont compatibles avec le cadre fixé par le présent règlement, sans qu’il soit possible pour les autorités compétentes, lorsqu’elles agissent à des fins répressives en dehors de ce cadre, d’utiliser ces systèmes et de traiter ces données pour les motifs énumérés à l’article 10 de la directive (UE) 2016/680. Dans ce contexte, le présent règlement ne vise pas à fournir la base juridique pour le traitement des données à caractère personnel en vertu de l’article 8 de la directive (UE) 2016/680. Cependant, l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins autres que répressives, y compris par les autorités compétentes, ne devrait pas être couverte par le cadre spécifique concernant l’utilisation à des fins répressives établi par le présent règlement. L’utilisation à des fins autres que répressives ne devrait donc pas être subordonnée à l’exigence d’une autorisation au titre du présent règlement et des règles détaillées du droit national applicable susceptibles de donner effet à cette autorisation.
(39)
Kaikessa biometristen tietojen ja muiden henkilötietojen käsittelyssä, joka liittyy tekoälyjärjestelmien käyttöön biometriseen tunnistamiseen muussa yhteydessä kuin tässä asetuksessa säännellyssä reaaliaikaisten biometristen etätunnistusjärjestelmien käytössä julkisissa tiloissa lainvalvontatarkoituksessa olisi edelleen noudatettava kaikkia direktiivin (EU) 2016/680 10 artiklasta johtuvia vaatimuksia. Muita tarkoituksia kuin lainvalvontaa varten asetuksen (EU) 2016/679 9 artiklan 1 kohdassa ja asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa kielletään biometristen tietojen käsittely joitakin kyseisissä artikloissa säädettyjä rajoitettuja poikkeuksia lukuun ottamatta. Asetuksen (EU) 2016/679 9 artiklan 1 kohtaa sovellettaessa kansalliset tietosuojaviranomaiset ovat jo kieltäneet biometrisen etätunnistuksen käytön muihin tarkoituksiin kuin lainvalvontatarkoituksiin.
(39)
Tout traitement de données biométriques et d’autres données à caractère personnel mobilisées lors de l’utilisation de systèmes d’IA pour l’identification biométrique, qui n’est pas lié à l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, réglementée par le présent règlement, devrait rester conforme à toutes les exigences découlant de l’article 10 de la directive (UE) 2016/680. À des fins autres que répressives, l’article 9, paragraphe 1, du règlement (UE) 2016/679 et l’article 10, paragraphe 1, du règlement (UE) 2018/1725 interdisent le traitement de données biométriques sous réserve d’exceptions limitées prévues dans ces articles. En application de l’article 9, paragraphe 1, du règlement (UE) 2016/679, l’utilisation de l’identification biométrique à distance à des fins autres que répressives a déjà fait l’objet de décisions d’interdiction prises par les autorités nationales chargées de la protection des données.
(40)
Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Yhdistyneen kuningaskunnan ja Irlannin asemasta vapauden, turvallisuuden ja oikeuden alueen osalta tehdyssä pöytäkirjassa N:o 21 olevan 6 a artiklan mukaisesti Irlantia eivät sido tämän asetuksen 5 artiklan 1 kohdan ensimmäisen alakohdan g alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat biometristen luokittelujärjestelmien käytöstä poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä, 5 artiklan 1 kohdan ensimmäisen alakohdan d alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat tekoälyjärjestelmien käyttöä, johon kyseisiä säännöksiä sovelletaan sekä 5 artiklan 1 kohdan ensimmäisen alakohdan h alakohdassa, 5 artiklan 2–6 kohdassa ja 26 artiklan 10 kohdassa vahvistetut säännöt, jotka on hyväksytty Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella ja jotka koskevat jäsenvaltioiden suorittamaa henkilötietojen käsittelyä näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, siinä tapauksessa, että Irlantia eivät sido rikosasioissa tehtävän oikeudellisen yhteistyön tai poliisiyhteistyön muotoa koskevat säännöt, jotka edellyttävät Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella vahvistettujen säännösten noudattamista.
(40)
Conformément à l’article 6 bis du protocole no 21 sur la position du Royaume-Uni et de l’Irlande à l’égard de l’espace de liberté, de sécurité et de justice, annexé au traité sur l’Union européenne et au traité sur le fonctionnement de l’Union européenne, l’Irlande n’est pas liée par les règles fixées à l’article 5, paragraphe 1, premier alinéa, point g), dans la mesure où il s’applique à l’utilisation de systèmes de catégorisation biométrique pour des activités dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, à l’article 5, paragraphe 1, premier alinéa, point d), dans la mesure où il s’applique à l’utilisation de systèmes d’IA couverts par cette disposition, à l’article 5, paragraphe 1, premier alinéa, point h), à l’article 5, paragraphes 2 à 6, et l’article 26, paragraphe 10, du présent règlement et adoptées sur la base de l’article 16 du traité sur le fonctionnement de l’Union européenne concernant le traitement de données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application du chapitre 4 ou 5 du titre V de la troisième partie du traité sur le fonctionnement de l’Union européenne, lorsque l’Irlande n’est pas liée par les règles qui régissent des formes de coopération judiciaire en matière pénale ou de coopération policière dans le cadre desquelles les dispositions fixées sur la base de l’article 16 du traité sur le fonctionnement de l’Union européenne doivent être respectées.
(41)
Euroopan unionista tehtyyn sopimukseen ja Euroopan unionin toiminnasta tehtyyn sopimukseen liitetyn, Tanskan asemasta tehdyssä pöytäkirjassa N:o 22 olevien 2 ja 2 a artiklan mukaisesti tämän asetuksen 5 artiklan 1 kohdan ensimmäisen alakohdan g alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat biometristen luokittelujärjestelmien käytöstä poliisiyhteistyössä ja rikosasioissa tehtävässä oikeudellisessa yhteistyössä, 5 artiklan 1 kohdan ensimmäisen alakohdan d alakohdassa vahvistetut säännöt, siltä osin kuin ne koskevat tekoälyjärjestelmien käyttöä, johon kyseisiä säännöksiä sovelletaan sekä 5 artiklan 1 kohdan ensimmäisen alakohdan h alakohdassa, 5 artiklan 2–6 kohdassa ja 26 artiklan 10 kohdassa vahvistetut säännöt, jotka on hyväksytty Euroopan unionin toiminnasta tehdyn sopimuksen 16 artiklan perusteella ja jotka koskevat jäsenvaltioiden suorittamaa henkilötietojen käsittelyä näiden toteuttaessa Euroopan unionin toiminnasta tehdyn sopimuksen kolmannen osan V osaston 4 tai 5 luvun soveltamisalaan kuuluvaa toimintaa, eivät sido Tanskaa eikä niitä sovelleta Tanskaan.
(41)
Conformément aux articles 2 et 2 bis du protocole no 22 sur la position du Danemark, annexé au traité l’Union européenne et au traité sur le fonctionnement de l’Union européenne, le Danemark n’est pas lié par les règles fixées à l’article 5, paragraphe 1, premier alinéa, point g), dans la mesure où il s’applique à l’utilisation de systèmes de catégorisation biométrique pour des activités dans le domaine de la coopération policière et de la coopération judiciaire en matière pénale, à l’article 5, paragraphe 1, premier alinéa, point d), dans la mesure où il s’applique à l’utilisation de systèmes d’IA couverts par cette disposition, à l’article 5, paragraphe 1, premier alinéa, point h), à l’article 5, paragraphes 2 à 6, et à l’article 26, paragraphe 10, du présent règlement et adoptées sur la base de l’article 16 du traité sur le fonctionnement de l’Union européenne, ni soumis à leur application, lorsqu’elles concernent le traitement des données à caractère personnel par les États membres dans l’exercice d’activités qui relèvent du champ d’application du chapitre 4 ou du chapitre 5 du titre V de la troisième partie du traité sur le fonctionnement de l’Union européenne.
(42)
Syyttömyysolettaman mukaisesti unionissa olevia luonnollisia henkilöitä olisi aina arvioitava heidän tosiasiallisen käyttäytymisensä perusteella. Luonnollisia henkilöitä ei pitäisi koskaan arvioida tekoälyn ennustaman käyttäytymisen perusteella, kun tämän ennusteen pohjana on pelkästään kyseisten henkilöiden profilointi, persoonallisuuspiirteet tai persoonallisuusominaisuudet, kuten kansallisuus, syntymäpaikka, asuinpaikka, lasten lukumäärä, velkataso tai autotyyppi, ilman, että on perusteltua syytä epäillä kyseisen henkilön osallistuvan rikolliseen toimintaan objektiivisten todennettavissa olevien tosiseikkojen perusteella, ja ilman ihmisen tekemää arviointia niistä. Sen vuoksi olisi kiellettävä luonnollisia henkilöitä koskevat riskinarvioinnit, joiden tarkoituksena on arvioida, miten todennäköisesti he tekevät rikoksia, tai ennakoida todellisen tai mahdollisen rikoksen tapahtumista yksinomaan kyseisten henkilöiden profiloinnin tai persoonallisuuspiirteiden ja persoonallisuusominaisuuksien arvioinnin perusteella. Kielto ei missään tapauksessa koske riskianalytiikkaa, joka ei perustu yksilöiden profilointiin tai yksilöiden persoonallisuuspiirteisiin ja persoonallisuusominaisuuksiin, kuten tekoälyjärjestelmiä, joissa käytetään riskianalytiikkaa yritysten talouspetosten todennäköisyyden arvioimiseksi epäilyttävien liiketoimien perusteella, tai riskianalytiikkavälineitä, joilla tulliviranomaiset voivat ennustaa, kuinka todennäköisesti tietyissä paikoissa esiintyy huumausaineita tai laittomia tavaroita, esimerkiksi tunnettujen salakuljetusreittien perusteella.
(42)
Conformément à la présomption d’innocence, les personnes physiques dans l’Union devraient toujours être jugées sur leur comportement réel. Une personne physique ne devrait jamais être jugée sur la base d’un comportement prédit par l’IA uniquement sur la base de son profilage, de ses traits de personnalité ou de ses caractéristiques, telles que la nationalité, le lieu de naissance, le lieu de résidence, le nombre d’enfants, le niveau d’endettement ou le type de voiture, sans qu’il existe un motif raisonnable de soupçonner que cette personne est impliquée dans une activité criminelle sur la base de faits objectifs vérifiables et sans évaluation humaine de ceux-ci. Par conséquent, il convient d’interdire les évaluations des risques effectuées en ce qui concerne des personnes physiques dans le but d’évaluer la probabilité que ces dernières commettent une infraction ou de prévoir la survenance d’une infraction pénale, réelle ou potentielle, sur la seule base du profilage de ces personnes physiques ou de l’évaluation de leurs traits de personnalité et caractéristiques. En tout état de cause, cette interdiction ne vise ni ne concerne l’analyse des risques non fondée sur le profilage des personnes ou sur les traits de personnalité et les caractéristiques des individus, tels que les systèmes d’IA utilisant l’analyse des risques pour évaluer la probabilité de fraude financière de la part d’entreprises sur la base de transactions suspectes ou d’outils d’analyse des risques permettant de prédire la probabilité de la localisation de stupéfiants ou de marchandises illicites par les autorités douanières, par exemple sur la base de voies de trafic connues.
(43)
Sellaisten tekoälyjärjestelmien markkinoille saattaminen, kyseiseen erityiseen tarkoitukseen käyttöönotto tai käyttö, jotka luovat kasvojentunnistustietokantoja tai laajentavat niitä haravoimalla kasvokuvia kohdentamattomasti internetistä tai valvontakamerakuvista, olisi kiellettävä, koska tämä käytäntö lisää tunnetta joukkovalvonnasta ja voi johtaa perusoikeuksien, myös yksityisyyden suojaa koskevan oikeuden, räikeisiin loukkauksiin.
(43)
Il y a lieu d’interdire la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de systèmes d’IA qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance, parce que cette pratique ne fait qu’accentuer le sentiment de surveillance de masse et peut entraîner des violations flagrantes des droits fondamentaux, y compris du droit au respect de la vie privée.
(44)
Sellaisten tekoälyjärjestelmien tieteellinen perusta, joilla pyritään havaitsemaan tai päättelemään tunteita, herättää vakavia huolenaiheita erityisesti siksi, että tunteita ilmaistaan huomattavan erilaisin tavoin eri kulttuureissa ja eri tilanteissa; huomattavaa vaihtelua voi esiintyä jopa saman yksilön tunteiden ilmaisussa. Tällaisten järjestelmien keskeisiä puutteita ovat heikko luotettavuus, tarkkuuden puute ja heikko yleistettävyys. Sen vuoksi tekoälyjärjestelmät, jotka havaitsevat tai päättelevät luonnollisten henkilöiden tunteita tai aikomuksia heidän biometristen tietojensa perusteella, voivat tuottaa syrjiviä tuloksia ja loukata asianomaisten henkilöiden oikeuksia ja vapauksia. Kun otetaan huomioon vallan epätasapaino työelämässä tai koulutuksen alalla sekä näiden järjestelmien yksityisyyttä loukkaava luonne, tällaiset järjestelmät voivat johtaa tiettyjen luonnollisten henkilöiden tai kokonaisten henkilöryhmien haitalliseen tai epäedulliseen kohteluun. Sen vuoksi sellaisten tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tai käyttö, jotka on tarkoitettu yksilöiden emotionaalisen tilan havaitsemiseen työpaikalla ja oppilaitoksissa, olisi kiellettävä. Kielto ei saisi koskea tekoälyjärjestelmiä, jotka saatetaan markkinoille yksinomaan lääketieteellisistä tai turvallisuussyistä, kuten hoitotarkoituksiin käytettäviä järjestelmiä.
(44)
La base scientifique des systèmes d’IA visant à identifier ou à inférer les émotions suscite de vives inquiétudes, d’autant plus que l’expression des émotions varie considérablement d’une culture et d’une situation à l’autre, comme d’ailleurs chez un même individu. Les principaux défauts de ces systèmes sont, entre autres, leur fiabilité limitée, leur manque de précision et leur généralisabilité limitée. Par conséquent, les systèmes d’IA qui identifient ou déduisent les émotions ou les intentions de personnes physiques sur la base de leurs données biométriques peuvent conduire à des résultats discriminatoires et peuvent être intrusifs pour les droits et libertés des personnes concernées. Si l’on considère le déséquilibre de pouvoir qui existe dans le cadre du travail ou de l’enseignement, combiné au caractère intrusif de ces systèmes, ces derniers risqueraient de déboucher sur le traitement préjudiciable ou défavorable de certaines personnes physiques ou de groupes entiers de personnes physiques. Par conséquent, il convient d’interdire la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA destinés à être utilisés pour déterminer l’état émotionnel de personnes physiques dans des situations liées au lieu de travail et à l’enseignement. Cette interdiction ne devrait pas porter sur les systèmes d’IA mis sur le marché strictement pour des raisons médicales ou de sécurité, tels que les systèmes destinés à un usage thérapeutique.
(45)
Tämä asetus ei saisi vaikuttaa käytäntöihin, jotka on kielletty unionin oikeudessa, kuten tietosuojaa, syrjimättömyyttä, kuluttajansuojaa ja kilpailua koskevassa lainsäädännössä.
(45)
Le présent règlement devrait être sans effet sur les pratiques interdites par le droit de l’Union, notamment en vertu du droit de la protection des données, de la lutte contre la discrimination, de la protection des consommateurs et de la concurrence.
(46)
Suuririskisiä tekoälyjärjestelmiä olisi saatettava unionin markkinoille, otettava käyttöön tai käytettävä vain, jos ne täyttävät tietyt pakolliset vaatimukset. Näillä vaatimuksilla olisi varmistettava, että suuririskiset tekoälyjärjestelmät, jotka ovat saatavilla unionissa tai joiden tuloksia muutoin käytetään unionissa, eivät aiheuta kohtuuttomia riskejä unionin tärkeille julkisille eduille, sellaisina kuin ne on tunnustettu ja suojattu unionin oikeudessa. Uuden lainsäädäntökehyksen perusteella, kuten komission tiedonannossa ”Sininen opas – EU:n tuotesääntöjen täytäntöönpano-opas 2022” (20) selvennetään, yleissääntönä on, että useampaa kuin yhtä unionin yhdenmukaistamislainsäädännön säädöstä, kuten Euroopan parlamentin ja neuvoston asetuksia (EU) 2017/745 (21) ja (EU) 2017/746 (22) tai Euroopan parlamentin ja neuvoston direktiiviä 2006/42/EY (23), voidaan soveltaa yhteen tuotteeseen, koska saataville asettaminen tai käyttöönotto voidaan sallia vain, jos tuote on kaiken sovellettavan unionin yhdenmukaistamislainsäädännön mukainen. Johdonmukaisuuden varmistamiseksi sekä tarpeettomien hallinnollisten rasitteiden ja kustannusten välttämiseksi sellaisen tuotteen, joka sisältää yhden tai useamman suuririskisen tekoälyjärjestelmän, johon sovelletaan tämän asetuksen ja tämän asetuksen liitteessä luetellun unionin yhdenmukaistamislainsäädännön vaatimuksia, tarjoajien olisi oltava joustavia niiden operatiivisten päätösten osalta, joilla varmistetaan parhaalla mahdollisella tavalla yhden tai useamman tekoälyjärjestelmän sisältävän tuotteen vaatimustenmukaisuus kaikkien unionin yhdenmukaistamislainsäädännön säännösten kanssa. Suuririskisiksi määritellyt tekoälyjärjestelmät olisi rajattava järjestelmiin, joilla on merkittävä haitallinen vaikutus ihmisten terveyteen, turvallisuuteen ja perusoikeuksiin unionissa, ja tällaisella rajauksella olisi minimoitava mahdolliset kansainvälisen kaupan rajoitukset.
(46)
Les systèmes d’IA à haut risque ne devraient être mis sur le marché de l’Union, mis en service ou utilisés que s’ils satisfont à certaines exigences obligatoires. Ces exigences devraient garantir que les systèmes d’IA à haut risque disponibles dans l’Union ou dont les sorties sont utilisées d’une autre manière dans l’Union ne présentent pas de risques inacceptables pour d’importants intérêts publics de l’Union tels qu’ils sont reconnus et protégés par le droit de l’Union. Sur la base du nouveau cadre législatif, que la Commission a détaillé dans sa communication présentant le «“Guide bleu” relatif à la mise en œuvre de la réglementation de l’UE sur les produits 2022» (20), la règle générale est que plus d’un acte juridique de la législation d’harmonisation de l’Union, comme les règlements (UE) 2017/745 (21) et (UE) 2017/746 (22) du Parlement européen et du Conseil ou la directive 2006/42/CE du Parlement européen et du Conseil (23), peuvent s’appliquer à un produit dès lors que la mise à disposition ou la mise en service ne peut avoir lieu que lorsque le produit est conforme à l’ensemble de la législation d’harmonisation de l’Union applicable. Dans un souci de cohérence, et afin d’éviter des charges administratives ou des coûts inutiles, les fournisseurs d’un produit contenant un ou plusieurs systèmes d’IA à haut risque, auxquels s’appliquent les exigences du présent règlement et de la législation d’harmonisation de l’Union dont la liste figure en annexe du présent règlement, devraient disposer d’une certaine souplesse en ce qui concerne les décisions opérationnelles à prendre quant à la manière de garantir de façon optimale qu’un produit contenant un ou plusieurs systèmes d’IA est conforme à l’ensemble des exigences applicables de la législation d’harmonisation de l’Union. Les systèmes d’IA désignés comme étant à haut risque devraient être limités aux systèmes qui ont une incidence préjudiciable substantielle sur la santé, la sécurité et les droits fondamentaux des citoyens dans l’Union et une telle limitation devrait réduire au minimum toute éventuelle restriction au commerce international.
(47)
Tekoälyjärjestelmät voivat vaikuttaa haitallisesti ihmisten terveyteen ja turvallisuuteen erityisesti silloin, kun tällaiset järjestelmät toimivat tuotteiden turvakomponentteina. Unionin yhdenmukaistamislainsäädännön tavoitteena on helpottaa tuotteiden vapaata liikkuvuutta sisämarkkinoilla ja varmistaa, että markkinoille pääsee ainoastaan turvallisia ja muuten vaatimustenmukaisia tuotteita, ja näiden tavoitteiden mukaisesti on tärkeää, että turvallisuusriskejä, joita tuotteesta kokonaisuudessaan voi aiheutua sen digitaalisten komponenttien, kuten tekoälyjärjestelmien, vuoksi, ehkäistään ja vähennetään asianmukaisesti. Esimerkiksi yhä autonomisempien robottien olisi voitava toimia ja suorittaa tehtävänsä turvallisesti monimutkaisissa ympäristöissä, olipa kyse sitten valmistuksesta tai henkilökohtaisesta avusta ja huolenpidosta. Samoin terveydenhuoltoalalla, jossa panokset ovat elämän ja terveyden kannalta erityisen suuret, yhä kehittyneempien diagnostiikkajärjestelmien ja ihmisten päätöksiä tukevien järjestelmien olisi oltava luotettavia ja tarkkoja.
(47)
Les systèmes d’IA pourraient avoir un impact négatif sur la santé et la sécurité des citoyens, en particulier lorsque ces systèmes sont utilisés en tant que composants de sécurité de produits. Conformément aux objectifs de la législation d’harmonisation de l’Union visant à faciliter la libre circulation des produits sur le marché intérieur et à garantir que seuls des produits sûrs et conformes à d’autres égards soient mis sur le marché, il est important de dûment prévenir et atténuer les risques pour la sécurité susceptibles d’être créés par un produit dans son ensemble en raison de ses composants numériques, y compris les systèmes d’IA. Par exemple, des robots de plus en plus autonomes, que ce soit dans le secteur de l’industrie manufacturière ou des services de soins et d’aide à autrui, devraient pouvoir opérer et remplir leurs fonctions en toute sécurité dans des environnements complexes. De même, dans le secteur de la santé, où les enjeux pour la vie et la santé sont particulièrement importants, les systèmes de diagnostic de plus en plus sophistiqués et les systèmes soutenant les décisions humaines devraient être fiables et précis.
(48)
Tekoälyjärjestelmästä perusoikeuskirjassa suojatuille perusoikeuksille aiheutuvan haitallisen vaikutuksen laajuus on erityisen merkityksellinen, kun tekoälyjärjestelmä luokitellaan suuririskiseksi. Näitä oikeuksia ovat muun muassa oikeus ihmisarvoon, yksityis- ja perhe-elämän kunnioittaminen, henkilötietojen suoja, sananvapaus ja tiedonvälityksen vapaus, kokoontumis- ja yhdistymisvapaus, oikeus syrjimättömyyteen, oikeus koulutukseen, kuluttajansuoja, työntekijöiden oikeudet, vammaisten oikeudet, sukupuolten tasa-arvo, teollis- ja tekijänoikeudet, oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen, oikeus puolustukseen ja syyttömyysolettama sekä oikeus hyvään hallintoon. Näiden oikeuksien lisäksi on tärkeää korostaa, että lapsilla on erityisiä oikeuksia, jotka on vahvistettu perusoikeuskirjan 24 artiklassa ja Yhdistyneiden kansakuntien lapsen oikeuksien yleissopimuksessa, jota on täydennetty digitaalisen ympäristön osalta lapsen oikeuksien yleissopimuksen yleisessä huomautuksessa nro 25, ja joissa molemmissa edellytetään lasten haavoittuvuuden huomioon ottamista ja lasten hyvinvoinnin kannalta välttämättömän suojelun ja huolenpidon tarjoamista. Perusoikeuskirjaan kirjattu ja unionin politiikoissa täytäntöönpantu perusoikeus korkeaan ympäristönsuojelun tasoon olisi myös otettava huomioon arvioitaessa tekoälyjärjestelmästä mahdollisesti aiheutuvan haitan vakavuutta, myös suhteessa ihmisten terveyteen ja turvallisuuteen.
(48)
L’ampleur de l’incidence négative du système d’IA sur les droits fondamentaux protégés par la Charte est un critère particulièrement pertinent lorsqu’il s’agit de classer un système d’IA en tant que système à haut risque. Ces droits comprennent le droit à la dignité humaine, le respect de la vie privée et familiale, la protection des données à caractère personnel, la liberté d’expression et d’information, la liberté de réunion et d’association, le droit à la non-discrimination, le droit à l’éducation, la protection des consommateurs, les droits des travailleurs, les droits des personnes handicapées, l’égalité de genre, les droits de propriété intellectuelle, le droit à un recours effectif et à accéder à un tribunal impartial, les droits de la défense et la présomption d’innocence, et le droit à une bonne administration. En plus de ces droits, il est important de souligner le fait que les enfants bénéficient de droits spécifiques consacrés à l’article 24 de la Charte et dans la convention des Nations unies relative aux droits de l’enfant (et précisés dans l’observation générale no 25 de la CNUDE en ce qui concerne l’environnement numérique), et que ces deux textes considèrent la prise en compte des vulnérabilités des enfants et la fourniture d’une protection et de soins appropriés comme nécessaires au bien-être de l’enfant. Le droit fondamental à un niveau élevé de protection de l’environnement, consacré dans la Charte et mis en œuvre dans les politiques de l’Union, devrait également être pris en considération lors de l’évaluation de la gravité du préjudice qu’un système d’IA peut causer, notamment en ce qui concerne les conséquences pour la santé et la sécurité des personnes.
(49)
Sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka ovat tuotteiden tai järjestelmien turvakomponentteja tai ovat itse tuotteita tai järjestelmiä, jotka kuuluvat Euroopan parlamentin ja neuvoston asetuksen (EY) N:o 300/2008 (24), Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 167/2013 (25), Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 168/2013 (26), Euroopan parlamentin ja neuvoston direktiivin 2014/90/EU (27), Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/797 (28), Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/858 (29), Euroopan parlamentin ja neuvoston asetuksen (EU) 2018/1139 (30) ja Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/2144 (31) soveltamisalaan, on asianmukaista muuttaa mainittuja säädöksiä sen varmistamiseksi, että kun komissio hyväksyy mahdollisia asiaa koskevia delegoituja säädöksiä tai täytäntöönpanosäädöksiä mainittujen säädösten perusteella, se ottaa huomioon tässä asetuksessa vahvistetut suuririskisiä tekoälyjärjestelmiä koskevat pakolliset vaatimukset kunkin alan teknisten ja sääntelyllisten ominaispiirteiden perusteella ja puuttumatta mainituilla säädöksillä perustettuihin olemassa oleviin hallinnointi-, vaatimustenmukaisuuden arviointi- ja valvontamekanismeihin ja -viranomaisiin.
(49)
En ce qui concerne les systèmes d’IA à haut risque constituant des composants de sécurité de produits ou de systèmes, ou qui sont eux-mêmes des produits ou des systèmes entrant dans le champ d’application du règlement (CE) no 300/2008 du Parlement européen et du Conseil (24), du règlement (UE) no 167/2013 du Parlement européen et du Conseil (25), du règlement (UE) no 168/2013 du Parlement européen et du Conseil (26), de la directive 2014/90/UE du Parlement européen et du Conseil (27), de la directive (UE) 2016/797 du Parlement européen et du Conseil (28), du règlement (UE) 2018/858 du Parlement européen et du Conseil (29), du règlement (UE) 2018/1139 du Parlement européen et du Conseil (30) ou du règlement (UE) 2019/2144 du Parlement européen et du Conseil (31), il convient de modifier ces actes pour veiller à ce que la Commission tienne compte, sur la base des spécificités techniques et réglementaires de chaque secteur, et sans interférer avec les mécanismes et les autorités de gouvernance, d’évaluation de la conformité et de contrôle de l’application déjà en place en vertu de ces règlements, des exigences obligatoires applicables aux systèmes d’IA à haut risque définis dans le présent règlement lors de l’adoption d’actes délégués ou d’actes d’exécution pertinents sur la base de ces actes.
(50)
Tekoälyjärjestelmät, jotka ovat tämän asetuksen liitteessä luetellun tietyn unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien tuotteiden turvakomponentteja tai ovat itse tuotteita, on aiheellista luokitella suuririskisiksi tämän asetuksen mukaisesti, jos kyseiselle tuotteelle tehdään vaatimustenmukaisuuden arviointimenettely kolmatta osapuolta edustavassa vaatimustenmukaisuuden arviointilaitoksessa mainitun asiaa koskevan unionin yhdenmukaistamislainsäädännön mukaisesti. Tällaisia tuotteita ovat erityisesti koneet, lelut, hissit, räjähdysvaarallisissa tiloissa käytettäviksi tarkoitetut laitteet ja suojajärjestelmät, radiolaitteet, painelaitteet, huviveneet, köysiratalaitteistot, kaasumaisia polttoaineita polttavat laitteet sekä lääkinnälliset laitteet, in vitro -diagnostiikkaan tarkoitetut lääkinnälliset laitteet, ajoneuvot ja ilma-alukset.
(50)
En ce qui concerne les systèmes d’IA qui constituent des composants de sécurité de produits relevant de certaines législations d’harmonisation de l’Union dont la liste figure en annexe du présent règlement, ou qui sont eux-mêmes de tels produits, il convient de les classer comme étant à haut risque au titre du présent règlement si le produit concerné est soumis à la procédure d’évaluation de la conformité par un organisme tiers d’évaluation de la conformité conformément à la législation d’harmonisation de l’Union correspondante. Ces produits sont notamment les machines, les jouets, les ascenseurs, les appareils et les systèmes de protection destinés à être utilisés en atmosphères explosibles, les équipements radio, les équipements sous pression, les équipements pour bateaux de plaisance, les installations à câbles, les appareils brûlant des combustibles gazeux, les dispositifs médicaux, les dispositifs médicaux de diagnostic in vitro, l’automobile et l’aviation.
(51)
Tekoälyjärjestelmän luokittelun suuririskiseksi tämän asetuksen mukaisesti ei välttämättä pitäisi tarkoittaa sitä, että tuotetta, jonka turvakomponentti on tekoälyjärjestelmä, tai itse tekoälyjärjestelmää tuotteena pidetään suuririskisenä tuotteeseen sovellettavassa asiaa koskevassa unionin yhdenmukaistamislainsäädännössä vahvistettujen perusteiden mukaisesti. Tämä koskee erityisesti asetuksia (EU) 2017/745 ja (EU) 2017/746, joissa säädetään kolmannen osapuolen suorittamasta vaatimustenmukaisuuden arvioinnista keskisuuren ja suuren riskin tuotteille.
(51)
La classification d’un système d’IA comme étant à haut risque en application du présent règlement ne devrait pas nécessairement signifier que le produit utilisant le système d’IA en tant que composant de sécurité, ou que le système d’IA lui-même en tant que produit, est considéré comme étant à haut risque selon les critères établis dans la législation d’harmonisation de l’Union correspondante qui s’applique au produit en question. Tel est notamment le cas pour le règlement (UE) 2017/745 et le règlement (UE) 2017/746, dans le cadre desquels une évaluation de la conformité par un tiers est prévue pour les produits à risque moyen et les produits à haut risque.
(52)
Erilliset tekoälyjärjestelmät eli muut suuririskiset tekoälyjärjestelmät kuin ne, jotka ovat tuotteiden turvakomponentteja tai jotka ovat itsenäisiä tuotteita, olisi luokiteltava suuririskisiksi, jos ne suunnitellun käyttötarkoituksensa perusteella aiheuttavat suuren riskin ihmisten terveydelle ja turvallisuudelle tai perusoikeuksille, kun otetaan huomioon sekä mahdollisen haitan vakavuus että sen esiintymistodennäköisyys, ja niitä käytetään tässä asetuksessa erikseen määritellyillä aloilla. Näiden järjestelmien yksilöinti perustuu samoihin menetelmiin ja kriteereihin, joita sovelletaan myös suuririskisten tekoälyjärjestelmien luetteloon tulevaisuudessa tehtäviin muutoksiin. Komissiolle olisi siirrettävä valta hyväksyä tällaisia muutoksia täytäntöönpanosäädöksillä, jotta voidaan ottaa huomioon teknologian nopea kehitys ja tekoälyjärjestelmien käytön mahdolliset muutokset.
(52)
En ce qui concerne les systèmes d’IA autonomes, à savoir les systèmes d’IA à haut risque autres que ceux qui constituent des composants de sécurité de produits ou qui sont eux-mêmes des produits, il convient de les classer comme étant à haut risque si, au vu de leur destination, ils présentent un risque élevé de causer un préjudice à la santé, à la sécurité ou aux droits fondamentaux des citoyens, en tenant compte à la fois de la gravité et de la probabilité du préjudice éventuel, et s’ils sont utilisés dans un certain nombre de domaines spécifiquement prédéfinis dans le présent règlement. La définition de ces systèmes est fondée sur la même méthode et les mêmes critères que ceux également envisagés pour toute modification ultérieure de la liste des systèmes d’IA à haut risque que la Commission devrait être habilitée à adopter, au moyen d’actes délégués, afin de tenir compte du rythme rapide de l’évolution technologique, ainsi que des changements potentiels dans l’utilisation des systèmes d’IA.
(53)
On myös tärkeää selventää, että tietyissä tapauksissa tekoälyjärjestelmät, joihin viitataan tässä asetuksessa täsmennetyillä erikseen määritellyillä aloilla, eivät aiheuta merkittävän haitan riskiä kyseisillä aloilla suojatuille oikeudellisille eduille, koska ne eivät vaikuta olennaisesti päätöksentekoon tai vahingoita kyseisiä etuja merkittävästi. Tätä asetusta sovellettaessa tekoälyjärjestelmän, joka ei olennaisesti vaikuta päätöksenteon tulokseen, olisi katsottava olevan tekoälyjärjestelmä, jolla ei ole vaikutusta päätöksenteon sisältöön ja näin ollen sen tulokseen riippumatta siitä, onko tämä päätöksenteko automatisoitua vai vastaako siitä ihminen. Tekoälyjärjestelmä voidaan katsoa sellaiseksi, joka ei olennaisesti vaikuta päätöksenteon tulokseen, esimerkiksi tilanteissa, joissa yksi tai useampi seuraavista edellytyksistä täyttyy. Ensimmäisenä tällaisena edellytyksenä olisi oltava, että tekoälyjärjestelmä on tarkoitettu suorittamaan suppeaa menettelyllistä tehtävää. Tällaiseksi katsotaan esimerkiksi tekoälyjärjestelmä, joka muuntaa jäsentämättömän datan jäsennellyksi dataksi, tekoälyjärjestelmä, joka luokittelee saapuvia asiakirjoja, tai tekoälyjärjestelmä, jota käytetään päällekkäisyyksien havaitsemiseen useiden sovellusten välillä. Nämä tehtävät ovat niin kapea-alaisia ja rajallisia, että niistä aiheutuu vain vähäisiä riskejä, jotka eivät lisäänny sellaisen tekoälyjärjestelmän käytön yhteydessä, joka mainitaan tämän asetuksen liitteessä suuririskisenä käyttönä. Toisena edellytyksenä olisi oltava, että tekoälyjärjestelmän suorittaman tehtävän tarkoituksena on parantaa aiemmin päätökseen saatetun ihmisen toiminnan tulosta, jolla voi olla merkitystä tämän asetuksen liitteessä luetellun suuririskisen käytön kannalta. Kun otetaan huomioon nämä ominaisuudet, tekoälyjärjestelmä tuottaa vain täydentävän kerroksen ihmisen toiminnalle, jolloin riski on alentunut. Tätä edellytystä sovellettaisiin esimerkiksi tekoälyjärjestelmiin, joiden tarkoituksena on parantaa aiemmin laadituissa asiakirjoissa käytettyä kieltä esimerkiksi ammatillisen sävyn tai akateemisen tyylin osalta tai mukauttamalla teksti tietynlaisen brändiviestinnän mukaiseksi.Kolmantena edellytyksenä olisi oltava, että tekoälyjärjestelmä on tarkoitettu havaitsemaan päätöksentekotapoja tai poikkeamia aiemmista päätöksentekotavoista. Riski olisi alentunut, koska tekoälyjärjestelmän käyttö perustuu ihmisen aiemmin tekemään arviointiin, jota sen ei ole tarkoitus korvata tai johon sen ei ole tarkoitus vaikuttaa ilman asianmukaista ihmisen suorittamaa arviointia. Tällaisia tekoälyjärjestelmiä ovat esimerkiksi järjestelmät, joiden avulla voidaan esimerkiksi tietyn opettajan arvostelutapojen pohjalta tarkistaa jälkikäteen, onko kyseinen opettaja mahdollisesti poikennut arvostelutavoistaan. Näin voidaan ilmoittaa mahdollisista epäjohdonmukaisuuksista tai poikkeamista. Neljäntenä edellytyksenä olisi oltava, että tekoälyjärjestelmä on tarkoitettu suorittamaan tehtävä, joka on ainoastaan tämän asetuksen liitteessä lueteltujen tekoälyjärjestelmien kannalta merkityksellisen arvioinnin valmistelua, jolloin järjestelmän tuotoksen mahdollinen vaikutus on hyvin vähäinen siltä osin kuin se muodostaa riskin arvioinnissa. Tämä edellytys kattaa muun muassa tiedostojen käsittelyä koskevat älykkäät ratkaisut, joihin kuuluu erilaisia toimintoja, kuten indeksointi, haku, tekstin- ja puheenkäsittely tai tietojen yhdistäminen muihin tietolähteisiin, ja tekoälyjärjestelmät, joita käytetään alkuperäisten asiakirjojen kääntämiseen. Tämän asetuksen liitteessä luetelluissa suuririskisen käytön tapauksissa käytetyt tekoälyjärjestelmät olisi joka tapauksessa katsottava aiheuttavan merkittävän haitan riskin terveydelle, turvallisuudelle tai perusoikeuksille, jos tekoälyjärjestelmä edellyttää asetuksen (EU) 2016/679 4 artiklan 4 alakohdassa, direktiivin (EU) 2016/680 3 artiklan 4 alakohdassa tai asetuksen (EU) 2018/1725 3 artiklan 5 alakohdassa tarkoitettua profilointia. Jäljitettävyyden ja avoimuuden varmistamiseksi tarjoajan, joka edellä tarkoitettujen edellytysten perusteella katsoo, että tekoälyjärjestelmä ei ole suuririskinen, olisi laadittava arviointia koskeva dokumentaatio ennen kyseisen järjestelmän markkinoille saattamista tai käyttöönottoa ja toimitettava tämä dokumentaatio pyynnöstä kansallisille toimivaltaisille viranomaisille. Tällainen tarjoaja olisi velvoitettava rekisteröimään tekoälyjärjestelmä tämän asetuksen nojalla perustettuun EU:n tietokantaan. Jotta voidaan antaa lisäohjeita niiden edellytysten käytännön täytäntöönpanosta, joiden mukaisesti tämän asetuksen liitteessä luetellut tekoälyjärjestelmät ovat poikkeuksellisesti muita kuin suuririskisiä, komission olisi tekoälyneuvostoa kuultuaan annettava ohjeet, joissa täsmennetään, että käytännön täytäntöönpanoa täydennetään kattavalla luettelolla, jossa on käytännön esimerkkejä sellaisten tekoälyjärjestelmien käyttötapauksista, jotka ovat suuririskisiä, ja käyttötapauksista, jotka eivät sitä ole.
(53)
Il importe également de préciser qu’il peut exister des cas spécifiques dans lesquels les systèmes d’IA visés dans des domaines prédéfinis spécifiés dans le présent règlement ne présentent pas un risque important d’atteinte aux intérêts juridiques protégés dans ces domaines parce qu’ils n’ont pas d’incidence substantielle sur la prise de décision ou ne causent pas de préjudice important à ces intérêts. Aux fins du présent règlement, il convient d’entendre par système d’IA qui n’a pas d’incidence substantielle sur le résultat de la prise de décision un système d’IA qui n’a pas d’incidence sur la substance et, partant, sur le résultat de la prise de décision, qu’elle soit humaine ou automatisée. Dans les cas où une ou plusieurs des conditions ci-après sont remplies, il pourrait s’agir d’un système d’IA qui n’a pas d’incidence substantielle sur le résultat de la prise de décision. La première de ces conditions devrait être que le système d’IA est destiné à accomplir une tâche procédurale étroite, comme transformer des données non structurées en données structurées, classer les documents entrants par catégories ou détecter les doublons parmi un grand nombre d’applications. Ces tâches sont par nature si étroites et limitées qu’elles ne présentent que des risques limités, qui ne sont pas exacerbés par une utilisation d’un système d’IA dans un contexte répertorié parmi les utilisations à haut risque dans la liste figurant en annexe du présent règlement. La deuxième condition devrait être que la tâche effectuée par le système d’IA est destinée à améliorer le résultat d’une activité humaine préalablement réalisée, susceptible d’être utile aux fins des utilisations à haut risque énumérées dans une annexe du présent règlement. Compte tenu de ces caractéristiques, le système d’IA n’ajoute qu’une couche supplémentaire à une activité humaine, ce qui présente par conséquent un risque réduit. Cette condition s’appliquerait par exemple aux systèmes d’IA destinés à améliorer la façon dont un document est rédigé, pour lui donner un ton professionnel ou un style académique ou pour l’adapter à un message de marque défini. La troisième condition devrait être que le système d’IA est destiné à détecter les constantes en matière de prise de décision ou les écarts par rapport aux constantes habituelles antérieures. Le risque serait réduit parce que l’utilisation du système d’IA intervient après la réalisation d’une évaluation humaine et n’est pas destinée à se substituer à celle-ci ni à l’influencer, sans examen humain approprié. Il s’agit par exemple des systèmes d’IA qui, compte tenu de certaines constantes habituelles observées chez un enseignant au niveau de la notation, peuvent être utilisés pour vérifier a posteriori si l’enseignant s’est éventuellement écarté de ces constantes, de manière à signaler d’éventuelles incohérences ou anomalies. La quatrième condition devrait être que le système d’IA est destiné à exécuter une tâche qui n’est qu’un acte préparatoire à une évaluation pertinente aux fins des systèmes d’IA repris dans la liste figurant dans une annexe du présent règlement et, partant, la probabilité que les sorties produites par le système présentent un risque pour l’évaluation postérieure est très faible. Cette condition s’applique, entre autres, aux solutions intelligentes de traitement des fichiers, qui comprennent diverses fonctions telles que l’indexation, la recherche, le traitement de texte et le traitement de la parole ou le fait de relier des données à d’autres sources de données, ou aux systèmes d’IA utilisés pour la traduction de documents initiaux. En tout état de cause, les systèmes d’IA utilisés dans des cas d’utilisation à haut risque énumérés dans une annexe du présent règlement devraient être considérés comme présentant des risques importants de préjudice pour la santé, la sécurité ou les droits fondamentaux si le système d’IA implique un profilage au sens de l’article 4, point 4), du règlement (UE) 2016/679, de l’article 3, point 4), de la directive (UE) 2016/680 et de l’article 3, point 5), du règlement (UE) 2018/1725. Afin de garantir la traçabilité et la transparence, un fournisseur qui considère qu’un système d’IA n’est pas à haut risque sur la base des conditions susvisées devrait documenter l’évaluation avant la mise sur le marché ou la mise en service de ce système et fournir cette documentation aux autorités nationales compétentes sur demande. Ce fournisseur devrait être tenu d’enregistrer le système d’IA dans la base de données de l’UE établie en vertu du présent règlement. En vue de fournir des orientations supplémentaires pour la mise en œuvre pratique des critères en fonction desquels des systèmes d’IA répertoriés dans la liste figurant dans une annexe du présent règlement sont, à titre exceptionnel, des systèmes qui ne sont pas à haut risque, la Commission devrait, après consultation du Comité IA, fournir des lignes directrices précisant cette mise en œuvre pratique, assorties d’une liste exhaustive d’exemples pratiques de cas d’utilisation de systèmes d’IA qui sont à haut risque et de cas d’utilisation qui ne le sont pas.
(54)
Biometriset tiedot muodostavat erityisen henkilötietojen ryhmän, joten on aiheellista luokitella suuririskisiksi biometristen järjestelmien useita kriittisiä käyttötapauksia, jos niiden käyttö on sallittua asiaa koskevan unionin ja kansallisen lainsäädännön nojalla. Luonnollisten henkilöiden biometriseen etätunnistukseen tarkoitettujen tekoälyjärjestelmien tekniset epätarkkuudet voivat johtaa vinoutuneisiin tuloksiin ja aiheuttaa syrjiviä vaikutuksia. Tällaisten vinoutuneiden tulosten ja syrjivien vaikutusten riski on erityisen merkityksellinen, kun tulokset tai vaikutukset liittyvät ikään, etniseen alkuperään, rotuun, sukupuoleen tai vammaisuuteen. Biometriset etätunnistusjärjestelmät olisi näin ollen luokiteltava suuririskisiksi niiden aiheuttamien riskien vuoksi. Tällaisen luokittelun ulkopuolelle jäävät tekoälyjärjestelmät, joita on tarkoitus käyttää biometriseen todennukseen, joka käsittää tunnistautumisen, ja joiden ainoana tarkoituksena on vahvistaa, että tietty luonnollinen henkilö on se henkilö, joka hän väittää olevansa, sekä vahvistaa luonnollisen henkilön henkilöllisyys ainoastaan jonkin palvelun käyttämiseksi, laitteen lukituksen poistamiseksi tai valvottuun tilaan pääsemiseksi. Lisäksi tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi biometriseen luokitteluun sellaisten arkaluonteisten ominaisuuksien tai ominaisuuspiirteiden mukaan, jotka on suojattu asetuksen (EU) 2016/679 9 artiklan 1 kohdan nojalla biometrisinä tietoina, siltä osin kuin tällaisia järjestelmiä ei ole kielletty tässä asetuksessa, ja tunteentunnistusjärjestelmät, joita ei ole kielletty tässä asetuksessa, olisi luokiteltava suuririskisiksi. Biometrisiä järjestelmiä, joita on tarkoitus käyttää yksinomaan kyberturvallisuutta ja henkilötietojen suojaamista koskeviin toimiin, ei olisi katsottava suuririskisiksi tekoälyjärjestelmiksi.
(54)
Étant donné que les données biométriques constituent une catégorie particulière de données à caractère personnel, il convient de classer comme étant à haut risque plusieurs cas d’utilisation critique des systèmes biométriques, dans la mesure où leur utilisation est autorisée par le droit de l’Union et le droit national applicables. Les inexactitudes techniques des systèmes d’IA destinés à l’identification biométrique à distance des personnes physiques peuvent conduire à des résultats biaisés et entraîner des effets discriminatoires. Le risque de tels résultats biaisés et d’effets discriminatoires est particulièrement important en ce qui concerne l’âge, l’appartenance ethnique, la race, le sexe ou le handicap. Il convient par conséquent de classer les systèmes d’identification biométrique à distance comme étant à haut risque compte tenu des risques qu’ils présentent. Sont exclus de cette classification les systèmes d’IA destinés à être utilisés à des fins de vérification biométrique, parmi lesquelles l’authentification, dont la seule finalité est de confirmer qu’une personne physique donnée est bien celle qu’elle prétend être et de confirmer l’identité d’une personne physique dans le seul but d’avoir accès à un service, de déverrouiller un dispositif ou de disposer d’un accès sécurisé à des locaux. En outre, il convient de classer comme étant à haut risque les systèmes d’IA destinés à être utilisés pour la catégorisation biométrique en fonction d’attributs ou de caractéristiques sensibles protégés en vertu de l’article 9, paragraphe 1, du règlement (UE) 2016/679 sur la base de données biométriques, dans la mesure où ils ne sont pas interdits par le présent règlement, et les systèmes de reconnaissance des émotions qui ne sont pas interdits en vertu du présent règlement. Les systèmes biométriques destinés à être utilisés uniquement dans le but de permettre la cybersécurité et les mesures de protection des données à caractère personnel ne devraient pas être considérés comme des systèmes d’IA à haut risque.
(55)
Kriittisen infrastruktuurin hallinnan ja toiminnan osalta on aiheellista luokitella suuririskisiksi tekoälyjärjestelmät, jotka on tarkoitettu käytettäviksi turvakomponentteina direktiivin (EU) 2022/2557 liitteessä olevassa 8 kohdassa luetellun kriittisen digitaalisen infrastruktuurin, tieliikenteen sekä vesi-, kaasu-, lämmitys- ja sähköhuollon hallinnassa ja toiminnassa, koska niiden viat tai toimintahäiriöt voivat vaarantaa ihmisten hengen ja terveyden suuressa mittakaavassa ja aiheuttaa tuntuvia häiriöitä yhteiskunnallisen ja taloudellisen toiminnan tavanomaisessa harjoittamisessa. Kriittisen infrastruktuurin, mukaan lukien kriittinen digitaalinen infrastruktuuri, turvakomponentit ovat järjestelmiä, joita käytetään suoraan suojaamaan kriittisen infrastruktuurin fyysistä koskemattomuutta tai henkilöiden terveyttä ja turvallisuutta ja omaisuuden turvallisuutta mutta jotka eivät ole tarpeellisia järjestelmän toiminnan kannalta. Tällaisten komponenttien vikaantuminen tai toimintahäiriö saattaa johtaa suoraan riskeihin kriittisen infrastruktuurin fyysiselle koskemattomuudelle ja näin ollen riskeihin henkilöiden terveydelle ja turvallisuudelle ja omaisuuden turvallisuudelle. Komponentteja, jotka on tarkoitettu käytettäviksi pelkästään kyberturvallisuustarkoituksiin, ei pitäisi katsoa turvakomponenteiksi. Esimerkkejä tällaisen kriittisen infrastruktuurin turvakomponenteista voivat olla järjestelmät vedenpaineen seuraamiseksi tai palohälytysohjausjärjestelmät pilvipalvelukeskuksissa.
(55)
En ce qui concerne la gestion et l’exploitation des infrastructures critiques, il convient de classer comme étant à haut risque les systèmes d’IA destinés à être utilisés en tant que composants de sécurité dans le cadre de la gestion et de l’exploitation des infrastructures numériques critiques visées à l’annexe, point 8, de la directive (UE) 2022/2557, du trafic routier et de l’approvisionnement en eau, gaz, électricité et chauffage, car leur défaillance ou leur mauvais fonctionnement peut mettre en danger la vie et la santé de personnes à grande échelle et entraîner des perturbations importantes dans le déroulement normal des activités sociales et économiques. Les composants de sécurité des infrastructures critiques, y compris des infrastructures numériques critiques, sont des systèmes utilisés pour protéger directement l’intégrité physique des infrastructures critiques ou la santé et la sécurité des personnes et des biens, mais qui ne sont pas nécessaires au fonctionnement du système. La défaillance ou le mauvais fonctionnement de ces composants pourrait directement entraîner des risques pour l’intégrité physique des infrastructures critiques et, partant, des risques pour la santé et la sécurité des personnes et des biens. Les composants destinés à être utilisés uniquement à des fins de cybersécurité ne devraient pas être considérés comme des composants de sécurité. Les systèmes de surveillance de la pression de l’eau ou les systèmes de commande des alarmes incendie dans les centres d’informatique en nuage sont des exemples de composants de sécurité de ces infrastructures critiques.
(56)
Tekoälyjärjestelmien käyttöönotto koulutuksessa on tärkeää, jotta voidaan edistää laadukasta digitaalista koulutusta ja antaa kaikille oppijoille ja opettajille mahdollisuus hankkia ja jakaa tarvittavia digitaalisia taitoja ja osaamista, myös medialukutaitoa ja kriittistä ajattelua, jotta he voivat osallistua aktiivisesti talouteen, yhteiskuntaan ja demokraattisiin prosesseihin. Tekoälyjärjestelmiä, joita käytetään yleissivistävässä tai ammatillisessa koulutuksessa, erityisesti kun määritetään pääsyä tai hyväksymistä tai osoitetaan henkilöitä yleissivistävän tai ammatillisen koulutuksen oppilaitoksiin tai ohjelmiin kaikilla tasoilla, arvioidaan henkilöiden oppimistuloksia, arvioidaan yksittäiselle henkilölle soveltuvaa koulutustasoa ja vaikutetaan olennaisesti sen yleissivistävän tai ammatillisen koulutuksen tasoon, jota henkilö myöhemmin saa tai johon hän voi päästä, tai kun kokeiden aikana tarkkaillaan opiskelijoita tai pyritään havaitsemaan kiellettyä käyttäytymistä, olisi kuitenkin pidettävä suuririskisinä tekoälyjärjestelminä, koska ne voivat määrittää henkilön elämän koulutuksellisen ja ammatillisen suunnan ja voivat siten vaikuttaa kyseisen henkilön kykyyn turvata toimeentulonsa. Kun tällaiset järjestelmät suunnitellaan ja niitä käytetään epäasianmukaisesti, ne voivat olla erityisen tunkeilevia ja loukata oikeutta koulutukseen ja oikeutta olla joutumatta syrjityksi, ja ne voivat jatkaa historiallisia syrjinnän muotoja, jotka kohdistuvat esimerkiksi naisiin, tiettyihin ikäryhmiin, vammaisiin henkilöihin tai henkilöihin, joilla on tietty rodullinen tai etninen alkuperä tai seksuaalinen suuntautuminen.
(56)
Le déploiement de systèmes d’IA dans l’éducation est important pour promouvoir une éducation et une formation numériques de qualité et pour permettre à tous les apprenants et enseignants d’acquérir et de partager les aptitudes et compétences numériques nécessaires, y compris l’éducation aux médias, ainsi que l’esprit critique, pour participer activement à l’économie, à la société et aux processus démocratiques. Toutefois, les systèmes d’IA utilisés dans l’éducation ou la formation professionnelle, en particulier pour déterminer l’accès ou l’admission, pour affecter des personnes à des établissements ou programmes d’enseignement et de formation professionnelle à tous les niveaux, pour évaluer les acquis d’apprentissage des personnes, pour évaluer le niveau d’enseignement approprié d’une personne et influencer substantiellement le niveau d’enseignement et de formation dont bénéficiera cette personne ou auquel elle pourra avoir accès ou pour surveiller les étudiants au cours des épreuves et détecter les comportements interdits dans ce cadre devraient être classés comme étant à haut risque, car ils peuvent déterminer le parcours éducatif et professionnel d’une personne et peut par conséquent avoir une incidence sur la capacité de cette personne à assurer sa propre subsistance. Lorsqu’ils sont mal conçus et utilisés, ces systèmes peuvent être particulièrement intrusifs et mener à des violations du droit à l’éducation et à la formation ainsi que du droit à ne pas subir de discriminations, et perpétuer des schémas historiques de discrimination, par exemple à l’encontre des femmes, de certains groupes d’âge, des personnes handicapées ou de certaines personnes en raison de leur origine raciale ou ethnique ou de leur orientation sexuelle.
(57)
Tekoälyjärjestelmät, joita käytetään työllistämisessä, henkilöstöhallinnossa ja itsenäisen ammatinharjoittamisen mahdollistamisessa, erityisesti henkilöiden rekrytoinnin ja valinnan osalta, sellaisten päätösten tekemisen osalta, jotka vaikuttavat työsuhteen ehtoihin sekä uralla etenemistä ja työsuhteen päättämistä koskeviin työehtoihin, työhön liittyviin sopimussuhteisiin perustuvan tehtävien jakamisen osalta yksilöllisen käyttäytymisen tai personallisuuspiirteiden tai -ominaisuuksien perusteella sekä työhön liittyvissä sopimussuhteissa olevien henkilöiden seurannan tai arvioinnin osalta, olisi myös luokiteltava suuririskisiksi, koska kyseiset järjestelmät voivat vaikuttaa merkittävästi näiden henkilöiden tuleviin uranäkymiin, toimeentuloon ja työntekijöiden oikeuksiin. Näiden työhön liittyvien sopimussuhteiden olisi koskettava merkityksellisellä tavalla myös työntekijöitä ja henkilöitä, jotka tarjoavat palveluja alustojen kautta, kuten komission vuoden 2021 työohjelmassa esitetään. Tällaiset järjestelmät voivat koko rekrytointiprosessin ajan sekä työhön liittyvissä sopimussuhteissa olevien henkilöiden arvioinnin, uralla etenemisen tai työsuhteen jatkamisen yhteydessä pitää yllä historiallisia syrjinnän muotoja, jotka kohdistuvat esimerkiksi naisiin, tiettyihin ikäryhmiin, vammaisiin henkilöihin tai henkilöihin, joilla on tietty rodullinen tai etninen alkuperä tai seksuaalinen suuntautuminen. Tekoälyjärjestelmät, joita käytetään tällaisten henkilöiden suorituskyvyn ja käyttäytymisen seurantaan, voivat heikentää myös heidän tietosuojaansa ja yksityisyyden suojaa koskevia perusoikeuksiaan.
(57)
Les systèmes d’IA utilisés pour des questions liées à l’emploi, à la gestion de la main-d’œuvre et à l’accès à l’emploi indépendant, en particulier pour le recrutement et la sélection de personnes, pour la prise de décisions affectant les conditions des relations professionnelles, ainsi que la promotion et la résiliation des relations professionnelles contractuelles, pour l’attribution de tâches fondée sur le comportement individuel, les traits de personnalité ou les caractéristiques personnelles et pour le suivi ou l’évaluation des personnes dans le cadre de relations professionnelles contractuelles, devraient également être classés comme étant à haut risque car ces systèmes peuvent avoir une incidence considérable sur les perspectives de carrière et les moyens de subsistance de ces personnes ainsi que sur les droits des travailleurs. Les relations professionnelles contractuelles en question devraient concerner également, de manière significative, celles qui lient les employés et les personnes qui fournissent des services sur des plateformes telles que celles visées dans le programme de travail de la Commission pour 2021. Tout au long du processus de recrutement et lors de l’évaluation, de la promotion ou du maintien des personnes dans des relations professionnelles contractuelles, les systèmes d’IA peuvent perpétuer des schémas historiques de discrimination, par exemple à l’égard des femmes, de certains groupes d’âge et des personnes handicapées, ou de certaines personnes en raison de leur origine raciale ou ethnique ou de leur orientation sexuelle. Les systèmes d’IA utilisés pour surveiller les performances et le comportement de ces personnes peuvent aussi porter atteinte à leurs droits fondamentaux à la protection des données et à la vie privée.
(58)
Toinen osa-alue, jolla tekoälyjärjestelmien käyttöön on kiinnitettävä erityistä huomiota, on sellaisten olennaisten yksityisten ja julkisten palvelujen ja etujen saatavuus ja käyttö, joita ihmiset tarvitsevat voidakseen osallistua täysipainoisesti yhteiskuntaan tai parantaakseen elintasoaan. Erityisesti luonnolliset henkilöt, jotka hakevat tai saavat viranomaisilta olennaisia julkisen avun etuuksia ja palveluja, kuten terveydenhuoltopalveluja, sosiaaliturvaetuuksia, sosiaalipalveluja, joilla taataan suoja muun muassa raskauden ja synnytyksen aikana ja sairauden, työtapaturman, hoidon tarpeen ja vanhuuden varalta sekä työpaikan menetyksen yhteydessä, ja toimeentuloturvaa ja asumisen tukea, ovat yleensä riippuvaisia näistä etuuksista ja palveluista ja haavoittuvassa asemassa vastuuviranomaisiin nähden. Jos tekoälyjärjestelmiä käytetään sen määrittämiseen, olisiko viranomaisten myönnettävä tai evättävä tällaiset etuudet ja palvelut tai rajoitettava niitä, peruutettava ne tai perittävä ne takaisin, mukaan lukien se, onko edunsaajilla laillinen oikeus tällaisiin etuuksiin tai palveluihin, näillä järjestelmillä voi olla merkittävä vaikutus henkilöiden toimeentuloon ja ne voivat loukata heidän perusoikeuksiaan, kuten oikeutta sosiaaliseen suojeluun, syrjimättömyyteen, ihmisarvoon tai tehokkaisiin oikeussuojakeinoihin, ja ne olisi sen vuoksi luokiteltava suuririskisiksi. Tämä asetus ei kuitenkaan saisi haitata innovatiivisten lähestymistapojen kehittämistä ja käyttöä julkishallinnossa, sillä se hyötyisi vaatimustenmukaisten ja turvallisten tekoälyjärjestelmien laajemmasta käytöstä edellyttäen, että kyseisiin järjestelmiin ei liity suurta oikeushenkilöihin ja luonnollisiin henkilöihin kohdistuvaa riskiä.Lisäksi tekoälyjärjestelmät, joita käytetään arvioitaessa luonnollisten henkilöiden luottopisteytystä tai luottokelpoisuutta, olisi luokiteltava suuririskisiksi tekoälyjärjestelmiksi, koska ne määrittävät kyseisten henkilöiden mahdollisuuden saada taloudellisia resursseja tai olennaisia palveluja, kuten asumis-, sähkö- ja televiestintäpalveluja. Näihin tarkoituksiin käytetyt tekoälyjärjestelmät voivat johtaa henkilöiden tai henkilöryhmien syrjintään ja voivat pitää yllä historiallisia syrjinnän muotoja, jotka perustuvat esimerkiksi rotuun tai etniseen alkuperään, sukupuoleen, vammaisuuteen, ikään tai sukupuoliseen suuntautumiseen, tai luoda uusia syrjiviä vaikutuksia. Tekoälyjärjestelmiä, joista säädetään unionin oikeudessa rahoituspalvelujen tarjoamiseen liittyvien petosten havaitsemiseksi ja vakavaraisuussyistä luottolaitosten ja vakuutusyritysten pääomavaatimusten laskemiseksi, ei kuitenkaan pitäisi katsoa suuririskisiksi tämän asetuksen nojalla. Lisäksi tekoälyjärjestelmillä, joita on tarkoitus käyttää luonnollisia henkilöitä koskevaan riskiarviointiin ja hinnoitteluun sairaus- ja henkivakuutusten tapauksessa, voi myös olla merkittävä vaikutus henkilöiden toimeentuloon ja jos niitä ei ole asianmukaisesti suunniteltu, kehitetty ja käytetty, ne voivat loukata heidän perusoikeuksiaan sekä aiheuttaa vakavia seurauksia ihmisten elämälle ja terveydelle, mukaan lukien taloudellinen syrjäytyminen ja syrjintä. Myös tekoälyjärjestelmät, joita käytetään luonnollisten henkilöiden hätäpuhelujen arvioinnissa ja luokittelussa tai pelastus- ja ensihoitopalvelujen, mukaan lukien poliisi, palokunta ja lääkintäapu sekä kiireellistä ensihoitoa tarvitsevien potilaiden lajittelujärjestelmä, lähettämisessä tai tärkeysjärjestyksen määrittämisessä, olisi luokiteltava suuririskisiksi, koska ne tekevät päätöksiä tilanteissa, jotka ovat erittäin kriittisiä ihmisten hengen ja terveyden ja heidän omaisuutensa kannalta.
(58)
Un autre domaine dans lequel l’utilisation des systèmes d’IA mérite une attention particulière est l’accès et le droit à certains services et prestations essentiels, publics et privés, devant permettre aux personnes de participer pleinement à la société ou d’améliorer leur niveau de vie. En particulier, les personnes physiques qui demandent à bénéficier ou bénéficient de prestations et services essentiels d’aide publique de la part des pouvoirs publics, à savoir des services de soins de santé, des prestations de sécurité sociale, des services sociaux fournissant une protection dans des cas tels que la maternité, la maladie, les accidents du travail, la dépendance ou la vieillesse et la perte d’emploi et l’aide sociale et au logement, sont généralement tributaires de ces prestations et services et se trouvent dans une situation vulnérable par rapport aux autorités compétentes. Lorsqu’ils sont utilisés pour déterminer si ces prestations et services devraient être accordés, refusés, réduits, révoqués ou récupérés par les autorités, y compris pour déterminer si les bénéficiaires y ont légitimement droit, les systèmes d’IA peuvent avoir une grande incidence sur les moyens de subsistance des personnes et porter atteinte à leurs droits fondamentaux, tels que le droit à la protection sociale, à la non-discrimination, à la dignité humaine ou à un recours effectif, et devraient donc être classés comme étant à haut risque. Néanmoins, le présent règlement ne devrait pas entraver la mise en place et l’utilisation, dans l’administration publique, d’approches innovantes qui bénéficieraient d’une utilisation plus large de systèmes d’IA conformes et sûrs, à condition que ces systèmes n’entraînent pas de risque élevé pour les personnes physiques et morales. En outre, les systèmes d’IA utilisés pour évaluer la note de crédit ou la solvabilité des personnes physiques devraient être classés en tant que systèmes d’IA à haut risque, car ils déterminent l’accès de ces personnes à des ressources financières ou à des services essentiels tels que le logement, l’électricité et les services de télécommunication. Les systèmes d’IA utilisés à ces fins peuvent conduire à la discrimination entre personnes ou groupes et perpétuer des schémas historiques de discrimination, tels que ceux fondés sur les origines raciales ou ethniques, le sexe, les handicaps, l’âge ou l’orientation sexuelle, ou peuvent créer de nouvelles formes d’incidences discriminatoires. Toutefois, les systèmes d’IA prévus par le droit de l’Union aux fins de détecter les fraudes dans l’offre de services financiers et à des fins prudentielles pour calculer les besoins en fonds propres des établissements de crédit et des compagnies d’assurance ne devraient pas être considérés comme étant à haut risque au titre du présent règlement. Par ailleurs, les systèmes d’IA destinés à être utilisés pour l’évaluation des risques et la tarification en ce qui concerne les personnes physiques en matière d’assurance-santé et vie peuvent avoir une incidence significative sur les moyens de subsistance de ces personnes et, s’ils ne sont pas dûment conçus, développés et utilisés, peuvent porter atteinte à leurs droits fondamentaux et entraîner de graves conséquences pour leur vie et leur santé, y compris l’exclusion financière et la discrimination. Enfin, les systèmes d’IA utilisés pour évaluer et hiérarchiser les appels d’urgence émis par des personnes physiques ou pour envoyer des services d’intervention d’urgence ou établir des priorités dans l’envoi de tels services, y compris la police, les pompiers et les secours, ainsi que dans l’utilisation des systèmes de tri des patients admis dans les services de santé d’urgence, devraient aussi être classés comme étant à haut risque car ils prennent des décisions dans des situations très critiques pour la vie, la santé et les biens des personnes.
(59)
Lainvalvontaviranomaisten toimille, joihin liittyy tiettyä tekoälyjärjestelmien käyttöä, on ominaista huomattava vallan epätasapaino niiden roolin ja vastuun vuoksi, ja ne voivat johtaa luonnollisen henkilön valvontaan, pidättämiseen tai vapaudenmenetykseen sekä muihin perusoikeuskirjassa taattuihin perusoikeuksiin kohdistuviin haitallisiin vaikutuksiin. Erityisesti jos tekoälyjärjestelmää ei ole koulutettu laadukkaalla datalla, se ei täytä riittäviä vaatimuksia toimintansa, tarkkuutensa tai vakautensa suhteen tai sitä ei ole suunniteltu ja testattu asianmukaisesti ennen markkinoille saattamista tai muuta käyttöönottoa, se voi valikoida henkilöitä syrjivästi tai muulla tavoin väärin tai epäoikeudenmukaisesti. Lisäksi merkittävien menettelyllisten perusoikeuksien, joita ovat muun muassa oikeus tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen sekä oikeus puolustukseen ja syyttömyysolettama, käyttö voisi vaikeutua erityisesti silloin, kun tällaiset tekoälyjärjestelmät eivät ole riittävän avoimia, selitettävissä olevia ja dokumentoituja. Sen vuoksi on aiheellista luokitella suuririskisiksi joukko tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi lainvalvonnan yhteydessä, siltä osin kuin niiden käyttö on sallittua asiaa koskevan unionin oikeuden ja kansallisen lainsäädännön nojalla, kun tarkkuus, luotettavuus ja avoimuus ovat erityisen tärkeitä haitallisten vaikutusten välttämiseksi, kansalaisten luottamuksen säilyttämiseksi sekä vastuuvelvollisuuden ja tehokkaiden oikeussuojakeinojen varmistamiseksi. Kun otetaan huomioon toimintojen luonne ja niihin liittyvät riskit, näihin suuririskisiin tekoälyjärjestelmiin olisi katsottava kuuluvan erityisesti tekoälyjärjestelmät, joita on tarkoitus käyttää valheenpaljastimina ja vastaavina välineinä lainvalvontaviranomaisten toimesta tai niiden puolesta taikka unionin toimielinten, elinten, toimistojen tai virastojen toimesta lainvalvontaviranomaisten tueksi, jotta voidaan arvioida luonnollisen henkilön riskiä joutua rikoksen uhriksi ja todistusaineiston luotettavuutta rikostutkinnassa tai rikosoikeudellisissa menettelyissä ja, siltä osin kuin sitä ei kielletä tässä asetuksessa, arvioida luonnollisen henkilön rikoksen esiintymisen tai toistumisen riskiä myös muilla keinoilla kuin luonnollisten henkilöiden profiloinnin tai luonnollisten henkilöiden tai ryhmien persoonallisuuspiirteiden ja -ominaisuuksien tai aiemman rikollisen käyttäytymisen arvioinnin perusteella, rikosten paljastamisen, tutkimisen tai rikoksiin liittyvien syytetoimien yhteydessä tapahtuvaa profilointia varten. Tekoälyjärjestelmiä, jotka on erityisesti tarkoitettu käytettäviksi vero- ja tulliviranomaisten hallinnollisissa menettelyissä sekä rahanpesun selvittelykeskuksissa, jotka suorittavat hallinnollisia tehtäviä, joissa analysoidaan tietoja unionin rahanpesunvastaisen lainsäädännön nojalla, ei pitäisi luokitella suuririskisiksi tekoälyjärjestelmiksi, joita lainvalvontaviranomaiset käyttävät rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin. Lainvalvontaviranomaisten ja muiden asiaankuuluvien viranomaisten harjoittama tekoälyn käyttö ei saisi lisätä eriarvoisuutta tai syrjäytymistä. Tekoälyvälineiden käytön vaikutuksia rikoksesta epäiltyjen puolustusoikeuksiin ei pitäisi jättää huomiotta, etenkään vaikeuksia saada kyseisten järjestelmien toimintaa koskevia merkityksellisiä tietoja ja siitä erityisesti tutkinnan kohteena oleville luonnollisille henkilöille aiheutuvaa ongelmaa haastaa tekoälyvälineiden tulokset tuomioistuimessa.
(59)
Compte tenu du rôle et de la responsabilité des autorités répressives, les actions menées par celles-ci qui supposent certaines utilisations de systèmes d’IA sont caractérisées par un degré important de déséquilibre des forces et peuvent conduire à la surveillance, à l’arrestation ou à la privation de la liberté d’une personne physique ainsi qu’à d’autres conséquences négatives sur des droits fondamentaux garantis par la Charte. En particulier, si le système d’IA n’est pas entraîné avec des données de haute qualité, ne répond pas aux exigences voulues en termes de performance, d’exactitude ou de robustesse, ou n’est pas correctement conçu et testé avant d’être mis sur le marché ou mis en service, il risque de traiter des personnes de manière discriminatoire ou, plus généralement, incorrecte ou injuste. En outre, l’exercice de droits fondamentaux procéduraux importants, tels que le droit à un recours effectif et à accéder à un tribunal impartial, ainsi que les droits de la défense et la présomption d’innocence, pourrait être entravé, en particulier lorsque ces systèmes d’IA ne sont pas suffisamment transparents, explicables et documentés. Il convient donc de classer comme étant à haut risque, dans la mesure où leur utilisation est autorisée par le droit de l’Union et le droit national applicables, un certain nombre de systèmes d’IA destinés à être utilisés dans un contexte répressif où l’exactitude, la fiabilité et la transparence sont particulièrement importantes pour éviter des conséquences négatives, conserver la confiance du public et garantir que des comptes soient rendus et que des recours puissent être exercés. Compte tenu de la nature des activités et des risques y afférents, ces systèmes d’IA à haut risque devraient inclure en particulier les systèmes d’IA destinés à être utilisés par les autorités répressives ou pour leur compte ou par les institutions, organes et organismes de l’Union pour aider les autorités répressives à évaluer le risque qu’une personne physique ne devienne victime d’infractions pénales, tels que les polygraphes et instruments similaires, à évaluer la fiabilité des preuves dans le cadre d’enquêtes ou de poursuites relatives à des infractions pénales, et, dans la mesure où cela n’est pas interdit par le présent règlement, à évaluer le risque d’infraction ou de récidive d’une personne physique non seulement sur la base du profilage de personnes physiques, mais aussi sur la base de l’évaluation des traits de personnalité, des caractéristiques ou des antécédents judiciaires de personnes physiques ou de groupes, à des fins de profilage dans le cadre de la détection d’infractions pénales, d’enquêtes et de poursuites en la matière. Les systèmes d’IA spécifiquement destinés à être utilisés pour des procédures administratives par les autorités fiscales et douanières ainsi que par les cellules de renseignement financier effectuant des tâches administratives d’analyse d’informations dans le cadre de la législation de l’Union relative à la lutte contre le blanchiment des capitaux ne devraient pas être classés comme des systèmes d’IA à haut risque utilisés par les autorités répressives à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière. L’utilisation des outils d’IA par les autorités répressives et d’autres autorités pertinentes ne devrait pas devenir un facteur d’inégalité ou d’exclusion. Les conséquences de l’utilisation des outils d’IA sur les droits de la défense des suspects ne devraient pas être ignorées, en particulier la difficulté d’obtenir des informations utiles sur le fonctionnement de ces outils et, partant, la difficulté de saisir la justice pour contester leurs résultats, en particulier pour les personnes physiques faisant l’objet d’une enquête.
(60)
Muuttoliikkeen hallinnassa, turvapaikka-asioissa ja rajavalvonnassa käytettävät tekoälyjärjestelmät vaikuttavat henkilöihin, jotka ovat usein erityisen haavoittuvassa asemassa ja riippuvaisia toimivaltaisten viranomaisten toimien tuloksista. Näissä yhteyksissä käytettävien tekoälyjärjestelmien tarkkuus, syrjimätön luonne ja avoimuus on sen vuoksi erityisen tärkeää, jotta voidaan taata henkilöiden, joihin vaikutukset kohdistuvat, perusoikeuksien kunnioittaminen, erityisesti heidän oikeutensa vapaaseen liikkuvuuteen, syrjimättömyyteen, yksityiselämän ja henkilötietojen suojaan, kansainväliseen suojeluun ja hyvään hallintoon. Sen vuoksi on aiheellista luokitella suuririskisiksi tekoälyjärjestelmät, siltä osin kuin niiden käyttö on sallittua asiaa koskevan unionin ja kansallisen lainsäädännön nojalla, joita on tarkoitus käyttää valheenpaljastimina ja vastaavina välineinä muuttoliikkeen hallinnassa, turvapaikka-asioissa ja rajavalvonnassa vastaavien toimivaltaisten viranomaisten toimesta tai niiden puolesta taikka vastaavien unionin elinten, toimistojen tai virastojen toimesta; jäsenvaltion alueelle saapuvien tai viisumia tai turvapaikkaa hakevien luonnollisten henkilöiden aiheuttamien tiettyjen riskien arvioimiseen; toimivaltaisten viranomaisten avustamiseen turvapaikka-, viisumi- ja oleskelulupahakemusten ja niihin liittyvien valitusten käsittelyssä, myös todistusaineiston luotettavuuden arvioinnin osalta, kun tavoitteena on vahvistaa asemaa hakevien luonnollisten henkilöiden kelpoisuus; sekä luonnollisten henkilöiden havaitsemiseen, tunnistamiseen tai henkilöllisyyden määrittämiseen muuttoliikkeen, turvapaikka-asioiden ja rajavalvonnan yhteydessä, pois lukien matkustusasiakirjojen tarkastaminen.Tämän asetuksen soveltamisalaan kuuluvien muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan alan tekoälyjärjestelmien olisi oltava Euroopan parlamentin ja neuvoston asetuksessa (EY) N:o 810/2009 (32), Euroopan parlamentin ja neuvoston direktiivissä 2013/32/EU (33) ja muussa asiaa koskevassa unionin oikeudessa säädettyjen asiaankuuluvien menettelyvaatimusten mukaisia. Jäsenvaltioiden tai unionin toimielinten, elinten, toimistojen tai virastojen ei pitäisi missään tapauksessa käyttää tekoälyjärjestelmiä muuttoliikkeen, turvapaikka-asioiden ja rajavalvonnan hallinnassa keinona kiertää Genevessä 28 päivänä heinäkuuta 1951 tehdyn pakolaisten oikeusasemaa koskevan YK:n yleissopimuksen, sellaisena kuin se on muutettuna 31 päivänä tammikuuta 1967 tehdyllä pöytäkirjalla, mukaisia kansainvälisiä velvoitteitaan. Niiden käyttö ei myöskään saisi millään tavoin loukata palauttamiskiellon periaatetta eikä evätä unionin alueelle pääsemiseksi turvallisia ja toimivia laillisia väyliä tai oikeutta kansainväliseen suojeluun.
(60)
Les systèmes d’IA utilisés dans les domaines de la migration, de l’asile et de la gestion des contrôles aux frontières touchent des personnes qui se trouvent souvent dans une situation particulièrement vulnérable et qui sont tributaires du résultat des actions des autorités publiques compétentes. L’exactitude, la nature non discriminatoire et la transparence des systèmes d’IA utilisés dans ces contextes sont donc particulièrement importantes pour garantir le respect des droits fondamentaux des personnes concernées, en particulier leurs droits à la libre circulation, à la non-discrimination, à la protection de la vie privée et des données à caractère personnel, à une protection internationale et à une bonne administration. Il convient donc de classer comme étant à haut risque, dans la mesure où leur utilisation est autorisée par le droit de l’Union et le droit national applicables, les systèmes d’IA destinés à être utilisés par les autorités publiques compétentes ou pour leur compte ou par les institutions, organes et organismes de l’Union chargés de tâches dans les domaines de la migration, de l’asile et de la gestion des contrôles aux frontières, tels que les polygraphes et instruments similaires, pour évaluer certains risques présentés par des personnes physiques entrant sur le territoire d’un État membre ou demandant un visa ou l’asile, et pour aider les autorités publiques compétentes à procéder à l’examen, y compris l’évaluation connexe de la fiabilité des éléments de preuve, des demandes d’asile, de visas et de titres de séjour et des plaintes connexes au regard de l’objectif visant à établir l’éligibilité des personnes physiques demandant un statut, aux fins de détecter, de reconnaître ou d’identifier des personnes physiques dans le cadre de la migration, de l’asile et de la gestion des contrôles aux frontières, à l’exception de la vérification des documents de voyage. Les systèmes d’IA utilisés dans les domaines de la migration, de l’asile et de la gestion des contrôles aux frontières couverts par le présent règlement devraient être conformes aux exigences procédurales pertinentes fixées par le règlement (CE) no 810/2009 du Parlement européen et du Conseil (32), la directive 2013/32/UE du Parlement européen et du Conseil (33) et tout autre acte législatif pertinent de l’Union. Les systèmes d’IA ne devraient en aucun cas être utilisés par les États membres ou les institutions, organes ou organismes de l’Union dans les domaines de la migration, de l’asile et de la gestion des contrôles aux frontières comme moyen de contourner les obligations internationales qui leur incombent en vertu de la convention des Nations unies relative au statut des réfugiés, signée à Genève le 28 juillet 1951, telle que modifiée par le protocole du 31 janvier 1967. Ils ne devraient pas non plus être utilisés pour enfreindre de quelque manière que ce soit le principe de non-refoulement ou pour refuser des voies d’accès légales sûres et effectives au territoire de l’Union, y compris le droit à la protection internationale.
(61)
Tietyt oikeudenhoitoon ja demokraattisiin prosesseihin tarkoitetut tekoälyjärjestelmät olisi luokiteltava suuririskisiksi ottaen huomioon niiden mahdollinen merkittävä vaikutus demokratiaan, oikeusvaltioon, yksilön vapauksiin sekä oikeuteen tehokkaisiin oikeussuojakeinoihin ja puolueettomaan tuomioistuimeen. Erityisesti mahdollisten vinoutumien, virheiden ja läpinäkymättömyyden riskeihin puuttumiseksi on aiheellista luokitella suuririskisiksi tekoälyjärjestelmät, joita on tarkoitus käyttää oikeusviranomaisten toimesta tai niiden puolesta ja joiden tarkoituksena on auttaa oikeusviranomaisia tutkimaan ja tulkitsemaan tosiseikkoja ja lainsäädäntöä sekä soveltamaan lainsäädäntöä konkreettisiin tosiseikkoihin. Tekoälyjärjestelmiä, joita vaihtoehtoisten riidanratkaisuelinten on tarkoitus käyttää näihin tarkoituksiin, olisi myös pidettävä suuririskisinä, jos vaihtoehtoisten riidanratkaisumenettelyjen tuloksilla on oikeusvaikutuksia osapuolille. Tekoälyvälineiden käytöllä voidaan tukea mutta se ei saisi korvata tuomareiden päätöksentekovaltaa tai oikeuslaitoksen riippumattomuutta, koska lopullisten päätösten on myös jatkossa oltava ihmisen tekemiä. Tekoälyjärjestelmien luokittelua suuririskiseksi ei kuitenkaan pitäisi ulottaa tekoälyjärjestelmiin, jotka on tarkoitettu puhtaasti hallinnollisiin tukitoimiin, jotka eivät vaikuta oikeudenkäyttöön yksittäisissä tapauksissa, kuten tuomioistuinten päätösten, asiakirjojen tai tietojen anonymisointiin tai pseudonymisointiin, henkilöstön väliseen viestintään tai hallinnollisiin tehtäviin.
(61)
Certains systèmes d’IA destinés à être utilisés pour l’administration de la justice et les processus démocratiques devraient être classés comme étant à haut risque, compte tenu de leur incidence potentiellement significative sur la démocratie, l’état de droit, les libertés individuelles ainsi que le droit à un recours effectif et à accéder à un tribunal impartial. En particulier, pour faire face aux risques de biais, d’erreurs et d’opacité, il convient de classer comme étant à haut risque les systèmes d’IA destinés à être utilisés par une autorité judiciaire ou pour le compte de celle-ci pour aider les autorités judiciaires à rechercher et à interpréter les faits et la loi, et à appliquer la loi à un ensemble concret de faits. Les systèmes d’IA destinés à être utilisés par des organismes de règlement extrajudiciaire des litiges à ces fins devraient également être considérés comme étant à haut risque lorsque les résultats des procédures de règlement extrajudiciaire des litiges produisent des effets juridiques pour les parties. L’utilisation d’outils d’IA peut soutenir le pouvoir de décision des juges ou l’indépendance judiciaire, mais ne devrait pas les remplacer, car la décision finale doit rester une activité humaine. La classification des systèmes d’IA comme étant à haut risque ne devrait cependant pas s’étendre aux systèmes d’IA destinés à être utilisés pour des activités administratives purement accessoires qui n’ont aucune incidence sur l’administration réelle de la justice dans des cas individuels, telles que l’anonymisation ou la pseudonymisation de décisions judiciaires, de documents ou de données, la communication entre membres du personnel ou les tâches administratives.
(62)
Jotta voidaan puuttua perusoikeuskirjan 39 artiklassa vahvistettuun äänioikeuteen kohdistuviin asiattoman ulkopuolisen sekaantumisen riskeihin sekä riskeihin haitallisista vaikutuksista demokratiaan ja oikeusvaltioon, sellaiset tekoälyjärjestelmät olisi luokiteltava suuririskisiksi, jotka on tarkoitettu käytettäviksi vaikuttamaan vaalien tai kansanäänestysten tulokseen tai vaaleissa tai kansanäänestyksissä äänioikeuttaan käyttävien luonnollisten henkilöiden äänestyskäyttäytymiseen, lukuun ottamatta tekoälyjärjestelmiä, joiden tuotoksille luonnolliset henkilöt eivät suoraan altistu, kuten välineet, joita käytetään poliittisten kampanjoiden hallinnolliseen ja logistiseen järjestämiseen, optimointiin ja jäsentämiseen, sanotun kuitenkaan rajoittamatta Euroopan parlamentin ja neuvoston asetuksessa (EU) 2024/900 (34) säädettyjen sääntöjen soveltamista.
(62)
Sans préjudice des règles prévues dans le règlement (UE) 2024/900 du Parlement européen et du Conseil (34), et afin de faire face aux risques d’ingérence extérieure indue dans le droit de vote consacré à l’article 39 de la Charte et d’effets négatifs sur la démocratie et l’état de droit, les systèmes d’IA destinés à être utilisés pour influencer le résultat d’une élection ou d’un référendum ou le comportement électoral de personnes physiques dans l’exercice de leur vote lors d’élections ou de référendums devraient être classés comme étant à haut risque, à l’exception des systèmes d’IA dont les sorties ne touchent pas directement les personnes physiques, tels que les outils utilisés pour organiser, optimiser et structurer les campagnes politiques d’un point de vue administratif et logistique.
(63)
Sen, että tekoälyjärjestelmä luokitellaan tässä asetuksessa suuririskiseksi tekoälyjärjestelmäksi, ei saisi tulkita osoittavan, että järjestelmän käyttö on laillista muiden unionin säädösten tai unionin oikeuden kanssa yhteensopivan kansallisen lainsäädännön nojalla, jota on annettu esimerkiksi henkilötietojen suojasta tai valheenpaljastimien ja vastaavien välineiden tai muiden järjestelmien käytöstä tai luonnollisen henkilön tunnetilan havaitsemisesta. Tällaisen käytön olisi jatkuttava yksinomaan perusoikeuskirjasta ja sovellettavista unionin johdetun oikeuden säädöksistä ja kansallisesta lainsäädännöstä johtuvien sovellettavien vaatimusten mukaisesti. Tätä asetusta ei pitäisi ymmärtää niin, että siinä säädettäisiin oikeusperustasta henkilötietojen käsittelylle, mukaan lukien tarvittaessa erityiset henkilötietoryhmät, ellei siitä nimenomaisesti toisin säädetä tässä asetuksessa.
(63)
Le fait qu’un système d’IA soit classé comme étant à haut risque au titre du présent règlement ne devrait pas être interprété comme indiquant que l’utilisation du système est licite au titre d’autres actes législatifs de l’Union ou au titre du droit national compatible avec le droit de l’Union, concernant notamment la protection des données à caractère personnel ou l’utilisation de polygraphes et d’instruments similaires ou d’autres systèmes d’analyse de l’état émotionnel des personnes physiques. Toute utilisation de ce type devrait continuer à être subordonnée aux exigences applicables découlant de la Charte et des actes applicables du droit dérivé de l’Union et du droit national. Le présent règlement ne saurait être considéré comme constituant un fondement juridique pour le traitement des données à caractère personnel, y compris des catégories particulières de données à caractère personnel, le cas échéant, sauf disposition contraire expresse du présent règlement.
(64)
Jotta voidaan vähentää riskejä, joita markkinoille saatetuista tai muuten käyttöön otetuista suuririskisistä tekoälyjärjestelmistä aiheutuu, ja jotta voidaan varmistaa korkea luotettavuuden taso, suuririskisiin tekoälyjärjestelmiin olisi sovellettava tiettyjä pakollisia vaatimuksia ottaen huomioon tekoälyjärjestelmän käyttötarkoitus ja -yhteys ja noudattaen tarjoajan perustamaa riskinhallintajärjestelmää. Toimenpiteissä, joita tarjoajat toteuttavat noudattaakseen tämän asetuksen pakollisia vaatimuksia, olisi otettava huomioon yleisesti tunnustettu tekoälyä koskeva viimeisin kehitys, ja niiden olisi oltava oikeasuhteisia ja tehokkaita tämän asetuksen tavoitteiden saavuttamiseksi. Uuden lainsäädäntökehyksen perusteella, kuten komission tiedonannossa ”Sininen opas – EU:n tuotesääntöjen täytäntöönpano-opas 2022” selvennetään, yleissääntönä on, että useampaa kuin yhtä unionin yhdenmukaistamislainsäädännön säädöstä voidaan soveltaa yhteen tuotteeseen, koska saataville asettaminen tai käyttöönotto voidaan sallia vain, jos tuote on kaiken sovellettavan unionin yhdenmukaistamislainsäädännön mukainen. Tämän asetuksen vaatimusten soveltamisalaan kuuluvien tekoälyjärjestelmien vaarat koskevat eri näkökohtia kuin voimassa oleva unionin yhdenmukaistamislainsäädäntö, minkä vuoksi tämän asetuksen vaatimukset täydentäisivät nykyistä unionin yhdenmukaistamislainsäädäntöä. Esimerkiksi tekoälyjärjestelmän sisältäviin koneisiin tai lääkinnällisiin laitteisiin voi liittyä riskejä, joita ei käsitellä asiaa koskevan unionin yhdenmukaistamislainsäädännön vahvistetuissa olennaisissa terveys- ja turvallisuusvaatimuksissa, koska kyseisessä alakohtaisessa lainsäädännössä ei käsitellä tekoälyjärjestelmille ominaisia riskejä.Tämä edellyttää eri säädösten samanaikaista ja täydentävää soveltamista. Johdonmukaisuuden varmistamiseksi sekä tarpeettoman hallinnollisen rasitteen ja turhien kustannusten välttämiseksi sellaisen tuotteen, joka sisältää yhden tai useamman suuririskisen tekoälyjärjestelmän, johon sovelletaan tämän asetuksen ja tämän asetuksen liitteessä luetellun uuteen lainsäädäntökehykseen perustuvan unionin yhdenmukaistamislainsäädännön vaatimuksia, tarjoajien olisi oltava joustavia niiden operatiivisten päätösten osalta, joilla varmistetaan parhaalla mahdollisella tavalla yhden tai useamman tekoälyjärjestelmän sisältävän tuotteen vaatimustenmukaisuus kaikkien kyseisen unionin yhdenmukaistetun lainsäädännön säännösten kanssa. Tämä joustavuus voisi tarkoittaa esimerkiksi tarjoajan päätöstä sisällyttää osa tämän asetuksen nojalla vaadittavista testaus- ja raportointiprosesseista, tiedoista ja asiakirjoista jo olemassa oleviin asiakirjoihin ja menettelyihin, joita edellytetään tämän asetuksen liitteessä lueteltuun uuteen lainsäädäntökehykseen perustuvassa voimassa olevassa unionin yhdenmukaistamislainsäädännössä. Tämä ei saisi millään tavoin vähentää tarjoajan velvollisuutta noudattaa kaikkia sovellettavia vaatimuksia.
(64)
Afin d’atténuer les risques liés aux systèmes d’IA à haut risque mis sur le marché ou mis en service et de garantir un niveau élevé de fiabilité, certaines exigences obligatoires devraient s’appliquer aux systèmes d’IA à haut risque, en tenant compte de la destination du système d’IA et du contexte de son utilisation et en fonction du système de gestion des risques à mettre en place par le fournisseur. Les mesures adoptées par les fournisseurs pour se conformer aux exigences obligatoires du présent règlement devraient tenir compte de l’état de la technique généralement reconnu en matière d’IA, et être proportionnées et effectives pour atteindre les objectifs du présent règlement. Reposant sur le nouveau cadre législatif, tel que précisé dans la communication de la Commission intitulée «“Guide bleu” relatif à la mise en œuvre de la réglementation de l’UE sur les produits 2022», la règle générale est que plus d’un acte juridique de la législation d’harmonisation de l’Union peuvent être applicables à un produit donné, étant donné que la mise à disposition ou la mise en service ne peut avoir lieu que si le produit est conforme à l’ensemble de la législation d’harmonisation de l’Union applicable. Les dangers des systèmes d’IA couverts par les exigences du présent règlement concernent des aspects différents de ceux qui sont énoncés dans la législation d’harmonisation existante de l’Union, et, par conséquent, les exigences du présent règlement compléteraient l’ensemble existant de la législation d’harmonisation de l’Union. Par exemple, les machines ou les dispositifs médicaux incorporant un système d’IA peuvent présenter des risques qui ne sont pas couverts par les exigences essentielles en matière de santé et de sécurité énoncées dans la législation harmonisée pertinente de l’Union, étant donné que cette législation sectorielle ne traite pas des risques spécifiques aux systèmes d’IA. Cela implique d’appliquer conjointement et de manière complémentaire les divers actes législatifs. Dans un souci de cohérence, et afin d’éviter une charge administrative et des coûts inutiles, les fournisseurs d’un produit contenant un ou plusieurs systèmes d’IA à haut risque, auxquels s’appliquent les exigences du présent règlement ainsi que les exigences de la législation d’harmonisation de l’Union reposant sur le nouveau cadre législatif et dont la liste figure dans une annexe du présent règlement, devraient disposer d’une certaine souplesse en ce qui concerne les décisions opérationnelles à prendre quant à la manière de garantir de façon optimale qu’un produit contenant un ou plusieurs systèmes d’IA est conforme à l’ensemble des exigences applicables de cette législation harmonisée de l’Union. Cette souplesse pourrait signifier, par exemple, que le fournisseur décide d’intégrer une partie des processus d’essai et de déclaration nécessaires, ainsi que des informations et de la documentation requises en vertu du présent règlement dans la documentation et les procédures existantes requises en vertu de la législation d’harmonisation de l’Union en vigueur reposant sur le nouveau cadre législatif et dont la liste figure en annexe du présent règlement. Cela ne devrait en aucun cas porter atteinte à l’obligation qu’a le fournisseur de se conformer à toutes les exigences applicables.
(65)
Riskinhallintajärjestelmän olisi koostuttava iteratiivisesta prosessista, joka jatkuu suunnitellusti suuririskisen tekoälyjärjestelmän koko elinkaaren ajan. Kyseisellä prosessilla olisi pyrittävä määrittämään ja lieventämään tekoälyjärjestelmien terveyteen, turvallisuuteen ja perusoikeuksiin liittyviä riskejä. Riskinhallintajärjestelmää olisi tarkasteltava ja päivitettävä säännöllisesti, jotta voidaan varmistaa sen jatkuva tehokkuus sekä tämän asetuksen soveltamisalaan kuuluvien merkittävien päätösten ja toteutettujen toimien perustelut ja dokumentointi. Tällä prosessilla olisi varmistettava, että tarjoaja määrittää riskit tai haitalliset vaikutukset ja toteuttaa lieventäviä toimenpiteitä ottaen huomioon tekoälyjärjestelmien käyttötarkoituksen ja kohtuudella ennakoitavissa olevan väärinkäytön, jotta voidaan torjua niiden terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvia tunnettuja ja kohtuudella ennakoitavissa olevia riskejä, mukaan lukien mahdolliset riskit, jotka johtuvat tekoälyjärjestelmän ja sen toimintaympäristön välisestä vuorovaikutuksesta. Riskinhallintajärjestelmässä olisi otettava käyttöön asianmukaisimmat riskinhallintatoimenpiteet ottaen huomioon tekoälyn viimeisin kehitys. Asianmukaisimpia riskinhallintatoimenpiteitä määrittäessään tarjoajan olisi dokumentoitava ja selitettävä tehdyt valinnat sekä tarvittaessa otettava mukaan asiantuntijoita ja ulkopuolisia sidosryhmiä. Määrittäessään suuririskisten tekoälyjärjestelmien kohtuudella ennakoitavissa olevaa väärinkäyttöä tarjoajan olisi käsiteltävä tekoälyjärjestelmien käyttötarkoitukset, joiden voidaan kohtuudella olettaa johtuvan ihmisen helposti ennustettavissa olevasta käyttäytymisestä tietyn tekoälyjärjestelmän ominaisuuksien ja käytön yhteydessä, vaikka ne eivät kuuluisi suoraan käyttötarkoituksen piiriin ja niitä ei ole mainittu käyttöohjeissa. Kaikki tunnetut tai ennakoitavissa olevat olosuhteet, jotka liittyvät suuririskisen tekoälyjärjestelmän käyttöön sen käyttötarkoituksen mukaisesti tai kohtuudella ennakoitavissa olevissa väärinkäytön olosuhteissa ja jotka voivat aiheuttaa terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuvia riskejä, olisi sisällytettävä tarjoajan antamiin käyttöohjeisiin. Näin varmistetaan, että käyttöönottaja on tietoinen niistä ja ottaa ne huomioon käyttäessään suuririskistä tekoälyjärjestelmää. Tämän asetuksen mukaisten ennakoitavissa olevan väärinkäytön riskinvähentämistoimenpiteiden määrittäminen ja toteuttaminen ei saisi edellyttää tarjoajalta suuririskistä tekoälyjärjestelmää koskevaa erityistä lisäkoulutusta ennakoitavissa olevan väärinkäytön käsittelemiseksi. Tarjoajia kannustetaan kuitenkin harkitsemaan tällaisia lisäkoulutustoimenpiteitä tarpeen mukaan kohtuullisesti ennakoitavissa olevien väärinkäytösten lieventämiseksi.
(65)
Le système de gestion des risques devrait consister en un processus itératif continu planifié et se dérouler sur l’ensemble du cycle de vie d’un système d’IA à haut risque. Ce processus devrait viser à identifier et à atténuer les risques des systèmes d’IA qui se posent pour la santé, la sécurité et les droits fondamentaux. Le système de gestion des risques devrait être régulièrement réexaminé et mis à jour afin de garantir le maintien de son efficacité, ainsi que la justification et la documentation de toutes les décisions et mesures importantes prises en vertu du présent règlement. Ce processus devrait garantir que le fournisseur détermine les risques ou les incidences négatives et mette en œuvre des mesures d’atténuation des risques connus et raisonnablement prévisibles des systèmes d’IA pour la santé, la sécurité et les droits fondamentaux à la lumière de leur destination et de leur mauvaise utilisation raisonnablement prévisible, y compris les risques éventuels découlant de l’interaction entre les systèmes d’IA et l’environnement dans lequel ils fonctionnent. Le système de gestion des risques devrait adopter les mesures de gestion des risques les plus appropriées à la lumière de l’état de la technique en matière d’IA. Lorsqu’il détermine les mesures de gestion des risques les plus appropriées, le fournisseur devrait documenter et expliquer les choix effectués et, le cas échéant, associer des experts et des parties prenantes externes. Lorsqu’il s’agit de déterminer la mauvaise utilisation raisonnablement prévisible des systèmes d’IA à haut risque, le fournisseur devrait couvrir les utilisations des systèmes d’IA dont on peut raisonnablement prévoir, bien qu’elles ne soient pas directement couvertes par la destination et prévues dans la notice d’utilisation, qu’elles résultent d’un comportement humain aisément prévisible dans le contexte des caractéristiques et de l’utilisation spécifiques d’un système d’IA donné. Toutes circonstances connues ou prévisibles liées à l’utilisation du système d’IA à haut risque conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisible, susceptibles d’entraîner des risques pour la santé, la sécurité ou les droits fondamentaux, devraient figurer dans la notice d’utilisation fournie par le fournisseur. Il s’agit de veiller à ce que le déployeur en ait connaissance et en tienne compte lors de l’utilisation du système d’IA à haut risque. La détermination et la mise en œuvre de mesures d’atténuation des risques en cas de mauvaise utilisation prévisible au titre du présent règlement ne devraient pas nécessiter de la part du fournisseur, pour remédier à la mauvaise utilisation prévisible, des mesures d’entraînement supplémentaires spécifiques pour le système d’IA à haut risque. Les fournisseurs sont toutefois encouragés à envisager de telles mesures d’entraînement supplémentaires pour atténuer les mauvaises utilisations raisonnablement prévisibles, si cela est nécessaire et approprié.
(66)
Suuririskisiin tekoälyjärjestelmiin olisi sovellettava vaatimuksia, jotka koskevat käytettyjen datajoukkojen riskinhallintaa, laatua ja merkityksellisyyttä, teknistä dokumentaatiota ja tietojen säilyttämistä, avoimuutta ja tietojen antamista käyttöönottajille, ihmisen suorittamaa valvontaa sekä vakautta, tarkkuutta ja kyberturvallisuutta. Nämä vaatimukset ovat tarpeen, jotta voidaan tehokkaasti vähentää terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvia riskejä. Koska muita vähemmän kauppaa rajoittavia toimenpiteitä ei ole kohtuudella käytettävissä, ja näin ollen kyseiset vaatimukset eivät ole perusteettomia kaupan rajoituksia.
(66)
Des exigences devraient s’appliquer aux systèmes d’IA à haut risque en ce qui concerne la gestion des risques, la qualité et la pertinence des jeux de données utilisés, la documentation technique et la tenue de registres, la transparence et la fourniture d’informations aux déployeurs, le contrôle humain, ainsi que la robustesse, l’exactitude et la sécurité. Ces exigences sont nécessaires pour atténuer efficacement les risques pour la santé, la sécurité et les droits fondamentaux. Aucune autre mesure moins contraignante pour le commerce n’étant raisonnablement disponible, ces exigences ne constituent pas des restrictions injustifiées aux échanges.
(67)
Korkealaatuisella datalla ja sen saatavuudella on ensisijainen rooli monien tekoälyjärjestelmien rakenteen luomisen ja suorituskyvyn varmistamisen kannalta, erityisesti kun käytetään tekniikoita, joihin sisältyy mallien kouluttamista, jotta voidaan varmistaa, että suuririskinen tekoälyjärjestelmä toimii tarkoitetulla tavalla ja turvallisesti eikä siitä tule unionin oikeudessa kiellettyä syrjinnän lähdettä. Korkealaatuiset koulutus-, validointi- ja testausdatajoukot edellyttävät asianmukaisten datanhallinta- ja hallinnointikäytäntöjen täytäntöönpanoa. Koulutus-, validointi- ja testausdatajoukkojen, myös tunnisteiden, olisi oltava merkityksellisiä, riittävän edustavia ja niin suurelta osin kuin mahdollista virheettömiä ja täydellisiä järjestelmän käyttötarkoitusta ajatellen. Datanhallinta- ja hallinnointikäytäntöihin olisi henkilötietojen osalta sisällytettävä avoimuus datankeruun alkuperäisestä tarkoituksesta, jotta voidaan helpottaa unionin tietosuojalainsäädännön, kuten asetuksen (EU) 2016/679, noudattamista. Datajoukoilla olisi myös oltava asianmukaiset tilastolliset ominaisuudet, myös niiden henkilöiden tai henkilöryhmien osalta, joihin suuririskistä tekoälyjärjestelmää on tarkoitus käyttää, kiinnittäen erityistä huomiota sellaisten datajoukkojen mahdollisten vinoutumien vähentämiseen, jotka todennäköisesti vaikuttavat henkilöiden terveyteen ja turvallisuuteen, vaikuttavat kielteisesti perusoikeuksiin tai johtavat unionin oikeudessa kiellettyyn syrjintään, erityisesti silloin, kun datan tuotokset vaikuttavat tulevien toimintojen syöttötietoihin (palautesilmukat). Taustalla oleviin datajoukkoihin voi esimerkiksi sisältyä vinoutumia erityisesti silloin, kun käytetään historiallisia tietoja tai kun järjestelmät otetaan käyttöön todellisissa olosuhteissa.Dataan sisältyvät vinoutumat voivat vaikuttaa tekoälyjärjestelmien tuottamiin tuloksiin, ja tällaisilla vinoutumilla on taipumus vähitellen lisääntyä ja siten ylläpitää ja lisätä olemassa olevaa syrjintää erityisesti tiettyihin haavoittuvassa asemassa oleviin ryhmiin, myös rodullisiin tai etnisiin ryhmiin, kuuluvien henkilöiden osalta. Datajoukkojen mahdollisimman suurta täydellisyyttä ja virheettömyyttä koskeva vaatimus ei saisi vaikuttaa yksityisyyden suojaa parantavien tekniikoiden käyttöön tekoälyjärjestelmien kehittämisen ja testauksen yhteydessä. Datajoukoissa olisi otettava erityisesti huomioon niiden käyttötarkoituksen edellyttämässä laajuudessa ne ominaispiirteet, ominaisuudet tai osatekijät, jotka ovat ominaisia sille maantieteelliselle, viitekehyksenä olevalle, käyttäytymiseen liittyvälle tai toiminnalliselle ympäristölle, jossa tekoälyjärjestelmää on tarkoitus käyttää. Datanhallintaan liittyviä vaatimuksia voidaan noudattaa turvautumalla kolmansiin osapuoliin, jotka tarjoavat sertifioituja vaatimustenmukaisuuspalveluja, mukaan lukien datanhallinnan, datajoukkojen eheyden sekä dataa koskevien koulutus-, validointi- ja testauskäytäntöjen todentaminen, kunhan tämän asetuksen datavaatimusten noudattaminen on varmistettu.
(67)
Les données de haute qualité et l’accès à ces données jouent un rôle essentiel pour ce qui est de fournir une structure et d’assurer le bon fonctionnement de nombreux systèmes d’IA, en particulier lorsque des techniques axées sur l’entraînement de modèles sont utilisées, afin de garantir que le système d’IA à haut risque fonctionne comme prévu et en toute sécurité et qu’il ne devient pas une source de discrimination interdite par le droit de l’Union. Les jeux de données d’entraînement, de validation et de test de haute qualité nécessitent la mise en œuvre de pratiques de gouvernance et de gestion des données appropriées. Les jeux de données d’entraînement, de validation et de test, y compris les étiquettes, devraient être pertinents, suffisamment représentatifs et, dans toute la mesure du possible, exempts d’erreurs et complets au regard de la destination du système. Afin de faciliter le respect du droit de l’Union sur la protection des données, tel que le règlement (UE) 2016/679, les pratiques en matière de gouvernance et de gestion des données devraient inclure, dans le cas des données à caractère personnel, la transparence quant à la finalité initiale de la collecte des données. Les jeux de données devraient également posséder les propriétés statistiques voulues, y compris en ce qui concerne les personnes ou groupes de personnes pour lesquels le système d’IA à haut risque est destiné à être utilisé, en accordant une attention particulière à l’atténuation des éventuels biais dans les jeux de données qui sont susceptibles de porter atteinte à la santé et à la sécurité des personnes, d’avoir une incidence négative sur les droits fondamentaux ou de se traduire par une discrimination interdite par le droit de l’Union, en particulier lorsque les données de sortie influencent les entrées pour les opérations futures («boucles de rétroaction»). Des biais peuvent, par exemple, être inhérents à des jeux de données sous-jacents, en particulier lorsque des données historiques sont utilisées, ou générés lorsque les systèmes sont mis en œuvre dans des conditions réelles. Les résultats produits par les systèmes d’IA pourraient être influencés par ces biais inhérents, qui ont tendance à se renforcer progressivement et ainsi à perpétuer et à amplifier les discriminations existantes, en particulier pour les personnes appartenant à certains groupes vulnérables, y compris les groupes ethniques ou raciaux. L’exigence selon laquelle les jeux de données doivent être dans toute la mesure du possible complets et exempts d’erreurs ne devrait pas avoir d’effet sur l’utilisation de techniques respectueuses de la vie privée dans le contexte du développement et de la mise à l’essai des systèmes d’IA. En particulier, les jeux de données devraient prendre en considération, dans la mesure requise au regard de leur destination, les propriétés, les caractéristiques ou les éléments qui sont propres au cadre géographique, contextuel, comportemental ou fonctionnel spécifique dans lequel le système d’IA est destiné à être utilisé. Les exigences relatives à la gouvernance des données peuvent être respectées en faisant appel à des tiers qui proposent des services de conformité certifiés, y compris la vérification de la gouvernance des données, l’intégrité des jeux de données et les pratiques d’entraînement, de validation et de mise à l’essai des données, dans la mesure où le respect des exigences du présent règlement en matière de données est garanti.
(68)
Suuririskisten tekoälyjärjestelmien kehittämiseksi ja arvioimiseksi tiettyjen toimijoiden, esimerkiksi tarjoajien, ilmoitettujen laitosten ja muiden asiaankuuluvien tahojen, kuten digitaali-innovaatiokeskittymien, testauslaitosten ja tutkijoiden, olisi voitava saada käyttöönsä ja käyttää korkealaatuisia datajoukkoja tähän asetukseen liittyvillä kyseisten toimijoiden toiminta-aloilla. Komission perustama yhteinen eurooppalainen data-avaruus ja datan jakamisen helpottaminen yritysten välillä ja viranomaisten kanssa yleisen edun nimissä ovat ratkaisevan tärkeitä, jotta voidaan tarjota luotettava, vastuullinen ja syrjimätön pääsy korkealaatuiseen dataan tekoälyjärjestelmien koulutusta, validointia ja testausta varten. Esimerkiksi terveydenhuollon alalla eurooppalainen terveysdata-avaruus helpottaa terveysdatan syrjimätöntä saatavuutta ja tekoälyalgoritmien koulutusta näillä datajoukoilla yksityisyyden suojaavalla, turvallisella, oikea-aikaisella, avoimella ja luotettavalla tavalla ja asianmukaisen institutionaalisen hallinnon alaisena. Asiaankuuluvat toimivaltaiset viranomaiset, myös alakohtaiset viranomaiset, jotka tarjoavat dataa tai tukevat datan saatavuutta, voivat myös tukea korkealaatuisen datan tarjoamista tekoälyjärjestelmien koulutusta, validointia ja testausta varten.
(68)
Pour le développement et l’évaluation de systèmes d’IA à haut risque, certains acteurs, tels que les fournisseurs, les organismes notifiés et d’autres entités concernées, telles que les pôles européens d’innovation numérique, les installations d’expérimentation et d’essai et les centres de recherche, devraient être en mesure d’avoir accès à des jeux de données de haute qualité dans leurs domaines d’activité liés au présent règlement et d’utiliser de tels jeux de données. Les espaces européens communs des données créés par la Commission et la facilitation du partage de données d’intérêt public entre les entreprises et avec le gouvernement seront essentiels pour fournir un accès fiable, responsable et non discriminatoire à des données de haute qualité pour l’entraînement, la validation et la mise à l’essai des systèmes d’IA. Par exemple, dans le domaine de la santé, l’espace européen des données de santé facilitera l’accès non discriminatoire aux données de santé et l’entraînement d’algorithmes d’IA à l’aide de ces jeux de données, d’une manière respectueuse de la vie privée, sûre, rapide, transparente et digne de confiance, et avec une gouvernance institutionnelle appropriée. Les autorités compétentes concernées, y compris les autorités sectorielles, qui fournissent ou facilitent l’accès aux données peuvent aussi faciliter la fourniture de données de haute qualité pour l’entraînement, la validation et la mise à l’essai des systèmes d’IA.
(69)
Oikeus yksityisyyteen ja henkilötietojen suojaan on taattava tekoälyjärjestelmän koko elinkaaren ajan. Tässä yhteydessä henkilötietojen käsittelyn osalta sovelletaan tietojen minimoinnin ja sisäänrakennetun ja oletusarvoisen tietosuojan periaatteita, sellaisina kuin niistä säädetään unionin tietosuojalainsäädännössä. Kyseisten periaatteiden noudattamisen varmistamiseksi tarjoajat toteuttavat toimenpiteitä, joihin voi anonymisoinnin ja salauksen lisäksi kuulua myös sellaisen teknologian käyttö, joka mahdollistaa sekä algoritmien tuomisen dataan että tekoälyjärjestelmien kouluttamisen ilman osapuolten välistä siirtoa tai itse raakadatan tai jäsennellyn datan kopiointia, sanotun kuitenkaan rajoittamatta tässä asetuksessa säädettyjen datan hallintaa koskevien vaatimusten soveltamista.
(69)
Le droit au respect de la vie privée et à la protection des données à caractère personnel doit être garanti tout au long du cycle de vie du système d’IA. À cet égard, les principes de minimisation et de protection des données dès la conception et par défaut, tels qu’énoncés dans le droit de l’Union sur la protection des données, sont applicables lorsque des données à caractère personnel sont traitées. Les mesures prises par les fournisseurs pour garantir le respect de ces principes peuvent inclure non seulement l’anonymisation et le cryptage, mais aussi l’utilisation d’une technologie qui permet l’introduction d’algorithmes dans les données ainsi que l’entraînement des systèmes d’IA sans transmission entre parties ou copie des données brutes ou structurées elles-mêmes, sans préjudice des exigences en matière de gouvernance des données prévues par le présent règlement.
(70)
Jotta voitaisiin suojella muita tekoälyjärjestelmissä esiintyvästä vinoutumisesta mahdollisesti johtuvalta syrjinnältä, tarjoajien olisi suuririskisten tekoälyjärjestelmien vinoutumien havaitsemisen ja korjaamisen varmistamiseksi voitava, poikkeuksellisesti ja siinä määrin kuin se on ehdottoman välttämätöntä sekä soveltaen luonnollisten henkilöiden perusoikeuksia ja -vapauksia koskevia asianmukaisia suojatoimia sekä kaikkia tässä asetuksessa säädettyjä sovellettavia ehtoja asetuksissa (EU) 2016/679 ja (EU) 2018/1725 sekä direktiivissä (EU) 2016/680 säädettyjen edellytysten lisäksi, käsitellä myös erityisiä henkilötietoryhmiä asetuksen (EU) 2016/679 9 artiklan 2 kohdan g alakohdassa ja asetuksen (EU) 2018/1725 10 artiklan 2 kohdan g alakohdassa tarkoitetun tärkeän yleisen edun nimissä.
(70)
Afin de protéger le droit d’autrui contre la discrimination qui pourrait résulter des biais dans les systèmes d’IA, les fournisseurs devraient, à titre exceptionnel, et dans la mesure où cela est strictement nécessaire aux fins de la détection et de la correction des biais en ce qui concerne les systèmes d’IA à haut risque, sous réserve de garanties appropriées pour les libertés et droits fondamentaux des personnes physiques et à la suite de l’application de toutes les conditions applicables prévues par le présent règlement en plus des conditions énoncées dans les règlements (UE) 2016/679 et (UE) 2018/1725 et dans la directive (UE) 2016/680, être en mesure de traiter également des catégories particulières de données à caractère personnel, pour des raisons d’intérêt public important au sens de l’article 9, paragraphe 2, point g), du règlement (UE) 2016/679 et de l’article 10, paragraphe 2, point g), du règlement (UE) 2018/1725.
(71)
Tämän asetuksen vaatimusten noudattamisen todentamisen kannalta on olennaisen tärkeää saada ymmärrettävää tietoa siitä, miten suuririskiset tekoälyjärjestelmät on kehitetty ja miten ne toimivat koko niiden käyttöiän ajan, jotta voidaan mahdollistaa näiden järjestelmien jäljitettävyys sekä niiden toiminnan ja markkinoille saattamisen jälkeinen seuranta. Tämä edellyttää, että tiedot säilytetään ja että saatavilla on tekninen dokumentaatio, joka sisältää tiedot, joita tarvitaan sen arvioimiseksi, onko tekoälyjärjestelmä asiaankuuluvien vaatimusten mukainen, ja markkinoille saattamisen jälkeisen seurannan helpottamiseksi. Tällaisiin tietoihin olisi sisällyttävä järjestelmän yleiset ominaisuudet, valmiudet ja rajoitukset, algoritmit, data, koulutus, testaus- ja validointiprosessit sekä sovellettua riskinhallintajärjestelmää koskevat asiakirjat, ja ne olisi laadittava selkeässä ja ymmärrettävässä muodossa. Tekninen dokumentaatio olisi pidettävä asianmukaisesti ajan tasalla tekoälyjärjestelmän koko käyttöiän ajan. Lisäksi suuririskisissä tekoälyjärjestelmissä olisi mahdollistettava teknisesti tapahtumien automaattinen tallentaminen lokitietojen muodossa järjestelmän käyttöiän keston ajan.
(71)
Il est essentiel de disposer d’informations compréhensibles sur la manière dont les systèmes d’IA à haut risque ont été développés et sur leur fonctionnement tout au long de leur durée de vie afin de permettre la traçabilité de ces systèmes, de vérifier le respect des exigences du présent règlement et de surveiller le fonctionnement des systèmes en question et d’assurer leur surveillance après commercialisation. Cela nécessite la tenue de registres et la disponibilité d’une documentation technique contenant les informations nécessaires pour évaluer la conformité du système d’IA avec les exigences pertinentes et faciliter la surveillance après commercialisation. Ces informations devraient notamment porter sur les caractéristiques générales, les capacités et les limites du système, sur les algorithmes, les données et les processus d’entraînement, de mise à l’essai et de validation utilisés, ainsi que sur le système de gestion des risques mis en place et être établies de façon claire et exhaustive. La documentation technique devrait être dûment tenue à jour tout au long de la durée de vie du système d’IA. Par ailleurs, les systèmes d’IA à haut risque devraient permettre, sur le plan technique, l’enregistrement automatique des événements, au moyen de journaux, tout au long de la durée de vie du système.
(72)
Jotta voidaan puuttua tiettyjen tekoälyjärjestelmien läpinäkymättömyyteen ja monimutkaisuuteen liittyviin huolenaiheisiin ja auttaa käyttöönottajia täyttämään tämän asetuksen mukaiset velvoitteensa, suuririskisiltä tekoälyjärjestelmiltä olisi edellytettävä avoimuutta, ennen kuin ne saatetaan markkinoille tai otetaan käyttöön. Suuririskiset tekoälyjärjestelmät olisi suunniteltava siten, että käyttöönottajat voivat ymmärtää, miten tekoälyjärjestelmä toimii, arvioida sen toimivuutta ja ymmärtää sen vahvuuksia ja rajoituksia. Suuririskisten tekoälyjärjestelmien mukana olisi oltava asianmukaiset tiedot käyttöohjeiden muodossa. Tällaisiin tietoihin olisi sisällyttävä tekoälyjärjestelmän ominaisuudet, valmiudet ja suorituskyvyn rajoitukset. Nämä kattaisivat tiedot mahdollisista suuririskisen tekoälyjärjestelmän käyttöön liittyvistä tunnetuista ja ennakoitavissa olevista olosuhteista, mukaan lukien käyttöönottajan toiminta, joka voi vaikuttaa järjestelmän käyttäytymiseen ja suorituskykyyn, jolloin tekoälyjärjestelmä voi aiheuttaa terveyteen, turvallisuuteen ja perusoikeuksiin kohdistuvia riskejä; muutoksista, jotka tarjoaja on ennalta määrittänyt ja joiden vaatimustenmukaisuuden se on arvioinut; sekä asiaankuuluvista ihmisen suorittamista valvontatoimenpiteistä, mukaan lukien toimenpiteet, joilla helpotetaan tekoälyjärjestelmän tuotosten tulkintaa käyttöönottajille. Avoimuuden, myös mukana olevien käyttöohjeiden, olisi avustettava käyttöönottajia järjestelmän käytössä ja tuettava heitä tietoon perustuvassa päätöksenteossa. Käyttöönottajilla olisi muun muassa oltava paremmat mahdollisuudet valita, ottaen huomioon niihin sovellettavat velvoitteet, oikea järjestelmä, jota he aikovat käyttää, saada tietoa käyttötarkoituksesta tai käytön esteistä sekä käyttää tekoälyjärjestelmää oikein ja tarpeen mukaan. Käyttöohjeisiin olisi tarvittaessa sisällytettävä havainnollistavia esimerkkejä esimerkiksi tekoälyjärjestelmän rajoituksista sekä käyttötarkoituksesta ja käytön esteistä, jotta voidaan parantaa niihin sisältyvien tietojen luettavuutta ja saatavuutta. Tarjoajien olisi varmistettava, että kaikki asiakirjat, myös käyttöohjeet, sisältävät merkityksellisiä, kattavia, helposti saatavilla olevia ja ymmärrettäviä tietoja, joissa otetaan huomioon kohteena olevien käyttöönottajien tarpeet ja ennakoitavissa oleva tietämys. Käyttöohjeet olisi asetettava saataville kohteena olevien käyttöönottajien helposti ymmärtämällä, asianomaisen jäsenvaltion määräämällä kielellä.
(72)
Afin de répondre aux préoccupations liées à l’opacité et à la complexité de certains systèmes d’IA et d’aider les déployeurs à remplir les obligations qui leur incombent en vertu du présent règlement, la transparence devrait être requise pour les systèmes d’IA à haut risque avant leur mise sur le marché ou leur mise en service. Les systèmes d’IA à haut risque devraient être conçus de manière à permettre aux déployeurs de comprendre le fonctionnement du système d’IA, d’évaluer sa fonctionnalité et de comprendre ses forces et ses limites. Les systèmes d’IA à haut risque devraient être accompagnés d’informations appropriées sous la forme d’une notice d’utilisation. Ces informations devraient inclure les caractéristiques, les capacités et les limites de la performance du système d’IA. Il s’agirait des informations sur les éventuelles circonstances connues et prévisibles liées à l’utilisation du système d’IA à haut risque, y compris l’action des déployeurs susceptible d’influencer le comportement et la performance du système, dans le cadre desquelles le système d’IA peut entraîner des risques pour la santé, la sécurité et les droits fondamentaux, sur les changements qui ont été déterminés au préalable et évalués à des fins de conformité par le fournisseur et sur les mesures de contrôle humain pertinentes, y compris les mesures visant à faciliter l’interprétation des sorties du système d’IA par les déployeurs. La transparence, y compris la notice d’utilisation jointe au système, devrait aider les déployeurs à utiliser celui-ci et à prendre des décisions en connaissance de cause. Les déployeurs devraient, entre autres, être mieux à même de faire le bon choix quant au système qu’ils ont l’intention d’utiliser à la lumière des obligations qui leur sont applicables, d’être informés sur les utilisations prévues et interdites et d’utiliser le système d’IA correctement et le cas échéant. Afin d’améliorer la lisibilité et l’accessibilité des informations figurant dans la notice d’utilisation, il convient, le cas échéant, d’inclure des exemples illustratifs, par exemple sur les limitations et sur les utilisations prévues et interdites du système d’IA. Les fournisseurs devraient veiller à ce que toute la documentation, y compris la notice d’utilisation, contienne des informations utiles, complètes, accessibles et compréhensibles, compte tenu des besoins et des connaissances prévisibles des déployeurs visés. La notice d’utilisation devrait être mise à disposition dans une langue aisément compréhensible par les déployeurs visés, déterminée par l’État membre concerné.
(73)
Suuririskiset tekoälyjärjestelmät olisi suunniteltava ja kehitettävä siten, että luonnolliset henkilöt voivat valvoa niiden toimintaa, varmistaa niiden käytön tarkoitetulla tavalla ja että niiden vaikutuksia käsitellään koko järjestelmän elinkaaren ajan. Tätä varten järjestelmän tarjoajan olisi määritettävä asianmukaiset ihmisen suorittamat valvontatoimenpiteet ennen järjestelmän markkinoille saattamista tai käyttöönottoa. Tällaisilla toimenpiteillä olisi tarvittaessa erityisesti varmistettava, että järjestelmässä on sisäänrakennettuja toiminnallisia rajoituksia, joita järjestelmä ei voi itse ohittaa ja jotka vastaavat ihmiskäyttäjän komentoihin, ja että luonnollisilla henkilöillä, joiden tehtäväksi ihmisen suorittama valvonta on annettu, on tarvittava pätevyys, koulutus ja valtuudet tämän tehtävän hoitamiseksi. On myös olennaisen tärkeää tarpeen mukaan varmistaa, että suuririskiset tekoälyjärjestelmät sisältävät mekanismeja, joilla annetaan ohjausta ja tietoa luonnolliselle henkilölle, jonka tehtäväksi ihmisen suorittama valvonta on annettu jotta hän voi tehdä tietoon perustuvia päätöksiä siitä, milloin ja millä keinoin asiaan on puututtava, jos ollenkaan, jotta voidaan välttää kielteiset seuraukset tai riskit taikka pysäyttää järjestelmä, jos se ei toimi tarkoitetulla tavalla. Ottaen huomioon tiettyjen biometristen tunnistusjärjestelmien virheellisestä tuloksesta henkilöille aiheutuvat merkittävät seuraukset, on asianmukaista säätää tehostettua ihmisen suorittamaa valvontaa koskevasta vaatimuksesta näiden järjestelmien osalta siten, että käyttöönottaja ei voi suorittaa toimea tai tehdä päätöstä järjestelmästä johtuvan tunnistamisen perusteella, ellei vähintään kaksi luonnollista henkilöä ole erikseen varmistanut ja vahvistanut sitä. Nämä henkilöt voivat olla yhdestä tai useammasta toimijasta ja heihin voi sisältyä järjestelmää hoitava tai käyttävä henkilö. Tämä vaatimus ei saisi aiheuttaa tarpeetonta rasitetta tai viiveitä, ja voi olla riittävää, että eri henkilöiden suorittamat erilliset varmistukset tallennetaan automaattisesti järjestelmän tuottamiin lokitietoihin. Kun otetaan huomioon lainvalvontaan, muuttoliikkeeseen, rajavalvontaan ja turvapaikka-asioihin liittyvät erityispiirteet, tätä vaatimusta ei pitäisi soveltaa, jos unionin oikeudessa tai kansallisessa lainsäädännössä katsotaan, että kyseisen vaatimuksen soveltaminen on suhteetonta.
(73)
Les systèmes d’IA à haut risque devraient être conçus et développés de manière à ce que les personnes physiques puissent superviser leur fonctionnement et veiller à ce qu’ils soient utilisés comme prévu et à ce que leurs incidences soient prises en compte tout au long de leur cycle de vie. À cette fin, des mesures appropriées de contrôle humain devraient être établies par le fournisseur du système avant sa mise sur le marché ou sa mise en service. En particulier, le cas échéant, de telles mesures devraient garantir que le système est soumis à des contraintes opérationnelles intégrées qui ne peuvent pas être ignorées par le système lui-même, que le système répond aux ordres de l’opérateur humain et que les personnes physiques auxquelles le contrôle humain a été confié ont les compétences, la formation et l’autorité nécessaires pour s’acquitter de ce rôle. Il est également essentiel, le cas échéant, de veiller à ce que les systèmes d’IA à haut risque comprennent des mécanismes destinés à guider et à informer une personne physique à laquelle le contrôle humain a été confié, afin qu’elle puisse décider en connaissance de cause s’il faut intervenir, à quel moment et de quelle manière, pour éviter des conséquences négatives ou des risques, ou arrêter le système s’il ne fonctionne pas comme prévu. Compte tenu des conséquences importantes pour les personnes en cas d’erreur dans les correspondances établies par certains systèmes d’identification biométrique, il convient de prévoir pour ces systèmes une exigence de contrôle humain accru, de manière qu’aucune mesure ou décision ne puisse être prise par le déployeur sur la base de l’identification obtenue par le système, à moins qu’elle n’ait été vérifiée et confirmée séparément par au moins deux personnes physiques. Ces personnes pourraient provenir d’une ou de plusieurs entités et compter parmi elles la personne qui fait fonctionner le système ou l’utilise. Cette exigence ne devrait pas entraîner de charges ou de retards inutiles, et il pourrait suffire que les vérifications effectuées séparément par les différentes personnes soient automatiquement enregistrées dans les journaux générés par le système. Compte tenu des spécificités des domaines que sont les activités répressives, la migration, les contrôles aux frontières et l’asile, cette exigence ne devrait pas s’appliquer lorsque le droit de l’Union ou le droit national considère que cette application est disproportionnée.
(74)
Suuririskisten tekoälyjärjestelmien olisi toimittava johdonmukaisesti koko elinkaarensa ajan ja saavutettava asianmukainen tarkkuuden, vakauden ja kyberturvallisuuden taso niiden käyttötarkoitus huomioon ottaen ja yleisesti tunnustetun alan viimeisimmän kehityksen mukaisesti. Komissiota sekä asiaankuuluvia järjestöjä ja sidosryhmiä kehotetaan ottamaan asianmukaisesti huomioon tekoälyjärjestelmien aiheuttamien riskien ja negatiivisten vaikutusten vähentäminen. Suorituskykymittareiden odotettu taso olisi ilmoitettava liitteenä olevissa käyttöohjeissa. Tarjoajia kehotetaan välittämään nämä tiedot käyttöönottajille selkeällä ja helposti ymmärrettävällä tavalla, joka ei aiheuta väärinymmärryksiä tai sisällä harhaanjohtavia lausuntoja. Lakisääteistä mittaustoimintaa koskevalla unionin oikeudella, mukaan lukien Euroopan parlamentin ja neuvoston direktiivit 2014/31/EU (35) ja 2014/32/EU (36), pyritään varmistamaan mittausten tarkkuus ja edistämään avoimuutta ja oikeudenmukaisuutta liiketoimissa. Tässä yhteydessä komission olisi tarpeen mukaan edistettävä vertailuarvojen ja mittausmenetelmien kehittämistä tekoälyjärjestelmiä varten yhteistyössä asiaankuuluvien sidosryhmien ja järjestöjen, kuten metrologia- ja vertailuanalyysiviranomaisten, kanssa. Näin toimiessaan komission olisi pantava merkille tekoälyyn liittyvät metrologiaa ja asiaankuuluvia mittausindikaattoreita käsittelevät kansainväliset kumppanit ja tehtävä yhteistyötä niiden kanssa.
(74)
Les systèmes d’IA à haut risque devraient produire des résultats d’une qualité constante tout au long de leur cycle de vie et assurer un niveau approprié d’exactitude, de robustesse et de cybersécurité, au vu de leur destination et conformément à l’état de la technique généralement reconnu. La Commission et les organisations et parties prenantes concernées sont encouragées à tenir dûment compte de l’atténuation des risques et des incidences négatives du système d’IA. Le niveau attendu des indicateurs de performance devrait être indiqué dans la notice d’utilisation jointe au système. Les fournisseurs sont instamment invités à communiquer ces informations aux déployeurs d’une manière claire et aisément compréhensible, sans malentendus ou déclarations trompeuses. Le droit de l’Union en matière de métrologie légale, y compris les directives 2014/31/UE (35) et 2014/32/UE (36) du Parlement européen et du Conseil, vise à garantir l’exactitude des mesures et à contribuer à la transparence et à la loyauté des transactions commerciales. Dans ce contexte, en coopération avec les parties prenantes et organisations concernées, telles que les autorités de métrologie et d’étalonnage des performances, la Commission devrait encourager, le cas échéant, l’élaboration de critères de référence et de méthodes de mesure pour les systèmes d’IA. Ce faisant, la Commission devrait prendre note des partenaires internationaux travaillant sur la métrologie et les indicateurs de mesure pertinents relatifs à l’IA et collaborer avec ceux-ci.
(75)
Tekninen vakaus on yksi suuririskisten tekoälyjärjestelmien keskeinen vaatimus. Niiden olisi oltava kestäviä sellaisen haitallisen tai muuten ei-toivotun käyttäytymisen varalta, joka saattaa aiheutua järjestelmien sisäisistä rajoituksista tai järjestelmien toimintaympäristöstä (esimerkiksi virheet, viat, epäjohdonmukaisuudet tai odottamattomat tilanteet). Sen vuoksi olisi toteutettava teknisiä ja organisatorisia toimenpiteitä suuririskisten tekoälyjärjestelmien vakauden varmistamiseksi esimerkiksi suunnittelemalla ja kehittämällä asianmukaisia teknisiä ratkaisuja haitallisen tai muuten ei-toivotun käyttäytymisen estämiseksi tai minimoimiseksi. Näihin teknisiin ratkaisuihin voi sisältyä esimerkiksi mekanismeja, joiden avulla järjestelmä voi turvallisesti keskeyttää toimintansa (vikavarmistussuunnitelmat) tiettyjen poikkeavuuksien esiintyessä tai kun toiminta tapahtuu tiettyjen ennalta määritettyjen rajojen ulkopuolella. Se, ettei näiltä riskeiltä suojauduta, voi johtaa turvallisuusvaikutuksiin tai vaikuttaa kielteisesti perusoikeuksiin esimerkiksi virheellisten päätösten tai tekoälyjärjestelmän tuottamien väärien tai puolueellisten tulosten vuoksi.
(75)
La robustesse technique est une exigence essentielle pour les systèmes d’IA à haut risque. Il convient qu’ils soient résilients face aux comportements préjudiciables ou, plus généralement, indésirables pouvant résulter de limites intrinsèques aux systèmes ou dues à l’environnement dans lequel les systèmes fonctionnent (par exemple les erreurs, les défaillances, les incohérences et les situations inattendues). Par conséquent, des mesures techniques et organisationnelles devraient être prises pour garantir la robustesse des systèmes d’IA à haut risque, par exemple en concevant et développant des solutions techniques appropriées pour prévenir ou réduire au minimum les comportements préjudiciables ou, plus généralement, indésirables. Ces solutions techniques peuvent comprendre, par exemple, des mécanismes permettant au système d’interrompre son fonctionnement en toute sécurité (mesures de sécurité après défaillance) en présence de certaines anomalies ou en cas de fonctionnement en dehors de certaines limites déterminées au préalable. L’absence de protection contre ces risques pourrait avoir des incidences sur la sécurité ou entraîner des violations des droits fondamentaux, par exemple en raison de décisions erronées ou de sorties inexactes ou biaisées générées par le système d’IA.
(76)
Kyberturvallisuudella on ratkaiseva merkitys varmistettaessa, että tekoälyjärjestelmät kestävät järjestelmän haavoittuvuuksia hyödyntävien vihamielisten kolmansien osapuolten yritykset muuttaa niiden käyttöä, käyttäytymistä tai suorituskykyä tai vaarantaa niiden turvallisuusominaisuudet. Tekoälyjärjestelmiin kohdistuvissa kyberhyökkäyksissä voidaan käyttää hyväksi tekoälyyn liittyviä resursseja, kuten koulutusdatajoukkoja (esim. datamyrkytys) tai koulutettuja malleja (esim. adversariaaliset hyökkäykset tai joukkoon kuulumiseen perustuva päättely), tai hyödyntää tekoälyjärjestelmän digitaalisten resurssien tai taustalla olevan tieto- ja viestintätekniikkainfrastruktuurin haavoittuvuuksia. Jotta voidaan varmistaa riskeihin nähden asianmukainen kyberturvallisuuden taso, suuririskisten tekoälyjärjestelmien tarjoajien olisi toteutettava asianmukaisia toimenpiteitä, kuten turvatarkastuksia, ottaen tarvittaessa huomioon myös taustalla oleva tieto- ja viestintätekniikkainfrastruktuuri.
(76)
La cybersécurité joue un rôle crucial pour ce qui est de garantir la résilience des systèmes d’IA face aux tentatives de détourner leur utilisation, leur comportement ou leur performance ou de compromettre leurs propriétés de sûreté par des tiers malveillants exploitant les vulnérabilités du système. Les cyberattaques contre les systèmes d’IA peuvent passer par des ressources propres à l’IA, telles que les jeux de données d’entraînement (par exemple pour l’empoisonnement de données) ou l’entraînement des modèles (par exemple pour des attaques contradictoires ou des attaques par inférence d’appartenance), ou exploiter les vulnérabilités des ressources numériques du système d’IA ou de l’infrastructure TIC sous-jacente. Pour garantir un niveau de cybersécurité adapté aux risques, des mesures appropriées, telles que des contrôles de sécurité, devraient donc être prises par les fournisseurs de systèmes d’IA à haut risque, en tenant également compte, si nécessaire, de l’infrastructure TIC sous-jacente.
(77)
Suuririskiset tekoälyjärjestelmät, jotka kuuluvat digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan Euroopan parlamentin ja neuvoston asetuksen soveltamisalaan, voivat kyseisen asetuksen mukaisesti osoittaa tässä asetuksessa säädettyjen kyberturvavaatimusten noudattamisen noudattamalla kyseisessä asetuksessa säädettyjä olennaisia kyberturvavaatimuksia, sanotun kuitenkaan rajoittamatta tässä asetuksessa säädettyjen vakautta ja tarkkuutta koskevien vaatimusten soveltamista. Kun suuririskiset tekoälyjärjestelmät täyttävät digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavassa asetuksessa säädetyt olennaiset vaatimukset, niiden olisi katsottava olevan tässä asetuksessa säädettyjen kyberturvavaatimusten mukaisia siltä osin kuin kyseisten vaatimusten noudattaminen on osoitettu EU-vaatimustenmukaisuusvakuutuksella tai sen osilla, jotka on myönnetty kyseisen asetuksen nojalla. Sen vuoksi digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen nojalla tehtävässä kyberturvallisuusriskien arvioinnissa, joka koskee tässä asetuksessa tarkoitettua digitaalisia elementtejä sisältävää suuririskistä tekoälyjärjestelmää, olisi otettava huomioon tekoälyjärjestelmän kyberresilienssiin kohdistuvat riskit, jotka liittyvät luvattomien kolmansien osapuolten pyrkimyksiin muuttaa sen käyttöä, käyttäytymistä tai suorituskykyä, mukaan lukien tekoälyyn liittyvät erityiset haavoittuvuudet, kuten datamyrkytys tai adversariaaliset hyökkäykset, sekä tapauksen mukaan tässä asetuksessa edellytettyihin perusoikeuksiin kohdistuvat riskit.
(77)
Sans préjudice des exigences relatives à la robustesse et à l’exactitude énoncées dans le présent règlement, les systèmes d’IA à haut risque qui relèvent du champ d’application du règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques, conformément audit règlement, peuvent démontrer leur conformité avec les exigences de cybersécurité du présent règlement en satisfaisant aux exigences essentielles de cybersécurité énoncées audit règlement. Lorsqu’ils satisfont aux exigences essentielles du règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques, les systèmes d’IA à haut risque devraient être réputés conformes aux exigences de cybersécurité énoncées dans le présent règlement dans la mesure où le respect de ces exigences est démontré dans la déclaration UE de conformité, ou dans des parties de celle-ci, délivrée en vertu dudit règlement. À cette fin, l’évaluation des risques en matière de cybersécurité associés à un produit comportant des éléments numériques classé comme système d’IA à haut risque conformément au présent règlement, effectuée en vertu du règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques, devrait tenir compte des risques pesant sur la cyberrésilience d’un système d’IA en ce qui concerne les tentatives de tiers non autorisés de modifier son utilisation, son comportement ou sa performance, y compris les vulnérabilités spécifiques à l’IA telles que l’empoisonnement des données ou les attaques hostiles, ainsi que, le cas échéant, les risques pesant sur les droits fondamentaux, comme l’exige le présent règlement.
(78)
Tässä asetuksessa säädettyä vaatimustenmukaisuuden arviointimenettelyä olisi sovellettava digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen soveltamisalaan kuuluvan ja tämän asetuksen nojalla digitaalisia elementtejä sisältävän suuririskiseksi tekoälyjärjestelmäksi luokitellun tuotteen olennaisiin kyberturvallisuusvaatimuksiin. Tämä pääsääntö ei kuitenkaan saisi johtaa digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen soveltamisalaan kuuluvien digitaalisia elementtejä sisältävien kriittisten tuotteiden tarvittavan varmuustason alenemiseen. Tästä säännöstä poiketen suuririskisiin tekoälyjärjestelmiin, jotka kuuluvat tämän asetuksen soveltamisalaan ja joita myös pidetään digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavan asetuksen nojalla tärkeinä ja kriittisinä digitaalisia elementtejä sisältävinä tuotteina ja joihin sovelletaan tämän asetuksen liitteessä vahvistettua sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä, sovelletaan digitaalisia elementtejä sisältävien tuotteiden horisontaalisia kyberturvavaatimuksista annettavassa asetuksessa säädettyjä vaatimustenmukaisuuden arviointia koskevia säännöksiä kyseisen asetuksen olennaisten kyberturvallisuusvaatimusten osalta. Tällaisessa tapauksessa kaikkiin muihin tämän asetuksen soveltamisalaan kuuluviin näkökohtiin olisi sovellettava tämän asetuksen liitteessä vahvistettuja asiaankuuluvia säännöksiä, jotka koskevat sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointia. Komission olisi tehtävä yhteistyötä ENISAn kanssa tekoälyjärjestelmien kyberturvallisuuteen liittyvissä kysymyksissä ENISAn kyberturvallisuuspolitiikkaa koskevan tietämyksen ja asiantuntemuksen ja sille Euroopan parlamentin ja neuvoston asetuksen (EU) 2019/881 (37) nojalla osoitettujen tehtävien pohjalta.
(78)
La procédure d’évaluation de la conformité prévue par le présent règlement devrait s’appliquer en ce qui concerne les exigences essentielles de cybersécurité d’un produit comportant des éléments numériques relevant du règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et classé comme système d’IA à haut risque en vertu du présent règlement. Toutefois, l’application de cette règle ne devrait pas entraîner de réduction du niveau d’assurance nécessaire pour les produits critiques comportant des éléments numériques couverts par le règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques. Par conséquent, par dérogation à cette règle, les systèmes d’IA à haut risque qui relèvent du champ d’application du présent règlement et sont également considérés comme des produits critiques importants comportant des éléments numériques en vertu du règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques et auxquels s’applique la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe du présent règlement, sont soumis aux dispositions relatives à l’évaluation de la conformité du règlement du Parlement européen et du Conseil concernant des exigences horizontales en matière de cybersécurité pour les produits comportant des éléments numériques en ce qui concerne les exigences essentielles de cybersécurité énoncées dans ledit règlement. Dans ce cas, les dispositions respectives relatives à l’évaluation de la conformité fondée sur le contrôle interne énoncées à l’annexe du présent règlement devraient s’appliquer à tous les autres aspects couverts par le présent règlement. En s’appuyant sur les connaissances et l’expertise de l’ENISA en ce qui concerne la politique de cybersécurité et les tâches qui lui sont confiées en vertu du règlement (UE) 2019/881 du Parlement européen et du Conseil (37), la Commission devrait coopérer avec l’ENISA sur les questions liées à la cybersécurité des systèmes d’IA.
(79)
On asianmukaista, että tietty tarjoajaksi määritelty luonnollinen tai oikeushenkilö ottaa vastuun suuririskisen tekoälyjärjestelmän markkinoille saattamisesta tai käyttöönotosta riippumatta siitä, onko kyseinen luonnollinen henkilö tai oikeushenkilö järjestelmän suunnittelija tai kehittäjä.
(79)
Il convient qu’une personne physique ou morale spécifique, définie comme étant le fournisseur, assume la responsabilité de la mise sur le marché ou de la mise en service d’un système d’IA à haut risque, indépendamment du fait que cette personne physique ou morale soit ou non la personne qui a conçu ou développé le système.
(80)
Vammaisten henkilöiden oikeuksia koskevan Yhdistyneiden kansakuntien yleissopimuksen allekirjoittajina unioni ja jäsenvaltiot ovat oikeudellisesti velvoitettuja suojelemaan vammaisia henkilöitä syrjinnältä ja edistämään heidän yhdenvertaisuuttaan, varmistamaan, että vammaiset henkilöt voivat käyttää tieto- ja viestintäteknologiaa ja -järjestelmiä yhdenvertaisesti muiden kanssa, ja varmistamaan vammaisten henkilöiden yksityisyyden kunnioittamisen. Koska tekoälyjärjestelmät ovat yhä tärkeämpiä ja niitä käytetään yhä enemmän, yleismaailmallisten suunnitteluperiaatteiden soveltamisella kaikkiin uusiin teknologioihin ja palveluihin olisi varmistettava kaikille, joihin tekoälyteknologia mahdollisesti vaikuttaa tai jotka käyttävät sitä, myös vammaisille henkilöille, täysimääräinen ja tasapuolinen mahdollisuus käyttää niitä tavalla, jossa otetaan kaikilta osin huomioon heidän ihmisarvonsa ja monimuotoisuutensa. Sen vuoksi on olennaisen tärkeää, että tarjoajat varmistavat esteettömyysvaatimusten, kuten Euroopan parlamentin ja neuvoston direktiivin (EU) 2016/2102 (38) ja direktiivin (EU) 2019/882, täysimääräisen noudattamisen. Tarjoajien olisi varmistettava, että näitä vaatimuksia noudatetaan sisäänrakennetusti. Sen vuoksi tarvittavat toimenpiteet olisi sisällytettävä mahdollisuuksien mukaan suuririskisen tekoälyjärjestelmän suunnitteluun.
(80)
En leur qualité de signataires de la convention des Nations unies relative aux droits des personnes handicapées, l’Union et les États membres sont légalement tenus de protéger les personnes handicapées contre la discrimination et de promouvoir leur égalité, de veiller à ce que les personnes handicapées aient accès, au même titre que les autres, aux technologies et aux systèmes d’information et de communication, ainsi que de garantir le respect de leur vie privée. Compte tenu de l’importance et de l’utilisation croissantes des systèmes d’IA, l’application des principes de conception universelle à toutes les nouvelles technologies et à tous les nouveaux services devrait garantir un accès complet et égal à toute personne potentiellement concernée par les technologies d’IA ou les utilisant, y compris les personnes handicapées, d’une manière qui tienne pleinement compte de leur dignité et de leur diversité intrinsèques. Il est donc essentiel que les fournisseurs garantissent la pleine conformité avec les exigences en matière d’accessibilité, y compris la directive (UE) 2016/2102 du Parlement européen et du Conseil (38) et la directive (UE) 2019/882. Les fournisseurs devraient veiller au respect de ces exigences dès la conception. Les mesures nécessaires devraient donc être aussi intégrées que possible dans la conception des systèmes d’IA à haut risque.
(81)
Tarjoajan olisi perustettava luotettava laadunhallintajärjestelmä, varmistettava vaaditun vaatimustenmukaisuuden arviointimenettelyn suorittaminen, laadittava asiaa koskeva dokumentaatio ja perustettava vankka markkinoille saattamisen jälkeinen seurantajärjestelmä. Niillä suuririskisten tekoälyjärjestelmien tarjoajilla, joihin sovelletaan asiaankuuluvan alakohtaisen unionin oikeuden mukaisia laadunhallintajärjestelmiä koskevia velvoitteita, olisi oltava mahdollisuus sisällyttää tässä asetuksessa säädetyn laadunhallintajärjestelmän osatekijät osaksi kyseisen muun alakohtaisen unionin oikeuden mukaista nykyistä laadunhallintajärjestelmää. Tämän asetuksen ja voimassa olevan alakohtaisen unionin oikeuden välinen täydentävyys olisi otettava huomioon myös tulevissa standardointitoimissa tai komission hyväksymissä ohjeissa. Viranomaiset, jotka ottavat suuririskisiä tekoälyjärjestelmiä omaan käyttöönsä, voivat tarvittaessa hyväksyä ja panna täytäntöön laadunhallintajärjestelmää koskevat säännöt osana kansallisella tai alueellisella tasolla hyväksyttyä laadunhallintajärjestelmää ottaen huomioon alan erityispiirteet ja asianomaisen viranomaisen toimivallan ja organisaation.
(81)
Le fournisseur devrait mettre en place un système solide de gestion de la qualité, garantir le respect de la procédure d’évaluation de la conformité requise, rédiger la documentation pertinente et mettre en place un système solide de surveillance après commercialisation. Les fournisseurs de systèmes d’IA à haut risque qui sont soumis à des obligations en matière de systèmes de gestion de la qualité en vertu du droit sectoriel pertinent de l’Union devraient avoir la possibilité d’intégrer les éléments du système de gestion de la qualité prévus par le présent règlement dans le système de gestion de la qualité existant prévu dans cet autre droit sectoriel de l’Union. La complémentarité entre le présent règlement et le droit sectoriel existant de l’Union devrait également être prise en compte dans les futures activités ou orientations de normalisation de la Commission. Les autorités publiques qui mettent en service des systèmes d’IA à haut risque destinés à être utilisés exclusivement par elles peuvent adopter et mettre en œuvre les règles relatives au système de gestion de la qualité dans le cadre du système de gestion de la qualité adopté au niveau national ou régional, selon le cas, en tenant compte des spécificités du secteur, ainsi que des compétences et de l’organisation de l’autorité publique concernée.
(82)
Tämän asetuksen täytäntöönpanon mahdollistamiseksi ja tasapuolisten toimintaedellytysten luomiseksi toimijoille ja ottaen huomioon digitaalisten tuotteiden saataville asettamisen eri muodot on tärkeää varmistaa, että unioniin sijoittautunut henkilö voi kaikissa olosuhteissa antaa viranomaisille kaikki tarvittavat tiedot tekoälyjärjestelmän vaatimustenmukaisuudesta. Siksi kolmansiin maihin sijoittautuneiden tarjoajien olisi ennen tekoälyjärjestelmiensä asettamista saataville unionin markkinoilla nimettävä kirjallisella toimeksiannolla unioniin sijoittautunut valtuutettu edustaja. Tällä valtuutetulla edustajalla on olennaisen tärkeä rooli sen varmistamisessa, että näiden unioniin sijoittumattomien tarjoajien unionissa markkinoille saattamat tai käyttöön ottamat suuririskiset tekoälyjärjestelmät ovat vaatimusten mukaisia, ja toimimisessa näiden tarjoajien unioniin sijoittautuneena yhteyshenkilönä.
(82)
Pour permettre le contrôle de l’application du présent règlement et créer des conditions de concurrence équitables pour les opérateurs, et compte tenu des différentes formes de mise à disposition des produits numériques, il est important de veiller à ce que, en toutes circonstances, une personne établie dans l’Union puisse fournir aux autorités toutes les informations nécessaires sur la conformité d’un système d’IA. Par conséquent, avant de mettre leurs systèmes d’IA à disposition dans l’Union, les fournisseurs établis dans des pays tiers devraient nommer, par mandat écrit, un mandataire établi dans l’Union. Ce mandataire joue un rôle capital en ce sens qu’il veille à la conformité des systèmes d’IA à haut risque mis sur le marché ou mis en service dans l’Union par des fournisseurs qui ne sont pas établis dans l’Union et sert à ces derniers de point de contact établi dans l’Union.
(83)
Ottaen huomioon tekoälyjärjestelmien arvoketjun luonne ja monimutkaisuus sekä uuden lainsäädäntökehyksen noudattaminen on olennaisen tärkeää varmistaa oikeusvarmuus ja helpottaa tämän asetuksen noudattamista. Sen vuoksi on tarpeen selventää kyseisen arvoketjun kaikissa vaiheissa asiaankuuluvien toimijoiden, kuten maahantuojien ja jakelijoiden, roolia ja erityisvelvoitteita, jotka voivat edistää tekoälyjärjestelmien kehittämistä. Tietyissä tilanteissa nämä toimijat voisivat toimia useammassa kuin yhdessä roolissa samanaikaisesti, joten niiden olisi täytettävä kumulatiivisesti kaikki kyseisiin rooleihin liittyvät asiaankuuluvat velvoitteet. Esimerkiksi toimija voisi toimia jakelijana ja maahantuojana samanaikaisesti.
(83)
Compte tenu de la nature et de la complexité de la chaîne de valeur des systèmes d’IA, et conformément au nouveau cadre législatif, il est essentiel de garantir la sécurité juridique et de faciliter le respect du présent règlement. Par conséquent, il est nécessaire de préciser le rôle et les obligations spécifiques des opérateurs concernés tout au long de ladite chaîne de valeur, tels que les importateurs et les distributeurs qui peuvent contribuer au développement des systèmes d’IA. Dans certaines situations, ces opérateurs pourraient jouer plus d’un rôle en même temps et devraient donc remplir toutes les obligations pertinentes associées à ces rôles. Par exemple, un opérateur pourrait agir à la fois en tant que distributeur et importateur.
(84)
Oikeusvarmuuden takaamiseksi on tarpeen selventää, että tietyissä erityisolosuhteissa minkä tahansa jakelijan, maahantuojan, käyttöönottajan tai muun kolmannen osapuolen olisi katsottava olevan suuririskisen tekoälyjärjestelmän tarjoaja, jonka olisi näin ollen vastattava kaikista asiaankuuluvista velvoitteista. Näin katsotaan olevan, jos kyseinen osapuoli laittaa nimensä tai tavaramerkkinsä jo markkinoille saatettuun tai käyttöön otettuun suuririskiseen tekoälyjärjestelmään, sanotun kuitenkaan rajoittamatta sopimusjärjestelyjä, joissa määrätään velvoitteiden jakamisesta muulla tavoin. Näin olisi myös silloin, jos kyseinen osapuoli tekee merkittävän muutoksen jo markkinoille saatettuun tai käyttöön otettuun suuririskiseen tekoälyjärjestelmään siten, että se pysyy suuririskisenä tekoälyjärjestelmänä tämän asetuksen mukaisesti, tai jos se muuttaa sellaisen tekoälyjärjestelmän, myös yleiskäyttöisen tekoälyjärjestelmän, käyttötarkoitusta, jota ei ole luokiteltu suuririskiseksi ja joka on jo saatettu markkinoille tai otettu käyttöön siten, että tekoälyjärjestelmästä tulee suuririskinen tekoälyjärjestelmä tämän asetuksen mukaisesti. Kyseisiä säännöksiä olisi sovellettava rajoittamatta uuteen lainsäädäntökehykseen perustuvassa tietyssä unionin yhdenmukaistamislainsäädännössä vahvistettuja yksityiskohtaisempia säännöksiä, joiden kanssa tätä asetusta olisi sovellettava. Esimerkiksi asetuksen (EU) 2017/745 16 artiklan 2 kohtaa, jonka mukaan tiettyjä muutoksia ei olisi katsottava laitteen muutoksiksi, jotka voisivat vaikuttaa sen vaatimustenmukaisuuteen, olisi edelleen sovellettava suuririskisiin tekoälyjärjestelmiin, jotka ovat kyseisessä asetuksessa tarkoitettuja lääkinnällisiä laitteita.
(84)
Afin de garantir la sécurité juridique, il est nécessaire de préciser que, dans certaines conditions particulières, tout distributeur, importateur, déployeur ou autre tiers devrait être considéré comme un fournisseur d’un système d’IA à haut risque et, par conséquent, assumer toutes les obligations correspondantes. Tel serait le cas si cette partie met son nom ou sa marque sur un système d’IA à haut risque déjà mis sur le marché ou mis en service, sans préjudice des dispositions contractuelles stipulant que les obligations sont attribuées d’une autre manière. Tel serait aussi le cas si cette partie apporte une modification substantielle à un système d’IA à haut risque qui a déjà été mis sur le marché ou a déjà été mis en service et de telle sorte qu’il demeure un système d’IA à haut risque conformément au présent règlement, ou si elle modifie la destination d’un système d’IA, y compris un système d’IA à usage général, qui n’a pas été classé comme étant à haut risque et qui a déjà été mis sur le marché ou mis en service, de telle sorte que le système d’IA devient un système d’IA à haut risque conformément au présent règlement. Ces dispositions devraient s’appliquer sans préjudice de dispositions plus spécifiques établies dans certains actes législatifs de l’Union en matière d’harmonisation reposant sur le nouveau cadre législatif avec lesquels le présent règlement devrait s’appliquer. Par exemple, l’article 16, paragraphe 2, du règlement (UE) 2017/745, qui dispose que certaines modifications ne devraient pas être considérées comme des modifications d’un dispositif susceptibles d’influer sur sa conformité avec les exigences applicables, devrait continuer de s’appliquer aux systèmes d’IA à haut risque constituant des dispositifs médicaux au sens dudit règlement.
(85)
Yleiskäyttöisiä tekoälyjärjestelmiä voidaan käyttää suuririskisinä tekoälyjärjestelminä itsessään tai ne voivat olla muiden suuririskisten tekoälyjärjestelmien komponentteja. Näin ollen niiden erityisen luonteen vuoksi ja jotta voidaan varmistaa vastuiden oikeudenmukainen jakautuminen tekoälyn arvoketjussa, tällaisten järjestelmien tarjoajien, riippumatta siitä, voivatko muut tarjoajat käyttää näitä järjestelmiä suuririskisinä tekoälyjärjestelminä sellaisinaan tai suuririskisten tekoälyjärjestelmien komponentteina, ja jollei tässä asetuksessa toisin säädetä, olisi tehtävä tiivistä yhteistyötä asiaankuuluvien suuririskisten tekoälyjärjestelmien tarjoajien kanssa, jotta voidaan varmistaa, että niiden osalta noudatetaan tämän asetuksen mukaisia asiaankuuluvia velvoitteita, ja tämän asetuksen nojalla perustettujen toimivaltaisten viranomaisten kanssa.
(85)
Les systèmes d’IA à usage général peuvent être utilisés comme des systèmes d’IA à haut risque en tant que tels ou comme des composants d’autres systèmes d’IA à haut risque. Dès lors, en raison de leur nature particulière, et afin de garantir un partage équitable des responsabilités tout au long de la chaîne de valeur de l’IA, les fournisseurs de systèmes d’IA à usage général, indépendamment du fait que ces systèmes puissent être utilisés comme des systèmes d’IA à haut risque en tant que tels par d’autres fournisseurs ou comme des composants de systèmes d’IA à haut risque, et sauf dispositions contraires du présent règlement, devraient coopérer étroitement avec les fournisseurs des systèmes d’IA à haut risque concernés afin de leur permettre de se conformer aux obligations pertinentes prévues par le présent règlement et avec les autorités compétentes établies en vertu du présent règlement.
(86)
Jos tässä asetuksessa säädetyin edellytyksin tarjoajaa, joka alun perin saattoi tekoälyjärjestelmän markkinoille tai otti sen käyttöön, ei olisi enää pidettävä tätä asetusta sovellettaessa tarjoajana ja jos kyseinen tarjoaja ei ole nimenomaisesti sulkenut pois tekoälyjärjestelmän muuttamista suuririskiseksi tekoälyjärjestelmäksi, aiemman tarjoajan olisi kuitenkin tehtävä tiivistä yhteistyötä ja asetettava saataville tarvittavat tiedot sekä tarjottava kohtuudella odotettavissa oleva tekninen pääsy ja muuta apua, joita tarvitaan tässä asetuksessa säädettyjen velvoitteiden täyttämiseksi, erityisesti suuririskisten tekoälyjärjestelmien vaatimustenmukaisuuden arvioinnin noudattamisen osalta.
(86)
Lorsque, dans les conditions prévues par le présent règlement, le fournisseur qui a initialement mis sur le marché ou mis en service le système d’IA ne devrait plus être considéré comme le fournisseur aux fins du présent règlement, et lorsque ce fournisseur n’a pas expressément exclu le changement du système d’IA en un système d’IA à haut risque, ce fournisseur devrait néanmoins coopérer étroitement, mettre à disposition les informations nécessaires et fournir l’accès technique raisonnablement attendu et toute autre assistance qui sont requis pour le respect des obligations énoncées dans le présent règlement, notamment en ce qui concerne la conformité avec l’évaluation de la conformité des systèmes d’IA à haut risque.
(87)
Jos suuririskistä tekoälyjärjestelmää, joka on sellaisen tuotteen turvakomponentti, joka kuuluu uuteen lainsäädäntökehykseen perustuvaan unionin yhdenmukaistamislainsäädännön soveltamisalaan, ei saateta markkinoille tai oteta käyttöön tuotteesta erillään, kyseisessä lainsäädännössä määritellyn tuotteen valmistajan olisi lisäksi noudatettava tässä asetuksessa vahvistettuja tarjoajan velvollisuuksia ja erityisesti varmistettava, että lopputuotteeseen sulautettu tekoälyjärjestelmä on tämän asetuksen vaatimusten mukainen.
(87)
En outre, lorsqu’un système d’IA à haut risque qui est un composant de sécurité d’un produit relevant du champ d’application de la législation d’harmonisation de l’Union reposant sur le nouveau cadre législatif n’est pas mis sur le marché ou mis en service indépendamment du produit, le fabricant du produit défini par cette législation devrait se conformer aux obligations du fournisseur établies dans le présent règlement et devrait, en particulier, garantir que le système d’IA intégré dans le produit final est conforme aux exigences du présent règlement.
(88)
Tekoälyn arvoketjussa usein useat osapuolet toimittavat tekoälyjärjestelmiä, välineitä ja palveluja mutta myös komponentteja tai prosesseja, jotka tarjoaja sisällyttää tekoälyjärjestelmään ja joilla on useita tavoitteita, mukaan lukien mallien kouluttaminen ja uudelleenkouluttaminen, mallien testaus ja arviointi, integrointi ohjelmistoihin tai muut mallien kehittämisen näkökohdat. Kyseisillä osapuolilla on tärkeä rooli arvoketjussa suhteessa sellaisen suuririskisen tekoälyjärjestelmän tarjoajaan, johon niiden tekoälyjärjestelmät, välineet, palvelut, komponentit tai prosessit on integroitu, ja niiden olisi kirjallisella sopimuksella annettava tälle tarjoajalle yleisesti tunnustettuun viimeisimpään kehitykseen perustuvat tarvittavat tiedot, valmiudet, tekninen pääsy ja muu apu, jotta tarjoaja voi noudattaa täysimääräisesti tässä asetuksessa säädettyjä velvoitteita vaarantamatta omia teollis- ja tekijänoikeuksiaan tai liikesalaisuuksiaan.
(88)
Tout au long de la chaîne de valeur de l’IA, plusieurs parties fournissent souvent des systèmes, des outils et des services d’IA, mais aussi des composants ou des processus que le fournisseur intègre dans le système d’IA avec plusieurs objectifs, dont l’entraînement de modèles, le réentraînement de modèles, la mise à l’essai et l’évaluation de modèles, l’intégration dans des logiciels ou d’autres aspects du développement de modèles. Ces parties ont un rôle important à jouer dans la chaîne de valeur vis-à-vis du fournisseur du système d’IA à haut risque dans lequel leurs systèmes, outils, services, composants ou processus d’IA sont intégrés, et devraient fournir à ce fournisseur, en vertu d’un accord écrit, les informations, les capacités, l’accès technique et toute autre assistance nécessaires sur la base de l’état de la technique généralement reconnu, afin de lui permettre de se conformer pleinement aux obligations énoncées dans le présent règlement, sans compromettre leurs propres droits de propriété intellectuelle ou secrets d’affaires.
(89)
Kolmansia osapuolia, jotka asettavat saataville julkisia välineitä, palveluja, prosesseja tai muita tekoälykomponentteja kuin yleiskäyttöinen tekoälymalli, ei saisi velvoittaa, erityisesti niitä käyttäneeseen tai integroineeseen tarjoajaan nähden, noudattamaan vastuita tekoälyn arvoketjussa koskevia vaatimuksia, kun kyseiset välineet, palvelut, prosessit tai tekoälykomponentit asetetaan saataville vapaalla ja avoimen lähdekoodin lisenssillä. Vapaiden ja avoimen lähdekoodin välineiden, palveluiden, prosessien ja muiden tekoälykomponenttien kuin yleiskäyttöisten tekoälymallien kehittäjiä olisi kuitenkin kannustettava noudattamaan dokumentoinnin laajalti hyväksyttyjä käytänteitä, kuten mallikortteja ja tiedotteita, jotta voidaan nopeuttaa tiedon jakamista tekoälyn arvoketjussa ja edistää luotettavia tekoälyjärjestelmiä unionissa.
(89)
Les tiers qui rendent accessibles au public des outils, services, processus ou composants d’IA autres que des modèles d’IA à usage général ne devraient pas être tenus de se conformer aux exigences visant les responsabilités tout au long de la chaîne de valeur de l’IA, en particulier à l’égard du fournisseur qui les a utilisés ou intégrés, lorsque ces outils, services, processus ou composants d’IA sont rendus accessibles sous licence libre et ouverte. Les développeurs d’outils, de services, de processus ou de composants d’IA libres et ouverts autres que les modèles d’IA à usage général devraient être encouragés à mettre en œuvre des pratiques documentaires largement adoptées, telles que les cartes modèles et les fiches de données, afin d’accélérer le partage d’informations tout au long de la chaîne de valeur de l’IA, ce qui permettrait de promouvoir des systèmes d’IA fiables dans l’Union.
(90)
Komissio voisi laatia ja suositella vapaaehtoisia mallisopimusehtoja suuririskisten tekoälyjärjestelmien tarjoajien ja sellaisten kolmansien osapuolten välisiä sopimuksia varten, jotka toimittavat välineitä, palveluja, komponentteja tai prosesseja, joita käytetään suuririskisissä tekoälyjärjestelmissä tai integroidaan niihin, yhteistyön helpottamiseksi kaikissa arvoketjun vaiheissa. Laatiessaan ei-sitovia mallisopimusehtoja komission olisi myös otettava huomioon tietyillä aloilla tai tietyissä liiketoimintamalleissa mahdollisesti sovellettavat sopimusperusteiset vaatimukset.
(90)
La Commission pourrait élaborer et recommander des clauses contractuelles types volontaires à établir entre les fournisseurs de systèmes d’IA à haut risque et les tiers qui fournissent des outils, des services, des composants ou des processus qui sont utilisés ou intégrés dans les systèmes d’IA à haut risque, afin de faciliter la coopération tout au long de la chaîne de valeur. Lorsqu’elle élabore des clauses contractuelles types volontaires, la Commission devrait aussi tenir compte des éventuelles exigences contractuelles applicables dans des secteurs ou des activités spécifiques.
(91)
Kun otetaan huomioon tekoälyjärjestelmien luonne ja niiden käyttöön mahdollisesti liittyvät turvallisuuteen ja perusoikeuksiin kohdistuvat riskit, mukaan lukien tarve varmistaa tekoälyjärjestelmän suorituskyvyn asianmukainen seuranta todellisissa olosuhteissa, on asianmukaista asettaa käyttöönottajille erityisiä vastuita. Käyttöönottajien olisi erityisesti toteutettava teknisiä ja organisatorisia toimenpiteitä, joilla varmistetaan, että ne käyttävät suuririskisiä tekoälyjärjestelmiä käyttöohjeiden mukaisesti, ja tarvittaessa olisi säädettävä tietyistä muista tekoälyjärjestelmien toiminnan seurantaa ja tietojen säilyttämistä koskevista velvoitteista. Lisäksi käyttöönottajien olisi varmistettava, että henkilöillä, joiden tehtäväksi on annettu tässä asetuksessa vahvistettujen käyttöohjeiden ja ihmisen suorittaman valvonnan täytäntöönpano, on tarvittava pätevyys, erityisesti riittävä tekoälylukutaito, koulutus ja valtuudet näiden tehtävien hoitamiseksi asianmukaisesti. Kyseiset velvoitteet eivät saisi vaikuttaa muihin käyttöönottajan velvoitteisiin, jotka liittyvät suuririskisiin tekoälyjärjestelmiin unionin oikeuden tai kansallisen lainsäädännön mukaisesti.
(91)
Compte tenu de la nature des systèmes d’IA et des risques pour la sécurité et les droits fondamentaux potentiellement associés à leur utilisation, notamment en ce qui concerne la nécessité d’assurer un suivi adéquat de la performance d’un système d’IA dans un contexte réel, il convient de définir des responsabilités spécifiques pour les déployeurs. Les déployeurs devraient en particulier prendre des mesures techniques et organisationnelles appropriées pour pouvoir utiliser les systèmes d’IA à haut risque conformément à la notice d’utilisation, et certaines autres obligations devraient être prévues en ce qui concerne la surveillance du fonctionnement des systèmes d’IA et la tenue de registres, selon le cas. En outre, les déployeurs devraient veiller à ce que les personnes chargées de mettre en œuvre la notice d’utilisation et au contrôle humain des systèmes énoncées dans le présent règlement possèdent les compétences nécessaires, en particulier un niveau adéquat de maîtrise, de formation et d’autorité en matière d’IA pour s’acquitter correctement de ces tâches. Ces obligations devraient être sans préjudice des autres obligations des déployeurs en ce qui concerne les systèmes d’IA à haut risque en vertu du droit de l’Union ou du droit national.
(92)
Tämä asetus ei vaikuta unionin oikeuden tai kansallisen lainsäädännön, mukaan lukien Euroopan parlamentin ja neuvoston direktiivi 2002/14/EY (39), ja käytännön mukaisiin työnantajien velvollisuuksiin tiedottaa työntekijöille tai heidän edustajilleen ja kuulla heitä tekoälyjärjestelmien käyttöönottoa tai käyttöä koskevista päätöksistä. On silti edelleen tarpeellista varmistaa, että työntekijöille ja heidän edustajilleen tiedotetaan suuririskisten tekoälyjärjestelmien suunnitellusta käyttöönotosta työpaikalla, jos kyseisten tiedotus- ja kuulemisvelvoitteiden edellytykset muissa oikeudellisissa välineissä eivät täyty. Lisäksi tällainen tiedonsaantioikeus on tarpeellinen tämän asetuksen taustalla olevalle perusoikeuksien suojelua koskevalle tavoitteelle ja sen sivutavoite. Sen vuoksi tässä asetuksessa olisi säädettävä kyseistä asiaa koskevasta tietovaatimuksesta, joka ei vaikuta työntekijöiden olemassa oleviin oikeuksiin.
(92)
Le présent règlement est sans préjudice de l’obligation qu’ont les employeurs d’informer ou d’informer et de consulter les travailleurs ou leurs représentants en vertu du droit et des pratiques nationales ou de l’Union, y compris la directive 2002/14/CE du Parlement européen et du Conseil (39), sur les décisions de mise en service ou d’utilisation de systèmes d’IA. Il reste nécessaire de veiller à ce que les travailleurs et leurs représentants soient informés du déploiement prévu de systèmes d’IA à haut risque sur le lieu de travail lorsque les conditions de cette obligation d’information ou d’information et de consultation figurant dans d’autres instruments juridiques ne sont pas remplies. En outre, ce droit à l’information est accessoire et nécessaire à l’objectif de protection des droits fondamentaux qui sous-tend le présent règlement. Par conséquent, il convient de prévoir une obligation d’information à cet effet dans le présent règlement, sans porter atteinte aux droits existants des travailleurs.
(93)
Vaikka tekoälyjärjestelmiin liittyvät riskit voivat olla seurausta tavasta, jolla tällaiset järjestelmät suunnitellaan, riskit voivat myös johtua siitä, miten tällaisia tekoälyjärjestelmiä käytetään. Suuririskisen tekoälyjärjestelmän käyttöönottajilla on siksi ratkaiseva rooli sen varmistamisessa, että perusoikeuksia suojellaan ja että ne täydentävät tarjoajan velvoitteita, kun tekoälyjärjestelmää kehitetään. Käyttöönottajilla on parhaat mahdollisuudet ymmärtää, miten suuririskistä tekoälyjärjestelmää käytetään konkreettisesti, ja näin ollen he voivat tunnistaa mahdollisia merkittäviä riskejä, joita ei ollut ennakoitu kehitysvaiheessa, koska he tuntevat tarkemmin käyttöyhteyden, henkilöt tai henkilöryhmät, mukaan lukien haavoittuvat asemassa olevat ryhmät, joihin vaikutukset todennäköisesti kohdistuvat. Tämän asetuksen liitteessä lueteltujen suuririskisten tekoälyjärjestelmien käyttöönottajilla on myös ratkaiseva rooli tietojen antamisessa luonnollisille henkilöille ja heidän olisi tapauksen mukaan ilmoitettava luonnollisille henkilöille heihin liittyvästä suuririskisen tekoälyjärjestelmän käytöstä, kun he tekevät tai auttavat tekemään luonnollisia henkilöitä koskevia päätöksiä. Näihin tietoihin olisi sisällyttävä tekoälyjärjestelmän käyttötarkoitus ja sen tekemien päätösten tyyppi. Käyttöönottajan olisi myös ilmoitettava luonnollisille henkilöille heidän oikeudestaan saada selitys tämän artiklan mukaisesti. Lainvalvontatarkoituksiin käytettävien suuririskisten tekoälyjärjestelmien osalta kyseinen velvoite olisi pantava täytäntöön direktiivin (EU) 2016/680 13 artiklan mukaisesti.
(93)
Si des risques liés aux systèmes d’IA peuvent découler de la manière dont ces systèmes sont conçus, ils peuvent également provenir de la manière dont ces systèmes d’IA sont utilisés. Les déployeurs de systèmes d’IA à haut risque jouent donc un rôle essentiel pour ce qui est de garantir la protection des droits fondamentaux, en complétant les obligations du fournisseur lors du développement du système d’IA. Les déployeurs sont les mieux placés pour comprendre comment le système d’IA à haut risque sera utilisé concrètement et peuvent donc identifier les risques importants potentiels qui n’étaient pas prévus au cours de la phase de développement, en raison d’une connaissance plus précise du contexte d’utilisation et des personnes ou groupes de personnes susceptibles d’être concernés, y compris les groupes vulnérables. Les déployeurs de systèmes d’IA à haut risque énumérés dans une annexe du présent règlement contribuent également de façon essentielle à informer les personnes physiques et devraient, lorsqu’ils prennent des décisions ou facilitent la prise de décisions concernant des personnes physiques, selon le cas, informer lesdites personnes physiques qu’elles sont soumises à l’utilisation du système d’IA à haut risque. Cette information devrait comprendre la destination du système et le type de décisions prises. Les déployeurs devraient aussi informer les personnes physiques de leur droit à une explication prévu par le présent règlement. En ce qui concerne les systèmes d’IA à haut risque utilisés à des fins répressives, cette obligation devrait être mise en œuvre conformément à l’article 13 de la directive (UE) 2016/680.
(94)
Kaikessa lainvalvontatarpeita varten tehtävän tekoälyjärjestelmien biometrista tunnistamista koskevan käytön yhteydessä biometristen tietojen käsittelyssä on noudatettava direktiivin (EU) 2016/680 10 artiklaa, joka sallii tällaisen käsittelyn vain, jos se on ehdottoman välttämätöntä, edellyttäen, että rekisteröidyn oikeuksiin ja vapauksiin sovelletaan asianmukaisia suojatoimia ja käsittely sallitaan unionin oikeudessa tai jäsenvaltion lainsäädännössä. Tällaisen käytön yhteydessä, silloin kun siihen on lupa, on myös noudatettava direktiivin (EU) 2016/680 4 artiklan 1 kohdassa säädettyjä periaatteita, kuten lainmukaisuutta, oikeudenmukaisuutta ja avoimuutta, käyttötarkoituksen rajoittamista, tarkkuutta ja säilytystä koskevia rajoituksia.
(94)
Tout traitement de données biométriques intervenant dans l’utilisation de systèmes d’IA à des fins d’identification biométrique de nature répressive doit être conforme à l’article 10 de la directive (UE) 2016/680, qui n’autorise un tel traitement que lorsque cela est strictement nécessaire, sous réserve de garanties appropriées pour les droits et libertés de la personne concernée, et lorsqu’il est autorisé par le droit de l’Union ou le droit d’un État membre. Une telle utilisation, lorsqu’elle est autorisée, doit également respecter les principes énoncés à l’article 4, paragraphe 1, de la directive (UE) 2016/680, notamment la licéité, la loyauté et la transparence, la limitation des finalités, l’exactitude et la limitation de la conservation.
(95)
Kun otetaan huomioon jälkikäteisten biometristen etätunnistusjärjestelmien yksityisyyttä loukkaava luonne, jälkikäteisten etätunnistusjärjestelmien käyttöön olisi sovellettava suojatoimia, sanotun kuitenkaan rajoittamatta sovellettavan unionin oikeuden, erityisesti asetuksen (EU) 2016/679 ja direktiivin (EU) 2016/680, soveltamista. Biometrisiä etätunnistusjärjestelmiä olisi aina käytettävä tavalla, joka on oikeasuhteinen, oikeutettu ja ehdottoman välttämätön ja siten kohdennettu tunnistettaviin henkilöihin, sijaintiin ja ajalliseen laajuuteen, ja perustuttava laillisesti hankitun videokuvan suljettuun datajoukkoon. Jälkikäteisiä biometrisiä etätunnistusjärjestelmiä ei saisi missään tapauksessa käyttää lainvalvonnan puitteissa siten, että se voi johtaa mielivaltaiseen valvontaan. Jälkikäteisen biometrisen etätunnistuksen edellytysten ei pitäisi missään tapauksessa olla peruste kiellon edellytysten ja reaaliaikaista biometristä etätunnistusta koskevien tiukkojen poikkeusten kiertämiselle.
(95)
Sans préjudice du droit de l’Union applicable, en particulier le règlement (UE) 2016/679 et la directive (UE) 2016/680, et compte tenu de la nature intrusive des systèmes d’identification biométrique à distance a posteriori, l’utilisation de systèmes d’identification biométrique à distance a posteriori devrait être soumise à des garanties. Les systèmes d’identification biométrique à distance a posteriori devraient toujours être utilisés d’une manière proportionnée, légitime et strictement nécessaire, et donc ciblée, en ce qui concerne les personnes à identifier, le lieu et la portée temporelle et fondée sur un jeu de données fermé d’images vidéo légalement acquises. En tout état de cause, les systèmes d’identification biométrique à distance a posteriori ne devraient pas être utilisés dans le cadre d’activités répressives pour mener à une surveillance aveugle. Les conditions d’identification biométrique à distance a posteriori ne devraient en aucun cas constituer une base permettant de contourner les conditions applicables en ce qui concerne l’interdiction et les exceptions strictes pour l’identification biométrique à distance en temps réel.
(96)
Jotta voidaan varmistaa tehokkaasti perusoikeuksien suojelu, suuririskisten tekoälyjärjestelmien käyttöönottajien, jotka ovat julkisoikeudellisia laitoksia tai julkisia palveluja tarjoavia yksityisiä tahoja ja tiettyjä tämän asetuksen liitteessä lueteltuja suuririskisiä tekoälyjärjestelmiä käyttöön ottavia toimijoita, kuten pankkiyhteisöt tai vakuutusyhtiöt, olisi tehtävä perusoikeuksia koskeva vaikutustenarviointi ennen järjestelmän käyttöönottoa. Myös yksityiset tahot voivat tarjota henkilöille tärkeitä palveluja, jotka ovat luonteeltaan julkisia. Tällaisia julkisia palveluja tarjoavat yksityiset tahot liittyvät yleisen edun mukaisiin tehtäviin, kuten koulutukseen, terveydenhuoltoon, sosiaalipalveluihin, asumiseen ja oikeudenkäyttöön. Perusoikeuksia koskevan vaikutustenarvioinnin tavoitteena on, että käyttöönottaja tunnistaa niiden yksilöiden tai henkilöryhmien oikeuksiin kohdistuvat erityiset riskit, joihin vaikutukset todennäköisesti kohdistuvat, ja määrittää toimenpiteet, jotka on toteutettava tällaisten riskien toteutuessa. Vaikutustenarviointi olisi tehtävä ennen suuririskisen tekoälyjärjestelmän käyttöönottoa, ja sitä olisi päivitettävä, kun käyttöönottaja katsoo, että jokin asiaankuuluvista tekijöistä on muuttunut. Vaikutustenarvioinnissa olisi yksilöitävä käyttöönottajan asiaankuuluvat prosessit, joissa suuririskistä tekoälyjärjestelmää käytetään sen käyttötarkoituksen mukaisesti, ja siihen olisi sisällyttävä kuvaus ajanjaksosta, jolloin järjestelmää on tarkoitus käyttää, ja käytön tiheydestä, sekä tietyistä luonnollisten henkilöiden ja ryhmien joukoista, joihin todennäköisesti kohdistuu vaikutuksia tietyssä käyttöyhteydessä.Arvioinnissa olisi myös tunnistettava sellaiset erityiset riskit, joita aiheutuu haitasta, joka todennäköisesti vaikuttaa kyseisten henkilöiden tai ryhmien perusoikeuksiin. Tätä arviointia tehdessään käyttöönottajan olisi otettava huomioon vaikutusten asianmukaisen arvioinnin kannalta merkitykselliset tiedot, kuten esimerkiksi suuririskisen tekoälyjärjestelmän tarjoajan käyttöohjeissa antamat tiedot. Kun otetaan huomioon tunnistetut riskit, käyttöönottajien olisi määritettävä toimenpiteitä, joita on toteutettava kyseisten riskien toteutuessa ja joihin voi kuulua esimerkiksi kyseisen käyttöyhteyden hallintojärjestelyt, kuten ihmisen suorittamaa valvontaa koskevat järjestelyt käyttöohjeiden mukaisesti tai valitusten käsittely ja muutoksenhakumenettelyt, koska ne voisivat konkreettisissa käyttötapauksissa olla keskeisessä asemassa perusoikeuksiin kohdistuvien riskien vähentämisessä. Kun tällainen vaikutustenarviointi tehty, käyttöönottajan olisi ilmoitettava asiasta asianomaiselle markkinavalvontaviranomaiselle. Jotta voidaan kerätä tarvittavat asiaankuuluvat tiedot vaikutustenarvioinnin toteuttamiseksi, suuririskisten tekoälyjärjestelmien käyttöönottajat voisivat ottaa asiaankuuluvat sidosryhmät, mukaan lukien sellaisten henkilöryhmien edustajat, joihin tekoälyjärjestelmä todennäköisesti vaikuttaa, riippumattomat asiantuntijat ja kansalaisjärjestöt, mukaan tällaisen vaikutustenarvioinnin toteuttamiseen sekä riskien toteutuessa toteutettavien toimenpiteiden suunnitteluun, etenkin jos tekoälyjärjestelmiä käytetään julkisella sektorilla. Euroopan tekoälytoimiston, jäljempänä ”tekoälytoimisto”, olisi laadittava malli kyselylomakkeelle vaatimusten noudattamisen helpottamiseksi ja käyttöönottajille aiheutuvan hallinnollisen rasitteen keventämiseksi.
(96)
Afin de garantir efficacement la protection des droits fondamentaux, les déployeurs de systèmes d’IA à haut risque qui sont des organismes de droit public ou des entités privées fournissant des services publics et des déployeurs de certains systèmes d’IA à haut risque énumérés dans une annexe du présent règlement, tels que des entités bancaires ou d’assurance, devraient procéder à une analyse d’impact de ces systèmes concernant les droits fondamentaux avant de les mettre en service. Les services à caractère public importants pour les personnes peuvent également être fournis par des entités privées. Les entités privées fournissant de tels services publics sont liées à des missions d’intérêt public dans des domaines tels que l’éducation, les soins de santé, les services sociaux, le logement et l’administration de la justice. L’analyse d’impact concernant les droits fondamentaux vise à ce que le déployeur identifie les risques spécifiques pour les droits des personnes ou groupes de personnes susceptibles d’être concernés et à ce qu’il détermine les mesures à prendre en cas de matérialisation de ces risques. L’analyse d’impact devrait être réalisée avant le premier déploiement du système d’IA à haut risque et être mise à jour lorsque le déployeur estime que l’un des facteurs pertinents a changé. L’analyse d’impact devrait identifier les processus pertinents du déployeur dans lesquels le système d’IA à haut risque sera utilisé conformément à sa destination, et devrait indiquer la durée pendant laquelle le système est destiné à être utilisé et selon quelle fréquence ainsi que les catégories spécifiques de personnes physiques et de groupes susceptibles d’être concernés dans le contexte spécifique d’utilisation. L’analyse devrait aussi déterminer les risques spécifiques de préjudice susceptibles d’avoir une incidence sur les droits fondamentaux de ces personnes ou groupes. Afin que cette analyse soit réalisée correctement, le déployeur devrait tenir compte des informations pertinentes, y compris, mais sans s’y limiter, les informations communiquées par le fournisseur du système d’IA à haut risque dans la notice d’utilisation. À la lumière des risques recensés, les déployeurs devraient déterminer les mesures à prendre en cas de matérialisation de ces risques, y compris, par exemple, les dispositions en matière de gouvernance dans ce contexte spécifique d’utilisation, telles que les dispositions pour le contrôle humain conformément à la notice d’utilisation ou les procédures de traitement des plaintes et de recours, en ce qu’elles pourraient contribuer à atténuer les risques pour les droits fondamentaux dans des cas d’utilisation concrets. Après avoir réalisé cette analyse d’impact, le déployeur devrait en informer l’autorité de surveillance du marché concernée. Le cas échéant, pour recueillir les informations pertinentes nécessaires à la réalisation de l’analyse d’impact, les déployeurs de systèmes d’IA à haut risque, en particulier lorsque des systèmes d’IA sont utilisés dans le secteur public, pourraient associer les parties prenantes concernées, y compris les représentants de groupes de personnes susceptibles d’être concernés par le système d’IA, les experts indépendants et les organisations de la société civile, à la réalisation de cette analyse d’impact et à la conception des mesures à prendre en cas de matérialisation des risques. Le Bureau européen de l’intelligence artificielle (ci-après dénommé «Bureau de l’IA») devrait élaborer un modèle de questionnaire afin de faciliter la mise en conformité et de réduire la charge administrative pesant sur les déployeurs.
(97)
Yleiskäyttöisten tekoälymallien käsite olisi määriteltävä selkeästi ja erotettava tekoälyjärjestelmien käsitteestä oikeusvarmuuden takaamiseksi. Määritelmän olisi perustuttava yleiskäyttöisen tekoälymallin keskeisiin toiminnallisiin ominaisuuksiin, erityisesti yleisyyteen ja valmiuteen suorittaa pätevästi monenlaisia erillisiä tehtäviä. Näitä malleja koulutetaan yleensä suurilla määrillä dataa ja useilla eri menetelmillä, kuten ohjatulla, ohjaamattomalla tai vahvistavalla oppimisella. Yleiskäyttöisiä tekoälymalleja voidaan saattaa markkinoille eri tavoin, esimerkiksi kirjastojen ja sovellusrajapintojen (API) kautta sekä suoralatauksena tai fyysisenä kopiona. Näitä malleja voidaan edelleen muuttaa tai hienosäätää uusiksi malleiksi. Vaikka tekoälymallit ovat tekoälyjärjestelmien olennaisia osia, ne eivät yksinään muodosta tekoälyjärjestelmiä. Tekoälyjärjestelmät edellyttävät lisäkomponenttien, kuten käyttöliittymän, lisäämistä tekoälymalleihin. Tekoälymallit tyypillisesti integroidaan tekoälyjärjestelmiin ja ovat osa niitä. Tässä asetuksessa vahvistetaan yleiskäyttöisiä tekoälymalleja ja systeemisiä riskejä aiheuttavia yleiskäyttöisiä tekoälymalleja koskevat erityiset säännöt, joita olisi sovellettava myös silloin, kun nämä mallit on integroitu tekoälyjärjestelmään tai ne ovat osa sitä. Olisi katsottava, että yleiskäyttöisten tekoälymallien tarjoajien velvoitteita olisi sovellettava siitä alkaen, kun yleiskäyttöiset tekoälymallit on saatettu markkinoille.Kun yleiskäyttöisen tekoälymallin tarjoaja sisällyttää oman mallin omaan tekoälyjärjestelmäänsä, joka on asetettu saataville markkinoilla tai otettu käyttöön, kyseistä mallia olisi pidettävä markkinoille saatettuna, ja sen vuoksi tämän asetuksen malleja koskevia velvoitteita olisi edelleen sovellettava tekoälyjärjestelmiä koskevien velvoitteiden lisäksi. Malleja koskevia velvoitteita ei kuitenkaan pitäisi missään tapauksessa soveltaa, kun omaa mallia käytetään puhtaasti sisäisissä prosesseissa, jotka eivät ole välttämättömiä tuotteen tai palvelun tarjoamiseksi kolmansille osapuolille eivätkä ne vaikuta luonnollisten henkilöiden oikeuksiin. Ottaen huomioon yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, mahdolliset merkittävät kielteiset vaikutukset, niihin olisi aina sovellettava tämän asetuksen mukaisia asiaankuuluvia velvoitteita. Määritelmän ei pitäisi kattaa tekoälymalleja, joita on käytetty yksinomaan tutkimukseen, kehitykseen ja prototyyppeihin liittyvään toimintaan ennen niiden markkinoille saattamista. Tämä ei vaikuta velvoitteeseen noudattaa tätä asetusta, kun malli saatetaan markkinoille tällaisten toimien jälkeen.
(97)
La notion de modèles d’IA à usage général devrait être clairement définie et distincte de la notion de systèmes d’IA afin de garantir la sécurité juridique. La définition devrait se fonder sur les principales caractéristiques fonctionnelles d’un modèle d’IA à usage général, en particulier la généralité et la capacité d’exécuter de manière compétente un large éventail de tâches distinctes. Ces modèles sont généralement entraînés avec de grandes quantités de données, au moyen de diverses méthodes, telles que l’apprentissage auto-supervisé, non supervisé ou par renforcement. Les modèles d’IA à usage général peuvent être mis sur le marché de différentes manières, notamment au moyen de bibliothèques, d’interfaces de programmation d’applications (API), de téléchargements directs ou de copies physiques. Ces modèles peuvent être modifiés ou affinés et ainsi se transformer en nouveaux modèles. Bien que les modèles d’IA soient des composants essentiels des systèmes d’IA, ils ne constituent pas en soi des systèmes d’IA. Les modèles d’IA nécessitent l’ajout d’autres composants, tels qu’une interface utilisateur, pour devenir des systèmes d’IA. Les modèles d’IA sont généralement intégrés dans les systèmes d’IA et en font partie. Le présent règlement prévoit des règles spécifiques pour les modèles d’IA à usage général et pour les modèles d’IA à usage général qui présentent des risques systémiques, lesquelles devraient également s’appliquer lorsque ces modèles sont intégrés dans un système d’IA ou en font partie. Il convient de considérer que les obligations incombant aux fournisseurs de modèles d’IA à usage général devraient s’appliquer une fois que ces modèles sont mis sur le marché. Lorsque le fournisseur d’un modèle d’IA à usage général intègre un propre modèle dans son propre système d’IA qui est mis à disposition sur le marché ou mis en service, ce modèle devrait être considéré comme étant mis sur le marché et, par conséquent, les obligations prévues par le présent règlement pour les modèles devraient continuer de s’appliquer en plus de celles applicables aux systèmes d’IA. Les obligations prévues pour les modèles ne devraient en aucun cas s’appliquer lorsqu’un propre modèle est utilisé pour des processus purement internes qui ne sont pas essentiels à la fourniture d’un produit ou d’un service à des tiers et que les droits des personnes physiques ne sont pas affectés. Compte tenu de leurs effets potentiellement très négatifs, les modèles d’IA à usage général présentant un risque systémique devraient toujours être soumis aux obligations pertinentes prévues par le présent règlement. La définition ne devrait pas couvrir les modèles d’IA utilisés avant leur mise sur le marché aux seules fins d’activités de recherche, de développement et de prototypage. Cela est sans préjudice de l’obligation de se conformer au présent règlement lorsque, à la suite de telles activités, un modèle est mis sur le marché.
(98)
Vaikka mallin yleisyys voitaisiin muiden kriteerien ohella määrittää myös useiden parametrien perusteella, olisi katsottava, että mallit, joissa parametreja on vähintään miljardi, jotka on koulutettu suurella määrällä dataa ja joissa käytetään laajamittaista itsevalvontaa, ovat hyvin yleisluonteisia ja suorittavat pätevästi monenlaisia erillisiä tehtäviä.
(98)
Alors que la généralité d’un modèle pourrait, entre autres, également être déterminée par un nombre de paramètres, les modèles comptant au moins un milliard de paramètres et entraînés à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle devraient être considérés comme présentant une généralité significative et exécutant de manière compétente un large éventail de tâches distinctes.
(99)
Suuret generatiiviset tekoälymallit ovat tyypillinen esimerkki yleiskäyttöisestä tekoälymallista, koska ne mahdollistavat joustavan sisällön tuottamisen, esimerkiksi tekstin, äänen, kuvien tai videoiden muodossa, jossa voidaan helposti ottaa huomioon monenlaiset erilliset tehtävät.
(99)
Les grands modèles d’IA génératifs sont un exemple typique d’un modèle d’IA à usage général, étant donné qu’ils permettent la production flexible de contenus, tels que du texte, de l’audio, des images ou de la vidéo, qui peuvent aisément s’adapter à un large éventail de tâches distinctes.
(100)
Kun yleiskäyttöinen tekoälymalli on integroitu tekoälyjärjestelmään tai se on osa sitä, järjestelmää olisi pidettävä yleiskäyttöisenä tekoälyjärjestelmänä, koska tällaisen integroinnin vuoksi tällaisella järjestelmällä on valmiudet palvella erilaisia tarkoituksia. Yleiskäyttöistä tekoälyjärjestelmää voidaan käyttää suoraan tai se voidaan integroida muihin tekoälyjärjestelmiin;
(100)
Lorsqu’un modèle d’IA à usage général est intégré dans un système d’IA ou en fait partie, ce système devrait être considéré comme un système d’IA à usage général lorsque, en raison de cette intégration, ce système a la capacité de répondre à divers usages. Un système d’IA à usage général peut être utilisé directement ou être intégré dans d’autres systèmes d’IA.
(101)
Yleiskäyttöisten tekoälymallien tarjoajilla on erityinen rooli ja vastuu tekoälyn arvoketjussa, koska niiden tarjoamat mallit voivat muodostaa perustan useille ketjun loppupään järjestelmille, joita tarjoavat usein ketjun loppupään tarjoajat, jotka edellyttävät mallien ja niiden valmiuksien hyvää ymmärtämistä, jotta tällaiset mallit voidaan integroida niiden tuotteisiin ja jotta ne voivat täyttää tämän tai muiden asetusten mukaiset velvoitteensa. Sen vuoksi olisi vahvistettava oikeasuhteiset avoimuuden lisäämistä koskevat toimenpiteet, mukaan lukien asiakirjojen laatiminen ja ajan tasalla pitäminen sekä tietojen antaminen yleiskäyttöisestä tekoälymallista ketjun loppupään tarjoajien käyttöön. Yleiskäyttöisen tekoälymallin tarjoajan olisi laadittava tekniset asiakirjat ja pidettävä ne ajan tasalla, jotta ne voidaan pyynnöstä asettaa tekoälytoimiston ja kansallisten toimivaltaisten viranomaisten saataville. Tällaisiin asiakirjoihin sisällytettävät vähimmäistiedot olisi vahvistettava tämän asetuksen erityisissä liitteissä. Komissiolle olisi siirrettävä valta muuttaa kyseisiä liitteitä delegoiduilla säädöksillä teknologian kehityksen perusteella.
(101)
Les fournisseurs de modèles d’IA à usage général ont un rôle et une responsabilité particuliers tout au long de la chaîne de valeur de l’IA, étant donné que les modèles qu’ils fournissent peuvent constituer la base d’une série de systèmes en aval, souvent fournis par des fournisseurs en aval, qui nécessitent une bonne compréhension des modèles et de leurs capacités, à la fois pour permettre l’intégration de ces modèles dans leurs produits et pour remplir les obligations qui leur incombent en vertu du présent règlement ou d’autres règlements. Par conséquent, des mesures de transparence proportionnées devraient être prévues, y compris l’élaboration et la tenue à jour de la documentation, et la fourniture d’informations sur le modèle d’IA à usage général en vue de son utilisation par les fournisseurs en aval. La documentation technique devrait être élaborée et tenue à jour par le fournisseur de modèles d’IA à usage général afin qu’elle puisse être mise, sur demande, à la disposition du Bureau de l’IA et des autorités nationales compétentes. L’ensemble minimal d’éléments à inclure dans cette documentation devrait figurer dans des annexes spécifiques du présent règlement. La Commission devrait être habilitée à modifier ces annexes par voie d’actes délégués à la lumière des évolutions technologiques.
(102)
Ohjelmistot ja data, mukaan lukien mallit, jotka on julkaistu vapaalla ja avoimen lähdekoodin lisenssillä, joka mahdollistaa niiden avoimen jakamisen ja jolla käyttäjät voivat vapaasti saada, käyttää, muokata ja jakaa niitä tai niiden muutettuja versioita, voivat edistää tutkimusta ja innovointia markkinoilla ja voivat tarjota merkittäviä kasvumahdollisuuksia unionin taloudelle. Vapailla ja avoimen lähdekoodin lisensseillä julkaistujen yleiskäyttöisten tekoälymallien olisi katsottava varmistavan korkean avoimuuden tason, jos niiden parametrit, mukaan lukien painokertoimet, malliarkkitehtuuria koskevat tiedot ja mallien käyttöä koskevat tiedot, asetetaan julkisesti saataville. Lisenssi olisi pidettävä vapaana ja avoimena lähdekoodina myös silloin, kun se antaa käyttäjille mahdollisuuden käyttää, kopioida, jakaa, tutkia, muuttaa ja parantaa ohjelmistoja ja dataa, mukaan lukien malleja sillä edellytyksellä, että mallin alkuperäinen tarjoaja mainitaan ja että samoja tai vertailukelpoisia jakeluehtoja noudatetaan.
(102)
Les logiciels et les données, y compris les modèles, publiés dans le cadre d’une licence libre et ouverte grâce à laquelle ils peuvent être partagés librement et qui permet aux utilisateurs de librement consulter, utiliser, modifier et redistribuer ces logiciels et données ou leurs versions modifiées peuvent contribuer à la recherche et à l’innovation sur le marché et offrir d’importantes possibilités de croissance pour l’économie de l’Union. Les modèles d’IA à usage général publiés sous licence libre et ouverte devraient être considérés comme garantissant des niveaux élevés de transparence et d’ouverture si leurs paramètres, y compris les poids, les informations sur l’architecture du modèle et les informations sur l’utilisation du modèle, sont rendus publics. La licence devrait également être considérée comme libre et ouverte lorsqu’elle permet aux utilisateurs d’exploiter, de copier, de distribuer, d’étudier, de modifier et d’améliorer les logiciels et les données, y compris les modèles, à condition que le fournisseur initial du modèle soit crédité et que les conditions de distribution identiques ou comparables soient respectées.
(103)
Vapaat ja avoimen lähdekoodin tekoälykomponentit kattavat ohjelmistot ja datan, mukaan lukien tekoälyjärjestelmän mallit ja yleiskäyttöiset tekoälymallit, välineet, palvelut tai prosessit. Vapaita ja avoimen lähdekoodin tekoälykomponentteja voidaan tarjota eri kanavien kautta, mukaan lukien niiden kehittäminen avoimissa julkaisuarkistoissa. Tätä asetusta sovellettaessa tekoälykomponenttien, joita tarjotaan maksua vastaan tai muilla tavoin vastikkeellisina, muun muassa tarjoamalla tekoälykomponenttiin liittyvää teknistä tukea tai muita palveluja, myös ohjelmistoalustan kautta, tai käyttämällä henkilötietoja muista kuin yksinomaan ohjelmiston turvallisuuden, yhteensopivuuden tai yhteentoimivuuden parantamiseen liittyvistä syistä, lukuun ottamatta mikroyritysten välisiä kaupallisia toimia, ei pitäisi hyötyä vapaille ja avoimen lähdekoodin tekoälykomponenteille säädetyistä poikkeuksista. Sen, että tekoälykomponentit asetetaan saataville avoimien julkaisuarkistojen kautta, ei sinänsä pitäisi merkitä vastikkeellisuutta.
(103)
Les composants d’IA libres et ouverts couvrent les logiciels et les données, y compris les modèles et les modèles à usage général, outils, services ou processus d’un système d’IA. Les composants d’IA libres et ouverts peuvent être fournis par différents canaux, y compris leur développement dans des référentiels ouverts. Aux fins du présent règlement, les composants d’IA qui sont fournis contre paiement ou monétisés, y compris par la fourniture d’un soutien technique ou d’autres services, notamment au moyen d’une plateforme logicielle, liés au composant d’IA, ou l’utilisation de données à caractère personnel pour des raisons autres qu’aux fins exclusives de l’amélioration de la sécurité, de la compatibilité ou de l’interopérabilité des logiciels, à l’exception des transactions entre micro-entreprises, ne devraient pas bénéficier des exceptions prévues pour les composants d’IA libres et ouverts. La mise à disposition de composants d’IA au moyen de référentiels ouverts ne devrait pas, en soi, constituer une monétisation.
(104)
Tarjoajiin, jotka tarjoavat vapaalla ja avoimen lähdekoodin lisenssillä yleiskäyttöisiä tekoälymalleja, joiden parametrit, mukaan lukien painokertoimet sekä malliarkkitehtuuria ja mallin käyttöä koskevat tiedot, asetetaan julkisesti saataville, olisi sovellettava poikkeuksia, jotka koskevat yleiskäyttöisille tekoälymalleille asetettuja avoimuusvaatimuksia, paitsi jos niiden voidaan katsoa aiheuttavan systeemisen riskin, jolloin sitä, että malli on avoin ja siihen liittyy avoimen lähdekoodin lisenssi, ei pitäisi katsoa riittäväksi syyksi olla noudattamatta tämän asetuksen mukaisia velvoitteita. Koska yleiskäyttöisten tekoälymallien käyttöönotto vapaan ja avoimen lähdekoodin lisenssin nojalla ei välttämättä paljasta olennaisia tietoja mallin kouluttamiseen tai hienosäätöön käytetystä datajoukosta ja siitä, miten tekijänoikeuslainsäädännön noudattaminen on varmistettu, yleiskäyttöisiä tekoälymalleja koskeva poikkeus avoimuusvaatimusten noudattamisesta ei saisi missään tapauksessa koskea velvoitetta laatia tiivistelmä mallikoulutuksessa käytetystä sisällöstä ja velvoitetta ottaa käyttöön toimintaperiaatteet unionin tekijänoikeuslainsäädännön noudattamiseksi ja erityisesti oikeuksien pidättämisen tunnistamiseksi ja noudattamiseksi Euroopan parlamentin ja neuvoston direktiivin (EU) 2019/790 (40) 4 artiklan 3 kohdan mukaisesti.
(104)
Les fournisseurs de modèles d’IA à usage général qui sont publiés sous licence libre et ouverte et dont les paramètres, y compris les poids, les informations sur l’architecture des modèles et les informations sur l’utilisation des modèles, sont rendus publics devraient faire l’objet d’exceptions en ce qui concerne les exigences en matière de transparence imposées pour les modèles d’IA à usage général, à moins que les modèles ne puissent être considérés comme présentant un risque systémique, auquel cas le fait que les modèles soient transparents et accompagnés d’une licence ouverte ne devrait pas être considéré comme une raison suffisante pour exclure le respect des obligations prévues par le présent règlement. En tout état de cause, étant donné que la publication de modèles d’IA à usage général sous licence libre et ouverte ne révèle pas nécessairement des informations importantes sur le jeu de données utilisé pour l’entraînement ou de réglage fin du modèle et sur la manière dont le respect de la législation sur le droit d’auteur a été assuré, l’exception prévue pour les modèles d’IA à usage général en ce qui concerne les exigences en matière de transparence ne devrait pas concerner l’obligation de produire un résumé du contenu utilisé pour l’entraînement des modèles ni l’obligation de mettre en place une politique visant à respecter la législation de l’Union sur le droit d’auteur, en particulier pour identifier et respecter la réservation de droits au titre de l’article 4, paragraphe 3, de la directive (UE) 2019/790 du Parlement européen et du Conseil (40).
(105)
Yleiskäyttöiset tekoälymallit, erityisesti suuret generatiiviset tekoälymallit, jotka pystyvät tuottamaan tekstiä, kuvia ja muuta sisältöä, tarjoavat ainutlaatuisia innovointimahdollisuuksia mutta myös haasteita taiteilijoille, kirjailijoille ja muille luovan sisällön tekijöille sekä sille, miten heidän luovaa sisältöään luodaan, levitetään, käytetään ja kulutetaan. Tällaisten mallien kehittäminen ja kouluttaminen edellyttää valtavia määriä tekstiä, kuvia, videoita ja muuta dataa. Tekstin- ja tiedonlouhintatekniikoita voidaan tässä yhteydessä käyttää laajasti tällaisen tekijänoikeudella ja lähioikeuksilla suojatun sisällön hakemiseen ja analysointiin. Tekijänoikeudella suojatun sisällön käyttö edellyttää asianomaisen oikeudenhaltijan lupaa, paitsi jos sovelletaan asiaankuuluvia tekijänoikeutta koskevia poikkeuksia ja -rajoituksia. Direktiivillä (EU) 2019/790 otettiin käyttöön poikkeuksia ja rajoituksia, jotka sallivat tietyin edellytyksin kappaleenvalmistamisen ja otteiden ottamisen teoksista tai muusta aineistosta tekstin- ja tiedonlouhintaa varten. Näiden sääntöjen mukaan oikeudenhaltijat voivat päättää varata itselleen oikeudet teoksiinsa tai muuhun aineistoonsa tekstin- ja tiedonlouhinnan estämiseksi, ellei tätä tehdä tieteellistä tutkimusta varten. Jos nämä oikeudet on nimenomaisesti ja asianmukaisesti varattu, yleiskäyttöisten tekoälymallien tarjoajien on saatava oikeudenhaltijoilta lupa, jos ne haluavat toteuttaa tällaisia teoksia koskevan tekstin- ja tiedonlouhinnan.
(105)
Les modèles d’IA à usage général, en particulier les grands modèles d’IA génératifs, capables de générer du texte, des images et d’autres contenus, présentent des possibilités d’innovation uniques mais aussi des défis pour les artistes, les auteurs et les autres créateurs, et la manière dont leur contenu créatif est créé, distribué, utilisé et consommé. Le développement et l’entraînement de ces modèles requièrent un accès à de grandes quantités de texte, d’images, de vidéos et d’autres données. Les techniques de fouille de textes et de données peuvent être largement utilisées dans ce contexte pour extraire et analyser ces contenus, qui peuvent être protégés par le droit d’auteur et les droits voisins. Toute utilisation d’un contenu protégé par le droit d’auteur nécessite l’autorisation du titulaire de droits concerné, à moins que des exceptions et limitations pertinentes en matière de droit d’auteur ne s’appliquent. La directive (UE) 2019/790 a introduit des exceptions et des limitations autorisant les reproductions et extractions d’œuvres ou d’autres objets protégés aux fins de la fouille de textes et de données, sous certaines conditions. En vertu de ces règles, les titulaires de droits peuvent choisir de réserver leurs droits sur leurs œuvres ou autres objets protégés afin d’empêcher la fouille de textes et de données, à moins que celle-ci ne soit effectuée à des fins de recherche scientifique. Lorsque les droits d’exclusion ont été expressément réservés de manière appropriée, les fournisseurs de modèles d’IA à usage général doivent obtenir une autorisation des titulaires de droits s’ils souhaitent procéder à une fouille de textes et de données sur ces œuvres.
(106)
Tarjoajien, jotka saattavat yleiskäyttöisiä tekoälymalleja unionin markkinoille, olisi varmistettava tässä asetuksessa säädettyjen asiaankuuluvien velvoitteiden noudattaminen. Tätä varten yleiskäyttöisten tekoälymallien tarjoajien olisi otettava käyttöön toimintaperiaatteet, joilla noudatetaan tekijänoikeutta ja lähioikeuksia koskevaa unionin oikeutta ja erityisesti tunnistetaan ja noudatetaan oikeudenhaltijoiden direktiivin (EU) 2019/790 4 artiklan 3 kohdan mukaisesti ilmaisemaa oikeuksien pidättämistä. Kaikkien tarjoajien, jotka saattavat unionin markkinoille yleiskäyttöisen tekoälymallin, olisi noudatettava tätä velvoitetta riippumatta siitä, millä lainkäyttöalueella kyseisten yleiskäyttöisten tekoälymallien koulutuksen perustana olevat tekijänoikeuden kannalta merkitykselliset toimet toteutetaan. Tämä on tarpeen, jotta yleiskäyttöisten tekoälymallien tarjoajille voidaan varmistaa tasapuoliset toimintaedellytykset, joissa yksikään tarjoaja ei saisi unionin markkinoilla kilpailuetua soveltamalla alhaisempia tekijänoikeusstandardeja kuin unionissa.
(106)
Les fournisseurs qui mettent des modèles d’IA à usage général sur le marché de l’Union devraient veiller au respect des obligations pertinentes prévues par le présent règlement. À cette fin, les fournisseurs de modèles d’IA à usage général devraient mettre en place une politique visant à respecter la législation de l’Union sur le droit d’auteur et les droits voisins, en particulier pour identifier et respecter la réservation de droits exprimées par les titulaires de droits conformément à l’article 4, paragraphe 3, de la directive (UE) 2019/790. Tout fournisseur qui met un modèle d’IA à usage général sur le marché de l’Union devrait se conformer à cette obligation, quelle que soit la juridiction dans laquelle se déroulent les actes pertinents au titre du droit d’auteur qui sous-tendent l’entraînement de ces modèles d’IA à usage général. Cela est nécessaire pour garantir des conditions de concurrence équitables entre les fournisseurs de modèles d’IA à usage général, lorsqu’aucun fournisseur ne devrait pouvoir obtenir un avantage concurrentiel sur le marché de l’Union en appliquant des normes en matière de droit d’auteur moins élevées que celles prévues dans l’Union.
(107)
Jotta voidaan lisätä sellaisen datan avoimuutta, jota käytetään yleiskäyttöisten tekoälymallien esikoulutuksessa ja koulutuksessa, mukaan lukien tekijänoikeuslainsäädännöllä suojattu teksti ja data, on asianmukaista, että tällaisten mallien tarjoajat laativat ja asettavat julkisesti saataville riittävän yksityiskohtaisen tiivistelmän yleiskäyttöisen tekoälymallin koulutuksessa käytetystä sisällöstä. Samalla kun otetaan asianmukaisesti huomioon tarve suojella liikesalaisuuksia ja luottamuksellisia liiketoimintaa koskevia tietoja, tämän tiivistelmän olisi oltava sisällöltään yleisesti kattava sen sijaan, että se olisi teknisesti yksityiskohtainen, jotta osapuolia, joilla on oikeutettuja etuja, mukaan lukien tekijänoikeuden haltijat, voidaan auttaa käyttämään ja panemaan täytäntöön unionin oikeuden mukaisia oikeuksiaan, ja esimerkiksi luetella tärkeimmät mallin koulutukseen käytetyt tietolähteet tai datajoukot, kuten suuret yksityiset tai julkiset tietokannat tai -arkistot, ja antaa selostus muista käytetyistä tietolähteistä. Olisi asianmukaista, että tekoälytoimisto antaa tiivistelmälle mallin, jonka olisi oltava yksinkertainen ja tehokas ja jonka avulla tarjoaja voi toimittaa vaaditun tiivistelmän selostuksen muodossa.
(107)
Afin d’accroître la transparence concernant les données utilisées dans le cadre de l’entraînement préalable et de l’entraînement des modèles d’IA à usage général, y compris le texte et les données protégés par la législation sur le droit d’auteur, il convient que les fournisseurs de ces modèles élaborent et mettent à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner les modèles d’IA à usage général. Tout en tenant dûment compte de la nécessité de protéger les secrets d’affaires et les informations commerciales confidentielles, ce résumé devrait être généralement complet en termes de contenu plutôt que détaillé sur le plan technique afin d’aider les parties ayant des intérêts légitimes, y compris les titulaires de droits d’auteur, à exercer et à faire respecter les droits que leur confère la législation de l’Union, par exemple en énumérant les principaux jeux ou collections de données utilisés pour entraîner le modèle, tels que les archives de données ou bases de données publiques ou privées de grande ampleur, et en fournissant un texte explicatif sur les autres sources de données utilisées. Il convient que le Bureau de l’IA fournisse un modèle de résumé, qui devrait être simple et utile et permettre au fournisseur de fournir le résumé requis sous forme descriptive.
(108)
Yleiskäyttöisten tekoälymallien tarjoajille asetettujen velvoitteiden, jotka koskevat toimintaperiaatteiden käyttöönottoa unionin tekijänoikeuslainsäädännön noudattamiseksi ja koulutuksessa käytettyä sisältöä koskevan tiivistelmän julkisesti saataville asettamista, tekoälytoimiston olisi seurattava, onko tarjoaja täyttänyt kyseiset velvoitteet tarkistamatta tai arvioimatta koulutusdataa teoskohtaisesti tekijänoikeuksien noudattamisen osalta. Tämä asetus ei vaikuta unionin oikeudessa säädettyjen tekijänoikeussääntöjen täytäntöönpanoon.
(108)
En ce qui concerne l’obligation imposée aux fournisseurs de modèles d’IA à usage général de mettre en place une politique visant à respecter la législation de l’Union sur le droit d’auteur et de mettre à la disposition du public un résumé du contenu utilisé pour l’entraînement, le Bureau de l’IA devrait vérifier si le fournisseur a rempli cette obligation sans vérifier ou évaluer œuvre par œuvre les données d’entraînement en ce qui concerne le respect du droit d’auteur. Le présent règlement n’affecte pas l’application des règles en matière de droit d’auteur prévues par la législation de l’Union.
(109)
Yleiskäyttöisten tekoälymallien tarjoajiin sovellettavien velvoitteiden noudattamisen olisi oltava oikeasuhtaista mallin tarjoajan tyyppiin nähden, pois lukien ei-ammatillisiin tai tieteellisiin tutkimustarkoituksiin malleja kehittävät tai käyttävät henkilöt, joiden ei tarvitse noudattaa velvoitteita, mutta joita olisi kuitenkin kannustettava noudattamaan niitä vapaaehtoisesti. Kyseisten velvoitteiden noudattamisessa olisi otettava asianmukaisesti huomioon tarjoajan koko ja mahdollistettava pk-yrityksille, myös startup-yrityksille, velvoitteiden noudattamiseksi yksinkertaistetut menettelyt, jotka eivät saisi aiheuttaa kohtuuttomia kustannuksia eivätkä estää tällaisten mallien käyttöä, sanotun kuitenkaan rajoittamatta unionin tekijänoikeuslainsäädännön soveltamista. Jos mallia muutetaan tai hienosäädetään, yleiskäyttöisten tekoälymallien tarjoajien velvoitteet olisi rajattava kyseiseen muutokseen tai hienosäätöön esimerkiksi täydentämällä jo olemassa olevia teknisiä asiakirjoja muutoksia koskevilla tiedoilla, mukaan lukien koulutukseen käytetyt uudet tietolähteet, keinona noudattaa tässä asetuksessa säädettyjä arvoketjuun liittyviä velvoitteita.
(109)
Le respect des obligations applicables aux fournisseurs de modèles d’IA à usage général devrait correspondre et être proportionné au type de fournisseur de modèles, excluant la nécessité de se conformer pour les personnes qui développent ou utilisent des modèles à des fins non professionnelles ou de recherche scientifique, lesquelles devraient néanmoins être encouragées à se conformer volontairement à ces exigences. Sans préjudice de la législation de l’Union sur le droit d’auteur, le respect de ces obligations devrait tenir dûment compte de la taille du fournisseur et permettre aux PME, y compris aux jeunes pousses, de recourir à des méthodes simplifiées de mise en conformité qui ne devraient pas représenter un coût excessif et décourager l’utilisation de tels modèles. En cas de modification ou de réglage fin d’un modèle, les obligations incombant aux fournisseurs de modèles d’IA à usage général devraient se limiter à cette modification ou à ce réglage fin, par exemple en complétant la documentation technique existante avec des informations sur les modifications, y compris les nouvelles sources de données d’entraînement, aux fins de conformité avec les obligations relatives à la chaîne de valeur prévues par le présent règlement.
(110)
Yleiskäyttöiset tekoälymallit voivat aiheuttaa systeemisiä riskejä, joihin kuuluvat muun muassa suuronnettomuuksiin liittyvät tosiasialliset tai kohtuudella ennakoitavissa olevat kielteiset vaikutukset, kriittisten alojen häiriöt ja vakavat seuraukset kansanterveydelle ja turvallisuudelle; mahdolliset tosiasialliset tai kohtuudella ennakoitavissa olevat kielteiset vaikutukset demokraattisiin prosesseihin sekä yleiseen ja taloudelliseen turvallisuuteen; laittoman, väärän tai syrjivän sisällön levittäminen. Systeemisten riskien olisi katsottava lisääntyvän yhdessä mallien valmiuksien ja kattavuuden kanssa, niitä voi esiintyä mallin koko elinkaaren ajan ja niihin vaikuttavat väärinkäytön olosuhteet, mallin luotettavuus, mallin oikeudenmukaisuus ja turvallisuus, mallin itsenäisyyden aste, sen saatavilla olevat välineet, uudet tai yhdistetyt yksityiskohtaiset säännöt, käyttöönotto- ja jakelustrategiat sekä mahdollisuus poistaa suojatoimet ja muut tekijät. Erityisesti kansainvälisissä lähestymistavoissa on tähän mennessä todettu tarve kiinnittää huomiota riskeihin, joita aiheuttavat mahdolliset tahalliset väärinkäytöt tai tahattomat valvontaa koskevat ongelmat, jotka liittyvät yhteensovittamiseen inhimillisen tarkoituksen kanssa; kemialliset, biologiset, säteily- ja ydinriskit, kuten tavat, joilla markkinoille pääsyn esteitä voidaan vähentää, myös aseiden kehittämisen, suunnitteluhankintojen tai käytön osalta; kyberhyökkäysvalmiuksien, kuten haavoittuvuuksien havaitsemisen, hyödyntämisen tai operatiivisen käytön, mahdollistaminen; vuorovaikutuksen ja välineiden käytön vaikutukset, mukaan lukien esimerkiksi kyky valvoa fyysisiä järjestelmiä ja häiritä kriittistä infrastruktuuria; mallien itsensä kopioimiseen tai ”itsejäljentämiseen” tai muiden mallien kouluttamiseen liittyvät riskit; tavat, joilla mallit voivat aiheuttaa haitallisia vinoutumia ja syrjintää, joihin liittyy riskejä yksilöille, yhteisöille tai yhteiskunnille; disinformaation helpottaminen tai yksityisyyden vahingoittaminen demokraattisiin arvoihin ja ihmisoikeuksiin kohdistuvilla uhkilla; sekä riski siitä, että tietty tapahtuma voi johtaa ketjureaktioon, jolla on huomattavia kielteisiä vaikutuksia, jotka voivat vaikuttaa kokonaiseen kaupunkiin, kokonaiseen kohdealueeseen tai kokonaiseen yhteisöön.
(110)
Les modèles d’IA à usage général pourraient présenter des risques systémiques qui comprennent, sans s’y limiter, tout effet négatif réel ou raisonnablement prévisible en rapport avec des accidents majeurs, des perturbations de secteurs critiques et des conséquences graves pour la santé et la sécurité publiques, tout effet négatif réel ou raisonnablement prévisible sur les processus démocratiques, la sécurité publique et la sécurité économique, et la diffusion de contenus illicites, faux ou discriminatoires. Les risques systémiques devraient être perçus comme augmentant avec les capacités et la portée du modèle, peuvent survenir tout au long du cycle de vie du modèle et sont influencés par les conditions de mauvaise utilisation, la fiabilité du modèle, l’équité et la sécurité du modèle, le niveau d’autonomie du modèle, son accès aux outils, les modalités nouvelles ou combinées, les stratégies de publication et de distribution, le potentiel de suppression des garde-fous et d’autres facteurs. En particulier, les approches internationales ont jusqu’à présent mis en évidence la nécessité de prêter attention aux risques liés à une potentielle mauvaise utilisation intentionnelle ou à des problèmes non intentionnels de contrôle liés à l’alignement sur l’intention humaine, aux risques chimiques, biologiques, radiologiques et nucléaires, tels que les moyens d’abaisser les barrières à l’entrée, y compris pour la mise au point, l’acquisition ou l’utilisation d’armes, aux cybercapacités offensives, tels que les moyens permettant la découverte, l’exploitation ou l’utilisation opérationnelle de vulnérabilités, aux effets de l’interaction et de l’utilisation des outils, y compris, par exemple, la capacité de contrôler les systèmes physiques et d’interférer avec les infrastructures critiques, aux risques liés à la possibilité que les modèles fassent des copies d’eux-mêmes ou «s’auto-reproduisent» ou qu’ils entraînent d’autres modèles, à la manière dont les modèles peuvent donner lieu à des préjugés et des discriminations préjudiciables présentant des risques pour les individus, les communautés ou les sociétés, à la facilitation de la désinformation ou au préjudice porté à la vie privée par des menaces pour les valeurs démocratiques et les droits de l’homme, et au risque qu’un événement particulier entraîne une réaction en chaîne s’accompagnant d’effets négatifs considérables qui pourraient aller jusqu’à affecter toute une ville, tout un secteur d’activité ou toute une communauté.
(111)
On aiheellista vahvistaa menetelmä, jolla yleiskäyttöiset tekoälymallit voidaan luokitella yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeemisiä riskejä. Koska systeemiset riskit johtuvat erityisen suurista valmiuksista, yleiskäyttöisen tekoälymallin olisi katsottava aiheuttavan systeemisiä riskejä, jos sillä on vaikutuksiltaan merkittävä suorituskyky, jota arvioidaan asianmukaisten teknisten välineiden ja menetelmien perusteella, tai sen kattavuus vaikuttaa merkittävästi sisämarkkinoihin. Yleiskäyttöisissä tekoälymalleissa vaikutuksiltaan merkittävällä suorituskyvyllä tarkoitetaan suorituskykyä, joka vastaa tai ylittää kehittyneimpiin yleiskäyttöisiin tekoälymalleihin kirjatut valmiudet. Mallin kaikki valmiudet voitaisiin tuntea paremmin sen jälkeen, kun se on saatettu markkinoille tai kun käyttöönottajat ovat vuorovaikutuksessa mallin kanssa. Tämän asetuksen voimaantuloajankohtana viimeisimmän kehityksen mukainen yleiskäyttöisen tekoälymallin kouluttamiseen käytetyn laskentatehon kumulatiivinen määrä liukulukuoperaationa mitattuna on yksi asiaankuuluvista mallin suorituskyvyn approksimaatioista. Koulutukseen käytetyn laskentatehon kumulatiivinen määrä sisältää kaikissa toimissa ja menetelmissä, joiden tarkoituksena on parantaa mallin suorituskykyä ennen käyttöönottoa, kuten esikoulutus, synteettinen datan tuottaminen ja hienosäätö, käytettyä laskentatehoa. Sen vuoksi liukulukuoperaatiolle olisi asetettava alustava kynnysarvo, ja jos yleiskäyttöinen tekoälymalli ylittää sen, voidaan olettaa, että malli on yleiskäyttöinen tekoälymalli, johon liittyy systeemisiä riskejä. Tätä kynnysarvoa olisi mukautettava ajan mittaan teknologisten ja teollisten muutosten, kuten algoritmisten parannusten tai laitteiston tehokkuuden parantamisen, huomioon ottamiseksi, ja sitä olisi täydennettävä mallin suorituskykyä koskevilla vertailuarvoilla ja indikaattoreilla. Tätä varten tekoälytoimiston olisi tehtävä yhteistyötä tiedeyhteisön, teollisuuden, kansalaisyhteiskunnan ja muiden asiantuntijoiden kanssa. Kynnysarvojen sekä vaikutuksiltaan merkittävän suorituskyvyn arvioinnissa käytettävien välineiden ja vertailuarvojen olisi indikoitava vahvasti yleiskäyttöisten tekoälymallien yleisyyttä, niiden suorituskykyä ja niihin liittyvää systeemistä riskiä, ja niissä voitaisiin ottaa huomioon tapa, jolla malli saatetaan markkinoille tai niiden käyttäjien lukumäärä, joihin se voi vaikuttaa. Järjestelmän täydentämiseksi komission olisi voitava tehdä yksittäisiä päätöksiä, joilla tietty yleiskäyttöinen tekoälymalli määritetään yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski, jos todetaan, että mallin suorituskyky tai vaikutus on sama kuin asetetun kynnysarvon ylittävillä malleilla. Tämä päätös olisi tehtävä tämän asetuksen liitteessä vahvistettujen perusteiden, joiden mukaisesti nimetään yleiskäyttöinen tekoälymalli, johon liittyy systeeminen riski, yleisen arvioinnin perusteella. Näitä perusteita ovat koulutusdatajoukon laatu ja koko, yritys- ja loppukäyttäjien lukumäärä, mallin syöttötietojen ja tuotosten modaalisuus, sen itsenäisyyden ja skaalattavuuden aste ja sen käytettävissä olevat välineet. Komission olisi otettava huomioon sellaisen tarjoajan perusteltu pyyntö, jonka malli on nimetty yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski, ja se voi päättää arvioida uudelleen, voidaanko yleiskäyttöiseen tekoälymalliin katsoa edelleen liittyvän systeemisiä riskejä.
(111)
Il convient d’établir une méthode de classification des modèles d’IA à usage général en tant que modèle d’IA à usage général présentant des risques systémiques. Étant donné que les risques systémiques résultent de capacités particulièrement élevées, un modèle d’IA à usage général devrait être considéré comme présentant des risques systémiques s’il a des capacités à fort impact, évaluées sur la base de méthodologies et d’outils techniques appropriés, ou une incidence significative sur le marché intérieur en raison de sa portée. Les capacités à fort impact des modèles d’IA à usage général sont des capacités égales ou supérieures aux capacités des modèles d’IA à usage général les plus avancés. L’éventail complet des capacités d’un modèle pourrait être mieux compris après sa mise sur le marché ou lorsque les déployeurs interagissent avec le modèle. Selon l’état de la technique au moment de l’entrée en vigueur du présent règlement, la quantité cumulée de calculs utilisée pour l’entraînement du modèle d’IA à usage général mesurée en opérations en virgule flottante est l’une des approximations pertinentes pour les capacités du modèle. La quantité cumulée de calculs utilisée pour l’entraînement inclut les calculs utilisés pour l’ensemble des activités et méthodes destinées à renforcer les capacités du modèle avant le déploiement, telles que l’entraînement préalable, la production de données synthétiques et le réglage fin. Par conséquent, il convient de fixer un seuil initial d’opérations en virgule flottante, qui, s’il est atteint par un modèle d’IA à usage général, conduit à présumer qu’il s’agit d’un modèle d’IA à usage général présentant des risques systémiques. Ce seuil devrait être ajusté au fil du temps pour tenir compte des évolutions technologiques et industrielles, telles que les améliorations algorithmiques ou l’amélioration de l’efficacité des matériels, et être complété par des critères de référence et des indicateurs pour la capacité du modèle. À cette fin, le Bureau de l’IA devrait coopérer avec la communauté scientifique, l’industrie, la société civile et d’autres experts. Les seuils, ainsi que les outils et les critères de référence pour l’évaluation des capacités à fort impact, devraient être de bons indicateurs de la généralité et des capacités des modèles d’IA à usage général ainsi que du risque systémique qui y est associé, et pourraient tenir compte de la manière dont le modèle sera mis sur le marché ou du nombre d’utilisateurs qu’il pourrait affecter. Afin de compléter ce système, la Commission devrait avoir la possibilité de prendre des décisions individuelles désignant un modèle d’IA à usage général comme modèle d’IA à usage général présentant un risque systémique s’il est constaté que ce modèle a des capacités ou une incidence équivalentes à celles relevant du seuil fixé. Ces décisions devraient être prises sur la base d’une évaluation globale des critères de désignation des modèles d’IA à usage général présentant un risque systémique énoncés dans une annexe du présent règlement, tels que la qualité ou la taille du jeu de données d’entraînement, le nombre d’utilisateurs professionnels et finaux du modèle, ses modalités d’entrée et de sortie, son niveau d’autonomie et d’évolutivité, ou les outils auxquels il a accès. Sur demande motivée d’un fournisseur dont le modèle a été désigné comme modèle d’IA à usage général présentant un risque systémique, la Commission devrait tenir compte de la demande et peut décider de réévaluer si le modèle d’IA à usage général peut encore être considéré comme présentant un risque systémique.
(112)
Lisäksi on aiheellista selventää menettelyä, jonka mukaisesti luokitellaan yleiskäyttöiset tekoälymallit, joihin liittyy systeeminen riski. Yleiskäyttöisen tekoälymallin, joka ylittää vaikutuksiltaan merkittävää suorituskykyä koskevan sovellettavan kynnysarvon, olisi katsottava olevan yleiskäyttöinen tekoälymalli, johon liittyy systeeminen riski. Tarjoajan olisi ilmoitettava tekoälytoimistolle, että yleiskäyttöinen tekoälymalli täyttää tähän olettamaan johtavat edellytykset, viimeistään kahden viikon kuluttua siitä, kun edellytykset täyttyvät tai kun todetaan, että ne tulevat täyttymään. Tämä koskee erityisesti liukulaskutoimitusten kynnysarvoa, sillä yleiskäyttöisten tekoälymallien koulutus on suunniteltava tarkkaan siten, että laskentaresurssit jaetaan etukäteen. Tästä syystä yleiskäyttöisten tekoälymallien tarjoajat tietävät jo ennen koulutuksen päättymistä, ylittääkö niiden tekoälymalli kynnysarvon. Ilmoituksessaan tarjoajan olisi voitava osoittaa, että yleiskäyttöiseen tekoälymalliin ei sen erityispiirteiden vuoksi poikkeuksellisesti liity systeemisiä riskejä ja että sitä ei näin ollen olisi luokiteltava systeemisen riskin yleiskäyttöiseksi tekoälymalliksi. Tämä tieto on arvokasta tekoälytoimistolle, jotta se voi ennakoida sellaisten yleiskäyttöisten tekoälymallien markkinoille saattamista, joihin liittyy systeemisiä riskejä, ja tällä tavoin tarjoajat voivat aloittaa yhteistyön tekoälytoimiston kanssa jo varhaisessa vaiheessa. Tieto on erityisen arvokasta niiden yleiskäyttöisten tekoälymallien osalta, jotka on tarkoitus julkaista avoimen lähdekoodin malleina, koska tämän asetuksen mukaisten velvoitteiden noudattamisen varmistamiseksi tarvittavat toimet voi olla vaikeampi toteuttaa avoimen lähdekoodin mallin julkaisemisen jälkeen.
(112)
Il convient également d’établir de façon précise une procédure de classification d’un modèle d’IA à usage général présentant un risque systémique. Il convient de présumer qu’un modèle d’IA à usage général qui atteint le seuil applicable pour les capacités à fort impact est un modèle d’IA à usage général présentant un risque systémique. Le fournisseur devrait informer le Bureau de l’IA au plus tard deux semaines après que les exigences ont été remplies ou qu’il a été établi qu’un modèle d’IA à usage général répondra aux exigences qui conduisent à la présomption. Cela est particulièrement important en ce qui concerne le seuil d’opérations en virgule flottante, car l’entraînement des modèles d’IA à usage général nécessite une planification considérable qui inclut l’allocation préalable des ressources de calcul, et, par conséquent, les fournisseurs de modèles d’IA à usage général sont en mesure de savoir si leur modèle atteindra le seuil avant l’achèvement de l’entraînement. Dans le cadre de cette information, le fournisseur devrait pouvoir démontrer que, en raison de ses caractéristiques spécifiques, un modèle d’IA à usage général ne présente pas, exceptionnellement, de risques systémiques et qu’il ne devrait donc pas être classé comme modèle d’IA à usage général présentant des risques systémiques. Ces éléments d’information sont utiles pour le Bureau de l’IA en ce qu’ils lui permettent d’anticiper la mise sur le marché de modèles d’IA à usage général présentant des risques systémiques, et les fournisseurs peuvent ainsi commencer à coopérer avec le Bureau de l’IA à un stade précoce. Ils sont particulièrement importants en ce qui concerne les modèles d’IA à usage général qu’il est prévu de publier en tant que source ouverte, étant donné que, après la publication des modèles de source ouverte, les mesures nécessaires pour garantir le respect des obligations prévues par le présent règlement peuvent être plus difficiles à mettre en œuvre.
(113)
Jos komissio saa tietoonsa, että yleiskäyttöinen tekoälymalli täyttää edellytykset, jotta se voidaan luokitella systeemisen riskin yleiskäyttöiseksi tekoälymalliksi, ja edellytysten täyttyminen ei joko ole ollut aiemmin tiedossa tai asianomainen tarjoaja ei ole ilmoittanut siitä komissiolle, komissiolle olisi annettava valtuudet nimetä malli vastaavasti. Tekoälytoimiston suorittamaa seurantaa olisi täydennettävä perusteltujen varoitusten järjestelmällä, jolla varmistetaan, että tiedelautakunta ilmoittaa tekoälytoimistolle niistä yleiskäyttöisistä tekoälymalleista, jotka olisi mahdollisesti luokiteltava yleiskäyttöisiksi tekoälymalleiksi, joihin liittyy systeeminen riski.
(113)
Si la Commission prend connaissance du fait qu’un modèle d’IA à usage général satisfait aux exigences de classification en tant que modèle d’IA à usage général présentant un risque systémique, qui n’était pas connu auparavant ou dont le fournisseur concerné n’avait pas informé la Commission, celle-ci devrait être habilitée à désigner ce modèle comme tel. Un système d’alertes qualifiées devrait garantir que le Bureau de l’IA est informé par le panel scientifique des modèles d’IA à usage général qui devraient éventuellement être classés comme modèles d’IA à usage général présentant un risque systémique, en plus des activités de suivi du Bureau de l’IA.
(114)
Niiden yleiskäyttöisten tekoälymallien tarjoajiin, joihin liittyy systeemisiä riskejä, olisi sovellettava yleiskäyttöisten tekoälymallien tarjoajiin sovellettavien velvoitteiden lisäksi velvoitteita, joiden tarkoituksena on määrittää ja lieventää kyseisiä riskejä ja varmistaa kyberturvallisuussuojan riittävä taso riippumatta siitä, tarjotaanko tekoälymalli erillisenä mallina vai sulautettuna tekoälyjärjestelmään tai tuotteeseen. Kyseisten tavoitteiden saavuttamiseksi tässä asetuksessa olisi edellytettävä, että tarjoajat suorittavat tarvittavat mallin arvioinnit erityisesti ennen niiden ensimmäistä markkinoille saattamista, mukaan lukien mallien adversariaalisen testauksen suorittaminen ja dokumentointi tarvittaessa myös sisäisessä tai riippumattomassa ulkoisessa testauksessa. Niiden yleiskäyttöisten tekoälymallien tarjoajien, joihin liittyy systeemisiä riskejä, olisi lisäksi arvioitava ja lievennettävä systeemisiä riskejä jatkuvasti, esimerkiksi ottamalla käyttöön riskinhallintaa koskevat toimintatavat, kuten vastuuvelvollisuus- ja hallintoprosesseja, suorittamalla markkinoille saattamisen jälkeistä seurantaa, toteuttamalla asianmukaisia toimenpiteitä mallin koko elinkaaren ajan ja tekemällä yhteistyötä tekoälyn arvoketjun asiaankuuluvien toimijoiden kanssa.
(114)
Les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient être soumis non seulement aux obligations prévues pour les fournisseurs de modèles d’IA à usage général mais aussi à des obligations visant à identifier et à atténuer ces risques et à garantir un niveau adéquat de protection de la cybersécurité, que les modèles en question soient fournis en tant que modèles autonomes ou qu’ils soient intégrés dans un système ou un produit d’IA. Pour atteindre ces objectifs, le présent règlement devrait exiger des fournisseurs qu’ils effectuent les évaluations nécessaires des modèles, en particulier avant leur première mise sur le marché, y compris la réalisation et la documentation d’essais contradictoires des modèles, ainsi que, le cas échéant, au moyen d’essais internes ou externes indépendants. En outre, les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient évaluer et atténuer en permanence les risques systémiques, y compris, par exemple, en mettant en place des politiques de gestion des risques, telles que des processus de responsabilité et de gouvernance, en mettant en œuvre une surveillance après commercialisation, en prenant des mesures appropriées tout au long du cycle de vie du modèle et en coopérant avec les acteurs pertinents tout au long de la chaîne de valeur de l’IA.
(115)
Niiden yleiskäyttöisten tekoälymallien tarjoajien, joihin liittyy systeemisiä riskejä, olisi arvioitava ja lievennettävä mahdollisia systeemisiä riskejä. Jos yleiskäyttöisen tekoälymallin, johon voi liittyä systeemisiä riskejä, kehittäminen tai käyttö aiheuttaa vakavan vaaratilanteen huolimatta pyrkimyksistä tunnistaa ja ehkäistä malliin liittyviä riskejä, yleiskäyttöisen tekoälymallin tarjoajan olisi ilman aiheetonta viivytystä seurattava vaaratilannetta ja raportoitava merkityksellisistä tiedoista ja mahdollisista korjaavista toimenpiteistä komissiolle ja kansallisille toimivaltaisille viranomaisille. Tarjoajien olisi lisäksi varmistettava mallin ja tarvittaessa sen fyysisen infrastruktuurin kyberturvallisuussuojan riittävä taso mallin koko elinkaaren ajan. Kyberturvallisuussuojassa, jolla torjutaan vihamieliseen käyttöön tai hyökkäyksiin liittyviä systeemisiä riskejä, olisi otettava asianmukaisesti huomioon tahaton mallivuoto, luvattomat julkaisut, turvallisuustoimenpiteiden kiertäminen sekä suojautuminen kyberhyökkäyksiltä, luvattomalta pääsyltä tai mallivarkauksilta. Suojaamista voitaisiin helpottaa turvaamalla mallipainokertoimet, algoritmit, palvelimet ja tietokokonaisuudet esimerkiksi tietoturvaa koskevilla operatiivisilla turvallisuustoimenpiteillä, erityisillä kyberturvallisuusperiaatteilla, asianmukaisilla teknisillä ja vakiintuneilla ratkaisuilla sekä kyberkäytön ja fyysisen pääsyn valvonnalla asiaankuuluvista olosuhteista ja riskeistä riippuen.
(115)
Les fournisseurs de modèles d’IA à usage général présentant des risques systémiques devraient évaluer et atténuer les éventuels risques systémiques. Si, malgré les efforts déployés pour recenser et prévenir les risques liés à un modèle d’IA à usage général susceptible de présenter des risques systémiques, le développement ou l’utilisation du modèle cause un incident grave, le fournisseur de modèle d’IA à usage général devrait, sans retard injustifié, réaliser un suivi de l’incident et communiquer toute information pertinente et toute mesure corrective éventuelle à la Commission et aux autorités nationales compétentes. En outre, les fournisseurs devraient garantir un niveau approprié de protection en matière de cybersécurité en ce qui concerne le modèle et son infrastructure physique, le cas échéant, tout au long du cycle de vie du modèle. La protection en matière de cybersécurité contre les risques systémiques associés à une utilisation malveillante ou à des attaques devrait tenir dûment compte des fuites accidentelles du modèle, des publications non autorisées, du contournement des mesures de sécurité ainsi que de la défense contre les cyberattaques, l’accès non autorisé ou le vol de modèle. Une telle protection pourrait être facilitée par la sécurisation des poids du modèle, des algorithmes, des serveurs et des jeux de données, notamment au moyen de mesures de sécurité opérationnelle relatives à la sécurité de l’information, de politiques spécifiques en matière de cybersécurité, de solutions techniques établies adéquates, et de contrôles de l’accès physique ou informatique, qui soient adaptés aux circonstances particulières et aux risques encourus.
(116)
Tekoälytoimiston olisi edistettävä ja helpotettava käytännesääntöjen laatimista, tarkistamista ja mukauttamista ottaen huomioon kansainväliset toimintatavat. Kaikki yleiskäyttöisten tekoälymallien tarjoajat voitaisiin kutsua mukaan tähän toimintaan. Jotta voidaan varmistaa, että käytännesäännöt vastaavat alan viimeisintä kehitystä ja että niissä otetaan asianmukaisesti huomioon eri näkökulmat, tekoälytoimiston olisi käytännesääntöjä laatiessaan tehtävä yhteistyötä asiaankuuluvien kansallisten toimivaltaisten viranomaisten kanssa ja se voisi tarvittaessa kuulla kansalaisjärjestöjä ja muita asiaankuuluvia sidosryhmiä ja asiantuntijoita, myös tiedelautakuntaa. Käytännesääntöjen olisi katettava sekä yleiskäyttöisten tekoälymallien että yleiskäyttöisten tekoälymallien, joihin liittyy systeemisiä riskejä, tarjoajien velvollisuudet. Systeemisten riskien osalta käytännesäännöillä olisi tuettava riskiluokituksen laatimista unionin tason systeemisten riskien, myös niiden lähteiden, tyypistä ja luonteesta. Käytännesäännöissä olisi keskityttävä myös erityisiin riskinarviointi- ja lieventämistoimenpiteisiin.
(116)
Le Bureau de l’IA devrait encourager et faciliter l’élaboration, le réexamen et l’adaptation des codes de bonne pratique, en tenant compte des approches internationales. Tous les fournisseurs de modèles d’IA à usage général pourraient être invités à participer. Afin de veiller à ce que les codes de bonne pratique correspondent à l’état de la technique et prennent dûment en compte un ensemble divers de perspectives, le Bureau de l’IA devrait collaborer avec les autorités nationales compétentes concernées et pourrait, selon qu’il convient, consulter les organisations de la société civile et d’autres parties prenantes et experts pertinents, notamment le groupe scientifique, pour l’élaboration de ces codes. Les codes de bonne pratique devraient traiter des obligations incombant aux fournisseurs de modèles d’IA à usage général, et de modèles d’IA à usage général présentant des risques systémiques. En outre, en ce qui concerne les risques systémiques, les codes de bonne pratique devraient contribuer à établir une taxinomie des risques reprenant le type et la nature des risques systémiques au niveau de l’Union, ainsi que leur source. Les codes de bonne pratique devraient également mettre l’accent sur une évaluation des risques et des mesures d’atténuation spécifiques.
(117)
Käytännesäännöt on tarkoitettu keskeiseksi välineeksi, jolla varmistetaan, että yleiskäyttöisten tekoälymallien tarjoajat noudattavat asianmukaisesti tässä asetuksessa säädettyjä velvoitteita. Tarjoajien olisi pystyttävä osoittamaan velvoitteiden noudattaminen käytännesääntöjen avulla. Komissio voi täytäntöönpanosäädöksillä päättää hyväksyä käytännesäännöt ja todeta ne yleisesti päteviksi unionissa tai vaihtoehtoisesti vahvistaa yhteiset säännöt asiaankuuluvien velvoitteiden täyttämiselle, jos käytännesääntöjä ei saada valmiiksi siihen mennessä, kun tämän asetuksen soveltaminen alkaa, tai jos tekoälytoimisto ei pidä niitä riittävinä. Kun tekoälytoimisto on julkaissut yhdenmukaistetun standardin ja arvioinut sen soveltuvan kattamaan asiaankuuluvat velvoitteet, tarjoajien olisi oletettava täyttävän vaatimukset sen perusteella, että ne noudattavat eurooppalaista yhdenmukaistettua standardia. Yleiskäyttöisten tekoälymallien tarjoajien olisi lisäksi voitava osoittaa vaatimustenmukaisuus asianmukaisilla vaihtoehtoisilla keinoilla, jos käytännesääntöjä tai yhdenmukaistettuja standardeja ei ole saatavilla tai tarjoajat päättävät olla käyttämättä niitä.
(117)
Les codes de bonne pratique devraient constituer un outil central pour assurer le bon respect des obligations qui incombent aux fournisseurs de modèles d’IA à usage général au titre du présent règlement. Les fournisseurs devraient pouvoir s’appuyer sur des codes de bonne pratique pour démontrer qu’ils respectent leurs obligations. Par voie d’actes d’exécution, la Commission pourrait décider d’approuver un code de bonnes pratiques et de lui conférer une validité générale au sein de l’Union ou, à défaut, de fixer des règles communes pour la mise en œuvre des obligations pertinentes si un code de bonnes pratiques ne peut pas être mis au point avant que le présent règlement ne devienne applicable, ou si un tel code n’est pas considéré comme adéquat par le Bureau de l’IA. Dès lors qu’une norme harmonisée est publiée et jugée appropriée par le Bureau de l’IA au regard des obligations pertinentes, les fournisseurs devraient bénéficier de la présomption de conformité lorsqu’ils respectent une norme européenne harmonisée. En outre, les fournisseurs de modèles d’IA à usage général devraient être en mesure de démontrer la conformité en utilisant d’autres moyens adéquats en l’absence de codes de bonne pratique ou de normes harmonisées ou s’ils choisissent de ne pas s’appuyer sur ceux-ci.
(118)
Tällä asetuksella säännellään tekoälyjärjestelmiä ja tekoälymalleja asettamalla tiettyjä vaatimuksia ja velvoitteita niille markkinatoimijoille, jotka saattavat näitä järjestelmiä ja malleja markkinoille tai ottavat niitä käyttöön tai käyttävät niitä unionissa, ja näin täydennetään sellaisten välityspalvelujen tarjoajien velvoitteita, jotka sulauttavat tekoälyjärjestelmiä ja -malleja palveluihinsa, joita säännellään (EU) 2022/2065. Siltä osin kuin tällaiset järjestelmät tai mallit on sulautettu nimettyihin erittäin suuriin verkkoalustoihin tai erittäin suuriin verkossa toimiviin hakukoneisiin, niihin sovelletaan asetuksessa (EU) 2022/2065 säädettyä riskinhallintakehystä. Näin ollen olisi oletettava, että tämän asetuksen vastaavat velvoitteet täyttyvät, jollei tällaisissa malleissa ilmene ja havaita sellaisia merkittäviä systeemisiä riskejä, jotka eivät kuulu asetuksen (EU) 2022/2065 soveltamisalaan. Tässä yhteydessä erittäin suurten verkkoalustojen ja erittäin suurten verkossa toimivien hakukoneiden tarjoajat ovat velvollisia arvioimaan palvelujensa suunnittelusta, toiminnasta ja käytöstä aiheutuvia mahdollisia systeemisiä riskejä, mukaan lukien sitä, miten palvelussa käytettävien algoritmisten järjestelmien suunnittelu voi lisätä tällaisia riskejä, sekä mahdollisesta väärinkäytöstä aiheutuvia systeemisiä riskejä. Kyseiset tarjoajat ovat myös velvollisia toteuttamaan asianmukaisia lieventäviä toimenpiteitä perusoikeuksia noudattaen.
(118)
Le présent règlement régit les systèmes et modèles d’IA en instituant certaines exigences et obligations visant les acteurs du marché concernés qui les mettent sur le marché, les mettent en service ou les utilisent dans l’Union, complétant ainsi les obligations incombant aux fournisseurs de services intermédiaires qui intègrent de tels systèmes ou modèles dans leurs services relevant du règlement (UE) 2022/2065. Dans la mesure où ces systèmes ou modèles sont intégrés dans des très grandes plateformes en ligne ou des très grands moteurs de recherche en ligne, ils sont soumis au cadre de gestion des risques établi par le règlement (UE) 2022/2065. Par conséquent, il devrait être présumé que les obligations correspondantes du présent règlement sont remplies, à moins que des risques systémiques importants non couverts par le règlement (UE) 2022/2065 n’apparaissent et ne soient recensés dans de tels modèles. Dans ce contexte, les fournisseurs de très grandes plateformes en ligne et de très grands moteurs de recherche en ligne sont tenus d’évaluer les risques systémiques découlant de la conception, du fonctionnement et de l’utilisation de leurs services, y compris la manière dont la conception des systèmes algorithmiques utilisés dans un service pourrait contribuer à ces risques, ainsi que les risques systémiques découlant de mauvaises utilisations éventuelles. Ces fournisseurs sont également tenus de prendre les mesures d’atténuation appropriées pour assurer le respect des droits fondamentaux.
(119)
Kun otetaan huomioon unionin oikeuden eri välineiden soveltamisalaan kuuluvien digitaalisten palvelujen nopeatahtinen innovointi ja teknologinen kehitys erityisesti niiden vastaanottajien käytön ja mieltymysten näkökulmasta, tämän asetuksen soveltamisalaan kuuluvia tekoälyjärjestelmiä voidaan tarjota asetuksessa (EU) 2022/2065 tarkoitettuina välityspalveluina tai niiden osina teknologianeutraalisti tulkittuna. Tekoälyjärjestelmiä voidaan käyttää esimerkiksi verkossa toimivien hakukoneiden tarjoamiseen erityisesti siltä osin kuin tekoälyjärjestelmä, kuten verkossa toimiva asiointibotti, suorittaa hakuja periaatteessa kaikilta verkkosivustoilta, sisällyttää haun tulokset olemassa oleviin tietoihinsa ja käyttää päivitettyjä tietoja luodakseen yksittäisen tuotoksen, jossa yhdistyvät eri tietolähteet.
(119)
Compte tenu du rythme rapide de l’innovation et de l’évolution technologique des services numériques relevant du champ d’application de différents instruments du droit de l’Union, en particulier à la lumière de l’utilisation et de la perception de leurs destinataires, les systèmes d’IA régis par le présent règlement pourraient être fournis en tant que services intermédiaires ou parties de ceux-ci au sens du règlement (UE) 2022/2065, qui devrait être interprété de manière neutre sur le plan technologique. Par exemple, les systèmes d’IA pourraient être utilisés pour fournir des moteurs de recherche en ligne, en particulier, dans la mesure où un système d’IA tel qu’un dialogueur réalise des recherches sur, en principe, tous les sites web, puis en intègre les résultats dans ses connaissances existantes et utilise les connaissances mises à jour pour générer une sortie unique qui combine différentes sources d’information.
(120)
Tässä asetuksessa tiettyjen tekoälyjärjestelmien tarjoajille ja käyttöönottajille asetetut velvoitteet, joiden tarkoituksena on mahdollistaa sen havaitseminen, että näiden järjestelmien tuotokset ovat keinotekoisesti tuotettuja tai käsiteltyjä, ja julkistaa tämä tieto, ovat erityisen merkityksellisiä asetuksen (EU) 2022/2065 tehokkaan täytäntöönpanon helpottamisen kannalta. Tämä koskee erityisesti erittäin suurten verkkoalustojen tai erittäin suurten verkossa toimivien hakukoneiden tarjoajien velvoitteita tunnistaa ja lieventää systeemisiä riskejä, joita voi aiheutua keinotekoisesti tuotetun tai käsitellyn sisällön levittämisestä, erityisesti myös disinformaatiosta johtuva demokraattisiin prosesseihin, kansalaiskeskusteluun ja vaaliprosesseihin kohdistuvien tosiasiallisten tai ennakoitavien kielteisten vaikutusten riski.
(120)
En outre, les obligations imposées aux fournisseurs et aux déployeurs de certains systèmes d’IA au titre du présent règlement afin de permettre la détection et la mention du fait que les sorties produites par ces systèmes sont générées ou manipulées par une IA revêtent une importance particulière pour faciliter la mise en œuvre effective du règlement (UE) 2022/2065. Cela vaut en particulier pour les obligations incombant aux fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne consistant à recenser et à atténuer les risques systémiques susceptibles de découler de la diffusion de contenus qui ont été générés ou manipulés par une IA, en particulier le risque d’effets négatifs réels ou prévisibles sur les processus démocratiques, le débat public et les processus électoraux, notamment par le biais de la désinformation.
(121)
Standardoinnilla olisi oltava keskeinen rooli, jotta tarjoajien käyttöön saadaan teknisiä ratkaisuja, joilla voidaan varmistaa tämän asetuksen noudattaminen tekniikan viimeisimmän kehityksen mukaisesti, ja jotta voidaan edistää innovointia, kilpailukykyä ja kasvua sisämarkkinoilla. Tarjoajien olisi voitava osoittaa noudattavansa tämän asetuksen vaatimuksia noudattamalla Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 1025/2012 (41) 2 artiklan 1 kohdan c alakohdassa määriteltyjä yhdenmukaistettuja standardeja, joiden katsotaan yleensä olevan tekniikan viimeisimmän kehityksen mukaisia. Tästä syystä olisi edistettävä etujen tasapainoista edustusta ottamalla standardien laatimiseen mukaan kaikki asiaankuuluvat sidosryhmät, erityisesti pk-yritykset, kuluttajajärjestöt sekä ympäristöalan ja yhteiskunnan sidosryhmät asetuksen (EU) N:o 1025/2012 5 ja 6 artiklan mukaisesti. Vaatimusten noudattamisen helpottamiseksi komission olisi esitettävä standardointipyynnöt ilman aiheetonta viivytystä. Standardointipyyntöä valmistellessaan komission olisi kuultava neuvoa-antavaa foorumia ja tekoälyneuvostoa asiaankuuluvan asiantuntemuksen varmistamiseksi. Jos yhdenmukaistettuihin standardeihin ei kuitenkaan ole tehty asiaankuuluvia viittauksia, komission olisi voitava vahvistaa täytäntöönpanosäädöksillä neuvoa-antavaa foorumia kuultuaan tietyille tämän asetuksen mukaisille vaatimuksille yhteiset eritelmät. Yhteisten eritelmien olisi oltava poikkeuksellinen vararatkaisu, jolla helpotetaan tarjoajan velvoitetta noudattaa tämän asetuksen vaatimuksia, jos mikään eurooppalainen standardointiorganisaatio ei ole hyväksynyt standardointipyyntöä, jos asiaankuuluvat yhdenmukaistetut standardit eivät vastaa riittävällä tavalla perusoikeuksiin liittyviin huolenaiheisiin, jos yhdenmukaistetut standardit eivät ole pyynnön mukaisia tai jos asianmukaisen yhdenmukaistetun standardin hyväksymisessä on viiveitä. Jos tällainen viive yhdenmukaistetun standardin hyväksymisessä johtuu kyseisen standardin teknisestä monimutkaisuudesta, komission olisi otettava tämä huomioon ennen kuin se harkitsee yhteisten eritelmien vahvistamista. Yhteisiä eritelmiä laatiessaan komissiota kannustetaan tekemään yhteistyötä kansainvälisten kumppanien ja kansainvälisten standardointielinten kanssa.
(121)
La normalisation devrait jouer un rôle essentiel pour fournir des solutions techniques aux fournisseurs afin de garantir la conformité avec le présent règlement, suivant les technologies les plus récentes, et de promouvoir l’innovation ainsi que la compétitivité et la croissance dans le marché unique. Le respect des normes harmonisées telles que définies à l’article 2, point 1) c), du règlement (UE) no 1025/2012 du Parlement européen et du Conseil (41), qui doivent normalement tenir compte des évolutions technologiques les plus récentes, devrait être un moyen pour les fournisseurs de démontrer la conformité avec les exigences du présent règlement. Il convient donc d’encourager une représentation équilibrée des intérêts en associant toutes les parties prenantes concernées à l’élaboration des normes, en particulier les PME, les organisations de consommateurs et les acteurs environnementaux et sociaux, conformément aux articles 5 et 6 du règlement (UE) no 1025/2012. Afin de faciliter le respect de la législation, les demandes de normalisation devraient être formulées par la Commission sans retard injustifié. Lorsqu’elle élabore les demandes de normalisation, la Commission devrait consulter le forum consultatif et le Comité IA afin de recueillir l’expertise pertinente. Toutefois, en l’absence de références pertinentes à des normes harmonisées, la Commission devrait être en mesure d’établir, au moyen d’actes d’exécution, et après consultation du forum consultatif, des spécifications communes pour certaines exigences au titre du présent règlement. Les spécifications communes devraient être une solution de repli exceptionnelle pour faciliter l’obligation du fournisseur de se conformer aux exigences du présent règlement, lorsque la demande de normalisation n’a été acceptée par aucune des organisations européennes de normalisation, ou lorsque les normes harmonisées pertinentes ne répondent pas suffisamment aux préoccupations en matière de droits fondamentaux, ou lorsque les normes harmonisées ne sont pas conformes à la demande, ou lorsque l’adoption d’une norme harmonisée appropriée accuse des retards. Lorsqu’un tel retard dans l’adoption d’une norme harmonisée est dû à la complexité technique de ladite norme, la Commission devrait en tenir compte avant d’envisager l’établissement de spécifications communes. Lorsqu’elle élabore des spécifications communes, la Commission est encouragée à coopérer avec des partenaires internationaux et des organismes internationaux de normalisation.
(122)
On aiheellista olettaa, että sellaisen suuririskisen tekoälyjärjestelmän, joka on koulutettu ja testattu datalla, joka ilmentää erityistä maantieteellistä, käyttäytymiseen liittyvää, viitekehyksenä olevaa tai toiminnallista ympäristöä, jossa tekoälyjärjestelmää on tarkoitus käyttää, tarjoajat noudattavat tässä asetuksessa vahvistetussa datanhallintaa koskevassa vaatimuksessa säädettyä asiaankuuluvaa toimenpidettä, sanotun kuitenkaan rajoittamatta yhdenmukaistettujen standardien ja yhteisten eritelmien käyttöä. Asetuksen (EU) 2019/881 54 artiklan 3 kohdan mukaisesti niiden suuririskisten tekoälyjärjestelmien, jotka on sertifioitu tai joista on annettu vaatimustenmukaisuusilmoitus kyseisen asetuksen mukaisessa kyberturvallisuusjärjestelmässä ja joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, olisi oletettava täyttävän tämän asetuksen kyberturvallisuusvaatimus siltä osin kuin kyberturvallisuussertifikaatti tai vaatimustenmukaisuusilmoitus tai niiden osat kattavat kyseisen kyberturvallisuusvaatimuksen, sanotun kuitenkaan rajoittamatta tässä asetuksessa vahvistettujen vakautta ja tarkkuutta koskevien vaatimusten soveltamista. Tällä ei rajoiteta kyseisen kyberturvallisuusjärjestelmän vapaaehtoista luonnetta.
(122)
Il convient que, sans préjudice de l’utilisation de normes harmonisées et de spécifications communes, les fournisseurs d’un système d’IA à haut risque qui a été entraîné et testé avec des données reflétant le cadre géographique, comportemental, contextuel ou fonctionnel spécifique dans lequel il est destiné à être utilisé soient présumés comme se conformant à la mesure pertinente prévue au titre de l’exigence en matière de gouvernance des données énoncée dans le présent règlement. Sans préjudice des exigences liées à la robustesse et à l’exactitude énoncées dans le présent règlement, conformément à l’article 54, paragraphe 3, du règlement (UE) 2019/881, les systèmes d’IA à haut risque qui ont été certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma de cybersécurité en vertu dudit règlement et dont les références ont été publiées au Journal officiel de l’Union européenne devraient être présumés conformes aux exigences de cybersécurité du présent règlement dans la mesure où le certificat de cybersécurité ou la déclaration de conformité, ou des parties de ceux-ci, couvrent l’exigence de cybersécurité du présent règlement. Cet aspect demeure sans préjudice du caractère volontaire dudit schéma de cybersécurité.
(123)
Jotta voidaan varmistaa suuririskisten tekoälyjärjestelmien korkea luotettavuus, kyseisille järjestelmille olisi tehtävä vaatimustenmukaisuuden arviointi ennen kuin ne saatetaan markkinoille tai otetaan käyttöön.
(123)
Afin de garantir un niveau élevé de fiabilité des systèmes d’IA à haut risque, ces systèmes devraient être soumis à une évaluation de la conformité avant leur mise sur le marché ou leur mise en service.
(124)
Jotta voidaan minimoida toimijoille aiheutuva rasite ja välttää mahdolliset päällekkäisyydet, tämän asetuksen vaatimusten mukaisuutta on asianmukaista arvioida sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka kuuluvat uuteen lainsäädäntökehykseen perustuvan, voimassa olevan unionin yhdenmukaistamislainsäädännön soveltamisalaan, osana kyseisessä lainsäädännössä jo säädettyä vaatimustenmukaisuuden arviointia. Tämän asetuksen vaatimusten sovellettavuus ei näin ollen saisi vaikuttaa asiaa koskevassa unionin yhdenmukaistamislainsäädännössä säädetyn vaatimustenmukaisuuden arvioinnin erityiseen logiikkaan, menetelmiin tai yleiseen rakenteeseen.
(124)
Afin de réduire au minimum la charge pesant sur les opérateurs et d’éviter les éventuels doubles emplois, la conformité avec les exigences du présent règlement des systèmes d’IA à haut risque liés à des produits couverts par la législation d’harmonisation existante de l’Union fondée sur le nouveau cadre législatif devrait être évaluée dans le cadre de l’évaluation de la conformité déjà prévue en vertu de cette législation. L’applicabilité des exigences du présent règlement ne devrait donc pas avoir d’incidence sur la logique, la méthode ou la structure générale propres à l’évaluation de la conformité au titre de la législation d’harmonisation de l’Union pertinente.
(125)
Kun otetaan huomioon suuririskisten tekoälyjärjestelmien monimutkaisuus ja niihin liittyvät riskit, on tärkeää kehittää riittävä suuririskisten tekoälyjärjestelmien vaatimustenmukaisuuden arviointimenetelmä, johon ilmoitetut laitokset osallistuvat, eli ns. kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi. Kun otetaan huomioon markkinoille saattamista edeltävässä vaiheessa toimivien ammattimaisten sertifioijien tämänhetkinen kokemus tuoteturvallisuuden alalla, ja koska asiaan liittyvät riskit ovat luonteeltaan erilaisia, ainakin tämän asetuksen soveltamisen alkuvaiheessa on kuitenkin asianmukaista rajoittaa kolmannen osapuolen suorittaman vaatimustenmukaisuuden arvioinnin soveltamisalaa muiden kuin tuotteisiin liittyvien suuririskisten tekoälyjärjestelmien osalta. Sen vuoksi tarjoajan olisi pääsääntöisesti suoritettava tällaisten järjestelmien vaatimustenmukaisuuden arviointi omalla vastuullaan, lukuun ottamatta ainoastaan tekoälyjärjestelmiä, joita on tarkoitus käyttää biometriikkaan.
(125)
Compte tenu de la complexité des systèmes d’IA à haut risque et des risques qui y sont associés, il importe d’élaborer une procédure d’évaluation de la conformité adéquat faisant intervenir les organismes notifiés pour ces systèmes, dite «évaluation de conformité par un tiers». Toutefois, étant donné l’expérience actuelle des organismes professionnels de certification avant mise sur le marché dans le domaine de la sécurité des produits et de la nature différente des risques encourus, il convient de limiter, au moins dans une phase initiale d’application du présent règlement, le champ d’application des évaluations de la conformité réalisées par un tiers aux systèmes d’IA à haut risque autres que ceux liés à des produits. Par conséquent, l’évaluation de la conformité de ces systèmes devrait en règle générale être réalisée par le fournisseur sous sa propre responsabilité, à la seule exception des systèmes d’IA destinés à être utilisés à des fins de biométrie.
(126)
Jotta kolmannen osapuolen suorittamat vaatimustenmukaisuuden arvioinnit voidaan tarvittaessa toteuttaa, kansallisten toimivaltaisten viranomaisten olisi ilmoitettava tämän asetuksen nojalla ilmoitetut laitokset edellyttäen, että ne täyttävät tietyt vaatimukset, jotka koskevat erityisesti riippumattomuutta, pätevyyttä ja eturistiriitojen puuttumista sekä asiaankuuluvia kyberturvallisuusvaatimuksia. Kansallisten toimivaltaisten viranomaisten olisi lähetettävä ilmoitus näistä laitoksista komissiolle ja muille jäsenvaltioille käyttäen sähköistä ilmoitusvälinettä, jonka komissio kehittää ja jota se hallinnoi päätöksen N:o 768/2008/EY liitteessä I olevan R23 artiklan nojalla.
(126)
Afin de procéder à des évaluations de la conformité par un tiers lorsque cela est nécessaire, les organismes notifiés devraient être notifiés en vertu du présent règlement par les autorités nationales compétentes, sous réserve qu’ils satisfassent à un ensemble d’exigences portant en particulier sur leur indépendance, leur compétence, l’absence de conflits d’intérêts et les exigences appropriées en matière de cybersécurité. La notification de ces organismes devrait être envoyée par les autorités nationales compétentes à la Commission et aux autres États membres à l’aide de l’outil de notification électronique mis au point et géré par la Commission, conformément à l’annexe I, article R23, de la décision no 768/2008/CE.
(127)
Kaupan teknisistä esteistä tehtyyn Maailman kauppajärjestön sopimukseen perustuvien unionin sitoumusten mukaisesti on asianmukaista helpottaa toimivaltaisten vaatimustenmukaisuuden arviointilaitosten tuottamien vaatimustenmukaisuuden arvioinnin tulosten vastavuoroista tunnustamista riippumatta siitä, mille alueelle nämä laitokset ovat sijoittautuneet, edellyttäen että kolmannen maan lainsäädännön mukaisesti perustetut vaatimustenmukaisuuden arviointilaitokset täyttävät tämän asetuksen sovellettavat vaatimukset ja että unioni on tehnyt asiaa koskevan sopimuksen. Tässä yhteydessä komission olisi aktiivisesti tarkasteltava tätä tarkoitusta varten mahdollisia kansainvälisiä välineitä ja erityisesti pyrittävä tekemään vastavuoroista tunnustamista koskevia sopimuksia kolmansien maiden kanssa.
(127)
Conformément aux engagements pris par l’Union au titre de l’accord de l’Organisation mondiale du commerce sur les obstacles techniques au commerce, il convient de faciliter la reconnaissance mutuelle des résultats des évaluations de la conformité produits par les organismes d’évaluation de la conformité compétents, indépendamment du territoire sur lequel ils sont établis, à condition que ces organismes d’évaluation de la conformité établis en vertu du droit d’un pays tiers satisfassent aux exigences applicables en vertu du présent règlement et que l’Union ait conclu un accord en ce sens. Dans ce contexte, la Commission devrait étudier activement d’éventuels instruments internationaux à cette fin et, en particulier, œuvrer à la conclusion d’accords de reconnaissance mutuelle avec des pays tiers.
(128)
Unionin yhdenmukaistamislainsäädännössä säänneltyjä tuotteita koskevan yleisesti vahvistetun merkittävän muutoksen käsitteen mukaisesti on aiheellista, että aina kun tapahtuu muutos, joka voi vaikuttaa siihen, onko suuririskinen tekoälyjärjestelmä tämän asetuksen mukainen (esimerkiksi käyttöjärjestelmän tai ohjelmistoarkkitehtuurin muutos), tai kun järjestelmän käyttötarkoitus muuttuu, kyseinen tekoälyjärjestelmä olisi katsottava uudeksi tekoälyjärjestelmäksi, jolle olisi tehtävä uusi vaatimustenmukaisuuden arviointi. Sellaisten tekoälyjärjestelmien algoritmiin ja suorituskykyyn tehtävien muutosten, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen eli mukauttavat automaattisesti tapaa, jolla toiminnot toteutetaan, ei kuitenkaan pitäisi katsoa muodostavan merkittävää muutosta edellyttäen, että tarjoaja on määritellyt kyseiset muutokset ennalta ja että ne on arvioitu vaatimustenmukaisuuden arvioinnin yhteydessä.
(128)
Conformément à la notion communément établie de modification substantielle pour les produits réglementés par la législation d’harmonisation de l’Union, chaque fois que survient une modification susceptible d’avoir une incidence sur la conformité d’un système d’IA à haut risque avec le présent règlement (par exemple, un changement de système d’exploitation ou d’architecture logicielle) ou que la destination du système change, il convient de considérer ledit système d’IA comme un nouveau système d’IA devant être soumis à nouvelle procédure d’évaluation de la conformité. Cependant, les changements intervenant sur l’algorithme et la performance de systèmes d’IA qui continuent à «apprendre» après avoir été mis sur le marché ou mis en service, à savoir l’adaptation automatique de la façon dont les fonctions sont exécutées, ne devraient pas constituer une modification substantielle, à condition que ces changements aient été prédéterminés par le fournisseur et évalués au moment de l’évaluation de la conformité.
(129)
Suuririskisissä tekoälyjärjestelmissä olisi oltava CE-merkintä, joka osoittaa niiden olevan tämän asetuksen mukaisia, jotta ne voivat liikkua vapaasti sisämarkkinoilla. Tuotteeseen sulautettuihin suuririskisiin tekoälyjärjestelmiin olisi kiinnitettävä fyysinen CE-merkintä, jota voidaan täydentää digitaalisella CE-merkinnällä. Digitaalisessa muodossa tarjottavissa suuririskisissä tekoälyjärjestelmissä olisi käytettävä digitaalista CE-merkintää. Jäsenvaltiot eivät saisi estää perusteettomasti sellaisten suuririskisten tekoälyjärjestelmien markkinoille saattamista tai käyttöön ottamista, jotka ovat tässä asetuksessa vahvistettujen vaatimusten mukaisia ja joissa on CE-merkintä.
(129)
Le marquage «CE» devrait être apposé sur les systèmes d’IA à haut risque pour indiquer leur conformité avec le présent règlement afin qu’ils puissent circuler librement dans le marché intérieur. Pour les systèmes d’IA à haut risque intégrés à un produit, un marquage «CE» physique devrait être apposé, éventuellement complété par un marquage «CE» numérique. Pour les systèmes d’IA à haut risque fournis uniquement sous forme numérique, il convient d’utiliser un marquage «CE» numérique. Les États membres devraient s’abstenir de créer des entraves injustifiées à la mise sur le marché ou à la mise en service de systèmes d’IA à haut risque qui satisfont aux exigences fixées dans le présent règlement et portent le marquage «CE».
(130)
Tietyissä olosuhteissa innovatiivisten teknologioiden nopea saatavuus voi olla ratkaisevan tärkeää ihmisten terveyden ja turvallisuuden, ympäristönsuojelun, ilmastonmuutoksen torjunnan sekä koko yhteiskunnan kannalta. Siksi on asianmukaista, että yleiseen turvallisuuteen tai luonnollisten henkilöiden elämän ja terveyden suojeluun, ympäristönsuojeluun sekä keskeisten teollisten resurssien ja infrastruktuurien suojaamiseen liittyvistä poikkeuksellisista syistä markkinavalvontaviranomaiset voisivat sallia sellaisten tekoälyjärjestelmien markkinoille saattamisen tai käyttöönoton, joille ei ole tehty vaatimustenmukaisuuden arviointia. Tässä asetuksessa säädetyissä asianmukaisesti perustelluissa tilanteissa lainvalvontaviranomaiset tai pelastuspalveluviranomaiset voivat ottaa käyttöön tietyn suuririskisen tekoälyjärjestelmän ilman markkinavalvontaviranomaisen lupaa edellyttäen, että tällainen lupa pyydetään ilman aiheetonta viivytystä tekoälyjärjestelmän käytön aikana tai sen jälkeen.
(130)
Dans certaines conditions, la disponibilité rapide de technologies innovantes peut être cruciale pour la santé et la sécurité des personnes, pour la protection de l’environnement et la lutte contre le changement climatique et pour la société dans son ensemble. Il convient donc que, pour des motifs exceptionnels liés à la sécurité publique ou à la protection de la vie et de la santé des personnes physiques, à la protection de l’environnement et à la protection d’actifs industriels et d’infrastructures d’importance majeure, les autorités de surveillance du marché puissent autoriser la mise sur le marché ou la mise en service de systèmes d’IA qui n’ont pas fait l’objet d’une évaluation de la conformité. Dans des situations dûment justifiées, prévues dans le présent règlement, les autorités répressives ou les autorités de protection civile peuvent mettre en service un système d’IA à haut risque spécifique sans avoir obtenu l’autorisation de l’autorité de surveillance du marché, à condition que cette autorisation soit demandée sans retard injustifié pendant ou après l’utilisation.
(131)
Jotta helpotettaisiin komission ja jäsenvaltioiden työtä tekoälyn alalla ja lisättäisiin avoimuutta yleisöön nähden, muiden kuin asiaa koskevan unionin voimassa olevan yhdenmukaistamislainsäädännön soveltamisalaan kuuluviin tuotteisiin liittyvien suuririskisten tekoälyjärjestelmien tarjoajia sekä tarjoajia, jotka katsovat, että tämän asetuksen liitteessä esitetyissä suuririskisen käytön tapauksissa lueteltu suuririskinen tekoälyjärjestelmä ei ole suuririskinen poikkeuksen perusteella, olisi vaadittava rekisteröimään itsensä ja tiedot tekoälyjärjestelmästään EU:n tietokantaan, jonka komissio perustaa ja jota se hallinnoi. Ennen tämän asetuksen liitteessä esitetyissä suuririskisen käytön tapauksissa luetellun tekoälyjärjestelmän käyttöä suuririskisten tekoälyjärjestelmien käyttöönottajien, jotka ovat viranomaisia, virastoja tai elimiä, olisi rekisteröidyttävä vastaavaan tietokantaan ja valittava järjestelmä, jota ne aikovat käyttää. Muilla käyttöönottajilla olisi oltava oikeus rekisteröityä vapaaehtoisesti. EU:n tietokannan tämän osion olisi oltava julkisesti ja maksutta saatavilla, ja tietojen olisi oltava helposti selattavia, ymmärrettäviä ja koneellisesti luettavia. EU:n tietokannan olisi myös oltava käyttäjäystävällinen, ja siinä olisi esimerkiksi oltava muun muassa avainsanoihin perustuva hakutoiminto, jonka avulla yleisö voi löytää asiaankuuluvia tietoja, jotka on toimitettava suuririskisten tekoälyjärjestelmien rekisteröinnin yhteydessä, ja niiden suuririskisten tekoälyjärjestelmien käytön tapauksia koskevia tietoja, jotka sisältyvät tämän asetuksen suuririskisiä tekoälyjärjestelmiä koskevaan liitteeseen. Myös kaikki suuririskisiin tekoälyjärjestelmiin tehtävät merkittävät muutokset olisi rekisteröitävä EU:n tietokantaan. Lainvalvonnan, muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan alan suuririskisiä tekoälyjärjestelmiä koskevat rekisteröintivelvoitteet olisi täytettävä EU:n tietokannan suojatussa ei-julkisessa osiossa. Pääsy suojattuun ei-julkiseen osioon olisi rajattava tiukasti niin, että se annetaan vain komissiolle sekä markkinavalvontaviranomaisille tietokannan kansallisen osion osalta. Kriittisen infrastruktuurin alan suuririskiset tekoälyjärjestelmät olisi rekisteröitävä ainoastaan kansallisella tasolla. Komission olisi oltava EU:n tietokannan rekisterinpitäjä asetuksen (EU) 2018/1725 mukaisesti. Jotta EU:n tietokanta olisi täysin toimintavalmis, kun se otetaan käyttöön, sen perustamismenettelyyn olisi sisällyttävä komission laatimat toiminnalliset eritelmät ja riippumaton auditointiraportti. Komission olisi otettava huomioon kyberturvallisuusriskit suorittaessaan tehtäviään EU:n tietokannan rekisterinpitäjänä. Jotta voitaisiin maksimoida EU:n tietokannan saatavuus ja käyttö yleisön keskuudessa, EU:n tietokannan ja sen kautta saataville asetettujen tietojen olisi oltava direktiivin (EU) 2019/882 vaatimusten mukaisia.
(131)
Afin de faciliter les travaux de la Commission et des États membres dans le domaine de l’IA et d’accroître la transparence à l’égard du public, les fournisseurs de systèmes d’IA à haut risque autres que ceux liés à des produits relevant du champ d’application de la législation d’harmonisation existante de l’Union en la matière, ainsi que les fournisseurs qui considèrent qu’un système d’IA inscrit sur la liste des cas d’utilisation à haut risque dans une annexe du présent règlement n’est pas à haut risque sur la base d’une dérogation, devraient être tenus de s’enregistrer eux-mêmes et d’enregistrer les informations relatives à leur système d’IA dans une base de données de l’UE, qui sera établie et gérée par la Commission. Avant d’utiliser un système d’IA inscrit sur la liste des cas d’utilisation à haut risque dans une annexe du présent règlement, les déployeurs de systèmes d’IA à haut risque qui sont des autorités, des agences ou des organismes publics devraient s’enregistrer dans une telle base de données et sélectionner le système qu’ils envisagent d’utiliser. Les autres déployeurs devraient être autorisés à le faire volontairement. Cette section de la base de données de l’UE devrait être accessible au public sans frais, et les informations qu’elle contient devraient être consultables grâce à une navigation aisée et être facilement compréhensibles et lisibles par machine. La base de données de l’UE devrait également être conviviale, par exemple en offrant des fonctionnalités de recherche, y compris par mots-clés, afin de permettre au grand public de trouver les informations pertinentes devant être transmises au moment de l’enregistrement des systèmes d’IA à haut risque et les informations sur le cas d’utilisation de systèmes d’IA à haut risque, énoncés dans une annexe du présent règlement, auquel les systèmes d’IA à haut risque correspondent. Toute modification substantielle de systèmes d’IA à haut risque devrait également être enregistrée dans la base de données de l’UE. En ce qui concerne les systèmes d’IA à haut risque dans les domaines des activités répressives, de la migration, de l’asile et de la gestion des contrôles aux frontières, les obligations en matière d’enregistrement devraient être remplies dans une section non publique sécurisée de la base de données de l’UE. L’accès à la section non publique sécurisée devrait être strictement réservé à la Commission, ainsi qu’aux autorités de surveillance du marché pour ce qui est de la section nationale de cette base de données les concernant. Les systèmes d’IA à haut risque dans le domaine des infrastructures critiques ne devraient être enregistrés qu’au niveau national. La Commission devrait faire fonction de responsable du traitement pour la base de données de l’UE, conformément au règlement (UE) 2018/1725. Afin de garantir que la base de données de l’UE soit pleinement opérationnelle une fois déployée, la procédure de création de la base de données devrait prévoir le développement de spécifications fonctionnelles par la Commission et un rapport d’audit indépendant. La Commission devrait tenir compte des risques liés à la cybersécurité dans l’accomplissement de ses missions en tant que responsable du traitement des données dans la base de données de l’UE. Afin de maximiser la disponibilité et l’utilisation de la base de données de l’UE, y compris les informations mises à disposition par son intermédiaire, la base de données de l’UE devrait être conforme aux exigences prévues par la directive (UE) 2019/882.
(132)
Tietyt tekoälyjärjestelmät, jotka on tarkoitettu toimimaan vuorovaikutuksessa luonnollisten henkilöiden kanssa tai tuottamaan sisältöä, voivat aiheuttaa erityisiä toisena henkilönä esiintymiseen tai harhaanjohtamiseen liittyviä riskejä riippumatta siitä, luokitellaanko ne suuririskisiksi vai ei. Siksi näiden järjestelmien käyttöön olisi tietyissä olosuhteissa sovellettava erityisiä avoimuusvelvoitteita, sanotun kuitenkaan rajoittamatta suuririskisiä tekoälyjärjestelmiä koskevien vaatimusten ja velvoitteiden soveltamista ja lukuun ottamatta kohdennettuja poikkeuksia lainvalvonnan erityistarpeiden huomioon ottamiseksi. Luonnollisille henkilöille olisi erityisesti ilmoitettava, että he ovat vuorovaikutuksessa tekoälyjärjestelmän kanssa, ellei tämä ole ilmeistä sellaisen luonnollisen henkilön näkökulmasta, joka on suhteellisen valistunut, tarkkaavainen ja huolellinen ottaen huomioon käytön olosuhteet ja asiayhteys. Kyseistä velvoitetta täytäntöön pantaessa olisi otettava huomioon ikänsä tai vammaisuutensa vuoksi haavoittuvassa asemassa oleviin ryhmiin kuuluvien luonnollisten henkilöiden ominaisuuspiirteet siltä osin kuin tekoälyjärjestelmä on tarkoitettu vuorovaikutukseen myös kyseisten ryhmien kanssa. Lisäksi luonnollisille henkilöille olisi ilmoitettava, jos he altistuvat tekoälyjärjestelmille, jotka pystyvät tunnistamaan tai päättelemään näiden henkilöiden tunteet tai aikomukset taikka luokittelemaan heidät tiettyihin ryhmiin, kun ne käsittelevät heidän biometrisiä tietojaan. Tällaiset ryhmät voivat määräytyä esimerkiksi sukupuolen, iän, hiustenvärin, silmien värin, tatuointien, persoonallisuuspiirteiden, etnisen alkuperän, henkilökohtaisten mieltymysten ja kiinnostuksen kohteiden perusteella. Kyseiset tiedot ja ilmoitukset olisi annettava vammaisille henkilöille soveltuvassa muodossa.
(132)
Certains systèmes d’IA destinés à interagir avec des personnes physiques ou à générer du contenu peuvent présenter des risques spécifiques d’usurpation d’identité ou de tromperie, qu’ils soient ou non considérés comme étant à haut risque. Dans certaines circonstances, l’utilisation de ces systèmes devrait donc être soumise à des obligations de transparence spécifiques sans préjudice des exigences et obligations relatives aux systèmes d’IA à haut risque et sous réserve d’exemptions ciblées destinées à tenir compte des besoins spécifiques des activités répressives. En particulier, les personnes physiques devraient être avisées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation. Lors de la mise en œuvre de cette obligation, les caractéristiques des personnes physiques appartenant à des groupes vulnérables en raison de leur âge ou d’un handicap devraient être prises en compte dans la mesure où le système d’IA est destiné à interagir également avec ces groupes. En outre, les personnes physiques devraient être mises au courant lorsqu’elles sont exposées à des systèmes d’IA qui, en traitant leurs données biométriques, peuvent identifier ou déduire les émotions ou intentions de ces personnes ou les affecter à des catégories spécifiques. Ces catégories spécifiques peuvent avoir trait à des aspects tels que le sexe, l’âge, la couleur des cheveux, la couleur des yeux, les tatouages, les traits personnels, l’origine ethnique, les préférences et les intérêts personnels. Ces informations et notifications devraient être fournies dans des formats accessibles aux personnes handicapées.
(133)
Useat eri tekoälyjärjestelmät voivat tuottaa suuria määriä synteettistä sisältöä, jota on yhä vaikeampi erottaa ihmisen tuottamasta aidosta sisällöstä. Näiden järjestelmien laaja saatavuus ja suorituskyvyn jatkuva kehittyminen vaikuttavat merkittävästi tietoekosysteemin eheyteen ja luotettavuuteen ja synnyttävät uusia riskejä, jotka liittyvät laajamittaiseen väärän tiedon levittämiseen ja tiedonmanipulointiin, petoksiin, toisena henkilönä esiintymiseen ja kuluttajien harhaanjohtamiseen. Kun otetaan huomioon nämä vaikutukset, teknologian nopea kehitys ja tarve kehittää uusia menetelmiä ja tekniikoita tiedon alkuperän jäljittämiseksi, on aiheellista edellyttää, että näiden järjestelmien tarjoajat sulauttavat niihin ratkaisuja, joilla tuotokset voidaan merkitä koneellisesti luettavassa muodossa ja joilla ne voidaan tunnistaa ihmisen sijasta tekoälyn tuottamiksi tai käsittelemiksi. Tällaisten tekniikoiden ja menetelmien olisi oltava riittävän luotettavia, yhteentoimivia, tehokkaita ja luotettavia siinä määrin kuin se on teknisesti mahdollista ottaen huomioon käytettävissä olevat tekniikat ja niiden yhdistelmät, kuten tarpeen mukaan vesileimat, metatietojen tunnistaminen, salausmenetelmät sisällön alkuperän ja aitouden osoittamiseksi, lokikirjausmenetelmät, sormenjäljet tai muut tekniikat. Tätä velvoitetta täyttäessään tarjoajien olisi lisäksi otettava huomioon eri sisältötyyppien ominaispiirteet ja rajoitukset sekä alan teknologian ja markkinoiden merkityksellinen kehitys, jota ilmentää yleisesti tunnustettu alan viimeisin kehitystaso. Nämä tekniikat ja menetelmät voidaan panna täytäntöön tekoälyjärjestelmä- tai tekoälymallitasolla, mukaan lukien sisältöä tuottavat yleiskäyttöiset tekoälymallit, mikä auttaa tekoälyjärjestelmän ketjun loppupään tarjoajia täyttämään tämän velvoitteen. Oikeasuhteisuuden säilyttämiseksi on aiheellista säätää, ettei tämän merkintävelvoitteen pitäisi kattaa tekoälyjärjestelmiä, jotka ensisijaisesti avustavat vakiomuokkaamista tai eivät olennaisesti muuta käyttöönottajan toimittamaa syöttödataa tai sen semantiikkaa.
(133)
Divers systèmes d’IA peuvent générer de grandes quantités de contenu de synthèse qu’il devient de plus en plus difficile pour les êtres humains de distinguer du contenu authentique généré par des humains. La large disponibilité et les capacités croissantes de ces systèmes ont des conséquences importantes sur l’intégrité de l’écosystème informationnel et la confiance en celui-ci, ce qui pose de nouveaux risques de désinformation et de manipulation à grande échelle, de fraude, d’usurpation d’identité et de tromperie des consommateurs. Compte tenu de ces effets, du rythme rapide de l’évolution technologique et de la nécessité de nouvelles méthodes et techniques pour déterminer l’origine des informations, il convient d’exiger que les fournisseurs de ces systèmes intègrent des solutions techniques permettant le marquage dans un format lisible par machine et la détection du fait que les sorties ont été générées ou manipulées par un système d’IA, et non par un être humain. De telles techniques et méthodes devraient être aussi fiables, interopérables, efficaces et solides que la technologie le permet, et tenir compte des techniques disponibles ou d’une combinaison de ces techniques, telles que les filigranes, les identifications de métadonnées, les méthodes cryptographiques permettant de prouver la provenance et l’authenticité du contenu, les méthodes d’enregistrement, les empreintes digitales ou d’autres techniques, selon qu’il convient. Lorsqu’ils mettent en œuvre cette obligation, les fournisseurs devraient également tenir compte des spécificités et des limites des différents types de contenu, ainsi que des évolutions technologiques et du marché pertinentes dans le domaine, tels qu’elles ressortent de l’état de la technique généralement reconnu. Ces techniques et méthodes peuvent être mises en œuvre au niveau du système d’IA ou au niveau du modèle d’IA, y compris pour les modèles d’IA à usage général qui génèrent du contenu, ce qui facilitera l’accomplissement de cette obligation par le fournisseur en aval du système d’IA. Dans un souci de proportionnalité, il convient d’envisager que cette obligation de marquage ne s’applique pas aux systèmes d’IA qui remplissent une fonction d’assistance pour la mise en forme standard ou les systèmes d’IA qui ne modifient pas de manière substantielle les données d’entrée fournies par le déployeur ou leur sémantique.
(134)
Tekoälyjärjestelmän tarjoajien käyttämien teknisten ratkaisujen lisäksi sellaisen tekoälyjärjestelmän käyttöönottajien, joka tuottaa tai käsittelee kuva-, ääni- tai videosisältöä, joka selvästi muistuttaa olemassa olevia henkilöitä, esineitä, paikkoja, toimijoita tai tapahtumia ja joka voi ihmisestä vaikuttaa virheellisesti aidolta tai totuudenmukaiselta (syväväärennökset), olisi ilmoitettava selkeästi ja erikseen, että kyseinen sisältö on tuotettu tai käsitelty keinotekoisesti, merkitsemällä tekoälyn tuotos vastaavasti ja ilmoittamalla sen keinotekoinen alkuperä. Tämän avoimuusvelvoitteen noudattamisen ei pitäisi myöskään tulkita merkitsevän sitä, että tekoälyjärjestelmän tai sen tuotoksen käyttö heikentää perusoikeuskirjassa taattuja oikeutta sananvapauteen ja oikeutta taiteen ja tutkimuksen vapauteen, erityisesti jos sisältö on osa selvästi luovaa, satiirista, taiteellista, fiktiivistä tai vastaavaa teosta tai ohjelmaa, edellyttäen että kolmansien osapuolten oikeudet ja vapaudet turvataan asianmukaisesti. Näissä tapauksissa tässä asetuksessa vahvistettu syväväärennöksiä koskeva avoimuusvelvoite rajoittuu tällaisesta tuotetusta tai käsitellystä sisällöstä ilmoittamiseen asianmukaisesti tavalla, joka ei haittaa teoksen esittämistä tai sen käyttöä, mukaan lukien sen tavanomainen hyödyntäminen ja käyttö, säilyttäen samalla teoksen hyödyllisyys ja laatu. Lisäksi on aiheellista harkita vastaavan ilmoitusvelvollisuuden käyttöönottoa tekoälyn tuottaman tai käsittelemän tekstin osalta siltä osin kuin sen julkaisemisen tarkoituksena on tiedottaa yleisölle yleistä etua koskevista asioista, paitsi jos tekoälyn tuottama sisältö on läpikäynyt ihmisen suorittaman arviointiprosessin tai toimituksellisen valvonnan ja luonnollisella henkilöllä tai oikeushenkilöllä on toimituksellinen vastuu sisällön julkaisemisesta.
(134)
Outre les solutions techniques utilisées par les fournisseurs du système, les déployeurs qui se servent d’un système d’IA pour générer ou manipuler des images ou des contenus audio ou vidéo présentant une ressemblance sensible avec des personnes, des objets, des lieux, des entités ou des événements existants et pouvant être perçu à tort par une personne comme authentiques ou véridiques (hypertrucages), devraient aussi déclarer de manière claire et reconnaissable que le contenu a été créé ou manipulé par une IA en étiquetant les sorties d’IA en conséquence et en mentionnant son origine artificielle. Le respect de cette obligation de transparence ne devrait pas être interprété comme indiquant que l’utilisation du système d’IA ou des sorties qu’il génère entrave le droit à la liberté d’expression et le droit à la liberté des arts et des sciences garantis par la Charte, en particulier lorsque le contenu fait partie d’un travail ou d’un programme manifestement créatif, satirique, artistique; de fiction ou analogue, sous réserve de garanties appropriées pour les droits et libertés de tiers. Dans ces cas, l’obligation de transparence s’appliquant aux hypertrucages au titre du présent règlement se limite à la divulgation de l’existence de tels contenus générés ou manipulés, d’une manière appropriée qui n’entrave pas l’affichage ou la jouissance de l’œuvre, y compris son exploitation et son utilisation normales, tout en préservant l’utilité et la qualité de l’œuvre. En outre, il convient d’envisager une obligation d’information similaire en ce qui concerne le texte généré ou manipulé par l’IA dans la mesure où celui-ci est publié dans le but d’informer le public sur des questions d’intérêt public, à moins que le contenu généré par l’IA n’ait fait l’objet d’un processus d’examen humain ou de contrôle éditorial et qu’une personne physique ou morale assume la responsabilité éditoriale pour la publication du contenu.
(135)
Komissio voi myös kannustaa ja helpottaa käytännesääntöjen laatimista unionin tasolla, jotta voidaan edistää keinotekoisesti tuotetun tai käsitellyn sisällön havaitsemista ja merkitsemistä koskevien velvoitteiden tehokasta täytäntöönpanoa, myös tukea käytännön järjestelyjä, joilla tapauksen mukaan tuodaan havaitsemismekanismit saataville ja helpotetaan yhteistyötä muiden arvoketjun toimijoiden kanssa, levitetään sisältöä tai tarkistetaan sen aitous ja alkuperä, jotta yleisö voi tehokkaasti erottaa tekoälyn tuottaman sisällön muusta sisällöstä, sanotun kuitenkaan vaikuttamatta avoimuusvelvoitteiden pakolliseen luonteeseen ja täyteen sovellettavuuteen.
(135)
Sans préjudice de la nature obligatoire et de la pleine applicabilité des obligations de transparence, la Commission peut également encourager et faciliter l’élaboration de codes de bonne pratique au niveau de l’Union afin de faciliter la mise en œuvre effective des obligations relatives à la détection et à l’étiquetage des contenus générés ou manipulés par une IA, y compris pour favoriser des modalités pratiques visant, selon qu’il convient, à rendre les mécanismes de détection accessibles et à faciliter la coopération avec d’autres acteurs tout au long de la chaîne de valeur, à diffuser les contenus ou à vérifier leur authenticité et leur provenance pour permettre au public de reconnaître efficacement les contenus générés par l’IA.
(136)
Tässä asetuksessa asetetaan tiettyjen tekoälyjärjestelmien tarjoajille ja käyttöönottajille velvoitteita, joiden tarkoituksena on havaita, että näiden järjestelmien tuotokset ovat keinotekoisesti tuotettuja tai käsiteltyjä, ja julkistaa tämä tieto. Nämä velvoitteet ovat erityisen merkityksellisiä asetuksen (EU) 2022/2065 tehokkaan täytäntöönpanon helpottamisen kannalta. Tämä koskee erityisesti erittäin suurten verkkoalustojen tai erittäin suurten verkossa toimivien hakukoneiden tarjoajien velvoitteita tunnistaa ja lieventää systeemisiä riskejä, joita voi aiheutua keinotekoisesti tuotetun tai käsitellyn sisällön levittämisestä, erityisesti myös disinformaatiosta johtuva demokraattisiin prosesseihin, kansalaiskeskusteluun ja vaaliprosesseihin kohdistuvien tosiasiallisten tai ennakoitavien kielteisten vaikutusten riski. Tämän asetuksen mukainen vaatimus merkitä tekoälyjärjestelmien tuottama sisältö ei rajoita asetuksen (EU) 2022/2065 16 artiklan 6 kohdassa säädettyä säilytyspalvelujen tarjoajien velvoitetta käsitellä kyseisen asetuksen 16 artiklan 1 kohdan mukaisesti saamansa ilmoituksia laittomasta sisällöstä, eikä sen pitäisi vaikuttaa tietyn sisällön laittomuudesta tehtävään arviointiin tai päätökseen. Kyseinen arviointi olisi tehtävä yksinomaan sisällön laillisuutta koskevien sääntöjen perusteella.
(136)
Les obligations incombant aux fournisseurs et aux déployeurs de certains systèmes d’IA au titre du présent règlement afin de permettre la détection et la mention du fait que les sorties de ces systèmes sont générées ou manipulées par une IA revêtent une importance particulière pour faciliter la mise en œuvre effective du règlement (UE) 2022/2065. Cela vaut en particulier pour les obligations incombant aux fournisseurs de très grandes plateformes en ligne ou de très grands moteurs de recherche en ligne consistant à recenser et à atténuer les risques systémiques susceptibles de découler de la diffusion de contenus qui ont été générés ou manipulés par une IA, en particulier le risque d’effets négatifs réels ou prévisibles sur les processus démocratiques, le débat public et les processus électoraux, notamment par le biais de la désinformation. L’exigence relative à l’étiquetage des contenus générés par des systèmes d’IA au titre du présent règlement est sans préjudice de l’obligation prévue à l’article 16, paragraphe 6, du règlement (UE) 2022/2065 imposant aux fournisseurs de services d’hébergement de traiter les signalements de contenus illégaux qu’ils reçoivent au titre de l’article 16, paragraphe 1, dudit règlement, et elle ne devrait pas influencer l’évaluation et la décision quant à l’illégalité du contenu en question. Cette évaluation ne devrait être effectuée qu’au regard des règles régissant la légalité du contenu.
(137)
Tämän asetuksen kattamien tekoälyjärjestelmien avoimuusvelvoitteiden noudattamisen ei saisi tulkita merkitsevän sitä, että tekoälyjärjestelmän tai sen tuotoksen käyttö on lainmukaista tämän asetuksen tai muun unionin ja jäsenvaltioiden lainsäädännön nojalla, eikä se saisi rajoittaa muiden unionin tai jäsenvaltioiden lainsäädännössä säädettyjen tekoälyjärjestelmien käyttöönottajia koskevien avoimuusvelvoitteiden soveltamista.
(137)
Le respect des obligations de transparence applicables aux systèmes d’IA relevant du présent règlement ne devrait pas être interprété comme indiquant que l’utilisation du système d’IA ou de ses sorties est licite en vertu du présent règlement ou d’autres actes législatifs de l’Union et des États membres et devrait être sans préjudice d’autres obligations de transparence pour les déployeurs de systèmes d’IA prévues par le droit de l’Union ou le droit national.
(138)
Tekoäly on nopeasti kehittyvä teknologiakokonaisuus, joka edellyttää viranomaisvalvontaa sekä turvallista ja valvottua tilaa kokeiluille samalla kun varmistetaan vastuullinen innovointi ja asianmukaisten takeiden ja riskinvähentämistoimenpiteiden integrointi. Jotta voidaan varmistaa innovointia edistävä, tulevaisuuden vaatimukset huomioon ottava ja häiriönsietokykyinen oikeudellinen kehys, jäsenvaltioiden olisi varmistettava, että niiden toimivaltaiset kansalliset viranomaiset perustavat ainakin yhden tekoälyn sääntelyn kansallisen tason testiympäristön, jolla helpotetaan innovatiivisten tekoälyjärjestelmien kehittämistä ja testausta tiukassa viranomaisvalvonnassa, ennen kuin nämä järjestelmät saatetaan markkinoille tai otetaan muulla tavoin käyttöön. Jäsenvaltiot voisivat täyttää tämän velvoitteen myös osallistumalla jo olemassa oleviin sääntelyn testiympäristöihin tai perustamalla testiympäristön yhdessä yhden tai useamman jäsenvaltion toimivaltaisten viranomaisten kanssa, jos osallistuminen tarjoaa osallistuville jäsenvaltioille vastaavan kansallisen kattavuuden. Tekoälyn sääntelyn testiympäristöjä voitaisiin perustaa fyysisessä, digitaalisessa tai hybridimuodossa, ja niissä voitaisiin testata sekä fyysisiä että digitaalisia tuotteita. Perustajaviranomaisten olisi myös varmistettava, että tekoälyn sääntelyn testiympäristöillä on toimintansa edellyttämät riittävät resurssit, mukaan lukien taloudelliset ja henkilöresurssit.
(138)
L’IA est une famille de technologies en évolution rapide qui nécessite la mise en place d’un contrôle réglementaire et d’un espace sûr et contrôlé pour l’expérimentation, garantissant également une innovation responsable et l’intégration de garanties et de mesures d’atténuation des risques appropriées. Pour garantir un cadre juridique favorable à l’innovation, à l’épreuve du temps et résilient face aux perturbations, les États membres devraient veiller à ce que leurs autorités nationales compétentes mettent en place au moins un bac à sable réglementaire de l’IA au niveau national pour faciliter le développement et la mise à l’essai de systèmes d’IA innovants sous un contrôle réglementaire strict avant que ces systèmes ne soient mis sur le marché ou mis en service d’une autre manière. Les États membres pourraient également satisfaire à cette obligation en participant à des bacs à sable réglementaires déjà existants ou en établissant conjointement un bac à sable avec les autorités compétentes d’un ou de plusieurs États membres, pour autant que cette participation offre un niveau de couverture nationale équivalent pour les États membres participants. Les bacs à sable réglementaires de l’IA pourraient être mis en place sous forme physique, numérique ou hybride et admettre des produits tant physiques que numériques. Les autorités chargées de les mettre en place devraient également veiller à ce que les bacs à sable réglementaires de l’IA disposent des ressources appropriées pour assurer leur fonctionnement, y compris les ressources financières et humaines.
(139)
Tekoälyn sääntelyn testiympäristöjen tavoitteena olisi oltava edistää tekoälyyn liittyvää innovointia luomalla hallittu kokeilu- ja testausympäristö kehitysvaiheessa ja markkinoille saattamista edeltävässä vaiheessa, jotta voidaan varmistaa, että innovatiiviset tekoälyjärjestelmät ovat tämän asetuksen ja muun asiaankuuluvan unionin ja jäsenvaltioiden lainsäädännön mukaisia. Lisäksi tekoälyn sääntelyn testiympäristöillä olisi pyrittävä parantamaan innovoijien oikeusvarmuutta ja toimivaltaisten viranomaisten valvontaa sekä ymmärrystä tekoälyn käytön mahdollisuuksista, kehittyvistä riskeistä ja vaikutuksista, helpotettava viranomaisten ja yritysten sääntelyyn liittyvää oppimista, myös oikeudellisen kehyksen tulevia mukautuksia silmällä pitäen, tuettava yhteistyötä ja parhaiden käytäntöjen jakamista tekoälyn sääntelyn testiympäristöön osallistuvien viranomaisten kanssa sekä nopeutettava markkinoille pääsyä muun muassa poistamalla esteitä pk-yrityksiltä, myös startup-yrityksiltä. Tekoälyn sääntelyn testiympäristöjä olisi oltava laajalti käytettävissä kaikkialla unionissa, ja erityistä huomiota olisi kiinnitettävä siihen, että ne ovat pk-yritysten, myös startup-yritysten, saatavilla. Tekoälyn sääntelyn testiympäristöön osallistumisessa olisi painotettava kysymyksiä, jotka aiheuttavat tarjoajille ja mahdollisille tarjoajille oikeudellista epävarmuutta, joka liittyy innovointiin, tekoälyn kokeiluun unionissa ja näyttöön perustuvan sääntelyyn liittyvän oppimisen edistämiseen. Tekoälyjärjestelmien valvonnan tekoälyn sääntelyn testiympäristössä olisi näin ollen katettava järjestelmien kehittäminen, koulutus, testaus ja validointi ennen kuin ne saatetaan markkinoille tai otetaan käyttöön sekä sellaisen merkittävän muutoksen käsite ja esiintyminen, joka saattaa edellyttää uutta vaatimustenmukaisuuden arviointia. Tällaisten tekoälyjärjestelmien kehittämisen ja testauksen aikana havaittuja merkittäviä riskejä olisi vähennettävä asianmukaisesti, ja jos se ei ole mahdollista, kehittämis- ja testausprosessi olisi keskeytettävä. Tekoälyn sääntelyn testiympäristöjä perustavien kansallisten toimivaltaisten viranomaisten olisi tarvittaessa tehtävä yhteistyötä muiden asiaankuuluvien viranomaisten kanssa, mukaan lukien perusoikeuksien suojelua valvovat viranomaiset, ja ne voisivat sallia myös muiden toimijoiden, joita voisivat olla kansalliset ja eurooppalaiset standardointijärjestöt, ilmoitetut laitokset, testaus- ja kokeilulaitokset, tutkimus- ja kokeilulaboratoriot, eurooppalaiset digitaali-innovointikeskittymät ja asiaankuuluvat sidosryhmien ja kansalaisyhteiskunnan organisaatiot, osallistumisen tekoälyekosysteemiin. Yhdenmukaisen täytäntöönpanon varmistamiseksi koko unionissa ja mittakaavaetujen saavuttamiseksi on aiheellista vahvistaa yhteiset säännöt tekoälyn sääntelyn testiympäristöjen toteuttamiselle ja puitteet testiympäristöjen valvontaan osallistuvien asiaankuuluvien viranomaisten väliselle yhteistyölle. Tämän asetuksen nojalla perustetuilla tekoälyn sääntelyn testiympäristöillä ei saisi rajoittaa muun sellaisen lainsäädännön soveltamista, jonka nojalla voidaan perustaa testiympäristöjä, joiden tavoitteena on varmistaa muun lainsäädännön kuin tämän asetuksen noudattaminen. Kyseisistä muista sääntelyn testiympäristöistä vastaavien asiaankuuluvien toimivaltaisten viranomaisten olisi tarvittaessa otettava huomioon hyödyt, joita saadaan myös näiden testiympäristöjen käyttämisestä sen varmistamiseen, että tekoälyjärjestelmät ovat tämän asetuksen mukaisia. Kansallisten toimivaltaisten viranomaisten ja tekoälyn sääntelyn testiympäristöön osallistujien niin sopiessa tosielämän olosuhteissa tapahtuvaa testausta voidaan toteuttaa ja valvoa myös tekoälyn sääntelyn testiympäristön kehyksessä.
(139)
Les bacs à sable réglementaires de l’IA devraient avoir pour objectif de favoriser l’innovation dans le domaine de l’IA en créant un environnement contrôlé d’expérimentation et d’essai au stade du développement et de la précommercialisation afin de garantir la conformité des systèmes d’IA innovants avec le présent règlement et d’autres dispositions pertinentes du droit de l’Union et du droit national. De plus, les bacs à sable réglementaires de l’IA devraient viser à renforcer la sécurité juridique pour les innovateurs ainsi que le contrôle et la compréhension, par les autorités compétentes, des possibilités, des risques émergents et des conséquences de l’utilisation de l’IA, de faciliter l’apprentissage réglementaire pour les autorités et les entreprises, y compris en vue d’ajustements futurs du cadre juridique, de soutenir la coopération et l’échange de bonnes pratiques avec les autorités participant au bac à sable réglementaire de l’IA, et d’accélérer l’accès aux marchés, notamment en supprimant les obstacles pour les PME, y compris les jeunes pousses. Les bacs à sable réglementaires de l’IA devraient être largement disponibles dans toute l’Union, et il convient de prêter une attention particulière à leur accessibilité pour les PME, y compris les jeunes pousses. La participation au bac à sable réglementaire de l’IA devrait se concentrer sur les questions qui créent une insécurité juridique pour les fournisseurs et les fournisseurs potentiels avant d’innover, d’expérimenter l’IA dans l’Union et de contribuer à un apprentissage réglementaire fondé sur des données probantes. La surveillance des systèmes d’IA dans le bac à sable réglementaire de l’IA devrait donc porter sur leur développement, leur entraînement, leur mise à l’essai et leur validation avant que les systèmes ne soient mis sur le marché ou mis en service, ainsi que sur la notion et la survenance de modifications substantielles susceptibles de nécessiter une nouvelle procédure d’évaluation de la conformité. Tout risque important recensé lors du développement et de la mise à l’essai de ces systèmes d’IA devrait donner lieu à des mesures d’atténuation adéquates et, à défaut, à la suspension du processus de développement et d’essai. Au besoin, les autorités nationales compétentes mettant en place des bacs à sable réglementaires de l’IA devraient coopérer avec d’autres autorités concernées, y compris celles qui supervisent la protection des droits fondamentaux, et pourraient permettre la participation d’autres acteurs de l’écosystème de l’IA, tels que les organisations nationales ou européennes de normalisation, les organismes notifiés, les installations d’essai et d’expérimentation, les laboratoires de recherche et d’expérimentation, les pôles européens d’innovation numérique, ainsi que les parties prenantes et les organisations de la société civile concernées. Pour assurer une mise en œuvre uniforme dans toute l’Union et des économies d’échelle, il convient d’établir des règles communes pour la mise en place des bacs à sable réglementaires de l’IA ainsi qu’un cadre de coopération entre les autorités compétentes intervenant dans la surveillance des bacs à sable. Les bacs à sable réglementaires de l’IA établis en vertu du présent règlement devraient être sans préjudice d’autres actes législatifs autorisant la création d’autres bacs à sable en vue de garantir le respect de dispositions de droit autres que le présent règlement. Le cas échéant, les autorités compétentes concernées chargées de ces autres bacs à sable réglementaires devraient prendre en considération les avantages de l’utilisation de ces bacs à sable également aux fins d’assurer la conformité des systèmes d’IA avec le présent règlement. Sous réserve d’un accord entre les autorités nationales compétentes et les participants au bac à sable réglementaire de l’IA, il peut également être procédé à des essais en conditions réelles supervisés dans le cadre du bac à sable réglementaire de l’IA.
(140)
Tämän asetuksen olisi muodostettava oikeusperusta tekoälyn sääntelyn testiympäristöön osallistuvia tarjoajia ja mahdollisia tarjoajia varten, jotta ne voivat käyttää muihin tarkoituksiin kerättyjä henkilötietoja tiettyjen yleisen edun mukaisten tekoälyjärjestelmien kehittämiseen tekoälyn sääntelyn testiympäristössä ainoastaan tietyin edellytyksin, asetuksen (EU) 2016/679 6 artiklan 4 kohdan ja 9 artiklan 2 kohdan g alakohdan ja asetuksen (EU) 2018/1725 5, 6 ja 10 artiklan mukaisesti ja rajoittamatta direktiivin (EU) 2016/680 4 artiklan 2 kohdan ja 10 artiklan soveltamista. Kaikkia muita asetusten (EU) 2016/679 ja (EU) 2018/1725 ja direktiivin (EU) 2016/680 mukaisia rekisterinpitäjien velvoitteita ja rekisteröityjen oikeuksia sovelletaan edelleen. Erityisesti on huomattava, ettei tämän asetuksen ole tarkoitus muodostaa asetuksen (EU) 2016/679 22 artiklan 2 kohdan b alakohdassa ja asetuksen (EU) 2018/1725 24 artiklan 2 kohdan b alakohdassa tarkoitettua oikeusperustaa. Tekoälyn sääntelyn testiympäristöön osallistuvien tarjoajien ja mahdollisten tarjoajien olisi varmistettava asianmukaiset takeet ja tehtävä yhteistyötä toimivaltaisten viranomaisten kanssa muun muassa noudattamalla niiden ohjeita ja toimimalla nopeasti ja vilpittömästi lieventääkseen asianmukaisesti mahdollisia havaittuja turvallisuuteen, terveyteen ja perusoikeuksiin kohdistuvia merkittäviä riskejä, joita voi syntyä kyseisessä testiympäristössä tapahtuvan kehittämisen, testauksen ja kokeilun aikana.
(140)
Le présent règlement devrait constituer la base juridique pour l’utilisation, par les fournisseurs et fournisseurs potentiels du bac à sable réglementaire de l’IA, des données à caractère personnel collectées à d’autres fins pour le développement de certains systèmes d’IA d’intérêt public dans le cadre du bac à sable réglementaire de l’IA, uniquement dans des conditions déterminées, conformément à l’article 6, paragraphe 4, et à l’article 9, paragraphe 2, point g), du règlement (UE) 2016/679 et aux articles 5, 6 et 10 du règlement (UE) 2018/1725, et sans préjudice de l’article 4, paragraphe 2, et de l’article 10 de la directive (UE) 2016/680. Toutes les autres obligations des responsables du traitement et tous les autres droits des personnes concernées en vertu des règlements (UE) 2016/679 et (UE) 2018/1725 et de la directive (UE) 2016/680 restent applicables. En particulier, le présent règlement ne devrait pas constituer une base juridique au sens de l’article 22, paragraphe 2, point b), du règlement (UE) 2016/679 et de l’article 24, paragraphe 2, point b), du règlement (UE) 2018/1725. Les fournisseurs et fournisseurs potentiels participant au bac à sable réglementaire de l’IA devraient prévoir des garanties appropriées et coopérer avec les autorités compétentes, notamment en suivant leurs orientations et en agissant rapidement et de bonne foi pour atténuer adéquatement tout risque important recensé pour la sécurité, la santé et les droits fondamentaux susceptible de survenir au cours du développement, de la mise à l’essai et de l’expérimentation dans ledit bac à sable.
(141)
Jotta voidaan nopeuttaa tämän asetuksen liitteessä lueteltujen suuririskisten tekoälyjärjestelmien kehittämis- ja markkinoille saattamisprosessia, on tärkeää, että tällaisten järjestelmien tarjoajat tai mahdolliset tarjoajat voivat hyötyä myös erityisestä järjestelystä, jossa ne voivat testata näitä järjestelmiä todellisissa olosuhteissa osallistumatta tekoälyn sääntelyn testiympäristöön. Tällaisissa tapauksissa, ottaen huomioon tällaisen testauksen mahdolliset vaikutukset henkilöihin, olisi kuitenkin varmistettava, että tällä asetuksella otetaan käyttöön tarjoajia tai mahdollisia tarjoajia koskevat asianmukaiset ja riittävät takeet ja edellytykset. Näihin takeisiin olisi sisällyttävä muun muassa tietoon perustuvan suostumuksen pyytäminen luonnollisilta henkilöiltä tosielämän olosuhteissa tapahtuvaan testaukseen osallistumiseksi, lukuun ottamatta lainvalvontaa, jossa tietoon perustuvan suostumuksen pyytäminen estäisi tekoälyjärjestelmän testaamisen. Osallistujien antama suostumus tällaiseen testaukseen osallistumisesta tämän asetuksen nojalla on eri kuin rekisteröityjen antama suostumus henkilötietojensa käsittelyyn asiaankuuluvan tietosuojalain nojalla eikä se vaikuta viimeksi mainittuun suostumukseen. Lisäksi on tärkeää minimoida riskit ja mahdollistaa toimivaltaisten viranomaisten suorittama valvonta. Tästä syystä on vaadittava, että mahdolliset tarjoajat toimittavat toimivaltaiselle markkinavalvontaviranomaiselle suunnitelman todellisissa olosuhteissa toteutettavasta testauksesta, rekisteröivät testauksen EU:n tietokannan asiaankuuluviin osioihin joitakin rajoitettuja poikkeuksia lukuun ottamatta, rajaavat ajanjakson, jonka kuluessa testaus voidaan suorittaa, ja edellyttävät lisätakeita sellaisten henkilöiden osalta, jotka kuuluvat tiettyyn haavoittuvassa asemassa olevaan ryhmään, ja kirjallisen sopimuksen, jossa määritellään mahdollisten tarjoajien ja käyttöönottajien tehtävät ja vastuut ja todellisissa olosuhteissa toteutettavaan testaukseen osallistuvan pätevän henkilöstön suorittama valvonta. Lisäksi on aiheellista säätää lisätakeista sen varmistamiseksi, että tekoälyjärjestelmän ennusteet, suositukset ja päätökset voidaan tosiasiallisesti peruuttaa ja jättää huomiotta ja että henkilötiedot suojataan ja että ne poistetaan, kun osallistujat ovat peruuttaneet suostumuksensa testaukseen osallistumisesta, sanotun kuitenkaan rajoittamatta heille unionin tietosuojalainsäädännön mukaisesti rekisteröityinä kuuluvia oikeuksia. Tiedonsiirron osalta on aiheellista säätää, että todellisissa olosuhteissa tapahtuvaa testausta varten kerättyjä ja käsiteltyjä tietoja olisi siirrettävä kolmansiin maihin vain, jos siirrossa noudatetaan unionin oikeuden mukaisesti sovellettavia asianmukaisia takeita, erityisesti unionin tietosuojalainsäädännön mukaisten henkilötietojen siirtoa koskevien perustojen mukaisesti, kun taas muiden kuin henkilötietojen osalta on otettava käyttöön asianmukaiset takeet unionin oikeuden, kuten Euroopan parlamentin ja neuvoston asetusten (EU) 2022/868 (42) ja (EU) 2023/2854 (43), mukaisesti.
(141)
Afin d’accélérer le processus de développement et la mise sur le marché des systèmes d’IA à haut risque énumérés dans une annexe du présent règlement, il importe que les fournisseurs ou fournisseurs potentiels de ces systèmes puissent également bénéficier d’un régime particulier pour soumettre ces systèmes à des essais en conditions réelles sans participer à un bac à sable réglementaire de l’IA. Toutefois, dans de tels cas, compte tenu des conséquences possibles de ces essais sur des personnes physiques, il convient de veiller à ce que le présent règlement introduise des garanties et des conditions appropriées et suffisantes pour les fournisseurs ou fournisseurs potentiels. Ces garanties devraient comprendre, entre autres, une demande de consentement éclairé de la part des personnes physiques pour participer à des essais en conditions réelles, sauf en ce qui concerne les services répressifs lorsque la recherche d’un consentement éclairé empêcherait que le système d’IA ne soit mis à l’essai. Le consentement des participants à la participation à ces essais au titre du présent règlement est distinct et sans préjudice du consentement des personnes concernées au traitement de leurs données à caractère personnel en vertu de la législation applicable en matière de protection des données. Il importe également important de réduire les risques au minimum et de permettre aux autorités compétentes d’exercer un contrôle et, par conséquent, d’exiger des fournisseurs potentiels qu’ils disposent d’un plan d’essais en conditions réelles présenté à l’autorité de surveillance du marché compétente, d’enregistrer les essais dans des sections spécifiques de la base de données de l’UE, sous réserve de quelques exceptions limitées, de fixer des limitations de la période pendant laquelle les essais peuvent être menés et d’exiger des garanties supplémentaires pour les personnes appartenant à certains groupes vulnérables, ainsi qu’un accord écrit définissant les rôles et les responsabilités des fournisseurs potentiels et des déployeurs et établissant un contrôle effectif par le personnel compétent participant aux essais en conditions réelles. En outre, il convient d’envisager des garanties supplémentaires pour veiller à ce que les prédictions, recommandations ou décisions d’un système d’IA puissent être infirmées et ignorées de manière effective et à ce que les données à caractère personnel soient protégées et supprimées lorsque les personnes concernées ont retiré leur consentement à participer aux essais, sans qu’il soit porté atteinte aux droits dont elles disposent en tant que personnes concernées en vertu du droit de l’Union en matière de protection des données. En ce qui concerne le transfert de données, il convient en outre d’envisager que les données collectées et traitées aux fins des essais en conditions réelles ne soient transférées vers des pays tiers que lorsque des garanties appropriées et applicables en vertu du droit de l’Union sont en place, en particulier conformément aux bases pour le transfert de données à caractère personnel prévues par le droit de l’Union en matière de protection des données, et que des garanties appropriées soient mises en place pour les données à caractère non personnel conformément au droit de l’Union, notamment les règlements (UE) 2022/868 (42) et (UE) 2023/2854 (43) du Parlement européen et du Conseil.
(142)
Jotta voidaan varmistaa, että tekoälyn käyttö johtaa yhteiskunnan ja ympäristön kannalta suotuisiin tuloksiin, jäsenvaltioita kannustetaan tukemaan ja edistämään sellaisten tekoälyratkaisujen tutkimusta ja kehittämistä, joilla tuetaan yhteiskunnan ja ympäristön kannalta suotuisia tuloksia, kuten tekoälypohjaisia ratkaisuja, joilla parannetaan esteettömyyttä vammaisten henkilöiden kannalta, vähennetään sosiaalis-taloudellista eriarvoisuutta tai saavutetaan ympäristötavoitteita, osoittamalla siihen riittävästi resursseja, myös julkista ja unionin rahoitusta, ja ottamalla tässä yhteydessä huomioon erityisesti tällaisiin tavoitteisiin pyrkivät hankkeet, jos se on asianmukaista ja edellyttäen, että ne täyttävät kelpoisuusvaatimukset ja valintaperusteet. Tällaisten hankkeiden olisi perustuttava tekoälyn kehittäjien ja eriarvoisuuteen, syrjimättömyyteen, saavutettavuuteen, kuluttaja-asioihin, ympäristöön ja digitaalisiin oikeuksiin perehtyneiden asiantuntijoiden sekä tiedeyhteisön välisen poikkitieteellisen yhteistyön periaatteeseen.
(142)
Afin de veiller à ce que l’IA engendre des résultats bénéfiques sur le plan social et environnemental, les États membres sont encouragés à soutenir et à promouvoir la recherche et le développement de solutions d’IA propices à tels résultats, telles que des solutions fondées sur l’IA destinées à renforcer l’accessibilité pour les personnes handicapées, à réduire les inégalités socio-économiques ou à atteindre les objectifs environnementaux, en y affectant des ressources suffisantes, y compris des financements publics et de l’Union, et, lorsqu’il convient et pour autant que les critères d’éligibilité et de sélection soient remplis, en envisageant des projets spécifiques qui poursuivent ces objectifs. Ces projets devraient être fondés sur le principe d’une coopération interdisciplinaire entre les développeurs d’IA, les experts en matière d’inégalité et de non-discrimination, d’accessibilité, de droits des consommateurs, de droits environnementaux et numériques, ainsi que les universitaires.
(143)
Innovoinnin edistämiseksi ja suojaamiseksi on tärkeää ottaa erityisesti huomioon pk-yritysten, myös startup-yritysten, intressit tekoälyjärjestelmien tarjoajina ja käyttöönottajina. Tätä varten jäsenvaltioiden olisi kehitettävä kyseisille toimijoille suunnattuja aloitteita, jotka koskevat muun muassa tietämyksen lisäämistä ja tiedotusta. Jäsenvaltioiden olisi annettava niille pk-yrityksille, myös startup-yrityksille, joilla on sääntömääräinen kotipaikka tai sivutoimipiste unionissa, ensisijainen pääsy tekoälyn sääntelyn testiympäristöihin, edellyttäen että ne täyttävät kelpoisuusvaatimukset ja valintaperusteet, mutta jäsenvaltiot eivät saa estää muilta tarjoajilta ja mahdollisilta tarjoajilta pääsyä testiympäristöihin, jos nämä täyttävät samat vaatimukset ja perusteet. Jäsenvaltioiden olisi käytettävä olemassa olevia kanavia ja perustettava tarvittaessa uusia kanavia viestintään pk-yritysten, mukaan lukien startup-yritykset, käyttöönottajat, muut innovoijat ja tarvittaessa paikallisviranomaiset, kanssa, jotta voidaan tukea pk-yrityksiä koko niiden kehityksen ajan antamalla ohjeistusta ja vastaamalla kysymyksiin tämän asetuksen täytäntöönpanosta. Näiden kanavien olisi toimittava tarvittaessa yhteistyössä keskenään synergioiden luomiseksi ja sen varmistamiseksi, että niiden pk-yrityksille, myös startup-yrityksille, ja käyttöönottajille antamat ohjeet ovat yhdenmukaisia. Lisäksi jäsenvaltioiden olisi helpotettava pk-yritysten ja muiden asiaankuuluvien sidosryhmien osallistumista standardien laatimisprosesseihin. Tarjoajina toimivien pk-yritysten, myös startup-yritysten, erityisintressit ja -tarpeet olisi otettava huomioon, kun ilmoitetut laitokset vahvistavat vaatimustenmukaisuuden arvioinnista perittäviä maksuja. Komission olisi arvioitava säännöllisesti sertifioinnista ja vaatimusten noudattamisesta pk-yrityksille, myös startup-yrityksille, aiheutuvia kustannuksia avointen kuulemisten avulla, ja sen olisi pyrittävä alentamaan näitä kustannuksia yhdessä jäsenvaltioiden kanssa. Esimerkiksi pakollisen dokumentaation ja viranomaisviestinnän kääntämisestä voi aiheutua merkittäviä kustannuksia tarjoajille ja muille, etenkin pienemmille toimijoille. Jäsenvaltioiden olisi mahdollisesti varmistettava, että yksi kielistä, jotka ne ovat määrittäneet ja hyväksyneet käytettäväksi asiaankuuluvien tarjoajien dokumentaatiossa ja viestinnässä toimijoiden kanssa, on kieli, jota mahdollisimman monet rajatylittävät käyttöönottajat ymmärtävät. Jotta voidaan vastata pk-yritysten, myös startup-yritysten, erityistarpeisiin, komission olisi tekoälyneuvoston pyynnöstä esitettävä standardoidut mallit tämän asetuksen soveltamisalaan kuuluvia aloja varten. Lisäksi komission olisi täydennettävä jäsenvaltioiden toimia tarjoamalla yhtenäinen tietoalusta, jossa esitetään tätä asetusta koskevia helppokäyttöisiä tietoja kaikille tarjoajille ja käyttöönottajille, järjestämällä asianmukaisia tiedotuskampanjoita tietämyksen lisäämiseksi tästä asetuksesta johtuvista velvoitteista ja arvioimalla ja edistämällä tekoälyjärjestelmiä koskevien julkisten hankintamenettelyjen parhaiden käytäntöjen lähentämistä. Näiden tukitoimien olisi oltava sellaisten keskisuurten yritysten saatavilla, jotka katsottiin viime aikoihin asti komission suosituksen 2003/361/EY (44) liitteessä tarkoitetuiksi pieniksi yrityksiksi, koska tällaisilla uusilla keskisuurilla yrityksillä ei välttämättä aina ole tarvittavia oikeudellisia resursseja ja koulutusta asetuksen asianmukaisen ymmärtämisen ja noudattamisen varmistamiseksi.
(143)
Afin de promouvoir et de protéger l’innovation, il est important que les intérêts des PME, y compris les jeunes pousses, qui sont des fournisseurs ou des déployeurs de systèmes d’IA bénéficient d’une attention particulière. À cette fin, les États membres devraient prendre des initiatives à l’intention de ces opérateurs, notamment en matière de sensibilisation et de communication d’informations. Les États membres devraient fournir aux PME, y compris les jeunes pousses, qui ont leur siège social ou une succursale dans l’Union un accès prioritaire aux bacs à sable réglementaires de l’IA, à condition qu’elles remplissent les conditions d’éligibilité et les critères de sélection et sans exclure que d’autres fournisseurs et fournisseurs potentiels accèdent aux bacs à sable pour autant que les mêmes conditions et critères soient remplis. Les États membres devraient utiliser les canaux de communication existants, et en établissent de nouveaux s’il y a lieu, avec les PME, y compris les jeunes pousses, les déployeurs, d’autres innovateurs et, le cas échéant, les autorités publiques locales afin de soutenir les PME tout au long de leur trajectoire de développement en leur fournissant des orientations et en répondant à leurs questions concernant la mise en œuvre du présent règlement. Le cas échéant, ces canaux devraient collaborer pour créer des synergies et assurer la cohérence des orientations fournies aux PME, y compris les jeunes pousses, et aux déployeurs. En outre, les États membres devraient faciliter la participation des PME et d’autres parties concernées aux processus d’élaboration de la normalisation. Par ailleurs, les intérêts et les besoins spécifiques des fournisseurs qui sont des PME, y compris des jeunes pousses, devraient être pris en considération lorsque les organismes notifiés fixent les redevances d’évaluation de la conformité. La Commission devrait évaluer régulièrement les coûts de certification et de mise en conformité pour les PME, y compris les jeunes pousses, en menant des consultations transparentes, et devrait collaborer avec les États membres pour réduire ces coûts. Par exemple, les frais de traduction liés à la documentation obligatoire et à la communication avec les autorités peuvent représenter un coût important pour les fournisseurs et d’autres opérateurs, en particulier pour ceux de plus petite envergure. Les États membres devraient éventuellement veiller à ce qu’une des langues qu’ils choisissent et acceptent pour la documentation pertinente des fournisseurs et pour la communication avec les opérateurs soit une langue comprise par le plus grand nombre possible de déployeurs transfrontières. Afin de répondre aux besoins spécifiques des PME, y compris les jeunes pousses, la Commission devrait fournir des modèles normalisés pour les domaines qui relèvent du présent règlement, sur demande du Comité IA. En outre, la Commission devrait compléter les efforts déployés par les États membres en mettant en place une plateforme d’information unique présentant des informations facilement exploitables concernant le présent règlement à l’intention de tous les fournisseurs et déployeurs, en organisant des campagnes de communication appropriées pour faire connaître les obligations découlant du présent règlement, et en évaluant et en promouvant la convergence des bonnes pratiques dans les procédures de passation de marchés publics relatifs aux systèmes d’IA. Les entreprises qui jusqu’à récemment relevaient des «petites entreprises» au sens de l’annexe à la recommandation 2003/361/CE de la Commission (44) devraient avoir accès à ces mesures de soutien, étant donné que ces nouvelles moyennes entreprises peuvent parfois manquer des ressources juridiques et de la formation nécessaires pour avoir une bonne compréhension du présent règlement et en respecter les dispositions.
(144)
Jotta voidaan edistää ja suojella innovointia, tekoälyyn keskittyvän tilauspohjaisen alustan ja kaikkien asiaankuuluvien unionin rahoitusohjelmien ja -hankkeiden, kuten Digitaalinen Eurooppa -ohjelman ja Horisontti Eurooppa -ohjelman, jotka komissio ja jäsenvaltiot panevat täytäntöön unionin tai kansallisella tasolla, olisi tarvittaessa edistettävä tämän asetuksen tavoitteiden saavuttamista.
(144)
Afin de promouvoir et de protéger l’innovation, la plateforme d’IA à la demande, ainsi que l’ensemble des programmes et projets de financement pertinents de l’Union, tels que le programme pour une Europe numérique et Horizon Europe, mis en œuvre par la Commission et les États membres au niveau national ou de l’Union, selon qu’il convient, devraient contribuer à la réalisation des objectifs du présent règlement.
(145)
Jotta voidaan minimoida markkinoilla olevan tiedon ja asiantuntemuksen puutteesta aiheutuvat riskit täytäntöönpanolle ja tukea tarjoajia, erityisesti pk-yrityksiä, myös startup-yrityksiä, ja ilmoitettuja laitoksia tämän asetuksen mukaisten velvoitteiden noudattamisessa, tekoälyyn keskittyvän tilauspohjaisen alustan, eurooppalaisten digitaali-innovointikeskittymien sekä komission ja jäsenvaltioiden unionin tai kansallisella tasolla perustamien testaus- ja kokeilulaitosten olisi edistettävä tämän asetuksen täytäntöönpanoa. Tekoälyyn keskittyvä tilauspohjainen alusta, eurooppalaiset digitaali-innovointikeskittymät sekä testaus- ja kokeilulaitokset voivat tehtäviensä ja toimivaltuuksiensa puitteissa antaa erityisesti teknistä ja tieteellistä tukea tarjoajille ja ilmoitetuille laitoksille.
(145)
Afin de réduire au minimum les risques pour la mise en œuvre résultant du manque de connaissances et d’expertise sur le marché, ainsi que de faciliter la mise en conformité des fournisseurs, en particulier des PME, y compris les jeunes pousses, et des organismes notifiés avec les obligations qui leur incombent au titre du présent règlement, la plateforme d’IA à la demande, les pôles européens d’innovation numérique et les installations d’expérimentation et d’essai mis en place par la Commission et les États membres au niveau de l’Union ou au niveau national devraient contribuer à la mise en œuvre du présent règlement. Dans le cadre de leurs missions et domaines de compétence respectifs, la plateforme d’IA à la demande, les pôles européens d’innovation numérique et les installations d’expérimentation et d’essai sont notamment en mesure d’apporter un soutien technique et scientifique aux fournisseurs et aux organismes notifiés.
(146)
Jotta voidaan lisäksi ottaa huomioon joidenkin toimijoiden erittäin pieni koko ja varmistaa innovointikustannusten oikeasuhteisuus, on asianmukaista sallia mikroyritysten täyttää yksi eniten kustannuksia aiheuttavista velvoitteista – eli laadunhallintajärjestelmän perustaminen – yksinkertaistetusti, jotta voidaan vähentää niille aiheutuvaa hallinnollista rasitetta ja kustannuksia vaikuttamatta suojelun tasoon ja tarpeeseen noudattaa suuririskisiä tekoälyjärjestelmiä koskevia vaatimuksia. Komission olisi laadittava suuntaviivat, joissa täsmennetään ne laadunhallintajärjestelmän osiot, jotka mikroyritykset voivat täyttää yksinkertaistetusti.
(146)
En outre, au vu de la très petite taille de certains opérateurs et afin d’assurer la proportionnalité en ce qui concerne les coûts de l’innovation, il convient de permettre aux microentreprises de satisfaire à l’une des obligations les plus coûteuses, à savoir celle de mettre en place un système de gestion de la qualité, d’une manière simplifiée qui réduirait la charge administrative et les coûts pour ces entreprises sans affecter le niveau de protection et la nécessité de se conformer aux exigences applicables aux systèmes d’IA à haut risque. La Commission devrait élaborer des lignes directrices pour préciser quels éléments du système de gestion de la qualité les microentreprises doivent respecter dans le système simplifié.
(147)
On aiheellista, että komissio helpottaa mahdollisuuksien mukaan sellaisten elinten, ryhmien ja laboratorioiden mahdollisuuksia käyttää testaus- ja kokeilulaitoksia, jotka on perustettu tai akkreditoitu asiaa koskevan unionin yhdenmukaistamislainsäädännön nojalla ja jotka suorittavat kyseisen unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluvien tuotteiden tai laitteiden vaatimustenmukaisuuden arviointiin liittyviä tehtäviä. Tämä koskee erityisesti asetusten (EU) 2017/745 ja (EU) 2017/746 mukaisia lääkinnällisiä laitteita käsitteleviä asiantuntijapaneeleja, asiantuntijalaboratorioita ja vertailulaboratorioita.
(147)
Il convient que la Commission facilite, dans la mesure du possible, l’accès aux installations d’expérimentation et d’essai pour les organismes, groupes ou laboratoires qui ont été créés ou accrédités en vertu d’une législation d’harmonisation de l’Union pertinente et qui accomplissent des tâches dans le cadre de l’évaluation de la conformité des produits ou dispositifs couverts par la législation d’harmonisation de l’Union en question. C’est en particulier le cas en ce qui concerne les groupes d’experts, les laboratoires spécialisés et les laboratoires de référence dans le domaine des dispositifs médicaux conformément aux règlements (UE) 2017/745 et (UE) 2017/746.
(148)
Tällä asetuksella olisi vahvistettava hallintokehys, jonka avulla voidaan koordinoida ja tukea tämän asetuksen soveltamista kansallisella tasolla sekä vahvistaa valmiuksia unionin tasolla ja ottaa sidosryhmät mukaan tekoälyn alan toimintaan. Tämän asetuksen tehokas täytäntöönpano ja noudattamisen valvonta edellyttävät hallintokehystä, jonka avulla voidaan koordinoida ja kehittää unionin tason keskitettyä asiantuntemusta. Tekoälytoimisto perustettiin komission päätöksellä (45), ja sen tehtävänä on kehittää unionin asiantuntemusta ja valmiuksia tekoälyn alalla ja edistää tekoälyä koskevan unionin oikeuden täytäntöönpanoa. Jäsenvaltioiden olisi helpotettava tekoälytoimiston työtä, jotta voidaan tukea unionin asiantuntemuksen ja unionin tason valmiuksien kehittämistä ja vahvistaa digitaalisten sisämarkkinoiden toimintaa. Lisäksi olisi perustettava jäsenvaltioiden edustajista koostuva tekoälyneuvosto, tiedeyhteisön yhteen tuova tiedelautakunta ja neuvoa-antava foorumi, jonka kautta sidosryhmät voivat antaa panoksensa tämän asetuksen täytäntöönpanoon unionin ja kansallisella tasolla. Unionin asiantuntemuksen ja valmiuksien kehittämisen olisi sisällettävä myös olemassa olevien resurssien ja asiantuntemuksen käyttö erityisesti synergiassa unionin tasolla tapahtuvan muun lainsäädännön täytäntöönpanon yhteydessä perustettujen rakenteiden ja asiaan liittyvien unionin tason aloitteiden kanssa. Näitä ovat Euroopan suurteholaskennan yhteisyritys ja Digitaalinen Eurooppa -ohjelman mukaiset tekoälyn testaus- ja kokeilulaitokset.
(148)
Le présent règlement devrait établir un cadre de gouvernance qui permette à la fois de coordonner et de soutenir l’application du présent règlement au niveau national, ainsi que de renforcer les capacités au niveau de l’Union et d’intégrer les parties prenantes dans le domaine de l’IA. La mise en œuvre et le contrôle de l’application effectifs du présent règlement requièrent un cadre de gouvernance qui permette de coordonner et de renforcer l’expertise centrale au niveau de l’Union. Le Bureau de l’IA a été créé par voie d’une décision de la Commission (45) et a pour mission d’approfondir l’expertise et de renforcer les capacités de l’Union dans le domaine de l’IA ainsi que de contribuer à la mise en œuvre de la législation de l’Union sur l’IA. Les États membres devraient faciliter l’accomplissement des missions du Bureau de l’IA en vue de soutenir le développement de l’expertise de l’Union et des capacités au niveau de l’Union et de renforcer le fonctionnement du marché unique numérique. En outre, il convient d’établir un Comité IA composé de représentants des États membres, un groupe scientifique visant à intégrer la communauté scientifique et un forum consultatif visant à recueillir les contributions des parties concernées en vue de la mise en œuvre du présent règlement, au niveau de l’Union et au niveau national. Le développement de l’expertise et des capacités de l’Union devrait également consister à utiliser les ressources et l’expertise existantes, en particulier grâce à des synergies avec les structures établies dans le contexte de l’application au niveau de l’Union d’autres dispositions législatives et à des synergies avec des initiatives connexes au niveau de l’Union, telles que l’entreprise commune EuroHPC et les installations de mise à l’essai de l’IA et d’expérimentations relevant du programme pour une Europe numérique.
(149)
Tämän asetuksen sujuvan, tehokkaan ja yhdenmukaisen täytäntöönpanon helpottamiseksi olisi perustettava tekoälyneuvosto. Tekoälyneuvoston olisi edustettava tekoälyekosysteemin eri intressejä ja koostuttava jäsenvaltioiden edustajista. Sen olisi vastattava useista neuvoa-antavista tehtävistä, kuten lausuntojen, suositusten ja neuvojen antamisesta ja ohjeiden edistämisestä tämän asetuksen täytäntöönpanoon liittyvissä asioissa, joita ovat täytäntöönpanon valvonta sekä tässä asetuksessa vahvistettuja vaatimuksia koskevat tekniset eritelmät ja voimassa olevat standardit, ja neuvojen antamisesta komissiolle ja jäsenvaltioille ja niiden kansallisille toimivaltaisille viranomaisille tekoälyyn liittyvissä erityiskysymyksissä. Joustavuuden varmistamiseksi jäsenvaltiot voisivat nimittää tekoälyneuvostoon edustajakseen esimerkiksi julkisyhteisöihin kuuluvia henkilöitä, joilla olisi oltava asiaankuuluva pätevyys ja toimivalta, jotta he voivat helpottaa koordinointia kansallisella tasolla ja osallistua tekoälyneuvoston tehtävien suorittamiseen. Tekoälyneuvoston olisi perustettava kaksi pysyvää alaryhmää, jotka tarjoavat alustan yhteistyölle ja viestinnälle markkinavalvontaviranomaisten kesken kysymyksissä, jotka liittyvät markkinavalvontaan, ja ilmoittamisesta vastaavien viranomaisten kesken kysymyksissä, jotka liittyvät ilmoitettuihin laitoksiin. Markkinavalvonnan pysyvän alaryhmän on tarkoitus toimia asetuksen (EU) 2019/1020 30 artiklassa tarkoitettuna hallinnollisen yhteistyön ryhmänä tämän asetuksen osalta. Kyseisen asetuksen 33 artiklan mukaisesti komission olisi tuettava markkinavalvonnan pysyvän alaryhmän toimia toteuttamalla markkina-arviointeja tai -tutkimuksia erityisesti tämän asetuksen sellaisten näkökohtien määrittämiseksi, jotka edellyttävät erityistä ja kiireellistä koordinointia markkinavalvontaviranomaisten kesken. Tekoälyneuvosto voi tarvittaessa perustaa muita pysyviä tai väliaikaisia alaryhmiä tiettyjen kysymysten tarkastelua varten. Tekoälyneuvoston olisi myös tehtävä tarvittaessa yhteistyötä unionin oikeuden puitteissa aktiivisten unionin elinten, asiantuntijaryhmien ja verkostojen kanssa, mukaan lukien erityisesti ne, joiden toiminta liittyy dataa, digitaalisia tuotteita ja palveluja koskevaan unionin oikeuteen.
(149)
Afin de faciliter une mise en œuvre aisée, efficace et harmonisée du présent règlement, il convient de créer un Comité IA. Ce Comité IA devrait tenir compte des différents intérêts de l’écosystème de l’IA et être composé de représentants des États membres. Le Comité IA devrait être chargé d’un certain nombre de tâches consultatives, parmi lesquelles la formulation d’avis, de recommandations, de conseils ou la contribution à des orientations sur des questions liées à la mise en œuvre du présent règlement, y compris sur les questions relatives à l’exécution, les spécifications techniques ou les normes existantes concernant les exigences établies dans le présent règlement, et la fourniture de conseils à la Commission et aux États membres ainsi qu’à leurs autorités nationales compétentes sur des questions spécifiques liées à l’IA. Afin d’offrir une certaine souplesse aux États membres dans la désignation de leurs représentants au sein du Comité IA, ces représentants peuvent être toute personne appartenant à des entités publiques qui devraient avoir les compétences et les pouvoirs nécessaires pour faciliter la coordination au niveau national et contribuer à l’accomplissement des tâches du Comité IA. Le Comité IA devrait établir deux sous-groupes permanents chargés de fournir une plateforme de coopération et d’échange entre les autorités de surveillance du marché et les autorités notifiantes sur des questions liées respectivement à la surveillance du marché et aux organismes notifiés. Le sous-groupe permanent pour la surveillance du marché devrait agir au titre de groupe de coopération administrative (ADCO) pour le présent règlement au sens de l’article 30 du règlement (UE) 2019/1020. Conformément à l’article 33 dudit règlement, la Commission devrait apporter son soutien aux activités du sous-groupe permanent en procédant à des évaluations ou à des études du marché, en particulier en vue de recenser les aspects du présent règlement appelant une coordination particulière urgente entre les autorités de surveillance du marché. Le Comité IA peut créer d’autres sous-groupes permanents ou temporaires, s’il y a lieu, afin d’examiner des questions spécifiques. Le Comité IA devrait également coopérer, lorsqu’il y a lieu, avec les organes, groupes d’experts et réseaux compétents de l’Union actifs dans le contexte de dispositions législatives pertinentes de l’Union, notamment ceux qui agissent au titre de la législation applicable de l’Union en matière de données, et de produits et services numériques.
(150)
Jotta voidaan varmistaa sidosryhmien osallistuminen tämän asetuksen täytäntöönpanoon ja soveltamiseen, olisi perustettava neuvoa-antava foorumi, joka neuvoo tekoälyneuvostoa ja komissiota ja antaa niiden käyttöön teknistä asiantuntemusta. Jotta voidaan varmistaa kaupallisia ja ei-kaupallisia intressejä edustavien sidosryhmien monipuolinen ja tasapainoinen edustus ja jotta pk-yritykset ja muut yritykset olisivat monipuolisesti ja tasapuolisesti edustettuina kaupallisten intressien luokassa, neuvoa-antavassa foorumissa olisi oltava jäseniä muun muassa teollisuudesta, startup- ja pk-yrityksistä, tiedeyhteisöstä, kansalaisyhteiskunnasta, johon kuuluvat myös työmarkkinaosapuolet, sekä perusoikeusvirastosta, ENISAsta, Euroopan standardointikomiteasta (CEN), Euroopan sähkötekniikan standardointikomiteasta (Cenelec) ja Euroopan telealan standardointilaitoksesta (ETSI).
(150)
En vue d’assurer la participation des parties prenantes à la mise en œuvre et à l’application du présent règlement, il convient d’établir un forum consultatif chargé de conseiller le Comité IA et la Commission et de leur fournir une expertise technique. Afin d’assurer une représentation diversifiée et équilibrée des parties prenantes tenant compte des différents intérêts commerciaux et non commerciaux et, au sein de la catégorie des intérêts commerciaux, eu égard aux PME et autres entreprises, le forum consultatif devrait être composé, entre autres, de représentants du secteur, des jeunes pousses, des PME, du milieu universitaire, de la société civile, y compris les partenaires sociaux, ainsi que de l’Agence des droits fondamentaux, de l’ENISA, du Comité européen de normalisation (CEN), du Comité européen de normalisation électrotechnique (CENELEC) et de l’Institut européen de normalisation des télécommunications (ETSI).
(151)
Olisi perustettava riippumattomista asiantuntijoista koostuva tiedelautakunta, joka tukee tämän asetuksen täytäntöönpanoa ja noudattamisen valvontaa erityisesti tekoälytoimiston suorittaman yleiskäyttöisten tekoälymallien seurannan osalta. Tiedelautakunnan asiantuntijat olisi valittava tekoälyalan ajantasaisen tieteellisen tai teknisen asiantuntemuksen perusteella, ja heidän olisi suoritettava tehtävänsä puolueettomasti ja objektiivisesti sekä varmistettava tehtäviään ja toimiaan suorittaessaan saamiensa tietojen ja datan luottamuksellisuus. Jotta voidaan lujittaa tämän asetuksen tehokkaan täytäntöönpanon edellyttämiä kansallisia valmiuksia, jäsenvaltioiden olisi voitava pyytää noudattamisen valvontaa varten tukea tiedelautakunnan asiantuntijapoolilta.
(151)
Afin de soutenir la mise en œuvre et le contrôle du respect du présent règlement, en particulier les activités de suivi du Bureau de l’IA concernant les modèles d’IA à usage général, il convient d’établir un groupe scientifique composé d’experts indépendants. Les experts indépendants constituant le groupe scientifique devraient être choisis en fonction de leur expertise à la pointe des connaissances scientifiques ou techniques dans le domaine de l’IA. Ils devraient s’acquitter de leurs tâches avec impartialité et objectivité et veiller à la confidentialité des informations et des données obtenues dans l’exercice de leurs tâches et activités. Afin de permettre le renforcement des capacités nationales nécessaires au contrôle effectif du respect du présent règlement, les États membres devraient être en mesure de solliciter l’aide de la réserve d’experts constituant le groupe scientifique pour leurs activités répressives.
(152)
Jotta voidaan tukea asianmukaista noudattamisen valvontaa tekoälyjärjestelmien alalla ja lujittaa jäsenvaltioiden valmiuksia, olisi perustettava unionin tekoälyn testauksen tukirakenteita, jotka annetaan jäsenvaltioiden käyttöön.
(152)
Afin de soutenir un contrôle de l’application adéquat en ce qui concerne les systèmes d’IA et de renforcer les capacités des États membres, il convient de créer et de mettre à la disposition des États membres des structures de soutien de l’Union pour les essais en matière d’IA.
(153)
Jäsenvaltioilla on keskeinen rooli tämän asetuksen soveltamisessa ja noudattamisen valvonnassa. Tältä osin kunkin jäsenvaltion olisi nimettävä vähintään yksi ilmoittamisesta vastaava viranomainen ja vähintään yksi markkinavalvontaviranomainen kansallisiksi toimivaltaisiksi viranomaisiksi valvomaan tämän asetuksen soveltamista ja täytäntöönpanoa. Jäsenvaltiot voivat päättää nimittää minkä tahansa julkisyhteisön suorittamaan tässä asetuksessa tarkoitettuja kansallisten toimivaltaisten viranomaisten tehtäviä erityisten kansallisten organisatoristen ominaisuuksiensa ja tarpeidensa mukaisesti. Jotta voidaan lisätä organisoinnin tehokkuutta jäsenvaltioissa ja perustaa keskitetty yhteyspiste yleisölle ja muille vastaaville tahoille jäsenvaltioissa ja unionissa, kunkin jäsenvaltion olisi nimettävä markkinavalvontaviranomainen, joka toimii keskitettynä yhteyspisteenä.
(153)
Les États membres jouent un rôle clé dans l’application et le contrôle du respect du présent règlement. À cet égard, chaque État membre devrait désigner au moins une autorité notifiante et au moins une autorité de surveillance du marché en tant qu’autorités nationales compétentes chargées de contrôler l’application et la mise en œuvre du présent règlement. Les États membres peuvent décider de désigner une entité publique, quel qu’en soit le type, qui soit chargée d’exécuter les tâches des autorités nationales compétentes au sens du présent règlement, en fonction de leurs caractéristiques et besoins organisationnels nationaux spécifiques. Afin d’accroître l’efficacité de l’organisation du côté des États membres et de définir un point de contact unique avec le public et les homologues au niveau des États membres et de l’Union, chaque État membre devrait désigner une autorité de surveillance du marché pour tenir le rôle de point de contact unique.
(154)
Kyseisten kansallisten toimivaltaisten viranomaisten olisi käytettävä valtuuksiaan itsenäisesti, puolueettomasti ja ilman ennakkoasenteita, jotta voidaan turvata objektiivisuusperiaatteen noudattaminen niiden toiminnassa ja tehtävien hoitamisessa ja varmistaa tämän asetuksen soveltaminen ja täytäntöönpano. Viranomaisten henkilöstön olisi pidätyttävä kaikesta toiminnasta, joka on ristiriidassa sen tehtävien kanssa, ja siihen olisi sovellettava tämän asetuksen mukaisia luottamuksellisuussääntöjä.
(154)
Les autorités nationales compétentes devraient exercer leurs pouvoirs de manière indépendante, impartiale et sans parti pris, afin de préserver les principes d’objectivité de leurs activités et de leurs tâches et d’assurer l’application et la mise en œuvre du présent règlement. Les membres de ces autorités devraient s’abstenir de toute action incompatible avec leurs fonctions et devraient être soumis aux règles de confidentialité prévues par le présent règlement.
(155)
Sen varmistamiseksi, että suuririskisten tekoälyjärjestelmien tarjoajat voivat ottaa huomioon suuririskisten tekoälyjärjestelmien käytöstä saadut kokemukset järjestelmiensä ja suunnittelu- ja kehitysprosessiensa parantamiseksi ja toteuttaa ajoissa kaikki mahdolliset korjaavat toimet, kaikilla tarjoajilla olisi oltava käytössä markkinoille saattamisen jälkeinen seurantajärjestelmä. Markkinoille saattamisen jälkeiseen seurantaan olisi tarvittaessa sisällyttävä analyysi vuorovaikutuksesta muiden tekoälyjärjestelmien, myös muiden laitteiden ja ohjelmistojen, kanssa. Markkinoille saattamisen jälkeisen seurannan ei pitäisi kattaa niiden käyttöönottajien arkaluonteisia operatiivisia tietoja, jotka ovat lainvalvontaviranomaisia. Tämä järjestelmä on keskeisessä asemassa myös sen varmistamisessa, että riskeihin, joita voi aiheutua tekoälyjärjestelmistä, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen, voidaan puuttua tehokkaammin ja oikea-aikaisemmin. Tässä yhteydessä olisi myös edellytettävä, että tarjoajilla on käytössä järjestelmä, jolla ne voivat ilmoittaa asiaankuuluville viranomaisille kaikista vakavista vaaratilanteista, jotka ovat seurausta niiden tekoälyjärjestelmien käytöstä, kuten vaaratilanne tai toimintahäiriö, joka johtaa kuolemaan tai vakavaan terveysvahinkoon, vakava tai peruuttamaton häiriö kriittisen infrastruktuurin hallinnassa ja toiminnassa, perusoikeuksien suojaamiseen tarkoitettujen unionin oikeuden mukaisten velvoitteiden rikkominen tai vakava vahinko omaisuudelle tai ympäristölle.
(155)
Afin de veiller à ce que les fournisseurs de systèmes d’IA à haut risque puissent prendre en considération l’expérience acquise dans l’utilisation de systèmes d’IA à haut risque pour améliorer leurs systèmes et le processus de conception et de développement, ou qu’ils puissent prendre d’éventuelles mesures correctives en temps utile, tous les fournisseurs devraient avoir mis en place un système de surveillance après commercialisation. Le cas échéant, la surveillance après commercialisation devrait comprendre une analyse de l’interaction avec d’autres systèmes d’IA, y compris d’autres dispositifs et logiciels. La surveillance après commercialisation ne devrait pas couvrir les données opérationnelles sensibles des utilisateurs de systèmes d’IA qui sont des autorités répressives. Ce système est aussi essentiel pour garantir que les risques potentiels découlant des systèmes d’IA qui continuent à «apprendre» après avoir été mis sur le marché ou mis en service puissent être traités plus efficacement et en temps utile. Dans ce contexte, les fournisseurs devraient également être tenus de mettre en place un système pour signaler aux autorités compétentes tout incident grave résultant de l’utilisation de leurs systèmes d’IA, à savoir un incident ou un dysfonctionnement entraînant la mort ou une atteinte grave à la santé, une perturbation grave et irréversible de la gestion et de l’exploitation des infrastructures critiques, des infractions aux obligations découlant du droit de l’Union visant à protéger les droits fondamentaux ou une atteinte grave aux biens ou à l’environnement.
(156)
Jotta voidaan varmistaa tässä asetuksessa, joka on osa unionin yhdenmukaistamislainsäädäntöä, vahvistettujen vaatimusten ja velvollisuuksien asianmukainen ja tehokas täytäntöönpano, asetuksella (EU) 2019/1020 perustettua markkinavalvontaa ja tuotteiden vaatimustenmukaisuutta koskevaa järjestelmää olisi sovellettava kokonaisuudessaan. Tämän asetuksen mukaisesti nimetyillä markkinavalvontaviranomaisilla olisi oltava kaikki tässä asetuksessa ja asetuksessa (EU) 2019/1020 säädetyt täytäntöönpanovaltuudet, ja niiden olisi käytettävä valtuuksiaan ja suoritettava tehtävänsä itsenäisesti, puolueettomasti ja ilman ennakkokäsityksiä. Vaikka suurimpaan osaan tekoälyjärjestelmiä ei sovelleta tämän asetuksen mukaisia erityisvaatimuksia tai -velvoitteita, markkinavalvontaviranomaiset voivat toteuttaa tekoälyjärjestelmiä koskevia toimenpiteitä, jos järjestelmistä aiheutuu tämän asetuksen mukainen riski. Kun otetaan huomioon tämän asetuksen soveltamisalaan kuuluvien unionin toimielinten, virastojen ja elinten erityisluonne, on aiheellista nimetä niiden toimivaltaiseksi markkinavalvontaviranomaiseksi Euroopan tietosuojavaltuutettu. Tämä ei saisi vaikuttaa jäsenvaltioiden suorittamaan kansallisten toimivaltaisten viranomaisten nimeämiseen. Markkinavalvontatoimet eivät saisi vaikuttaa valvottujen yhteisöjen kykyyn suorittaa tehtävänsä riippumattomasti, kun tällaista riippumattomuutta edellytetään unionin oikeudessa.
(156)
Afin de garantir un contrôle approprié et efficace du respect des exigences et obligations énoncées par le présent règlement, qui fait partie de la législation d’harmonisation de l’Union, le système de surveillance du marché et de mise en conformité des produits établi par le règlement (UE) 2019/1020 devrait s’appliquer dans son intégralité. Les autorités de surveillance du marché désignées en vertu du présent règlement devraient disposer de tous les pouvoirs d’exécution prévus par le présent règlement et par le règlement (UE) 2019/1020, et elles devraient exercer leurs pouvoirs et s’acquitter de leurs tâches de manière indépendante, impartiale et sans parti pris. Bien que la majorité des systèmes d’IA ne fassent pas l’objet d’exigences et obligations particulières au titre du présent règlement, les autorités de surveillance du marché peuvent prendre des mesures à l’égard de tous les systèmes d’IA lorsqu’ils présentent un risque conformément au présent règlement. En raison de la nature spécifique des institutions, agences et organes de l’Union relevant du champ d’application du présent règlement, il convient de désigner le Contrôleur européen de la protection des données comme autorité compétente pour la surveillance du marché en ce qui les concerne. Cela devrait être sans préjudice de la désignation des autorités nationales compétentes par les États membres. Les activités de surveillance du marché ne devraient pas affecter la capacité des entités surveillées à s’acquitter de leurs tâches de manière indépendante, lorsque cette indépendance constitue une exigence du droit de l’Union.
(157)
Tämä asetus ei rajoita perusoikeuksien suojelusta annetun unionin oikeuden soveltamista valvovien asiaankuuluvien kansallisten viranomaisten tai elinten, mukaan lukien tasa-arvoelimet ja tietosuojaviranomaiset, toimivaltaa, tehtäviä, valtuuksia ja riippumattomuutta. Näiden kansallisten viranomaisten ja elinten olisi myös voitava saada käyttöönsä kaikki tämän asetuksen nojalla laadittu dokumentaatio, jos se on tarpeen niiden toimeksiannon kannalta. Olisi otettava käyttöön erityinen suojamenettely, jolla varmistetaan riittävä ja oikea-aikainen täytäntöönpano sellaisten tekoälyjärjestelmien osalta, joihin liittyy terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuva riski. Tällaisia riskin aiheuttavia tekoälyjärjestelmiä koskevaa menettelyä olisi sovellettava suuririskisiin tekoälyjärjestelmiin, joihin liittyy riski, kiellettyihin järjestelmiin, jotka on saatettu markkinoille tai otettu käyttöön tai joita käytetään tässä asetuksessa säädettyjen käytäntöjä koskevien kieltojen vastaisesti, ja tekoälyjärjestelmiin, jotka on asetettu saataville tässä asetuksessa säädettyjen avoimuusvaatimusten vastaisesti ja joihin liittyy riski.
(157)
Le présent règlement est sans préjudice des compétences, des tâches, des pouvoirs et de l’indépendance des autorités ou organismes publics nationaux compétents qui contrôlent l’application du droit de l’Union en matière de protection des droits fondamentaux, y compris les organismes chargés des questions d’égalité et les autorités de protection des données. Lorsque leur mandat l’exige, ces autorités ou organismes publics nationaux devraient également avoir accès à toute documentation créée en vertu du présent règlement. Une procédure de sauvegarde spécifique devrait être mise en place pour garantir une application adéquate et en temps utile opposable aux systèmes d’IA présentant un risque pour la santé, la sécurité et les droits fondamentaux. La procédure applicable à ces systèmes d’IA présentant un risque devrait être appliquée aux systèmes d’IA à haut risque présentant un risque, aux systèmes interdits qui ont été mis sur le marché, mis en service ou utilisés en violation des interdictions concernant des pratiques définies par le présent règlement, et aux systèmes d’IA qui ont été mis à disposition en violation des exigences de transparence énoncées dans le présent règlement et qui présentent un risque.
(158)
Rahoituspalveluja koskevaan unionin oikeuteen sisältyy sisäistä hallintoa ja riskinhallintaa koskevia säännöksiä ja vaatimuksia, joita sovelletaan säänneltyihin rahoituslaitoksiin niiden tarjotessa kyseisiä palveluja, myös silloin, kun ne käyttävät tekoälyjärjestelmiä. Jotta voidaan varmistaa tämän asetuksen mukaisten velvoitteiden ja rahoituspalveluja koskevan unionin säädösten asiaa koskevien sääntöjen ja vaatimusten johdonmukainen soveltaminen ja täytäntöönpano, rahoituspalvelulainsäädännön valvonnasta ja täytäntöönpanosta vastaavat toimivaltaiset viranomaiset, sellaisina kuin ne on määritelty Euroopan parlamentin ja neuvoston asetuksessa (EU) N:o 575/2013 (46) ja Euroopan parlamentin ja neuvoston direktiiveissä 2008/48/EY (47), 2009/138/EY (48), 2013/36/EU (49), 2014/17/EU (50) ja (EU) 2016/97 (51), olisi nimettävä toimivaltuuksiensa puitteissa toimivaltaisiksi viranomaisiksi valvomaan tämän asetuksen täytäntöönpanoa, myös markkinavalvontatoimia, säänneltyjen ja valvottujen rahoituslaitosten tarjoamien tai käyttämien tekoälyjärjestelmien osalta, elleivät jäsenvaltiot päätä nimetä muuta viranomaista täyttämään nämä markkinavalvontatehtävät. Näillä toimivaltaisilla viranomaisilla olisi oltava kaikki tämän asetuksen ja asetuksen (EU) 2019/1020 mukaiset valtuudet valvoa tämän asetuksen vaatimusten ja velvoitteiden noudattamista, mukaan lukien valtuudet toteuttaa jälkikäteen markkinavalvontatoimia, jotka voidaan integroida tarvittaessa niiden olemassa oleviin asiaankuuluvan unionin rahoituspalvelulainsäädännön mukaisiin valvontamekanismeihin ja -menettelyihin. On aiheellista säätää, että kun ne toimivat tämän asetuksen mukaisina markkinavalvontaviranomaisina, kansallisten viranomaisten, jotka vastaavat sellaisten direktiivillä 2013/36/EU säänneltyjen luottolaitosten valvonnasta, jotka osallistuvat neuvoston asetuksella (EU) N:o 1024/2013 (52) perustettuun yhteiseen valvontamekanismiin, olisi ilmoitettava viipymättä Euroopan keskuspankille kaikki markkinavalvontatoimiensa yhteydessä määrittämät tiedot, joilla voi olla merkitystä Euroopan keskuspankin vakavaraisuuden valvontatehtäville sellaisina kuin ne määritetään kyseisessä asetuksessa. Jotta voidaan edelleen lisätä johdonmukaisuutta tämän asetuksen ja direktiivillä 2013/36/EU säänneltyihin luottolaitoksiin sovellettavien sääntöjen välillä, direktiivin 2013/36/EU mukaisiin nykyisiin velvoitteisiin ja menettelyihin on aiheellista sisällyttää myös jotkin tarjoajien menettelylliset velvoitteet, jotka liittyvät riskinhallintaan, markkinoille saattamisen jälkeiseen seurantaan ja dokumentaatioon. Päällekkäisyyksien välttämiseksi olisi säädettävä myös rajoitettuja poikkeuksia tarjoajien laadunhallintajärjestelmään ja suuririskisten tekoälyjärjestelmien käyttöönottajille asetettuun seurantavelvoitteeseen siltä osin kuin niitä sovelletaan direktiivillä 2013/36/EU säänneltyihin luottolaitoksiin. Samaa järjestelyä olisi sovellettava direktiivin 2009/138/EY mukaisiin vakuutus- ja jälleenvakuutusyrityksiin ja vakuutushallintayhtiöihin ja direktiivin (EU) 2016/97 mukaisiin vakuutusedustajiin ja muun tyyppisiin rahoituslaitoksiin, joihin sovelletaan asiaankuuluvan unionin rahoituspalvelulainsäädännön mukaisesti vahvistettuja sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia, jotta voidaan varmistaa johdonmukaisuus ja yhdenvertainen kohtelu rahoitusalalla.
(158)
Le droit de l’Union en matière de services financiers comprend des règles et des exigences en matière de gouvernance interne et de gestion des risques qui sont applicables aux établissements financiers réglementés dans le cadre de la fourniture de ces services, y compris lorsqu’ils font usage de systèmes d’IA. Afin d’assurer la cohérence de l’application et du contrôle du respect des obligations découlant du présent règlement et des règles et exigences pertinentes prévues par les actes juridiques de l’Union sur les services financiers, les autorités compétentes chargées de la surveillance et du contrôle de l’application de ces actes juridiques, en particulier les autorités compétentes au sens du règlement (UE) no 575/2013 du Parlement européen et du Conseil (46) et des directives 2008/48/CE (47), 2009/138/CE (48), 2013/36/UE (49), 2014/17/UE (50) et (UE) 2016/97 (51) du Parlement européen et du Conseil, devraient être désignées, dans les limites de leurs compétences respectives, comme les autorités compétentes aux fins de la surveillance de la mise en œuvre du présent règlement, y compris pour les activités de surveillance du marché, en ce qui concerne les systèmes d’IA fournis ou utilisés par des établissements financiers réglementés et surveillés, à moins que les États membres ne décident de désigner une autre autorité pour remplir ces tâches de surveillance du marché. Ces autorités compétentes devraient disposer, en vertu du présent règlement et du règlement (UE) 2019/1020, de tous les pouvoirs nécessaires pour faire respecter les exigences et obligations du présent règlement, y compris le pouvoir d’effectuer des activités de surveillance du marché ex post qui peuvent être intégrées, le cas échéant, dans leurs mécanismes et procédures de surveillance existants au titre du droit de l’Union en matière de services financiers. Il convient d’envisager que, lorsqu’elles agissent en tant qu’autorités de surveillance du marché au titre du présent règlement, les autorités nationales responsables de la surveillance des établissements de crédit réglementés régis par la directive 2013/36/UE, qui participent au mécanisme de surveillance unique institué par le règlement (UE) no 1024/2013 du Conseil (52), doivent communiquer sans délai à la Banque centrale européenne toute information identifiée dans le cadre de leurs activités de surveillance du marché qui pourrait présenter un intérêt pour les missions de surveillance prudentielle de la Banque centrale européenne telles qu’elles sont définies dans ledit règlement. Pour renforcer encore la cohérence entre le présent règlement et les règles applicables aux établissements de crédit régis par la directive 2013/36/UE, il convient aussi d’intégrer certaines des obligations procédurales des fournisseurs en ce qui concerne la gestion des risques, la surveillance après commercialisation et la documentation dans les obligations et procédures existantes au titre de la directive 2013/36/UE. Afin d’éviter les chevauchements, des dérogations limitées devraient aussi être envisagées en ce qui concerne le système de gestion de la qualité des fournisseurs et l’obligation de suivi imposée aux déployeurs de systèmes d’IA à haut risque dans la mesure où les dispositions y afférentes s’appliquent aux établissements de crédit régis par la directive 2013/36/UE. Le même régime devrait s’appliquer aux entreprises d’assurance et de réassurance et aux sociétés holding d’assurance relevant de la directive 2009/138/CE, aux intermédiaires d’assurance relevant de la directive (UE) 2016/97, ainsi qu’aux autres types d’établissements financiers soumis à des exigences en matière de gouvernance, de dispositifs ou de processus internes établis en vertu des dispositions pertinentes du droit de l’Union en matière de services financiers afin d’assurer la cohérence et l’égalité de traitement dans le secteur financier.
(159)
Kullakin sellaisten biometriikan alan suuririskisten tekoälyjärjestelmien markkinavalvontaviranomaisella, jotka on lueteltu tämän asetuksen liitteessä, siltä osin kuin kyseisiä järjestelmiä käytetään lainvalvonnan, muuttoliikkeen hallinnan, turvapaikka-asioiden ja rajavalvonnan tarkoituksiin tai oikeudenkäytössä ja demokraattisissa prosesseissa, olisi oltava tehokkaat tutkinta- ja korjaavat valtuudet, mukaan lukien ainakin valtuudet saada pääsy kaikkiin käsiteltäviin henkilötietoihin ja kaikkiin sen tehtävien suorittamisen kannalta tarvittaviin tietoihin. Markkinavalvontaviranomaisten olisi voitava käyttää valtuuksiaan täysin riippumattomasti. Mahdollisten rajoitusten, joita tässä asetuksessa asetetaan markkinaviranomaisten pääsylle arkaluonteisiin operatiivisiin tietoihin, ei pitäisi vaikuttaa niille direktiivillä (EU) 2016/680 annettuihin valtuuksiin. Tässä asetuksessa säädettyjen poikkeusten, jotka koskevat tietojen luovuttamista kansallisille tietosuojaviranomaisille, ei pitäisi vaikuttaa näiden viranomaisten nykyisiin tai tuleviin valtuuksiin tämän asetuksen soveltamisalan ulkopuolella.
(159)
Chaque autorité de surveillance du marché chargée des systèmes d’IA à haut risque dans le domaine de la biométrie énumérés dans une annexe du présent règlement, dans la mesure où ces systèmes sont utilisés à des fins liées aux activités répressives, à la migration, à l’asile et à la gestion des contrôles aux frontières ou à l’administration de la justice et aux processus démocratiques, devrait disposer de pouvoirs effectifs en matière d’enquête et de mesures correctives, y compris au minimum le pouvoir d’obtenir l’accès à toutes les données à caractère personnel traitées et à toutes les informations nécessaires à l’accomplissement de ses tâches. Les autorités de surveillance du marché devraient être en mesure d’exercer leurs pouvoirs en toute indépendance. Toute restriction de leur accès à des données opérationnelles sensibles au titre du présent règlement devrait être sans préjudice des pouvoirs qui leur sont conférés par la directive (UE) 2016/680. Aucune exclusion concernant la divulgation de données aux autorités nationales chargées de la protection des données au titre du présent règlement ne devrait avoir d’incidence sur les pouvoirs actuels ou futurs de ces autorités au-delà du champ d’application du présent règlement.
(160)
Markkinavalvontaviranomaisten ja komission olisi voitava ehdottaa yhteisiä toimia, myös yhteisiä tutkimuksia, jotka markkinavalvontaviranomaiset toteuttavat itse tai yhdessä komission kanssa ja joiden tavoitteena on edistää vaatimusten noudattamista, havaita vaatimusten noudattamatta jättäminen, lisätä tietämystä ja antaa neuvoja tähän asetukseen liittyvistä asioista ja niistä suuririskisten tekoälyjärjestelmien luokista, joihin on todettu liittyvän vakava riski kahdessa tai useammassa jäsenvaltiossa. Vaatimusten noudattamista edistävät toimet olisi toteutettava asetuksen (EU) 2019/1020 9 artiklan mukaisesti. Tekoälytoimiston olisi annettava koordinointitukea yhteisiä tutkimuksia varten.
(160)
Les autorités de surveillance du marché et la Commission devraient être en mesure de proposer des activités conjointes, y compris des enquêtes conjointes, à mener par les autorités de surveillance du marché ou par les autorités de surveillance du marché conjointement avec la Commission, visant à promouvoir le respect de la législation, de déceler la non-conformité, de sensibiliser et de fournir des orientations au regard du présent règlement en ce qui concerne des catégories spécifiques de systèmes d’IA à haut risque qui sont recensés comme présentant un risque grave dans au moins deux États membres. Les activités conjointes visant à promouvoir le respect de la législation devraient être menées conformément à l’article 9 du règlement (UE) 2019/1020. Le Bureau de l’IA devrait assurer la coordination centrale des enquêtes conjointes.
(161)
On aiheellista selventää unionin ja kansallisen tason vastuut ja toimivalta niiden tekoälyjärjestelmien osalta, jotka perustuvat yleiskäyttöisiin tekoälymalleihin. Kun tekoälyjärjestelmä perustuu yleiskäyttöiseen tekoälymalliin ja kun mallia ja järjestelmää tarjoaa sama tarjoaja, valvonta olisi päällekkäisten toimivaltuuksien välttämiseksi toteutettava unionin tasolla tekoälytoimistossa, jolla olisi tätä tarkoitusta varten oltava asetuksessa (EU) 2019/1020 tarkoitetun markkinavalvontaviranomaisen valtuudet. Kaikissa muissa tapauksissa tekoälyjärjestelmien valvonnasta vastaavat kansalliset markkinavalvontaviranomaiset. Niiden yleiskäyttöisten tekoälymallien osalta, joita käyttöönottajat voivat käyttää suoraan vähintään yhteen suuririskiseksi luokiteltuun tarkoitukseen, markkinavalvontaviranomaisten olisi kuitenkin tehtävä yhteistyötä tekoälytoimiston kanssa vaatimustenmukaisuuden arviointien suorittamisessa ja ilmoitettava arviointien tuloksista tekoälyneuvostolle ja muille markkinavalvontaviranomaisille. Lisäksi markkinavalvontaviranomaisten olisi voitava pyytää apua tekoälytoimistolta, jos ne eivät pysty saattamaan päätökseen suuririskistä tekoälyjärjestelmää koskevaa tutkintaa, koska niillä ei ole pääsyä tiettyihin tietoihin, jotka liittyvät yleiskäyttöiseen tekoälymalliin, jonka pohjalta suuririskinen tekoälyjärjestelmä on rakennettu. Tällaisissa tapauksissa olisi sovellettava soveltuvin osin asetuksen (EU) 2019/1020 VI luvussa säädettyä rajatylittävän keskinäisen avunannon menettelyä.
(161)
Il est nécessaire de clarifier les responsabilités et les compétences au niveau de l’Union et au niveau national en ce qui concerne les systèmes d’IA qui reposent sur des modèles d’IA à usage général. Afin d’éviter les chevauchements de compétences, lorsqu’un système est fondé sur un modèle d’IA à usage général et que le modèle et le système sont fournis par le même fournisseur, la surveillance devrait avoir lieu au niveau de l’Union par l’intermédiaire du Bureau de l’IA, qui devrait disposer à cette fin des pouvoirs d’une autorité de surveillance du marché au sens du règlement (UE) 2019/1020. Dans tous les autres cas, les autorités nationales de surveillance du marché demeurent chargées de la surveillance des systèmes d’IA. Toutefois, pour les systèmes d’IA à usage général qui peuvent être utilisés directement par les déployeurs pour au moins un usage classé comme étant à haut risque, les autorités de surveillance du marché devraient coopérer avec le Bureau de l’IA pour mener les évaluations de la conformité, et informer le Comité IA et les autres autorités de surveillance du marché en conséquence. En outre, toute autorité de surveillance du marché devrait être en mesure de solliciter l’assistance du Bureau de l’IA lorsqu’elle n’est pas en mesure de conclure une enquête sur un système d’IA à haut risque parce qu’elle ne peut accéder à certaines informations liées au modèle d’IA à usage général sur lequel repose ce système. Dans de tels cas, la procédure relative à l’assistance mutuelle pour les cas transfrontières prévue au chapitre VI du règlement (UE) 2019/1020 devrait s’appliquer mutatis mutandis.
(162)
Jotta unionin tason keskitetystä asiantuntemuksesta ja unionin tason synergioista saataisiin paras hyöty, yleiskäyttöisten tekoälymallien tarjoajien valvonnan ja niiden velvoitteiden noudattamisen valvonnan olisi kuuluttava komission toimivaltaan. Tekoälytoimiston olisi voitava toteuttaa kaikki tarvittavat toimet tämän asetuksen tehokkaan täytäntöönpanon seuraamiseksi yleiskäyttöisten tekoälymallien osalta. Sen olisi voitava tutkia yleiskäyttöisten tekoälymallien tarjoajia koskevien sääntöjen mahdollisia rikkomisia sekä omasta aloitteestaan seurantatoimiensa tulosten perusteella tai markkinavalvontaviranomaisten pyynnöstä tässä asetuksessa säädettyjen edellytysten mukaisesti. Jotta voidaan tukea tekoälytoimiston suorittamaa tehokasta seurantaa, tekoälytoimiston olisi tarjottava ketjun loppupään toimijoille mahdollisuus tehdä valituksia yleiskäyttöisten tekoälymallien ja -järjestelmien tarjoajia koskevien sääntöjen mahdollisista rikkomisista.
(162)
Afin de tirer le meilleur parti de l’expertise centralisée de l’Union et des synergies au niveau de l’Union, les pouvoirs de surveillance et de contrôle du respect des obligations incombant aux fournisseurs de modèles d’IA à usage général devraient relever de la compétence de la Commission. Le Bureau de l’IA devrait être en mesure de prendre toutes les mesures nécessaires pour contrôler la mise en œuvre effective du présent règlement en ce qui concerne les modèles d’IA à usage général. Il devrait être en mesure d’enquêter sur d’éventuelles infractions aux règles incombant aux fournisseurs de modèles d’IA à usage général, aussi bien de sa propre initiative, selon les résultats de ses activités de surveillance, ou sur demande des autorités de surveillance du marché conformément aux conditions prévues par le présent règlement. Afin de contribuer à une surveillance effective par le Bureau de l’IA, celui-ci devrait donner la possibilité aux fournisseurs en aval d’introduire des réclamations concernant d’éventuelles infractions aux règles relatives aux fournisseurs de modèles et systèmes d’IA à usage général.
(163)
Jotta täydennettäisiin yleiskäyttöisten tekoälymallien hallintojärjestelmiä, tiedelautakunnan olisi tuettava tekoälytoimiston seurantatoimia ja se voi tietyissä tapauksissa toimittaa tekoälytoimistolle perusteltuja varoituksia, joilla käynnistetään jatkotoimia, kuten tutkimuksia. Näin olisi oltava silloin, kun tiedelautakunnalla on aihetta epäillä, että yleiskäyttöinen tekoälymalli aiheuttaa konkreettisen ja tunnistettavan riskin unionin tasolla. Näin olisi oltava myös silloin, kun tiedelautakunnalla on aihetta epäillä, että yleiskäyttöinen tekoälymalli täyttää perusteet, joiden mukaisesti se olisi luokiteltava yleiskäyttöiseksi tekoälymalliksi, johon liittyy systeeminen riski. Jotta tiedelautakunta saisi näiden tehtäviensä suorittamiseen tarvittavat tiedot, olisi perustettava mekanismi, jonka avulla tiedelautakunta voi pyytää komissiota vaatimaan tarjoajalta asiakirjoja tai tietoja.
(163)
En vue de compléter les systèmes de gouvernance des modèles d’IA à usage général, le groupe scientifique devrait soutenir les activités de surveillance du Bureau de l’IA et pourrait, dans certains cas, soumettre au Bureau de l’IA des alertes qualifiées qui déclenchent des mesures de suivi telles que des enquêtes. Cela devrait être le cas lorsque le groupe scientifique a des raisons de soupçonner qu’un modèle d’IA à usage général présente un risque concret et identifiable au niveau de l’Union. Cela devrait aussi être le cas lorsque le groupe scientifique a des raisons de soupçonner qu’un modèle d’IA à usage général remplit les critères qui conduiraient à une classification en tant que modèle d’IA à usage général présentant un risque systémique. Afin que le groupe scientifique dispose des informations nécessaires à l’exécution de ces tâches, il devrait exister un mécanisme permettant au groupe scientifique de demander à la Commission d’exiger du fournisseur qu’il fournisse des documents ou des informations.
(164)
Tekoälytoimiston olisi voitava toteuttaa tarvittavat toimet seuratakseen tässä asetuksessa säädettyjen yleiskäyttöisten tekoälymallien tarjoajia koskevien velvoitteiden tehokasta täytäntöönpanoa ja noudattamista. Tekoälytoimiston olisi voitava tutkia mahdollisia rikkomisia tässä asetuksessa säädettyjen valtuuksiensa mukaisesti, mukaan lukien pyytämällä asiakirjoja ja tietoja, suorittamalla arviointeja ja pyytämällä yleiskäyttöisten tekoälymallien tarjoajia toteuttamaan toimenpiteitä. Jotta voidaan hyödyntää riippumatonta asiantuntemusta arviointien suorittamisessa, tekoälytoimiston olisi voitava pyytää riippumattomia asiantuntijoita suorittamaan arvioinnit sen puolesta. Velvoitteiden noudattamista olisi voitava valvoa muun muassa asianmukaisten toimenpiteiden toteuttamiseen kehottavilla pyynnöillä, mukaan lukien riskinvähentämistoimenpiteet tunnistettujen systeemisten riskien tapauksessa, ja rajoittamalla mallin asettamista saataville markkinoilla, poistamalla se markkinoilta tai soveltamalla mallin palautusmenettelyä. Tässä asetuksessa säädettyjen menettelyllisten oikeuksien lisäksi voidaan tarvittaessa soveltaa takeita, joiden mukaan yleiskäyttöisten tekoälymallien tarjoajilla olisi oltava asetuksen (EU) 2019/1020 18 artiklassa säädetyt menettelylliset oikeudet, joita olisi sovellettava soveltuvin osin, sanotun kuitenkaan rajoittamatta tässä asetuksessa säädettyjen yksityiskohtaisempien menettelyllisten oikeuksien soveltamista.
(164)
Le Bureau de l’IA devrait être en mesure de prendre les mesures nécessaires pour contrôler la mise en œuvre effective et le respect des obligations incombant aux fournisseurs de modèles d’IA à usage général énoncées dans le présent règlement. Le Bureau de l’IA devrait être en mesure d’enquêter sur d’éventuelles infractions conformément aux pouvoirs qui lui sont conférés au titre du présent règlement, y compris en exigeant des documents et des informations, en réalisant des évaluations, ainsi qu’en exigeant que des mesures soient prises par les fournisseurs de modèles d’IA à usage général. Lors de la réalisation des évaluations, afin de tirer parti d’une expertise indépendante, le Bureau de l’IA devrait pouvoir faire appel à des experts indépendants pour réaliser les évaluations en son nom. Le respect des obligations devrait pouvoir être imposé, entre autres, par des demandes de prendre des mesures appropriées, y compris des mesures d’atténuation des risques dans le cas de risques systémiques recensés, ainsi qu’en restreignant la mise à disposition du modèle sur le marché, en le retirant ou en le rappelant. À titre de garantie, lorsque cela est nécessaire en sus des droits procéduraux prévus par le présent règlement, les fournisseurs de modèles d’IA à usage général devraient jouir des droits procéduraux prévus à l’article 18 du règlement (UE) 2019/1020, qui devraient s’appliquer mutatis mutandis, sans préjudice des droits procéduraux plus spécifiques prévus par le présent règlement.
(165)
Muiden tekoälyjärjestelmien kuin suuririskisten tekoälyjärjestelmien kehittäminen tämän asetuksen vaatimusten mukaisesti voi johtaa eettisen ja luotettavan tekoälyn laajempaan käyttöönottoon unionissa. Muiden kuin suuririskisten tekoälyjärjestelmien tarjoajia olisi kannustettava laatimaan käytännesääntöjä, mukaan lukien asiaankuuluvat hallintomekanismit, joilla pyritään edistämään joidenkin tai kaikkien suuririskisiin tekoälyjärjestelmiin sovellettavien pakollisten vaatimusten vapaaehtoista soveltamista ja jotka on mukautettu järjestelmien käyttötarkoituksen ja niihin liittyvän pienemmän riskin perusteella ja joissa otetaan huomioon saatavilla olevat tekniset ratkaisut ja alan parhaat käytännöt, kuten malli- ja datakortit. Kaikenlaisten, sekä suuririskisten että muiden tekoälyjärjestelmien ja tekoälymallien tarjoajia ja tapauksen mukaan käyttöönottajia olisi myös kannustettava soveltamaan vapaaehtoisesti lisävaatimuksia, jotka liittyvät esimerkiksi luotettavaa tekoälyä koskevien unionin eettisten ohjeiden osatekijöihin, ympäristökestävyyteen, tekoälylukutaitoa edistäviin toimenpiteisiin, tekoälyjärjestelmien osallistavaan ja monimuotoiseen suunnitteluun ja kehittämiseen, mukaan lukien haavoittuvassa asemassa olevien henkilöiden huomiointi ja vammaisten henkilöiden esteettömyys, sidosryhmien osallistumiseen, mukaan lukien tarvittaessa asiaankuuluvien sidosryhmien, kuten liike-elämän ja kansalaisyhteiskunnan järjestöjen, tiedeyhteisön ja tutkimusorganisaatioiden, ammattiliittojen ja kuluttajansuojajärjestöjen osallistuminen, tekoälyjärjestelmien suunnitteluun ja kehittämiseen sekä kehitysryhmien moninaisuuteen, mukaan lukien sukupuolten tasapuolinen edustus. Jotta voidaan varmistaa vapaaehtoisten käytännesääntöjen tehokkuus, niiden olisi perustuttava selkeisiin tavoitteisiin ja keskeisiin tulosindikaattoreihin, joilla mitataan näiden tavoitteiden saavuttamista. Niitä olisi myös kehitettävä osallistavalla tavalla ottamalla mukaan tarvittaessa asiaankuuluvia sidosryhmiä, kuten liike-elämän ja kansalaisyhteiskunnan järjestöt, tiedeyhteisö ja tutkimusorganisaatiot, ammattiliitot ja kuluttajansuojajärjestöt. Komissio voi kehittää aloitteita, myös alakohtaisia aloitteita, vähentääkseen tekoälyn kehittämistä varten tapahtuvaa rajat ylittävää datanvaihtoa haittaavia teknisiä esteitä, muun muassa datan käyttöinfrastruktuurin sekä eri datatyyppien semanttisen ja teknisen yhteentoimivuuden aloilla.
(165)
Le développement de systèmes d’IA autres que les systèmes d’IA à haut risque dans le respect des exigences du présent règlement peut conduire à une plus large adoption d’une IA éthique et digne de confiance dans l’Union. Les fournisseurs de systèmes d’IA qui ne sont pas à haut risque devraient être encouragés à établir des codes de conduite, accompagnés de mécanismes de gouvernance connexes, destinés à favoriser l’application volontaire de tout ou partie des exigences obligatoires applicables aux systèmes d’IA à haut risque, adaptés en fonction de la destination des systèmes et des risques plus faibles encourus et tenant compte des solutions techniques disponibles et des bonnes pratiques du secteur, tels que les cartes modèles et les fiches de données. Les fournisseurs et, le cas échéant, les déployeurs de tous les systèmes d’IA, à haut risque ou non, et modèles d’IA devraient aussi être encouragés à appliquer sur une base volontaire des exigences supplémentaires liées, par exemple, aux éléments des lignes directrices de l’Union en matière d’éthique pour une IA digne de confiance, à la durabilité environnementale, aux mesures relatives à la maîtrise de l’IA, à la conception et au développement inclusifs et diversifiés des systèmes d’IA, y compris en prêtant attention aux personnes vulnérables et à l’accessibilité pour les personnes handicapées, à la participation des parties prenantes avec la contribution, le cas échéant, de parties prenantes concernées telles que les organisations d’entreprises et de la société civile, le milieu universitaire, les organismes de recherche, les syndicats et les organisations de protection des consommateurs à la conception et au développement des systèmes d’IA, ainsi qu’à la diversité des équipes de développement, y compris l’équilibre hommes-femmes. Afin que les codes de conduite volontaires portent leurs effets, ils devraient s’appuyer sur des objectifs clairs et des indicateurs de performance clés permettant de mesurer la réalisation de ces objectifs. Ils devraient également être élaborés de manière inclusive, selon qu’il convient, avec la participation des parties prenantes concernées telles que les organisations d’entreprises et de la société civile, le milieu universitaire, les organismes de recherche, les syndicats et les organisations de protection des consommateurs. La Commission peut élaborer des initiatives, y compris de nature sectorielle, pour faciliter la suppression des obstacles techniques entravant l’échange transfrontière de données pour le développement de l’IA, notamment en ce qui concerne l’infrastructure d’accès aux données et l’interopérabilité sémantique et technique des différents types de données.
(166)
On tärkeää, että tuotteisiin liittyvät tekoälyjärjestelmät, jotka eivät ole tämän asetuksen mukaisesti suuririskisiä ja joiden ei näin ollen tarvitse täyttää suuririskisille tekoälyjärjestelmille vahvistettuja vaatimuksia, ovat kuitenkin turvallisia, kun ne saatetaan markkinoille tai otetaan käyttöön. Tämän tavoitteen saavuttamiseksi Euroopan parlamentin ja neuvoston asetusta (EU) 2023/988 (53) sovellettaisiin turvaverkkona.
(166)
Il importe que les systèmes d’IA liés à des produits qui ne sont pas à haut risque au titre du présent règlement et qui ne sont donc pas tenus d’être conformes aux exigences énoncées pour les systèmes d’IA à haut risque soient néanmoins sûrs lorsqu’ils sont mis sur le marché ou mis en service. Pour contribuer à cet objectif, l’application du règlement (UE) 2023/988 du Parlement européen et du Conseil (53) constituerait un filet de sécurité.
(167)
Jotta voidaan varmistaa toimivaltaisten viranomaisten luotettava ja rakentava yhteistyö unionin ja kansallisella tasolla, kaikkien tämän asetuksen soveltamiseen osallistuvien osapuolten olisi kunnioitettava tehtäviään suorittaessaan saamiensa tietojen ja datan luottamuksellisuutta unionin tai kansallisen lainsäädännön mukaisesti. Niiden olisi hoidettava tehtävänsä ja toimensa siten, että suojellaan erityisesti teollis- ja tekijänoikeuksia, luottamuksellisia liiketoimintatietoja ja liikesalaisuuksia, tämän asetuksen tehokasta täytäntöönpanoa, yleisiä ja kansallisia turvallisuusetuja, rikosoikeudellisten ja hallinnollisten menettelyjen koskemattomuutta sekä turvallisuusluokiteltujen tietojen eheyttä.
(167)
Afin d’assurer une coopération constructive et en toute confiance entre les autorités compétentes au niveau de l’Union et au niveau national, toutes les parties intervenant dans l’application du présent règlement devraient respecter la confidentialité des informations et des données obtenues dans le cadre de l’exécution de leurs tâches, conformément au droit de l’Union et au droit national. Elles devraient s’acquitter de leurs tâches et activités de manière à protéger, en particulier, les droits de propriété intellectuelle, les informations commerciales confidentielles et les secrets d’affaires, la mise en œuvre effective du présent règlement, les intérêts en matière de sécurité nationale et publique, l’intégrité des procédures pénales et administratives et l’intégrité des informations classifiées.
(168)
Tämän asetuksen noudattamisen varmistamiseksi olisi voitava määrätä seuraamuksia ja muita täytäntöönpanotoimenpiteitä. Jäsenvaltioiden olisi toteutettava kaikki tarvittavat toimenpiteet sen varmistamiseksi, että tämän asetuksen säännökset pannaan täytäntöön, myös säätämällä niiden rikkomiseen sovellettavista tehokkaista, oikeasuhteisista ja varoittavista seuraamuksista, ja ne bis in idem -periaatteen noudattamiseksi. Jotta voidaan tehostaa ja yhdenmukaistaa tämän asetuksen rikkomisesta määrättäviä hallinnollisia seuraamuksia, tietyistä rikkomisista määrättäville hallinnollisille sakoille olisi vahvistettava enimmäismäärät. Sakkojen määrää arvioidessaan jäsenvaltioiden olisi kussakin yksittäistapauksessa otettava huomioon kaikki kyseisen tilanteen kannalta merkittävät olosuhteet sekä erityisesti rikkomisen ja sen seurausten luonne, vakavuus ja kesto sekä tarjoajan organisaation koko erityisesti, jos tarjoaja on pk-yritys, startup-yritykset mukaan lukien. Euroopan tietosuojavaltuutetulla olisi oltava valtuudet määrätä sakkoja tämän asetuksen soveltamisalaan kuuluville unionin toimielimille, virastoille ja elimille.
(168)
Le respect des dispositions du présent règlement devrait pouvoir être imposé au moyen de sanctions et d’autres mesures d’exécution. Les États membres devraient prendre toutes les mesures nécessaires pour que les dispositions du présent règlement soient mises en œuvre et, notamment, prévoir des sanctions effectives, proportionnées et dissuasives en cas de violation de ces dispositions, et dans le respect du principe non bis in idem. Afin de renforcer et d’harmoniser les sanctions administratives applicables en cas de violation du présent règlement, il convient d’établir le montant maximal pour la fixation des amendes administratives pour certaines infractions spécifiques. Pour évaluer le montant des amendes, les États membres devraient, dans chaque cas d’espèce, tenir compte de toutes les caractéristiques propres à la situation spécifique, en prenant notamment en considération la nature, la gravité et la durée de l’infraction et ses conséquences, ainsi que la taille du fournisseur, en particulier s’il s’agit d’une PME, y compris les jeunes pousses. Le Contrôleur européen de la protection des données devrait avoir le pouvoir d’infliger des amendes aux institutions, agences et organes de l’Union relevant du présent règlement.
(169)
Yleiskäyttöisten tekoälymallien tarjoajille tämän asetuksen nojalla asetettujen velvoitteiden noudattamisen varmistamiseksi olisi voitava määrätä muun muassa sakkoja. Tätä varten olisi myös vahvistettava asianmukaiset tasot sakoille, joita määrätään kyseisten velvoitteiden rikkomisesta, mukaan lukien komission tämän asetuksen mukaisesti pyytämien toimenpiteiden noudattamatta jättäminen, jollei suhteellisuusperiaatteen mukaisista asianmukaisista vanhentumisajoista muuta johdu. Kaikki tämän asetuksen mukaiset komission päätökset voidaan Euroopan unionin toiminnasta tehdyn Euroopan unionin toiminnasta tehdyn sopimuksen mukaisesti saattaa Euroopan unionin tuomioistuimen tutkittaviksi, mukaan lukien unionin tuomioistuimen täysi harkintavalta seuraamusten osalta Euroopan unionin toiminnasta tehdyn sopimuksen 261 artiklan nojalla.
(169)
Le respect des obligations incombant aux fournisseurs de modèles d’IA à usage général au titre du présent règlement devrait pouvoir être imposé, entre autres, au moyen d’amendes. À cette fin, des niveaux appropriés d’amendes devraient également être fixés pour les infractions à ces obligations, y compris le non-respect de mesures demandées par la Commission en vertu au présent règlement, sous réserve de délais de prescription appropriés conformément du principe de proportionnalité. Toutes les décisions prises par la Commission au titre du présent règlement sont soumises au contrôle de la Cour de justice de l’Union européenne conformément au traité sur le fonctionnement de l’Union européenne, y compris la compétence de pleine juridiction de la Cour de justice en ce qui concerne les sanctions en application de l’article 261 du traité sur le fonctionnement de l’Union européenne.
(170)
Unionin oikeudessa ja kansallisessa lainsäädännössä säädetään jo tehokkaista oikeussuojakeinoista luonnollisille henkilöille ja oikeushenkilöille, joiden oikeuksiin ja vapauksiin tekoälyjärjestelmien käyttö vaikuttaa haitallisesti. Kaikilla luonnollisilla henkilöillä tai oikeushenkilöillä, joilla on perusteita katsoa, että tätä asetusta on rikottu, olisi oltava oikeus tehdä valitus asianomaiselle markkinavalvontaviranomaiselle.
(170)
Le droit de l’Union et le droit national prévoient déjà des voies de recours effectives pour les personnes physiques et morales qui subissent une atteinte à leurs droits et libertés en raison de l’utilisation de systèmes d’IA. Sans préjudice de ces recours, toute personne physique ou morale ayant des motifs de considérer qu’il y a eu violation des dispositions du présent règlement devrait avoir le droit d’introduire une réclamation auprès de l’autorité de surveillance du marché concernée.
(171)
Henkilöillä, joihin vaikutukset kohdistuvat, olisi oltava oikeus saada selvitys, kun käyttöönottajan päätöksen pääasiallinen perusta on tämän asetuksen soveltamisalaan kuuluvien tiettyjen suuririskisten tekoälyjärjestelmien tuotos ja kun kyseisellä päätöksellä on oikeusvaikutuksia tai se vaikuttaa asianomaisiin henkilöihin vastaavasti merkittävästi tavalla, jonka asianomaiset henkilöt katsovat olevan haitallinen terveyteensä, turvallisuuteensa tai perusoikeuksiinsa nähden. Kyseisen selvityksen olisi oltava selkeä ja merkityksellinen, ja sen olisi tarjottava henkilöille, joihin vaikutukset kohdistuvat, perusta, jonka avulla nämä voivat käyttää oikeuksiaan. Oikeutta selvityksen saamiseen ei pitäisi soveltaa sellaisten tekoälyjärjestelmien käyttöön, joita koskevat poikkeukset tai rajoitukset johtuvat unionin oikeudesta tai kansallisesta lainsäädännöstä, ja tätä olisi sovellettava vain siltä osin kuin kyseessä olevasta oikeudesta ei ole jo säädetty unionin oikeudessa.
(171)
Les personnes concernées devraient avoir le droit d’obtenir une explication lorsque la décision d’un déployeur est principalement fondée sur les sorties de certains systèmes d’IA à haut risque qui relèvent du champ d’application du présent règlement et lorsque cette décision produit des effets juridiques ou cause un préjudice important de façon similaire à ces personnes d’une manière qu’elles considèrent comme ayant une incidence négative sur leur santé, leur sécurité ou leurs droits fondamentaux. Cette explication devrait être claire et pertinente, et constituer une base à partir de laquelle les personnes concernées peuvent exercer leurs droits. Le droit d’obtenir une explication ne devrait pas s’appliquer à l’utilisation de systèmes d’IA pour lesquels des exceptions ou des restrictions découlent du droit de l’Union ou du droit national et ne devrait s’appliquer que dans la mesure où ce droit n’est pas déjà prévu par le droit de l’Union.
(172)
Henkilöitä, jotka toimivat väärinkäytösten paljastajina tämän asetuksen rikkomistapauksissa, olisi suojeltava unionin oikeuden nojalla. Tämän asetuksen rikkomisesta ilmoittamiseen ja rikkomisesta ilmoittavien henkilöiden suojeluun olisi näin ollen sovellettava Euroopan parlamentin ja neuvoston direktiiviä (EU) 2019/1937 (54).
(172)
Les personnes agissant en tant que lanceurs d’alerte eu égard à des infractions au présent règlement devraient être protégées en vertu du droit de l’Union. La directive (UE) 2019/1937 du Parlement européen et du Conseil (54) devrait donc s’appliquer aux signalements d’infractions au présent règlement et à la protection des personnes signalant ces infractions.
(173)
Sen varmistamiseksi, että sääntelykehystä voidaan tarvittaessa mukauttaa, komissiolle olisi siirrettävä valta hyväksyä Euroopan unionin toiminnasta tehdyn sopimuksen 290 artiklan mukaisesti säädösvallan siirron nojalla annettavia delegoituja säädöksiä, joilla muutetaan niitä edellytyksiä, joiden nojalla tekoälyjärjestelmää ei ole pidettävä suuririskisenä, suuririskisten tekoälyjärjestelmien luetteloa, teknistä dokumentaatiota koskevia säännöksiä, EU-vaatimustenmukaisuusvakuutuksen sisältöä, vaatimustenmukaisuuden arviointimenettelyjä koskevia säännöksiä, säännöksiä, joilla määritetään suuririskiset tekoälyjärjestelmät, joihin olisi sovellettava laadunhallintajärjestelmän ja teknisen dokumentaation arviointiin perustuvaa vaatimustenmukaisuuden arviointimenettelyä, kynnystä, vertailuarvoja ja indikaattoreita, muun muassa täydentäen kyseisiä vertailuarvoja ja indikaattoreita, joista on säädetty sellaisten yleiskäyttöisten tekoälymallien, joihin liittyy systeeminen riski, luokittelua koskevissa säännöissä, kriteereitä yleiskäyttöisille tekoälymalleille, joihin liittyy systeeminen riski, yleiskäyttöisten tekoälymallien tarjoajia koskevaa teknistä dokumentaatiota ja yleiskäyttöisten tekoälymallien tarjoajia koskevia avoimuustietoja. On erityisen tärkeää, että komissio asiaa valmistellessaan toteuttaa asianmukaiset kuulemiset, myös asiantuntijatasolla, ja että nämä kuulemiset toteutetaan paremmasta lainsäädännöstä 13 päivänä huhtikuuta 2016 tehdyssä toimielinten välisessä sopimuksessa (55) vahvistettujen periaatteiden mukaisesti. Jotta voitaisiin erityisesti varmistaa tasavertainen osallistuminen delegoitujen säädösten valmisteluun, Euroopan parlamentille ja neuvostolle toimitetaan kaikki asiakirjat samaan aikaan kuin jäsenvaltioiden asiantuntijoille, ja Euroopan parlamentin ja neuvoston asiantuntijoilla on järjestelmällisesti oikeus osallistua komission asiantuntijaryhmien kokouksiin, joissa valmistellaan delegoituja säädöksiä.
(173)
Afin de garantir que le cadre réglementaire puisse être adapté si nécessaire, le pouvoir d’adopter des actes conformément à l’article 290 du traité sur le fonctionnement de l’Union européenne devrait être délégué à la Commission pour lui permettre de modifier les conditions dans lesquelles un système d’IA ne doit pas être considéré comme étant à haut risque, la liste des systèmes d’IA à haut risque, les dispositions relatives à la documentation technique, le contenu de la déclaration «UE» de conformité, les dispositions relatives aux procédures d’évaluation de la conformité, les dispositions établissant les systèmes d’IA à haut risque auxquels devrait s’appliquer la procédure d’évaluation de la conformité fondée sur l’évaluation du système de gestion de la qualité et l’évaluation de la documentation technique, le seuil, les critères de référence et les indicateurs, y compris en complétant ces critères de référence et indicateurs, dans les règles de classification des modèles d’IA à usage général présentant un risque systémique, les critères de désignation des modèles d’IA à usage général présentant un risque systémique, la documentation technique destinée aux fournisseurs de modèles d’IA à usage général et les informations relatives à la transparence pour les fournisseurs de modèles d’IA à usage général. Il importe particulièrement que la Commission procède aux consultations appropriées durant son travail préparatoire, y compris au niveau des experts, et que ces consultations soient menées conformément aux principes définis dans l’accord interinstitutionnel du 13 avril 2016«Mieux légiférer» (55). En particulier, afin d’assurer une participation égale à la préparation des actes délégués, le Parlement européen et le Conseil reçoivent tous les documents en même temps que les experts des États membres, et leurs experts ont systématiquement accès aux réunions des groupes d’experts de la Commission participant à la préparation des actes délégués.
(174)
Koska teknologia kehittyy nopeasti ja tämän asetuksen tehokas soveltaminen edellyttää teknistä asiantuntemusta, komission olisi arvioitava ja tarkasteltava tätä asetusta uudelleen viimeistään 2 päivänä elokuuta 2029 [viiden vuoden kuluttua asetuksen voimaantulosta] ja sen jälkeen joka neljäs vuosi ja annettava asiasta kertomus Euroopan parlamentille ja neuvostolle. Komission olisi lisäksi arvioitava kerran vuodessa tarvetta muuttaa suuririskisten tekoälyjärjestelmien luetteloa ja kiellettyjen käytäntöjen luetteloa, ottaen huomioon tämän asetuksen soveltamisalaan kohdistuvat vaikutukset. Lisäksi komission olisi 2 päivään elokuuta 2028 mennessä ja sen jälkeen neljän vuoden välein tehtävä arvio, joka koskee tarvetta muuttaa tämän asetuksen liitteessä olevaa suuririskisten alojen otsikoiden luetteloa, avoimuusvelvoitteiden soveltamisalaan kuuluvia tekoälyjärjestelmiä, valvonta- ja hallintojärjestelmän tehokkuutta ja edistymistä yleiskäyttöisten tekoälymallien energiatehokasta kehittämistä koskevien standardointituotteiden kehittämisessä, mukaan lukien lisätoimenpiteiden tai toimien tarve, ja raportoitava tästä Euroopan parlamentille ja neuvostolle. Komission olisi arvioitava 2 päivään elokuuta 2028 mennessä ja sen jälkeen kolmen vuoden välein vapaaehtoisten käytännesääntöjen vaikutusta ja sitä, kuinka tehokkaasti ne edistävät suuririskisiä tekoälyjärjestelmiä koskevien vaatimusten soveltamista muiden kuin suuririskisten tekoälyjärjestelmien tapauksessa ja mahdollisesti muiden tällaisia tekoälyjärjestelmiä koskevien lisävaatimusten soveltamista.
(174)
Compte tenu de l’évolution rapide des technologies et de l’expertise technique requise aux fins de la bonne application du présent règlement, la Commission devrait évaluer et réexaminer le présent règlement au plus tard le 2 août 2029 et tous les quatre ans par la suite, et faire rapport au Parlement européen et au Conseil. En outre, en tenant compte des conséquences sur le champ d’application du présent règlement, la Commission devrait procéder à une évaluation de la nécessité de modifier une fois par an la liste des systèmes d’IA à haut risque et la liste des pratiques interdites. En outre, au plus tard le 2 août 2028 et tous les quatre ans par la suite, la Commission devrait évaluer la nécessité de modifier les rubriques de la liste des domaines à haut risque figurant à l’annexe du présent règlement, les systèmes d’IA relevant des obligations de transparence, l’efficacité du système de surveillance et de gouvernance ainsi que l’état d’avancement des travaux de normalisation concernant le développement économe en énergie de modèles d’IA à usage général, y compris la nécessité de mesures ou d’actions supplémentaires, et faire rapport au Parlement européen et au Conseil. Enfin, au plus tard le 2 août 2028 et tous les trois ans par la suite, la Commission devrait évaluer l’impact et l’efficacité des codes de conduite volontaires destinés à favoriser l’application des exigences énoncées pour les systèmes d’IA à haut risque dans le cas des systèmes d’IA autres que les systèmes d’IA à haut risque, et éventuellement d’autres exigences supplémentaires pour de tels systèmes d’IA.
(175)
Jotta voidaan varmistaa tämän asetuksen yhdenmukainen täytäntöönpano, komissiolle olisi siirrettävä täytäntöönpanovaltaa. Tätä valtaa olisi käytettävä Euroopan parlamentin ja neuvoston asetuksen (EU) N:o 182/2011 (56) mukaisesti.
(175)
Afin de garantir des conditions uniformes de mise en œuvre du présent règlement, il convient de conférer des compétences d’exécution à la Commission. Ces compétences devraient être exercées en conformité avec le règlement (UE) no 182/2011 du Parlement européen et du Conseil (56).
(176)
Jäsenvaltiot eivät voi riittävällä tavalla saavuttaa tämän asetuksen tavoitetta eli parantaa sisämarkkinoiden toimintaa ja edistää ihmiskeskeisen ja luotettavan tekoälyn käyttöönottoa, samalla varmistaen terveyden, turvallisuuden ja perusoikeuskirjassa vahvistettujen perusoikeuksien suojelun korkea taso, mukaan lukien demokratia, oikeusvaltio ja tekoälyjärjestelmien haitallisia vaikutuksia torjuva ympäristönsuojelu unionissa, ja tukea innovointia, vaan se voidaan toiminnan laajuuden tai vaikutusten vuoksi saavuttaa paremmin unionin tasolla. Sen vuoksi unioni voi toteuttaa toimenpiteitä Euroopan unionista tehdyn sopimuksen 5 artiklassa vahvistetun toissijaisuusperiaatteen mukaisesti. Mainitussa artiklassa vahvistetun suhteellisuusperiaatteen mukaisesti tässä asetuksessa ei ylitetä sitä, mikä on tarpeen tämän tavoitteen saavuttamiseksi.
(176)
Étant donné que l’objectif du présent règlement, à savoir améliorer le fonctionnement du marché intérieur et promouvoir l’adoption d’une IA axée sur l’humain et digne de confiance tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, y compris la démocratie, l’état de droit et la protection de l’environnement, contre les effets néfastes des systèmes d’IA dans l’Union, et en soutenant l’innovation, ne peut pas être atteint de manière suffisante par les États membres mais peut, en raison des dimensions et des effets de l’action, l’être mieux au niveau de l’Union, celle-ci peut prendre des mesures conformément au principe de subsidiarité consacré à l’article 5 du traité sur l’Union européenne. Conformément au principe de proportionnalité énoncé audit article, le présent règlement n’excède pas ce qui est nécessaire pour atteindre cet objectif.
(177)
Jotta voidaan taata oikeusvarmuus, varmistaa asianmukainen sopeutumisaika toimijoille ja välttää markkinoiden vääristyminen, myös varmistamalla tekoälyjärjestelmien käytön jatkuvuus, on asianmukaista, että tätä asetusta sovelletaan suuririskisiin tekoälyjärjestelmiin, jotka on saatettu markkinoille tai otettu käyttöön ennen asetuksen yleistä soveltamispäivää, ainoastaan, jos kyseisten järjestelmien suunnitteluun tai käyttötarkoitukseen tehdään kyseisen päivän jälkeen huomattavia muutoksia. On aiheellista selventää, että tässä yhteydessä huomattavan muutoksen käsitteellä olisi tarkoitettava sisällöltään samaa kuin merkittävän muutoksen käsitteellä, jota käytetään ainoastaan tässä asetuksessa tarkoitettujen suuririskisten tekoälyjärjestelmien osalta. Poikkeuksellisesti ja julkisen vastuuvelvollisuuden vuoksi tämän asetuksen liitteessä luetelluilla säädöksillä perustettujen laaja-alaisten tietojärjestelmien komponentteja olevien tekoälyjärjestelmien ylläpitäjien ja viranomaiskäyttöön tarkoitettujen suuririskisten tekoälyjärjestelmien ylläpitäjien olisi toteutettava tarvittavat toimenpiteet, joilla ne osaltaan varmistavat noudattavansa tämän asetuksen vaatimuksia vuoden 2030 loppuun mennessä ja viimeistään 2 päivänä elokuuta 2030.
(177)
Afin d’assurer la sécurité juridique, de veiller à ce que les opérateurs disposent d’une période d’adaptation appropriée et d’éviter toute perturbation du marché, y compris en assurant la continuité de l’utilisation des systèmes d’IA, il convient que le présent règlement s’applique aux systèmes d’IA à haut risque qui ont été mis sur le marché ou mis en service avant la date générale d’application de celui-ci, uniquement si, à compter de cette date, ces systèmes subissent d’importantes modifications de leur conception ou de leur destination. Il convient de préciser qu’à cet égard, la notion d’importante modification devrait être comprise comme équivalente sur le fond à celle de modification substantielle, qui est utilisée uniquement en ce qui concerne les systèmes d’IA à haut risque au titre du présent règlement. À titre exceptionnel et compte tenu de l’obligation de rendre des comptes au public, les exploitants de systèmes d’IA qui sont des composants des systèmes d’information à grande échelle établis par les actes juridiques énumérés à l’annexe du présent règlement et les exploitants de systèmes d’IA à haut risque destinés à être utilisés par des autorités publiques devraient prendre les mesures nécessaires pour se conformer aux exigences du présent règlement, respectivement, d’ici à la fin de 2030 et au plus tard le 2 août 2030.
(178)
Suuririskisten tekoälyjärjestelmien tarjoajia kannustetaan aloittamaan vapaaehtoisesti tämän asetuksen asiaankuuluvien velvoitteiden noudattaminen jo siirtymäkauden aikana.
(178)
Les fournisseurs de systèmes d’IA à haut risque sont encouragés à commencer à se conformer, sur une base volontaire, aux obligations pertinentes du présent règlement dès la période transitoire.
(179)
Tätä asetusta olisi sovellettava 2 päivästä elokuuta 2026. Kun kuitenkin otetaan huomioon tietyt tekoälyn käyttötavat, joita ei voida hyväksyä, kieltoja ja tämän asetuksen yleisiä säännöksiä olisi sovellettava jo 2 päivästä helmikuuta 2025. Vaikka kyseiset kiellot vaikuttavat täysimääräisesti tätä asetusta koskevaan valvontaan ja sen täytäntöönpanoon, kieltojen soveltamistavan ennakointi on tärkeää, jotta voidaan ottaa huomioon sellainen riski, jota ei voida hyväksyä, ja vaikuttaa muihin menettelyihin esimerkiksi siviilioikeudessa. Hallintoon ja vaatimustenmukaisuuden arviointijärjestelmään liittyvän infrastruktuurin olisi lisäksi oltava toiminnassa ennen 2 päivää elokuuta 2026, minkä vuoksi ilmoitettuja laitoksia ja hallintorakennetta koskevia säännöksiä olisi sovellettava 2 päivästä elokuuta 2026. Kun otetaan huomioon teknologian nopea kehitys ja yleiskäyttöisten tekoälymallien käyttöönotto, yleiskäyttöisten tekoälymallien tarjoajia koskevia velvoitteita olisi sovellettava 2 päivästä elokuuta 2025. Käytännesäännöt olisi vahvistettava viimeistään 2 päivänä toukokuuta 2025, jotta tarjoajat voivat ajoissa osoittaa toimintansa vaatimustenmukaisuuden. Tekoälytoimiston olisi varmistettava, että luokitussäännöt ja -menettelyt ovat ajan tasalla teknologian kehitykseen nähden. Jäsenvaltioiden olisi lisäksi vahvistettava säännöt, jotka koskevat seuraamuksia, myös hallinnollisia sakkoja, ja ilmoitettava niistä komissiolle sekä varmistettava, että ne pannaan asianmukaisesti ja tehokkaasti täytäntöön tämän asetuksen soveltamispäivään mennessä. Sen vuoksi seuraamuksia koskevia säännöksiä olisi sovellettava 2 päivästä elokuuta 2025.
(179)
Le présent règlement devrait s’appliquer à partir du 2 août 2026. Toutefois, compte tenu du risque inacceptable associé à certaines utilisations de l’IA, les interdictions ainsi que les dispositions générales du présent règlement devraient déjà s’appliquer à compter du 2 février 2025. Si le plein effet de ces interdictions découle de la mise en place de la gouvernance et du contrôle du respect du présent règlement, il importe d’anticiper l’application des interdictions afin de tenir compte des risques inacceptables et d’avoir un effet sur d’autres procédures, par exemple en droit civil. En outre, l’infrastructure liée à la gouvernance et au système d’évaluation de la conformité devrait être opérationnelle avant le 2 août 2026, et les dispositions relatives aux organismes notifiés et à la structure de gouvernance devraient donc s’appliquer à compter du 2 août 2025. Compte tenu du rythme rapide des avancées technologiques et de l’adoption des modèles d’IA à usage général, les obligations incombant aux fournisseurs de modèles d’IA à usage général devraient s’appliquer à compter du 2 août 2025. Les codes de bonne pratique devraient être prêts au plus tard le 2 mai 2025 afin de permettre aux fournisseurs de démontrer leur conformité à temps. Le Bureau de l’IA devrait veiller à ce que les règles et procédures de classification soient à jour des évolutions technologiques. En outre, les États membres devraient définir et notifier à la Commission les règles relatives aux sanctions, y compris les amendes administratives, et veiller à ce qu’elles soient correctement et efficacement mises en œuvre à la date d’application du présent règlement. Par conséquent, les dispositions relatives aux sanctions devraient s’appliquer à compter du 2 août 2025.
(180)
Euroopan tietosuojavaltuutettua ja Euroopan tietosuojaneuvostoa on kuultu asetuksen (EU) 2018/1725 42 artiklan 1 ja 2 kohdan mukaisesti, ja ne ovat antaneet yhteisen lausuntonsa 18 päivänä kesäkuuta 2021,
(180)
Le Contrôleur européen de la protection des données et le comité européen de la protection des données ont été consultés conformément à l’article 42, paragraphes 1 et 2, du règlement (UE) 2018/1725 et ont rendu leur avis conjoint le 18 juin 2021,
OVAT HYVÄKSYNEET TÄMÄN ASETUKSEN:
ONT ADOPTÉ LE PRÉSENT RÈGLEMENT:
I LUKU
CHAPITRE I
YLEISET SÄÄNNÖKSET
DISPOSITIONS GÉNÉRALES
1 artikla
Article premier
Kohde
Objet
1. Tämän asetuksen tarkoituksena on parantaa sisämarkkinoiden toimintaa ja edistää ihmiskeskeisen ja luotettavan tekoälyn käyttöönottoa, samalla kun varmistetaan terveyden, turvallisuuden, perusoikeuskirjassa vahvistettujen perusoikeuksien, mukaan lukien demokratia, oikeusvaltio ja ympäristön korkeatasoinen suojelu, tekoälyjärjestelmien haitallisilta vaikutuksilta unionissa, ja tukea innovointia.
1. L’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur et de promouvoir l’adoption d’une intelligence artificielle (IA) axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, notamment la démocratie, l’état de droit et la protection de l’environnement, contre les effets néfastes des systèmes d’IA dans l’Union, et en soutenant l’innovation.
2. Tässä asetuksessa vahvistetaan
2. Le présent règlement établit:
a)
yhdenmukaistetut säännöt tekoälyjärjestelmien markkinoille saattamiselle, käyttöönotolle ja käytölle unionissa;
a)
des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’IA dans l’Union;
b)
tiettyjä tekoälyyn liittyviä käytäntöjä koskevat kiellot;
b)
l’interdiction de certaines pratiques en matière d’IA;
c)
suuririskisiä tekoälyjärjestelmiä koskevat erityisvaatimukset ja tällaisiin järjestelmiin liittyvien toimijoiden velvollisuudet;
c)
des exigences spécifiques applicables aux systèmes d’IA à haut risque et des obligations imposées aux opérateurs de ces systèmes;
d)
avoimuutta koskevat yhdenmukaistetut säännöt tietyille tekoälyjärjestelmille;
d)
des règles harmonisées en matière de transparence applicables à certains systèmes d’IA;
e)
yleiskäyttöisten tekoälymallien markkinoille saattamista koskevat yhdenmukaistetut säännöt;
e)
des règles harmonisées pour la mise sur le marché de modèles d’IA à usage général;
f)
markkinoiden seurantaa ja valvontaa sekä hallinnointia ja täytäntöönpanoa koskevat säännöt;
f)
des règles relatives au suivi du marché, à la surveillance du marché, à la gouvernance et à l’application des règles;
g)
innovointia tukevat toimenpiteet, joissa keskitytään erityisesti pk-yrityksiin, startup-yritykset mukaan lukien.
g)
des mesures visant à soutenir l’innovation, en mettant particulièrement l’accent sur les PME, y compris les jeunes pousses.
2 artikla
Article 2
Soveltamisala
Champ d’application
1. Tätä asetusta sovelletaan
1. Le présent règlement s’applique:
a)
tekoälyjärjestelmien tarjoajiin, jotka saattavat markkinoille tai ottavat käyttöön tekoälyjärjestelmiä tai saattavat markkinoille yleiskäyttöisiä tekoälymalleja unionissa, riippumatta siitä, ovatko kyseiset tarjoajat sijoittautuneet unioniin tai kolmanteen maahan vai sijaitsevatko ne unionissa tai kolmannessa maassa;
a)
aux fournisseurs établis ou situés dans l’Union ou dans un pays tiers qui mettent sur le marché ou mettent en service des systèmes d’IA ou qui mettent sur le marché des modèles d’IA à usage général dans l’Union;
b)
unioniin sijoittautuneisiin tai unionissa sijaitseviin tekoälyjärjestelmien käyttöönottajiin;
b)
aux déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans l’Union;
c)
kolmannessa maassa kolmanteen maahan sijoittautuneisiin tai sellaisessa sijaitseviin tekoälyjärjestelmien tarjoajiin ja käyttöönottajiin, kun tekoälyjärjestelmän tuottamaa tuotosta käytetään unionissa;
c)
aux fournisseurs et aux déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans un pays tiers, lorsque les sorties produites par le système d’IA sont utilisées dans l’Union;
d)
tekoälyjärjestelmien maahantuojiin ja jakelijoihin;
d)
aux importateurs et aux distributeurs de systèmes d’IA;
e)
tuotteiden valmistajiin, jotka saattavat markkinoille tai ottavat käyttöön tekoälyjärjestelmän yhdessä tuotteensa kanssa ja omalla nimellään tai tavaramerkillään;
e)
aux fabricants de produits qui mettent sur le marché ou mettent en service un système d’IA en même temps que leur produit et sous leur propre nom ou leur propre marque;
f)
muualle kuin unioniin sijoittautuneisiin tarjoajien valtuutettuihin edustajiin;
f)
aux mandataires des fournisseurs qui ne sont pas établis dans l’Union;
g)
unioniin sijoittautuneisiin henkilöihin, joihin vaikutukset kohdistuvat.
g)
aux personnes concernées qui sont situées dans l’Union.
2. Tekoälyjärjestelmiin, jotka on luokiteltu suuririskisiksi tekoälyjärjestelmiksi 6 artiklan 1 kohdan mukaisesti ja jotka liittyvät liitteessä I olevassa B jaksossa luetellun unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluviin tuotteisiin, sovelletaan ainoastaan 6 artiklan 1 kohtaa, 102–109 artiklaa ja 112 artiklaa. Asetuksen 57 artiklaa sovelletaan vain siltä osin kuin tämän asetuksen mukaiset suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset on sisällytetty kyseiseen unionin yhdenmukaistamislainsäädäntöön.
2. En ce qui concerne les systèmes d’IA classés à haut risque conformément à l’article 6, paragraphe 1, liés aux produits couverts par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, section B, seuls l’article 6, paragraphe 1, les articles 102 à 109 et l’article 112 s’appliquent. L’article 57 ne s’applique que dans la mesure où les exigences applicables aux systèmes d’IA à haut risque au titre du présent règlement ont été intégrées dans ladite législation d’harmonisation de l’Union.
3. Tätä asetusta ei sovelleta aloihin, jotka eivät kuulu unionin oikeuden soveltamisalaan, eikä se missään tapauksessa vaikuta kansalliseen turvallisuuteen liittyvään jäsenvaltioiden toimivaltaan riippumatta siitä, minkä tyyppisiä tahoja jäsenvaltiot ovat valtuuttaneet suorittamaan näihin toimivaltuuksiin liittyviä tehtäviä.
3. Le présent règlement ne s’applique pas aux domaines qui ne relèvent pas du champ d’application du droit de l’Union et, en tout état de cause, ne porte pas atteinte aux compétences des États membres en matière de sécurité nationale, quel que soit le type d’entité chargée par les États membres d’exécuter des tâches liées à ces compétences.
Tätä asetusta ei sovelleta tekoälyjärjestelmiin, jos ja siltä osin kuin ne saatetaan markkinoille, otetaan käyttöön tai niitä käytetään muutettuina tai muuttamattomina yksinomaan sotilaallisia, puolustuksen tai kansallisen turvallisuuden tarkoituksia varten, riippumatta kyseisiä toimia toteuttavan toimijan tyypistä.
Le présent règlement ne s’applique pas aux systèmes d’IA si et dans la mesure où ils sont mis sur le marché, mis en service ou utilisés avec ou sans modifications exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités.
Tätä asetusta ei sovelleta tekoälyjärjestelmiin, joita ei saateta markkinoille tai oteta käyttöön unionissa, jos tuotosta käytetään unionissa yksinomaan sotilaallisia, puolustuksen tai kansallisen turvallisuuden tarkoituksia varten, riippumatta kyseisiä toimia toteuttavan toimijan tyypistä.
Le présent règlement ne s’applique pas aux systèmes d’IA qui ne sont pas mis sur le marché ou mis en service dans l’Union, lorsque les sorties sont utilisées dans l’Union exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités.
4. Tätä asetusta ei sovelleta kolmannen maan viranomaisiin eikä tämän asetuksen soveltamisalaan 1 kohdan nojalla kuuluviin kansainvälisiin järjestöihin, jos kyseiset viranomaiset tai järjestöt käyttävät tekoälyjärjestelmiä unionin tai yhden tai useamman jäsenvaltion kanssa tehtyjen lainvalvontaa ja rikosoikeudellista yhteistyötä koskevan kansainvälisen yhteistyön tai sopimusten puitteissa, edellyttäen, että asianomainen kolmas maa tai kansainvälinen järjestö antaa yksityisyydensuojaa, perusoikeuksia ja yksilön vapauksia koskevat riittävät takeet.
4. Le présent règlement ne s’applique ni aux autorités publiques d’un pays tiers ni aux organisations internationales relevant du champ d’application du présent règlement en vertu du paragraphe 1, lorsque ces autorités ou organisations utilisent des systèmes d’IA dans le cadre de la coopération internationale ou d’accords internationaux de coopération des services répressifs et judiciaires avec l’Union ou avec un ou plusieurs États membres, à condition que ce pays tiers ou cette organisation internationale fournisse des garanties adéquates en ce qui concerne la protection des droits fondamentaux et des libertés des personnes.
5. Tämä asetus ei vaikuta asetuksen (EU) 2022/2065 II luvussa vahvistettujen välityspalvelujen tarjoajien vastuuta koskevien säännösten soveltamiseen.
5. Le présent règlement n’affecte pas l’application des dispositions relatives à la responsabilité des prestataires intermédiaires énoncées au chapitre II du règlement (UE) 2022/2065.
6. Tätä asetusta ei sovelleta tekoälyjärjestelmiin tai tekoälymalleihin, jotka on erityisesti kehitetty ja otettu käyttöön yksinomaan tieteellistä tutkimusta ja kehittämistä varten, eikä myöskään niiden tuotoksiin.
6. Le présent règlement ne s’applique pas aux systèmes d’IA ou aux modèles d’IA spécifiquement développés et mis en service uniquement à des fins de recherche et développement scientifiques, ni à leurs sorties.
7. Henkilötietojen suojaa, yksityisyyttä ja viestinnän luottamuksellisuutta koskevaa unionin oikeutta sovelletaan henkilötietoihin, joita käsitellään tässä asetuksessa säädettyjen oikeuksien ja velvoitteiden yhteydessä. Tämä asetus ei vaikuta asetusten (EU) 2016/679 ja (EU) 2018/1725 eikä direktiivien 2002/58/EY ja (EU) 2016/680 soveltamiseen, sanotun kuitenkaan rajoittamatta tämän asetuksen 10 artiklan 5 kohdan ja 59 artiklan soveltamista.
7. Le droit de l’Union en matière de protection des données à caractère personnel, de respect de la vie privée et de confidentialité des communications s’applique aux données à caractère personnel traitées en lien avec les droits et obligations énoncés dans le présent règlement. Le présent règlement n’a pas d’incidence sur le règlement (UE) 2016/679 ou le règlement (UE) 2018/1725, ni sur la directive 2002/58/CE ou la directive (UE) 2016/680, sans préjudice de l’article 10, paragraphe 5, et de l’article 59 du présent règlement.
8. Tätä asetusta ei sovelleta mihinkään tekoälyjärjestelmiä tai tekoälymalleja koskevaan tutkimus-, testaus- ja kehittämistoimintaan ennen niiden markkinoille saattamista tai käyttöönottoa. Tällaiset toimet on toteutettava noudattaen sovellettavaa unionin oikeutta. Kyseinen poikkeus ei kata testausta tosielämän olosuhteissa.
8. Le présent règlement ne s’applique pas aux activités de recherche, d’essai et de développement relatives aux systèmes d’IA ou modèles d’IA avant leur mise sur le marché ou leur mise en service. Ces activités sont menées conformément au droit de l’Union applicable. Les essais en conditions réelles ne sont pas couverts par cette exclusion.
9. Tällä asetuksella ei rajoiteta muissa kuluttajansuojaan ja tuoteturvallisuuteen liittyvissä unionin säädöksissä vahvistettujen sääntöjen soveltamista.
9. Le présent règlement s’entend sans préjudice des règles établies par d’autres actes juridiques de l’Union relatifs à la protection des consommateurs et à la sécurité des produits.
10. Tätä asetusta ei sovelleta niiden käyttöönottajien velvoitteisiin, jotka ovat luonnollisia henkilöitä, jotka käyttävät tekoälyjärjestelmiä pelkästään henkilökohtaisessa muussa kuin ammattitoiminnassa.
10. Le présent règlement ne s’applique pas aux obligations incombant aux déployeurs qui sont des personnes physiques utilisant des systèmes d’IA dans le cadre d’une activité strictement personnelle à caractère non professionnel.
11. Tällä asetuksella ei estetä unionia tai jäsenvaltioita pitämästä voimassa tai ottamasta käyttöön lakeja, asetuksia tai hallinnollisia määräyksiä, jotka ovat työntekijöiden kannalta suotuisampia ja suojelevat heidän oikeuksiaan liittyen tekoälyjärjestelmien käyttöön työnantajien toimesta, tai kannustamasta soveltamaan työntekijöiden kannalta suotuisampia työehtosopimuksia tai sallimasta niiden soveltamisen.
11. Le présent règlement n’empêche pas l’Union ou les États membres de maintenir ou d’introduire des dispositions législatives, réglementaires ou administratives plus favorables aux travailleurs quant à la protection de leurs droits en ce qui concerne l’utilisation de systèmes d’IA par les employeurs, ou d’encourager ou de permettre l’application de conventions collectives plus favorables aux travailleurs.
12. Tätä asetusta ei sovelleta vapaisiin ja avoimeen lähdekoodiin perustuviin tekoälyjärjestelmiin, paitsi jos ne saatetaan markkinoille tai otetaan käyttöön suuririskisinä tekoälyjärjestelminä taikka 5 tai 50 artiklan soveltamisalaan kuuluvina tekoälyjärjestelminä.
12. Le présent règlement ne s’applique pas aux systèmes d’IA publiés dans le cadre de licences libres et ouvertes, sauf s’ils sont mis sur le marché ou mis en service en tant que systèmes d’IA à haut risque ou en tant que systèmes d’IA qui relèvent de l’article 5 ou de l’article 50.
3 artikla
Article 3
Määritelmät
Définitions
Tässä asetuksessa tarkoitetaan
Aux fins du présent règlement, on entend par:
1)
”tekoälyjärjestelmällä” konepohjaista järjestelmää, joka on suunniteltu toimimaan käyttöönoton jälkeen vaihtelevilla autonomian tasoilla ja jossa voi ilmetä mukautuvuutta käyttöönoton jälkeen ja joka päättelee vastaanottamastaan syötteestä eksplisiittisiä tai implisiittisiä tavoitteita varten, miten tuottaa tuotoksia, kuten ennusteita, sisältöä, suosituksia tai päätöksiä, jotka voivat vaikuttaa fyysisiin tai virtuaalisiin ympäristöihin;
1)
«système d’IA», un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels;
2)
”riskillä” haitan esiintymisen todennäköisyyden ja haitan vakavuuden yhdistelmää;
2)
«risque», la combinaison de la probabilité d’un préjudice et de la sévérité de celui-ci;
3)
”tarjoajalla” luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta elintä, joka kehittää tai kehityttää tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin ja saattaa sen markkinoille tai ottaa tekoälyjärjestelmän käyttöön omalla nimellään tai tavaramerkillään joko maksua vastaan tai maksutta;
3)
«fournisseur», une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit;
4)
”käyttöönottajalla” luonnollista tai oikeushenkilöä, viranomaista, virastoa tai muuta tahoa, joka käyttää valvonnassaan olevaa tekoälyjärjestelmää, paitsi jos tekoälyjärjestelmää käytetään henkilökohtaisessa muussa kuin ammattitoiminnassa;
4)
«déployeur», une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel;
5)
”valtuutetulla edustajalla” unionissa sijaitsevaa tai unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka on saanut ja hyväksynyt tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin tarjoajan antaman kirjallisen toimeksiannon täyttää ja toteuttaa kyseisen tarjoajan puolesta tässä asetuksessa säädetyt velvollisuudet ja menettelyt;
5)
«mandataire», une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement;
6)
”maahantuojalla” unionissa sijaitsevaa tai unioniin sijoittautunutta luonnollista tai oikeushenkilöä, joka saattaa markkinoille tekoälyjärjestelmän, jolla on kolmanteen maahan sijoittautuneen luonnollisen tai oikeushenkilön nimi tai tavaramerkki;
6)
«importateur», une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers;
7)
”jakelijalla” muuta toimitusketjuun kuuluvaa luonnollista tai oikeushenkilöä kuin tarjoajaa tai maahantuojaa, joka asettaa tekoälyjärjestelmän saataville unionin markkinoilla;
7)
«distributeur», une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union;
8)
”toimijalla” tarjoajaa, tuotteen valmistajaa, käyttöönottajaa, valtuutettua edustajaa, maahantuojaa tai jakelijaa;
8)
«opérateur», un fournisseur, fabricant de produits, déployeur, mandataire, importateur ou distributeur;
9)
”markkinoille saattamisella” tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin asettamista ensimmäistä kertaa saataville unionin markkinoilla;
9)
«mise sur le marché», la première mise à disposition d’un système d’IA ou d’un modèle d’IA à usage général sur le marché de l’Union;
10)
”asettamisella saataville markkinoilla” tekoälyjärjestelmän tai yleiskäyttöisen tekoälymallin toimittamista markkinoille liiketoiminnan yhteydessä jakelua tai käyttöä varten joko maksua vastaan tai maksutta;
10)
«mise à disposition sur le marché», la fourniture d’un système d’IA ou d’un modèle d’IA à usage général destiné à être distribué ou utilisé sur le marché de l’Union dans le cadre d’une activité commerciale, à titre onéreux ou gratuit;
11)
”käyttöönotolla” tekoälyjärjestelmän toimittamista ensimmäistä käyttöä varten unionissa sen käyttötarkoitukseen suoraan käyttöönottajalle tai omaan käyttöön;
11)
«mise en service», la fourniture d’un système d’IA en vue d’une première utilisation directement au déployeur ou pour usage propre dans l’Union, conformément à la destination du système d’IA;
12)
”käyttötarkoituksella” käyttöä, johon tarjoaja on tarkoittanut tekoälyjärjestelmän, mukaan lukien erityinen käyttöyhteys ja erityiset käyttöolosuhteet, siten kuin ne on määritelty tiedoissa, jotka tarjoaja on antanut käyttöohjeissa, markkinointi- tai myyntimateriaaleissa ja -ilmoituksissa sekä teknisessä dokumentaatiossa;
12)
«destination», l’utilisation à laquelle un système d’IA est destiné par le fournisseur, y compris le contexte et les conditions spécifiques d’utilisation, tels qu’ils sont précisés dans les informations communiquées par le fournisseur dans la notice d’utilisation, les indications publicitaires ou de vente et les déclarations, ainsi que dans la documentation technique;
13)
”kohtuudella ennakoitavissa olevalla väärinkäytöllä” tekoälyjärjestelmän käyttöä tavalla, joka ei ole sen käyttötarkoituksen mukainen mutta joka voi olla seurausta kohtuudella ennakoitavissa olevasta ihmisen käyttäytymisestä tai järjestelmän vuorovaikutuksesta muiden järjestelmien, myös muiden tekoälyjärjestelmien, kanssa;
13)
«mauvaise utilisation raisonnablement prévisible», l’utilisation d’un système d’IA d’une manière qui n’est pas conforme à sa destination, mais qui peut résulter d’un comportement humain raisonnablement prévisible ou d’une interaction raisonnablement prévisible avec d’autres systèmes, y compris d’autres systèmes d’IA;
14)
”turvakomponentilla” tuotteen tai tekoälyjärjestelmän komponenttia, joka toteuttaa kyseisen tuotteen tai tekoälyjärjestelmän turvallisuustoimintoa taikka jonka vika tai toimintahäiriö vaarantaa ihmisten terveyden ja turvallisuuden tai omaisuuden turvallisuuden;
14)
«composant de sécurité», un composant d’un produit ou d’un système d’IA qui remplit une fonction de sécurité pour ce produit ou ce système d’IA, ou dont la défaillance ou le dysfonctionnement met en danger la santé et la sécurité des personnes ou des biens;
15)
”käyttöohjeilla” tietoja, jotka tarjoaja antaa käyttöönottajalle erityisesti tekoälyjärjestelmän käyttötarkoituksesta ja asianmukaisesta käytöstä;
15)
«notice d’utilisation», les indications communiquées par le fournisseur pour informer le déployeur, en particulier, de la destination et de l’utilisation correcte d’un système d’IA;
16)
”tekoälyjärjestelmän palautusmenettelyllä” kaikkia toimenpiteitä, joiden tarkoituksena on palauttaa käyttöönottajien saataville asetettu tekoälyjärjestelmä takaisin sen tarjoajalle tai poistaa se käytöstä tai tehdä sen käyttö mahdottomaksi;
16)
«rappel d’un système d’IA», toute mesure visant à assurer le retour au fournisseur d’un système d’IA mis à la disposition de déployeurs ou à le mettre hors service ou à désactiver son utilisation;
17)
”tekoälyjärjestelmän markkinoilta poistamisella” kaikkia toimenpiteitä, joiden tarkoituksena on estää toimitusketjussa olevan tekoälyjärjestelmän asettaminen saataville markkinoilla;
17)
«retrait d’un système d’IA», toute mesure visant à empêcher qu’un système d’IA se trouvant dans la chaîne d’approvisionnement ne soit mis à disposition sur le marché;
18)
”tekoälyjärjestelmän suorituskyvyllä” tekoälyjärjestelmän kykyä täyttää aiottu käyttötarkoitus;
18)
«performance d’un système d’IA», la capacité d’un système d’IA à remplir sa destination;
19)
”ilmoittamisesta vastaavalla viranomaisella” kansallista viranomaista, joka vastaa vaatimustenmukaisuuden arviointilaitosten arviointiin, nimeämiseen ja ilmoittamiseen sekä niiden seurantaan tarvittavien menettelyjen perustamisesta ja toteuttamisesta;
19)
«autorité notifiante», l’autorité nationale chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle;
20)
”vaatimustenmukaisuuden arvioinnilla” prosessia, jolla osoitetaan, täyttyvätkö III luvun 2 jaksossa vahvistetut suuririskistä tekoälyjärjestelmää koskevat vaatimukset;
20)
«évaluation de la conformité», la procédure permettant de démontrer que les exigences relatives à un système d’IA à haut risque énoncées au chapitre III, section 2, ont été respectées;
21)
”vaatimustenmukaisuuden arviointilaitoksella” tahoa, joka suorittaa kolmantena osapuolena vaatimustenmukaisuuden arviointitoimia, kuten testausta, sertifiointia ja tarkastuksia;
21)
«organisme d’évaluation de la conformité», un organisme en charge des activités d’évaluation de la conformité par un tiers, y compris la mise à l’essai, la certification et l’inspection;
22)
”ilmoitetulla laitoksella” vaatimustenmukaisuuden arviointilaitosta, joka on ilmoitettu tämän asetuksen ja muun asiaankuuluvan unionin yhdenmukaistamislainsäädännön mukaisesti;
22)
«organisme notifié», un organisme d’évaluation de la conformité notifié en application du présent règlement et d’autres actes législatifs d’harmonisation de l’Union pertinents;
23)
”merkittävällä muutoksella” tekoälyjärjestelmään sen markkinoille saattamisen tai käyttöönoton jälkeen tehtyä muutosta, jota tarjoaja ei ennakoi tai suunnittele alustavassa vaatimustenmukaisuuden arvioinnissa ja joka vaikuttaa siihen, miten tekoälyjärjestelmä täyttää tämän asetuksen III luvun 2 jaksossa vahvistetut vaatimukset, tai joka muuttaa käyttötarkoitusta, jota varten tekoälyjärjestelmä on arvioitu;
23)
«modification substantielle», une modification apportée à un système d’IA après sa mise sur le marché ou sa mise en service, qui n’est pas prévue ou planifiée dans l’évaluation initiale de la conformité réalisée par le fournisseur et qui a pour effet de nuire à la conformité de ce système aux exigences énoncées au chapitre III, section 2, ou qui entraîne une modification de la destination pour laquelle le système d’IA a été évalué;
24)
”CE-merkinnällä” merkintää, jolla tarjoaja osoittaa, että tekoälyjärjestelmä on niiden vaatimusten mukainen, jotka vahvistetaan III luvun 2 jaksossa ja muussa sovellettavassa unionin yhdenmukaistamislainsäädännössä ja jossa säädetään merkinnän kiinnittämisestä;
24)
«marquage CE», un marquage par lequel le fournisseur indique qu’un système d’IA est conforme aux exigences du chapitre III, section 2, et d’autres actes législatifs d’harmonisation de l’Union applicables qui en prévoient l’apposition;
25)
”markkinoille saattamisen jälkeisellä seurantajärjestelmällä” kaikkia toimia, joita tekoälyjärjestelmien tarjoajat toteuttavat kerätäkseen ja tarkastellakseen niiden markkinoille saattamien tai käyttöön ottamien tekoälyjärjestelmien käytöstä saatuja kokemuksia, jotta voidaan todeta, onko tarpeen toteuttaa välittömästi tarpeellisia korjaavia tai ennalta ehkäiseviä toimenpiteitä;
25)
«système de surveillance après commercialisation», l’ensemble des activités réalisées par les fournisseurs de systèmes d’IA pour recueillir et analyser les données issues de l’expérience d’utilisation des systèmes d’IA qu’ils mettent sur le marché ou mettent en service de manière à repérer toute nécessité d’appliquer immédiatement une mesure préventive ou corrective;
26)
”markkinavalvontaviranomaisella” kansallista viranomaista, joka toteuttaa asetuksen (EU) 2019/1020 mukaisia toimia;
26)
«autorité de surveillance du marché», l’autorité nationale assurant la mission et prenant les mesures prévues par le règlement (UE) 2019/1020;
27)
”yhdenmukaistetulla standardilla” asetuksen (EU) N:o 1025/2012 2 artiklan 1 alakohdan c alakohdassa määriteltyä yhdenmukaistettua standardia;
27)
«norme harmonisée», une norme harmonisée au sens de l’article 2, paragraphe 1, point c), du règlement (UE) no 1025/2012;
28)
”yhteisellä eritelmällä” asetuksen (EU) N:o 1025/2012 2 artiklan 4 alakohdassa määriteltyjä teknisiä eritelmiä, joiden avulla voidaan noudattaa tiettyjä tässä asetuksessa vahvistettuja vaatimuksia;
28)
«spécification commune», un ensemble de spécifications techniques au sens de l’article 2, point 4), du règlement (UE) no 1025/2012 qui permettent de satisfaire à certaines exigences établies en vertu du présent règlement;
29)
”koulutusdatalla” dataa, jota käytetään tekoälyjärjestelmän kouluttamiseen sovittamalla sen opittavia parametreja;
29)
«données d’entraînement», les données utilisées pour entraîner un système d’IA en ajustant ses paramètres entraînables;
30)
”validointidatalla” dataa, jota käytetään koulutetun tekoälyjärjestelmän arviointiin ja sen ei-opittavien parametrien ja oppimisprosessin hienosäätöön muun muassa ali- tai ylisovittamisen estämiseksi;
30)
«données de validation», les données utilisées pour fournir une évaluation du système d’IA entraîné et pour régler ses paramètres non entraînables ainsi que son processus d’apprentissage, afin, notamment, d’éviter tout sous-ajustement ou surajustement;
31)
”validointidatajoukolla” erillistä datajoukkoa tai koulutusdatajoukon osaa joko kiinteällä tai muuttuvalla jaolla;
31)
«jeu de données de validation», un jeu de données distinct ou une partie du jeu de données d’entraînement, sous la forme d’une division variable ou fixe;
32)
”testausdatalla” dataa, jota käytetään tekoälyjärjestelmän riippumattomaan arviointiin kyseisen järjestelmän odotetun suorituskyvyn toteamiseksi ennen järjestelmän markkinoille saattamista tai käyttöönottoa;
32)
«données de test», les données utilisées pour fournir une évaluation indépendante du système d’IA afin de confirmer la performance attendue de ce système avant sa mise sur le marché ou sa mise en service;
33)
”syöttötiedoilla” tekoälyjärjestelmään syötettyä tai sen suoraan hankkimaa dataa, jonka perusteella järjestelmä tuottaa tuloksen;
33)
«données d’entrée», les données fournies à un système d’IA ou directement acquises par celui-ci et à partir desquelles il produit une sortie;
34)
”biometrisillä tiedoilla” kaikkia luonnollisen henkilön fyysisiin ja fysiologisiin ominaisuuksiin tai käyttäytymiseen liittyvällä teknisellä käsittelyllä saatuja henkilötietoja, kuten kasvokuvia tai sormenjälkitietoja;
34)
«données biométriques», les données à caractère personnel résultant d’un traitement technique spécifique, relatives aux caractéristiques physiques, physiologiques ou comportementales d’une personne physique, telles que des images faciales ou des données dactyloscopiques;
35)
”biometrisellä tunnistuksella” ihmisen fyysisten, fysiologisten, käyttäytymiseen liittyvien tai psykologisten ominaisuuksien automaattista tunnistamista luonnollisen henkilön henkilöllisyyden toteamiseksi vertaamalla kyseisen henkilön biometrisiä tietoja tietokantaan tallennettuihin toisten yksilöiden biometrisiin tietoihin;
35)
«identification biométrique», la reconnaissance automatisée de caractéristiques physiques, physiologiques, comportementales ou psychologiques humaines aux fins d’établir l’identité d’une personne physique en comparant ses données biométriques à des données biométriques de personnes stockées dans une base de données;
36)
”biometrisellä todennuksella” luonnollisten henkilöiden henkilöllisyyden automaattista yksi yhteen -todentamista, tunnistautuminen mukaan lukien, vertaamalla näiden biometrisiä tietoja aiemmin annettuihin biometrisiin tietoihin;
36)
«vérification biométrique», la vérification «un à un» automatisée, y compris l’authentification, de l’identité des personnes physiques en comparant leurs données biométriques à des données biométriques précédemment fournies;
37)
”erityisillä henkilötietoryhmillä” asetuksen (EU) 2016/679 9 artiklan 1 kohdassa, direktiivin (EU) 2016/680 10 artiklassa ja asetuksen (EU) 2018/1725 10 artiklan 1 kohdassa tarkoitettuja henkilötietoryhmiä;
37)
«catégories particulières de données à caractère personnel», les catégories de données à caractère personnel visées à l’article 9, paragraphe 1, du règlement (UE) 2016/679, à l’article 10 de la directive (UE) 2016/680 et à l’article 10, paragraphe 1, du règlement (UE) 2018/1725;
38)
”arkaluonteisilla operatiivisilla tiedoilla” operatiivisia tietoja, jotka liittyvät rikosten ennalta ehkäisemistä, paljastamista, tutkimista tai niistä syytteeseenpanoa koskeviin toimiin ja joiden paljastaminen voisi vaarantaa rikosoikeudellisen menettelyn luotettavuuden;
38)
«données opérationnelles sensibles», les données opérationnelles relatives à des activités de prévention et de détection des infractions pénales, ainsi que d’enquête ou de poursuites en la matière, dont la divulgation pourrait compromettre l’intégrité des procédures pénales;
39)
”tunteentunnistusjärjestelmällä” tekoälyjärjestelmää, jonka avulla luonnollisten henkilöiden tunteita tai aikomuksia voidaan tunnistaa tai päätellä heidän biometristen tietojensa perusteella;
39)
«système de reconnaissance des émotions», un système d’IA permettant la reconnaissance ou la déduction des émotions ou des intentions de personnes physiques sur la base de leurs données biométriques;
40)
”biometrisellä luokittelujärjestelmällä” tekoälyjärjestelmää, jonka avulla luonnolliset henkilöt luokitellaan heidän biometristen tietojensa perusteella tiettyihin ryhmiin, paitsi jos se on toisen kaupallisen palvelun oheistoiminto ja se on ehdottoman välttämätön objektiivisista teknisistä syistä;
40)
«système de catégorisation biométrique», un système d’IA destiné à affecter des personnes physiques à des catégories spécifiques sur la base de leurs données biométriques, à moins que cela ne soit accessoire à un autre service commercial et strictement nécessaire pour des raisons techniques objectives;
41)
”biometrisellä etätunnistusjärjestelmällä” tekoälyjärjestelmää, jonka avulla luonnolliset henkilöt voidaan tunnistaa ilman heidän aktiivista osallistumistaan – tyypillisesti etäältä – vertaamalla henkilön biometrisiä tietoja viitetietokantaan sisältyviin biometrisiin tietoihin;
41)
«système d’identification biométrique à distance», un système d’IA destiné à identifier des personnes physiques sans leur participation active, généralement à distance, en comparant les données biométriques d’une personne avec celles qui figurent dans une base de données;
42)
”reaaliaikaisella biometrisellä etätunnistusjärjestelmällä” biometristä etätunnistusjärjestelmää, jossa biometristen tietojen kerääminen, vertailu ja tunnistaminen tapahtuvat ilman merkittävää viivettä ja joka kattaa välittömän tunnistamisen lisäksi myös vähäiset viiveet, joilla pyritään ehkäisemään harhaanjohtamista;
42)
«système d’identification biométrique à distance en temps réel», un système d’identification biométrique à distance dans lequel l’acquisition des données biométriques, la comparaison et l’identification se déroulent sans décalage temporel important et qui comprend non seulement l’identification instantanée, mais aussi avec un léger décalage afin d’éviter tout contournement des règles;
43)
”jälkikäteisellä biometrisellä etätunnistusjärjestelmällä” muuta kuin reaaliaikaista biometristä etätunnistusjärjestelmää;
43)
«système d’identification biométrique à distance a posteriori», un système d’identification biométrique à distance autre qu’un système d’identification biométrique à distance en temps réel;
44)
”julkisella tilalla” mitä tahansa julkisessa tai yksityisessä omistuksessa olevaa fyysistä paikkaa, johon määrittämättömällä määrällä luonnollisia henkilöitä on pääsy, riippumatta siitä, sovelletaanko tiettyjä pääsyä koskevia edellytyksiä ja riippumatta mahdollisista kapasiteettirajoituksista;
44)
«espace accessible au public», tout espace physique de propriété publique ou privée, accessible à un nombre indéterminé de personnes physiques, indépendamment de l’existence de conditions d’accès à cet espace qui puissent s’appliquer, et indépendamment d’éventuelles restrictions de capacité;
45)
”lainvalvontaviranomaisella”
45)
«autorités répressives»,
a)
kaikkia viranomaisia, joiden toimivalta kattaa rikosten ennalta estämisen, tutkimisen, paljastamisen tai rikoksiin liittyvät syytetoimet tai rikosoikeudellisten seuraamusten täytäntöönpanon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy; tai
a)
toute autorité publique compétente pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces; ou
b)
kaikkia muita elimiä tai yksiköitä, joille on jäsenvaltion lainsäädännössä annettu tehtäväksi käyttää julkista valtaa tai valtuuksia rikosten ennalta estämiseen, tutkimiseen, paljastamiseen tai rikoksiin liittyviin syytetoimiin tai rikosoikeudellisten seuraamusten täytäntöönpanoon, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;
b)
tout autre organisme ou entité à qui le droit d’un État membre confie l’exercice de l’autorité publique et des prérogatives de puissance publique à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
46)
”lainvalvonnalla” toimia, joita lainvalvontaviranomaiset toteuttavat tai joita toteutetaan niiden puolesta rikosten ennalta estämistä, tutkimista, paljastamista tai rikoksiin liittyviä syytetoimia tai rikosoikeudellisten seuraamusten täytäntöönpanoa varten, mukaan lukien yleiseen turvallisuuteen kohdistuvilta uhkilta suojelu ja tällaisten uhkien ehkäisy;
46)
«activités répressives», des activités menées par les autorités répressives ou pour leur compte pour la prévention et la détection des infractions pénales, les enquêtes et les poursuites en la matière ou l’exécution de sanctions pénales, y compris la protection contre les menaces pour la sécurité publique et la prévention de telles menaces;
47)
”tekoälytoimistolla” komission tehtävää edistää 24 päivänä tammikuuta 2024 tehdyssä komission päätöksessä säädettyä tekoälyjärjestelmien, yleiskäyttöisten tekoälymallien ja tekoälyn hallinnoinnin täytäntöönpanoa, seurantaa ja valvontaa; tässä asetuksessa olevia viittauksia tekoälytoimistoon pidetään viittauksina komissioon;
47)
«Bureau de l’IA», la fonction de la Commission consistant à contribuer à la mise en œuvre, au suivi et à la surveillance des systèmes d’IA et de modèles d’IA à usage général et de la gouvernance de l’IA, établi par la décision de la Commission du 24 janvier 2024; les références faites au Bureau de l’IA dans le présent règlement s’entendent comme faites à la Commission;
48)
”kansallisella toimivaltaisella viranomaisella” ilmoittamisesta vastaavaa viranomaista tai markkinavalvontaviranomaista; kun kyseessä ovat unionin toimielinten, virastojen, toimistojen ja elinten käyttöön ottamat tai käyttämät tekoälyjärjestelmät, tässä asetuksessa olevia viittauksia kansallisiin toimivaltaisiin viranomaisiin tai markkinavalvontaviranomaisiin on pidettävä viittauksina Euroopan tietosuojavaltuutettuun;
48)
«autorité nationale compétente», une autorité notifiante ou une autorité de surveillance du marché; en ce qui concerne les systèmes d’IA mis en service ou utilisés par les institutions, organes ou organismes de l’Union, les références aux autorités nationales compétentes ou aux autorités de surveillance du marché dans le présent règlement s’entendent comme une référence au Contrôleur européen de la protection des données;
49)
”vakavalla vaaratilanteella” vaaratilannetta tai tekoälyjärjestelmän toimintahäiriötä, joka suoraan tai välillisesti johtaa johonkin seuraavista:
49)
«incident grave», un incident ou dysfonctionnement d’un système d’IA entraînant directement ou indirectement:
a)
henkilön kuolema tai vakava vahinko henkilön terveydelle;
a)
le décès d’une personne ou une atteinte grave à la santé d’une personne;
b)
vakava tai peruuttamaton häiriö kriittisen infrastruktuurin hallinnassa ja toiminnassa.
b)
une perturbation grave et irréversible de la gestion ou du fonctionnement d’infrastructures critiques;
c)
perusoikeuksien suojaamiseen tarkoitettujen unionin oikeuden mukaisten velvoitteiden rikkominen,
c)
la violation des obligations au titre du droit de l’Union visant à protéger les droits fondamentaux;
d)
vakava vahinko omaisuudelle tai ympäristölle;
d)
un dommage grave à des biens ou à l’environnement;
50)
”henkilötiedoilla” asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä henkilötietoja;
50)
«données à caractère personnel», les données à caractère personnel définies à l’article 4, point 1), du règlement (UE) 2016/679;
51)
”muilla kuin henkilötiedoilla” muuta dataa kuin asetuksen (EU) 2016/679 4 artiklan 1 alakohdassa määriteltyjä henkilötietoja;
51)
«données à caractère non personnel», les données autres que les données à caractère personnel au sens de l’article 4, point 1), du règlement (UE) 2016/679;
52)
”profiloinnilla” profilointia asetuksen (EU) 2016/679 4 artiklan 4 alakohdassa tarkoitetulla tavalla;
52)
«profilage», le profilage au sens de l’article 4, point 4), du règlement (UE) 2016/679;
53)
”todellisissa olosuhteissa tapahtuvaa testausta koskevalla suunnitelmalla” asiakirjaa, jossa kuvataan todellisissa olosuhteissa tapahtuvan testauksen tavoitteet, menetelmät, maantieteellinen, väestöä koskeva ja ajallinen laajuus, seuranta, organisointi ja toteuttaminen;
53)
«plan d’essais en conditions réelles», un document décrivant les objectifs, la méthode, la population et le champ d’application géographique et la portée dans le temps, le suivi, l’organisation et la conduite des essais en conditions réelles;
54)
”testiympäristösuunnitelmalla” osallistuvan tarjoajan ja toimivaltaisen viranomaisen välillä sovittua asiakirjaa, jossa kuvataan testiympäristössä toteutettavien toimien tavoitteet, edellytykset, aikataulu, menetelmät ja vaatimukset;
54)
«plan du bac à sable», un document adopté conjointement entre le fournisseur participant et l’autorité compétente, qui décrit les objectifs, les conditions, les délais, la méthodologie et les exigences applicables aux activités réalisées au sein du bac à sable;
55)
”tekoälyn sääntelyn testiympäristöllä” toimivaltaisen viranomaisen perustamaa hallinnoitua kehystä, joka tarjoaa tekoälyjärjestelmien tarjoajille tai mahdollisille tarjoajille mahdollisuuden kehittää, kouluttaa, validoida ja testata tarvittaessa todellisissa olosuhteissa innovatiivista tekoälyjärjestelmää testisuunnitelman mukaisesti rajoitetun ajan viranomaisvalvonnassa;
55)
«bac à sable réglementaire de l’IA», un cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs ou fournisseurs potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant, selon un plan du bac à sable pour une durée limitée sous surveillance réglementaire;
56)
”tekoälylukutaidolla” osaamista, tietämystä ja ymmärrystä, joiden avulla tarjoajat, käyttöönottajat ja henkilöt, joihin vaikutukset kohdistuvat, voivat ottaen huomioon oikeutensa ja velvollisuutensa tämän asetuksen puitteissa ottaa tietoon perustuen käyttöön tekoälyjärjestelmiä sekä saada tietoa tekoälyn mahdollisuuksista ja riskeistä ja mahdollisista vahingoista, joita se voi aiheuttaa;
56)
«maîtrise de l’IA», les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le contexte du présent règlement, de procéder à un déploiement des systèmes d’IA en toute connaissance de cause, ainsi que de prendre conscience des possibilités et des risques que comporte l’IA, ainsi que des préjudices potentiels qu’elle peut causer;
57)
”todellisissa olosuhteissa suoritettavalla testauksella” tekoälyjärjestelmän tilapäistä testaamista käyttötarkoituksensa mukaisesti todellisissa olosuhteissa muualla kuin laboratoriossa tai muulla tavoin simuloidussa ympäristössä luotettavan ja vankan datan keräämiseksi ja tekoälyjärjestelmän vaatimustenmukaisuuden arvioimiseksi ja todentamiseksi tämän asetuksen vaatimuksiin nähden, ja tätä ei katsota tekoälyjärjestelmän saattamiseksi markkinoille tai sen käyttöönottamiseksi tässä asetuksessa tarkoitetulla tavalla, edellyttäen että kaikki 57 tai 60 artiklassa säädetyt edellytykset täyttyvät;
57)
«essais en conditions réelles», les essais temporaires d’un système d’IA aux fins de sa destination en conditions réelles en dehors d’un laboratoire ou d’un environnement simulé d’une autre manière, visant à recueillir des données fiables et solides et à évaluer et vérifier la conformité du système d’IA aux exigences du présent règlement; les essais en conditions réelles ne remplissent pas les conditions pour constituer une mise sur le marché ni une mise en service du système d’IA au sens du présent règlement, pour autant que toutes les conditions prévues à l’article 57 ou à l’article 60 soient remplies;
58)
”osallistujalla” todellisissa olosuhteissa tapahtuvan testauksen yhteydessä luonnollista henkilöä, joka osallistuu todellisissa olosuhteissa tapahtuvaan testaukseen;
58)
«participant», aux fins des essais en conditions réelles, une personne physique qui participe à des essais en conditions réelles;
59)
”tietoon perustuvalla suostumuksella” osallistujan vapaasti annettua, tiettyä, yksiselitteistä ja vapaaehtoista ilmaisua halukkuudestaan osallistua tiettyyn todellisissa olosuhteissa tapahtuvaan testaukseen, sen jälkeen kun hän on saanut tiedot testauksen kaikista näkökohdista, jotka ovat merkityksellisiä osallistujan osallistumispäätöksen kannalta;
59)
«consentement éclairé», l’expression libre, spécifique, univoque et volontaire, par un participant, de sa volonté de participer à un essai en conditions réelles particulier, après avoir été informé de tous les éléments de l’essai qui lui permettent de prendre sa décision concernant sa participation;
60)
”syväväärennöksellä” tekoälyllä tuotettua tai käsiteltyä kuva-, ääni- tai videosisältöä, joka muistuttaa olemassa olevia henkilöitä, esineitä, paikkoja, toimijoita tai tapahtumia ja joka antaa henkilölle valheellisen vaikutelman siitä, että se on aito tai totuudenmukainen;
60)
«hypertrucage», une image ou un contenu audio ou vidéo généré ou manipulé par l’IA, présentant une ressemblance avec des personnes, des objets, des lieux, des entités ou événements existants et pouvant être perçu à tort par une personne comme authentiques ou véridiques;
61)
”laajalle levinneellä rikkomisella” yksityishenkilöiden etuja suojaavan unionin oikeuden vastaisia tekoja tai laiminlyöntejä, jotka
61)
«infraction de grande ampleur», tout acte ou toute omission contraire au droit de l’Union en matière de protection des intérêts des personnes, qui:
a)
ovat vahingoittaneet tai ovat omiaan vahingoittamaan sellaisten yksityishenkilöiden yhteisiä etuja, joiden asuinpaikka on vähintään kahdessa muussa jäsenvaltiossa kuin siinä,
a)
a porté ou est susceptible de porter atteinte aux intérêts collectifs des personnes résidant dans au moins deux États membres autres que celui:
i)
jossa teko tai laiminlyönti sai alkunsa tai tapahtui,
i)
où l’acte ou l’omission en question a son origine ou a eu lieu;
ii)
jossa asianomainen tarjoaja tai tapauksen mukaan sen valtuutettu edustaja sijaitsee tai jonne se on sijoittautunut tai
ii)
où le fournisseur concerné ou, le cas échéant, son mandataire, est situé ou établi; ou
iii)
jonne käyttöönottaja on sijoittautunut silloin, kun hän syyllistyy rikkomiseen;
iii)
où le déployeur est établi, lorsque l’infraction est commise par le déployeur;
b)
ovat vahingoittaneet, vahingoittavat tai ovat omiaan vahingoittamaan yksityishenkilöiden yhteisiä etuja ja joilla on yhteisiä piirteitä, kuten sama lainvastainen menettely tai samat edut rikkomuksen kohteena ja jotka ilmenevät samanaikaisesti ja joiden tekijä on sama toimija vähintään kolmessa jäsenvaltiossa;
b)
a porté, porte ou est susceptible de porter atteinte aux intérêts collectifs des personnes, qui présente des caractéristiques communes, notamment la même pratique illégale ou la violation du même intérêt, et qui se produit simultanément, commise par le même opérateur, dans au moins trois États membres;
62)
”kriittisellä infrastruktuurilla” direktiivin (EU) 2022/2557 2 artiklan 4 alakohdassa määriteltyä kriittistä infrastruktuuria;
62)
«infrastructure critique», une infrastructure critique au sens de l’article 2, point 4), de la directive (UE) 2022/2557;
63)
”yleiskäyttöisellä tekoälymallilla” tekoälymallia, myös silloin, kun tällainen tekoälymalli on koulutettu suurella määrällä dataa käyttäen laajamittaista itsevalvontaa, joka on hyvin yleisluonteinen ja pystyy suorittamaan pätevästi monenlaisia erillisiä tehtäviä riippumatta siitä, miten malli saatetaan markkinoille, ja joka voidaan integroida erilaisiin ketjun loppupään järjestelmiin tai sovelluksiin, lukuun ottamatta tekoälymalleja, joita käytetään tutkimus-, kehitys- tai prototyyppitoimintaan ennen niiden saattamista markkinoille;
63)
«modèle d’IA à usage général», un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché;
64)
”vaikutuksiltaan merkittävällä suorituskyvyllä” suorituskykyä, joka vastaa kehittyneimpien yleiskäyttöisten tekoälymallien mitattuja valmiuksia tai ylittää ne;
64)
«capacités à fort impact», des capacités égales ou supérieures aux capacités enregistrées dans les modèles d’IA à usage général les plus avancés;
65)
”systeemisellä riskillä” riskiä, joka on yleiskäyttöisten tekoälymallien vaikutuksiltaan merkittävälle suorituskyvylle ominainen ja jolla on merkittävä vaikutus unionin markkinoihin niiden kattavuuden tai kansanterveyteen, turvallisuuteen, yleiseen turvallisuuteen, perusoikeuksiin tai koko yhteiskuntaan kohdistuvien tosiasiallisten tai kohtuudella ennakoitavissa olevien kielteisten vaikutusten vuoksi ja jota voidaan levittää laajamittaisesti koko arvoketjussa;
65)
«risque systémique», un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur;
66)
”yleiskäyttöisellä tekoälyjärjestelmällä” tekoälyjärjestelmää, joka perustuu yleiskäyttöiseen tekoälymalliin ja joka kykenee palvelemaan erilaisia tarkoituksia sekä suorassa käytössä että muihin tekoälyjärjestelmiin integroituna;
66)
«système d’IA à usage général», un système d’IA qui est fondé sur un modèle d’IA à usage général et qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA;
67)
”liukulukulaskennalla” mitä tahansa matemaattista toimitusta tai tehtävää, johon liittyy liukulukuja, jotka ovat niiden reaalilukujen alajoukko, joita tietokoneissa tyypillisesti esitetään pysyvän arvon kokonaislukuna, jota skaalataan kiinteäkantaisella kokonaislukueksponentilla;
67)
«opération en virgule flottante», toute opération ou assignation mathématique impliquant des nombres en virgule flottante, qui constituent un sous-ensemble des nombres réels généralement représentés sur un ordinateur par un entier de précision fixe suivi d’un exposant entier d’une base fixe;
68)
”ketjun loppupään tarjoajalla” tekoälyjärjestelmän, myös yleiskäyttöisen tekoälyjärjestelmän, johon on integroitu tekoälymalli, tarjoajaa, riippumatta siitä, onko tekoälymalli niiden itsensä tarjoama ja vertikaalisesti integroitu vai jonkin muun yhteisön sopimussuhteiden perusteella tarjoama.
68)
«fournisseur en aval», un fournisseur d’un système d’IA, y compris d’un système d’IA à usage général, qui intègre un modèle d’IA, que le modèle d’IA soit fourni par lui-même ou non, et verticalement intégré ou fourni par une autre entité sur la base de relations contractuelles.
4 artikla
Article 4
Tekoälylukutaito
Maîtrise de l’IA
Tekoälyjärjestelmien tarjoajien ja käyttöönottajien on parhaansa mukaan toteutettava toimenpiteitä, joilla ne varmistavat henkilöstönsä ja muiden niiden puolesta tekoälyjärjestelmien toiminnasta ja käytöstä vastaavien henkilöiden riittävän tekoälylukutaidon, minkä yhteydessä otetaan huomioon heidän tekninen tietämyksensä, kokemuksensa, koulutuksensa ja tekoälyjärjestelmien käyttöyhteys sekä henkilöt tai henkilöryhmät, joihin tekoälyjärjestelmiä on määrä käyttää.
Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés.
II LUKU
CHAPITRE II
KIELLETYT TEKOÄLYYN LIITTYVÄT KÄYTÄNNÖT
PRATIQUES INTERDITES EN MATIÈRE D’IA
5 artikla
Article 5
Kielletyt tekoälyyn liittyvät käytännöt
Pratiques interdites en matière d’IA
1. Seuraavat tekoälyyn liittyvät käytännöt ovat kiellettyjä:
1. Les pratiques en matière d’IA suivantes sont interdites:
a)
sellaisen tekoälyjärjestelmän markkinoille saattaminen, käyttöönotto tai käyttö, jossa käytetään subliminaalisia tekniikoita, joita henkilö ei havaitse tietoisesti, tai tarkoituksellisesti manipuloivia tai harhaanjohtavia tekniikoita, joiden tavoitteena on vääristää tai jotka olennaisesti vääristävät henkilön tai henkilöryhmän käyttäytymistä heikentäen tuntuvasti tämän kykyä tehdä tietoinen päätös ja saaden tämän tekemään päätöksen, jota tämä ei olisi muussa tapauksessa tehnyt, tavalla, joka aiheuttaa tai kohtuullisella todennäköisyydellä aiheuttaa kyseiselle henkilölle, toiselle henkilölle tai henkilöryhmälle merkittävää haittaa.
a)
la mise sur le marché, la mise en service ou l’utilisation d’un système d’IA qui a recours à des techniques subliminales, au-dessous du seuil de conscience d’une personne, ou à des techniques délibérément manipulatrices ou trompeuses, avec pour objectif ou effet d’altérer substantiellement le comportement d’une personne ou d’un groupe de personnes en portant considérablement atteinte à leur capacité à prendre une décision éclairée, amenant ainsi la personne à prendre une décision qu’elle n’aurait pas prise autrement, d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne, à une autre personne ou à un groupe de personnes;
b)
sellaisen tekoälyjärjestelmän markkinoille saattaminen, käyttöönotto tai käyttö, jossa hyödynnetään luonnollisen henkilön tai tietyn henkilöryhmän haavoittuvuuksia, jotka liittyvät heidän ikäänsä, vammaansa tai erityiseen sosiaaliseen tai taloudelliseen tilanteeseensa, siten, että tavoitteena tai vaikutuksena on olennaisesti vääristää kyseisen henkilön tai kyseiseen ryhmään kuuluvan henkilön käyttäytymistä tavalla, joka aiheuttaa tai kohtuullisella todennäköisyydellä aiheuttaa kyseiselle henkilölle tai toiselle henkilölle merkittävää haittaa;
b)
la mise sur le marché, la mise en service ou l’utilisation d’un système d’IA qui exploite les éventuelles vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne physique ou d’un groupe de personnes donné avec pour objectif ou effet d’altérer substantiellement le comportement de cette personne ou d’un membre de ce groupe d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne ou à un tiers;
c)
tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tai käyttö luonnollisten henkilöiden tai henkilöryhmien arvioimiseksi tai luokittelemiseksi tiettynä ajanjaksona heidän sosiaalisen käyttäytymisensä tai tunnettujen, pääteltyjen tai ennakoitujen henkilökohtaisten ominaisuuksiensa tai luonteenpiirteidensä perusteella siten, että sosiaalinen pisteytys johtaa jompaankumpaan tai molempiin seuraavista:
c)
la mise sur le marché, la mise en service ou l’utilisation de systèmes d’IA pour l’évaluation ou la classification de personnes physiques ou de groupes de personnes au cours d’une période donnée en fonction de leur comportement social ou de caractéristiques personnelles ou de personnalité connues, déduites ou prédites, la note sociale conduisant à l’une ou l’autre des situations suivantes, ou aux deux:
i)
tiettyjen luonnollisten henkilöiden tai henkilöryhmien haitallinen tai epäedullinen kohtelu sosiaalisissa yhteyksissä, jotka eivät liity siihen asiayhteyteen, jossa tiedot alun perin tuotettiin tai kerättiin;
i)
le traitement préjudiciable ou défavorable de certaines personnes physiques ou de groupes de personnes dans des contextes sociaux dissociés du contexte dans lequel les données ont été générées ou collectées à l’origine;
ii)
tiettyjen luonnollisten henkilöiden tai henkilöryhmien haitallinen tai epäedullinen kohtelu, joka on perusteetonta tai suhteetonta heidän sosiaaliseen käyttäytymiseensä tai sen vakavuuteen nähden;
ii)
le traitement préjudiciable ou défavorable de certaines personnes ou de groupes de personnes, qui est injustifié ou disproportionné par rapport à leur comportement social ou à la gravité de celui-ci;
d)
tekoälyjärjestelmän markkinoille saattaminen, käyttöönotto tätä erityistarkoitusta varten tai käyttö luonnollisia henkilöitä koskevien riskinarviointien tekemiseen, jotta voidaan arvioida tai ennustaa sen riskiä, että luonnollinen henkilö syyllistyy rikokseen, kun tämä perustuu yksinomaan luonnollisen henkilön profilointiin tai hänen persoonallisuuspiirteidensä ja persoonallisuusominaisuuksiensa arviointiin; tätä kieltoa ei sovelleta tekoälyjärjestelmiin, joita käytetään tukemaan ihmisen tekemää arviointia jonkun henkilön osallistumisesta rikolliseen toimintaan, kun arvio jo perustuu objektiivisiin ja todennettavissa oleviin tosiseikkoihin, jotka liittyvät suoraan rikolliseen toimintaan;
d)
la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation d’un système d’IA pour mener des évaluations des risques des personnes physiques visant à évaluer ou à prédire le risque qu’une personne physique commette une infraction pénale, uniquement sur la base du profilage d’une personne physique ou de l’évaluation de ses traits de personnalité ou caractéristiques; cette interdiction ne s’applique pas aux systèmes d’IA utilisés pour étayer l’évaluation humaine de l’implication d’une personne dans une activité criminelle, qui est déjà fondée sur des faits objectifs et vérifiables, directement liés à une activité criminelle;
e)
sellaisten tekoälyjärjestelmien saattaminen markkinoille, käyttöönotto tähän tiettyyn tarkoitukseen tai käyttö, joilla luodaan tai laajennetaan kasvojentunnistustietokantoja haravoimalla kasvokuvia kohdentamattomasti internetistä tai valvontakamerakuvista;
e)
la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de systèmes d’IA qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance;
f)
tekoälyjärjestelmien markkinoille saattaminen, käyttöönotto tätä tarkoitusta varten tai käyttö luonnollisen henkilön tunteiden päättelemiseksi työpaikalla ja oppilaitoksissa, paitsi jos tekoälyjärjestelmän käyttöä on tarkoitus hyödyntää tai saattaa markkinoille lääketieteellisiin tai turvallisuuteen liittyviin tarkoituksiin;
f)
la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de systèmes d’IA pour inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement, sauf lorsque l’utilisation du système d’IA est destinée à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité;
g)
sellaisten biometristen luokittelujärjestelmien markkinoille saattaminen, käyttöönotto tätä tiettyä tarkoitusta varten tai sellaisten biometristen luokittelujärjestelmien käyttö, joissa luonnolliset henkilöt luokitellaan heidän biometristen tietojensa perusteella rodun, poliittisten mielipiteiden, ammattiliiton jäsenyyden, uskonnollisen tai filosofisen vakaumuksen, seksuaalisen käyttäytymisen tai seksuaalisen suuntautumisen perusteella; tämä kielto ei koske laillisesti hankittujen biometristen tietoaineistojen, kuten kuvien, merkitsemistä tai suodattamista biometristen tietojen perusteella lainvalvonta-alalla;
g)
la mise sur le marché, la mise en service à cette fin spécifique ou l’utilisation de systèmes de catégorisation biométrique qui catégorisent individuellement les personnes physiques sur la base de leurs données biométriques afin d’arriver à des déductions ou des inférences concernant leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle; cette interdiction ne couvre pas l’étiquetage ou le filtrage d’ensembles de données biométriques acquis légalement, tels que des images, fondés sur des données biométriques ou la catégorisation de données biométriques dans le domaine répressif;
h)
reaaliaikaisten biometristen etätunnistusjärjestelmien käyttö julkisissa tiloissa lainvalvontatarkoituksessa, paitsi jos ja siltä osin kuin se on ehdottoman välttämätöntä jonkin seuraavan tavoitteen saavuttamiseksi:
h)
l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, sauf si et dans la mesure où cette utilisation est strictement nécessaire eu égard à l’un des objectifs suivants:
i)
kaappauksen, ihmiskaupan ja seksuaalisen hyväksikäytön uhrien kohdennettu etsintä sekä kadonneiden henkilöiden etsiminen;
i)
la recherche ciblée de victimes spécifiques d’enlèvement, de la traite ou de l’exploitation sexuelle d’êtres humains, ainsi que la recherche de personnes disparues;
ii)
luonnollisten henkilöiden henkeen tai fyysiseen turvallisuuteen kohdistuvan erityisen, merkittävän ja välittömän uhan taikka aidon ja välittömän tai aidon ja ennakoitavissa olevan terrori-iskun uhan ehkäiseminen;
ii)
la prévention d’une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique de personnes physiques ou d’une menace réelle et actuelle ou réelle et prévisible d’attaque terroriste;
iii)
rikoksesta epäillyn henkilön paikantaminen tai tunnistaminen liitteessä II tarkoitettujen rikosten tutkintaa tai syytteeseenpanoa tai rikosoikeudellisen seuraamuksen täytäntöönpanoa varten ja joista voi asianomaisessa jäsenvaltiossa seurata vapaudenmenetyksen käsittävä rangaistus tai turvaamistoimenpide, jonka enimmäisaika on vähintään neljä vuotta.
iii)
la localisation ou l’identification d’une personne soupçonnée d’avoir commis une infraction pénale, aux fins de mener une enquête pénale, d’engager des poursuites ou d’exécuter une sanction pénale pour des infractions visées à l’annexe II et punissables dans l’État membre concerné d’une peine ou d’une mesure de sûreté privatives de liberté d’une durée maximale d’au moins quatre ans.
Ensimmäisen alakohdan h alakohta ei rajoita asetuksen (EU) 2016/679 9 artiklan soveltamista, kun kyse on biometristen tietojen käsittelystä muihin tarkoituksiin kuin lainvalvontaan.
Le premier alinéa, point h), est sans préjudice de l’article 9 du règlement (UE) 2016/679 pour le traitement des données biométriques à des fins autres que répressives.
2. Kun reaaliaikaisia biometrisiä etätunnistusjärjestelmiä käytetään julkisissa tiloissa lainvalvontatarkoituksessa minkä tahansa 1 kohdan ensimmäisen alakohdan h alakohdassa tarkoitetun tavoitteen saavuttamiseksi, käytön on tapahduttava kyseisessä kohdassa vahvistettuihin tarkoituksiin ainoastaan erityisesti kohteena olevan henkilön henkilöllisyyden vahvistamiseksi, ja siinä on otettava huomioon seuraavat seikat:
2. L’utilisation de systèmes d’identification biométriques à distance en temps réel dans des espaces accessibles au public à des fins répressives en vue de la réalisation de l’un des objectifs énumérés au paragraphe 1, premier alinéa, point h), n’est déployée aux fins énoncées audit point, que pour confirmer l’identité de la personne spécifiquement ciblée et tient compte des éléments suivants:
a)
mahdollisen käytön aiheuttavan tilanteen luonne, erityisesti aiheutuvan vahingon vakavuus, todennäköisyys ja laajuus siinä tapauksessa, että järjestelmää ei käytetä;
a)
la nature de la situation donnant lieu à un éventuel recours au système, en particulier la gravité, la probabilité et l’ampleur du préjudice qui serait causé si le système n’était pas utilisé;
b)
järjestelmän käytön seuraukset kaikkien asianomaisten henkilöiden oikeuksille ja vapauksille, erityisesti näiden seurausten vakavuus, todennäköisyys ja laajuus.
b)
les conséquences de l’utilisation du système sur les droits et libertés de toutes les personnes concernées, notamment la gravité, la probabilité et l’ampleur de ces conséquences.
Lisäksi kun reaaliaikaisia biometrisiä etätunnistusjärjestelmiä käytetään julkisissa tiloissa lainvalvontatarkoituksessa minkä tahansa tämän artiklan 1 kohdan ensimmäisen alakohdan h alakohdassa tarkoitetun tavoitteen saavuttamiseksi, on noudatettava käyttöön liittyviä välttämättömiä ja oikeasuhteisia suojatoimia ja edellytyksiä niiden käytön sallivan kansallisen lainsäädännön mukaisesti, erityisesti ajallisia, maantieteellisiä ja henkilötason rajoituksia. Reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö julkisissa tiloissa sallitaan vain, jos lainvalvontaviranomainen on saattanut päätökseen 27 artiklassa tarkoitetun perusoikeuksia koskevan vaikutustenarvioinnin ja rekisteröinyt järjestelmän EU:n tietokantaan 49 artiklan mukaisesti. Asianmukaisesti perustelluissa kiireellisissä tapauksissa tällaisten järjestelmien käyttö voidaan kuitenkin aloittaa ilman rekisteröintiä EU:n tietokantaan edellyttäen, että rekisteröinti saatetaan päätökseen ilman aiheetonta viivytystä.
En outre, l’utilisation de systèmes d’identification biométriques à distance en temps réel dans des espaces accessibles au public à des fins répressives en vue de la réalisation de l’un des objectifs énumérés au paragraphe 1, premier alinéa, point h), du présent article respecte les garanties et conditions nécessaires et proportionnées en ce qui concerne cette utilisation, conformément au droit national qui l’autorise, notamment eu égard aux limitations temporelles, géographiques et relatives aux personnes. L’utilisation du système d’identification biométrique à distance en temps réel dans des espaces accessibles au public n’est autorisée que si l’autorité répressive a réalisé une analyse d’impact sur les droits fondamentaux conformément à l’article 27 et a enregistré le système dans la base de données de l’UE prévue par l’article 49. Toutefois, dans des cas d’urgence dûment justifiés, il est possible de commencer à utiliser ces systèmes sans enregistrement dans la base de données de l’UE, à condition que cet enregistrement soit effectué sans retard injustifié.
3. Edellä olevan 1 kohdan ensimmäisen alakohdan h alakohdan ja 2 kohdan tarkoituksiin jokainen reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö lainvalvontatarkoituksessa julkisissa tiloissa edellyttää sen jäsenvaltion, jossa käyttö tapahtuu, sellaisen oikeusviranomaisen tai riippumattoman hallintoviranomaisen, jonka päätös on sitova, myöntämää ennakkolupaa, joka annetaan perustellusta pyynnöstä ja 5 kohdassa tarkoitetun kansallisen lainsäädännön yksityiskohtaisten sääntöjen mukaisesti. Asianmukaisesti perustelluissa kiireellisissä tapauksissa tällaisen järjestelmän käyttö voidaan kuitenkin aloittaa ilman lupaa, kunhan asianmukainen lupa pyydetään ilman aiheetonta viivytystä ja viimeistään 24 tunnin kuluessa. Jos tällainen lupa evätään, käyttö on lopetettava välittömästi ja kaikki tiedot sekä tällaiseen käyttöön liittyvät tulokset ja tuotokset on välittömästi poistettava.
3. Aux fins du paragraphe 1, premier alinéa, point h), et du paragraphe 2, chaque utilisation à des fins répressives d’un système d’identification biométrique à distance en temps réel dans des espaces accessibles au public est subordonnée à une autorisation préalable octroyée par une autorité judiciaire ou une autorité administrative indépendante dont la décision est contraignante de l’État membre dans lequel cette utilisation doit avoir lieu, délivrée sur demande motivée et conformément aux règles détaillées du droit national visées au paragraphe 5. Toutefois, dans une situation d’urgence dûment justifiée, il est possible de commencer à utiliser ce système sans autorisation à condition que cette autorisation soit demandée sans retard injustifié, au plus tard dans les 24 heures. Si cette autorisation est rejetée, il est mis fin à l’utilisation avec effet immédiat, et toutes les données, ainsi que les résultats et sorties de cette utilisation, sont immédiatement mis au rebut et supprimés.
Toimivaltainen oikeusviranomainen tai riippumaton hallintoviranomainen, jonka päätös on sitova, saa myöntää luvan ainoastaan, jos se katsoo sille esitettyjen objektiivisten todisteiden tai selkeiden seikkojen perusteella, että kyseessä oleva reaaliaikaisen biometrisen etätunnistusjärjestelmän käyttö on välttämätöntä ja oikeasuhteista jonkin 1 kohdan ensimmäisen alakohdan h alakohdassa tarkoitetun ja pyynnössä yksilöidyn tavoitteen saavuttamiseksi, ja se rajoittuu erityisesti siihen, mikä on ehdottoman välttämätöntä ajanjakson sekä maantieteellisen ja henkilötason soveltamisalan osalta. Toimivaltaisen viranomaisen on pyyntöä koskevaa päätöstä tehdessään otettava huomioon 2 kohdassa tarkoitetut seikat. Päätöstä, jolla on henkilöön kohdistuvia kielteisiä oikeusvaikutuksia, ei saa tehdä pelkästään reaaliaikaisen biometrisen etätunnistusjärjestelmän tuotosten perusteella.
L’autorité judiciaire compétente ou une autorité administrative indépendante dont la décision est contraignante n’accorde l’autorisation que si elle estime, sur la base d’éléments objectifs ou d’indications claires qui lui sont présentés, que l’utilisation du système d’identification biométrique à distance en temps réel concerné est nécessaire et proportionnée à la réalisation de l’un des objectifs énumérés au paragraphe 1, premier alinéa, point h), tels qu’indiqués dans la demande et, en particulier, que cette utilisation reste limitée au strict nécessaire dans le temps et du point de vue de la portée géographique et personnelle. Lorsqu’elle statue sur la demande, cette autorité tient compte des éléments visés au paragraphe 2. Aucune décision produisant des effets juridiques défavorables à l’égard d’une personne ne peut être prise sur la seule base de la sortie du système d’identification biométrique à distance «en temps réel».
4. Jokaisesta reaaliaikaisen biometrisen etätunnistusjärjestelmän käytöstä julkisissa tiloissa lainvalvontatarkoituksiin on ilmoitettava asianomaiselle markkinavalvontaviranomaiselle ja kansalliselle tietosuojaviranomaiselle 5 kohdassa tarkoitettujen kansallisten sääntöjen mukaisesti, sanotun kuitenkaan rajoittamatta 3 kohdan soveltamista. Ilmoituksen on sisällettävä vähintään 6 kohdassa täsmennetyt tiedot, eikä se saa sisältää arkaluonteisia operatiivisia tietoja.
4. Sans préjudice du paragraphe 3, toute utilisation d’un système d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives est notifiée à l’autorité de surveillance du marché concernée et à l’autorité nationale chargée de la protection des données, conformément aux règles nationales visées au paragraphe 5. Cette notification contient, au minimum, les informations visées au paragraphe 6 et n’inclut pas de données opérationnelles sensibles.
5. Jäsenvaltio voi päättää säätää mahdollisuudesta sallia kokonaan tai osittain reaaliaikaisten biometristen etätunnistusjärjestelmien käyttö julkisissa tiloissa lainvalvontatarkoituksessa 1 kohdan ensimmäisen alakohdan h alakohdassa sekä 2 ja 3 kohdassa luetelluin rajoituksin ja edellytyksin. Asianomaisten jäsenvaltioiden on vahvistettava kansallisessa lainsäädännössään tarvittavat yksityiskohtaiset säännöt 3 kohdassa tarkoitettujen lupien pyytämistä, myöntämistä ja käyttöä sekä niihin liittyvää valvontaa ja raportointia varten. Näissä säännöissä on myös täsmennettävä, minkä 1 kohdan ensimmäisen alakohdan h alakohdassa lueteltujen tavoitteiden osalta, myös minkä mainitun h alakohdan iii alakohdassa tarkoitettujen rikosten osalta, toimivaltaisille viranomaisille voidaan antaa lupa käyttää kyseisiä järjestelmiä lainvalvontatarkoituksessa. Jäsenvaltioiden on ilmoitettava näistä säännöistä komissiolle viimeistään 30 päivän kuluttua niiden hyväksymisestä. Jäsenvaltiot voivat unionin oikeuden mukaisesti ottaa käyttöön rajoittavampaa lainsäädäntöä biometristen etätunnistusjärjestelmien käytön osalta.
5. Un État membre peut décider de prévoir la possibilité d’autoriser totalement ou partiellement l’utilisation de systèmes d’identification biométriques à distance en temps réel dans des espaces accessibles au public à des fins répressives, dans les limites et les conditions énumérées au paragraphe 1, premier alinéa, point h), et aux paragraphes 2 et 3. Les États membres concernés établissent dans leur droit national les règles détaillées nécessaires à la demande, à la délivrance et à l’exercice des autorisations visées au paragraphe 3, ainsi qu’à la surveillance et à l’établissement de rapports y afférents. Ces règles précisent également pour quels objectifs énumérés au paragraphe 1, premier alinéa, point h), et notamment pour quelles infractions pénales visées au point h), iii), les autorités compétentes peuvent être autorisées à utiliser ces systèmes à des fins répressives. Les États membres notifient ces règles à la Commission au plus tard 30 jours après leur adoption. Les États membres peuvent adopter, conformément au droit de l’Union, des lois plus restrictives sur l’utilisation de systèmes d’identification biométrique à distance.
6. Kansallisten markkinavalvontaviranomaisten ja jäsenvaltioiden kansallisten tietosuojaviranomaisten, joille on 4 kohdan mukaisesti ilmoitettu reaaliaikaisten biometristen etätunnistusjärjestelmien käytöstä julkisissa tiloissa lainvalvontatarkoituksiin, on toimitettava komissiolle vuosittain raportti tällaisesta käytöstä. Tätä varten komissio toimittaa jäsenvaltioille ja kansallisille markkinavalvonta- ja tietosuojaviranomaisille mallin, joka sisältää tiedot sellaisen toimivaltaisen oikeusviranomaisen tai riippumattoman hallintoviranomaisen, joiden päätös on sitova, tekemien päätösten lukumäärästä, jotka koskevat 3 kohdan mukaisia lupapyyntöjä, ja niiden tuloksista.
6. Les autorités nationales de surveillance du marché et les autorités nationales chargées de la protection des données des États membres qui ont été notifiées de l’utilisation de systèmes d’identification biométriques à distance en temps réel dans des espaces accessibles au public à des fins répressives, conformément au paragraphe 4, soumettent à la Commission des rapports annuels sur cette utilisation. À cette fin, la Commission fournit aux États membres et aux autorités nationales en matière de surveillance du marché et de protection des données un modèle comprenant des informations sur le nombre de décisions prises par les autorités judiciaires compétentes ou par une autorité administrative indépendante dont la décision est contraignante en ce qui concerne les demandes d’autorisation conformément au paragraphe 3, ainsi que sur leur résultat.
7. Komissio julkaisee vuosittaisia raportteja reaaliaikaisten biometristen etätunnistusjärjestelmien käytöstä julkisissa tiloissa lainvalvontatarkoituksiin jäsenvaltioiden yhdistettyjen tietojen nojalla perustuen 6 kohdassa tarkoitettuihin vuosittaisiin raportteihin. Vuosittaisiin raportteihin ei saa sisältyä arkaluonteisia operatiivisia tietoja asiaan liittyvistä lainvalvontatoimista.
7. La Commission publie des rapports annuels sur l’utilisation de systèmes d’identification biométriques à distance en temps réel dans des espaces accessibles au public à des fins répressives, fondés sur des données agrégées dans les États membres sur la base des rapports annuels visés au paragraphe 6. Ces rapports annuels n’incluent pas de données opérationnelles sensibles sur les activités répressives connexes.
8. Tämä artikla ei vaikuta kieltoihin, joita sovelletaan, jos tekoälyyn liittyvä käytäntö rikkoo muuta unionin oikeutta.
8. Le présent article ne porte pas atteinte aux interdictions qui s’appliquent lorsqu’une pratique en matière d’IA enfreint d’autres dispositions du droit de l’Union.
III LUKU
CHAPITRE III
SUURIRISKISET TEKOÄLYJÄRJESTELMÄT
SYSTÈMES D’IA À HAUT RISQUE
1 JAKSO
SECTION 1
Tekoälyjärjestelmien luokittelu suuririskisiksi
Classification de systèmes d’IA comme systèmes à haut risque
6 artikla
Article 6
Suuririskisten tekoälyjärjestelmien luokitussäännöt
Règles relatives à la classification de systèmes d’IA comme systèmes à haut risque
1. Riippumatta siitä, saatetaanko tekoälyjärjestelmä markkinoille tai otetaanko se käyttöön erillään a ja b alakohdassa tarkoitetuista tuotteista, kyseistä tekoälyjärjestelmää on pidettävä suuririskisenä, jos molemmat seuraavista edellytyksistä täyttyvät:
1. Un système d’IA mis sur le marché ou mis en service, qu’il soit ou non indépendant des produits visés aux points a) et b), est considéré comme étant à haut risque lorsque les deux conditions suivantes sont remplies:
a)
tekoälyjärjestelmä on tarkoitettu käytettäväksi tuotteen turvakomponenttina tai tekoälyjärjestelmä on itse tuote, joka kuuluu liitteessä I luetellun unionin yhdenmukaistamislainsäädännön soveltamisalaan;
a)
le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, ou le système d’IA constitue lui-même un tel produit;
b)
tuotteelle, jonka turvakomponentti on a alakohdan mukaisesti tekoälyjärjestelmä, tai tekoälyjärjestelmälle, joka on itse tuote, on tehtävä kolmannen osapuolen suorittama vaatimustenmukaisuuden arviointi kyseisen tuotteen saattamiseksi markkinoille tai käyttöön ottamiseksi liitteessä I luetellun unionin yhdenmukaistamislainsäädännön mukaisesti.
b)
le produit dont le composant de sécurité visé au point a) est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément à la législation d’harmonisation de l’Union dont la liste figure à l’annexe I.
2. Edellä 1 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien lisäksi liitteessä III tarkoitettuja tekoälyjärjestelmiä pidetään suuririskisinä.
2. Outre les systèmes d’IA à haut risque visés au paragraphe 1, les systèmes d’IA visés à l’annexe III sont considérés comme étant à haut risque.
3. Poiketen siitä, mitä 2 kohdassa säädetään, liitteessä III tarkoitettua tekoälyjärjestelmää ei ole pidettävä suuririskisenä, jos se ei aiheuta merkittävää vahingon riskiä luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille, mukaan lukien se, että se ei vaikuta olennaisesti päätöksenteon tulokseen.
3. Par dérogation au paragraphe 2, un système d’IA visé à l’annexe III n’est pas considéré comme étant à haut risque lorsqu’il ne présente pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, y compris en n’ayant pas d’incidence significative sur le résultat de la prise de décision.
Ensimmäistä alakohtaa sovelletaan, jos mikä tahansa seuraavista edellytyksistä täyttyy:
Le premier alinéa s’applique lorsqu’une des conditions suivantes est remplie:
a)
tekoälyjärjestelmän tarkoituksena on suorittaa suppea menettelyllinen tehtävä;
a)
le système d’IA est destiné à accomplir un tâche procédurale étroite;
b)
tekoälyjärjestelmän tarkoituksena on parantaa aiemmin suoritetun ihmisen toiminnan tulosta;
b)
le système d’IA est destiné à améliorer le résultat d’une activité humaine préalablement réalisée;
c)
tekoälyjärjestelmän tarkoituksena on havaita päätöksentekotapoja tai poikkeamia aiemmista päätöksentekotavoista, eikä sen tarkoituksena ole korvata aiemmin tehtyä ihmisen tekemää arviota tai vaikuttaa siihen ilman asianmukaista ihmisen suorittamaa arviota; tai
c)
le système d’IA est destiné à détecter les constantes en matière de prise de décision ou les écarts par rapport aux constantes habituelles antérieures et n’est pas destiné à se substituer à l’évaluation humaine préalablement réalisée, ni à influencer celle-ci, sans examen humain approprié; ou
d)
tekoälyjärjestelmä on tarkoitettu suorittamaan valmistelutehtävä, joka koskee liitteessä III lueteltujen käyttötapausten kannalta merkityksellistä arviointia.
d)
le système d’IA est destiné à exécuter une tâche préparatoire en vue d’une évaluation pertinente aux fins des cas d’utilisation visés à l’annexe III.
Sen estämättä, mitä ensimmäisessä alakohdassa säädetään, liitteessä III tarkoitettua tekoälyjärjestelmää on aina pidettävä suuririskisenä, jos tekoälyjärjestelmä suorittaa luonnollisten henkilöiden profilointia.
Nonobstant le premier alinéa, un système d’IA visé à l’annexe III est toujours considéré comme étant à haut risque lorsqu’il effectue un profilage de personnes physiques.
4. Tarjoajan, joka katsoo, että liitteessä III tarkoitettu tekoälyjärjestelmä ei ole suuririskinen, on dokumentoitava arvionsa ennen kuin kyseinen järjestelmä saatetaan markkinoille tai otetaan käyttöön. Tällaiseen tarjoajaan sovelletaan 49 artiklan 2 kohdassa säädettyä rekisteröintivelvollisuutta. Tarjoajan on kansallisten toimivaltaisten viranomaisten pyynnöstä toimitettava arviointia koskevat asiakirjat.
4. Un fournisseur qui considère qu’un système d’IA visé à l’annexe III n’est pas à haut risque documente son évaluation avant que ce système ne soit mis sur le marché ou mis en service. Ce fournisseur est soumis à l’obligation d’enregistrement visée à l’article 49, paragraphe 2. À la demande des autorités nationales compétentes, le fournisseur fournit la documentation de l’évaluation.
5. Komissio antaa Euroopan tekoälyneuvostoa, jäljempänä ”tekoälyneuvosto”, kuultuaan ja viimeistään 2 päivänä helmikuuta 2026 ohjeet, joissa täsmennetään tämän artiklan käytännön täytäntöönpano 96 artiklan mukaisesti, sekä kattavan luettelon käytännön esimerkeistä sellaisten tekoälyjärjestelmien käyttötapauksista, jotka ovat suuririskisiä ja muita kuin suuririskisiä.
5. Après consultation du Comité européen de l’intelligence artificielle (ci-après dénommé «Comité IA»), et au plus tard le 2 février 2026, la Commission fournit des lignes directrices précisant la mise en œuvre pratique du présent article, conformément à l’article 96, assorties d’une liste exhaustive d’exemples pratiques de cas d’utilisation de systèmes d’IA qui sont à haut risque et de cas d’utilisation qui ne le sont pas.
6. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti tämän artiklan 3 kohdan toisen alakohdan muuttamiseksi lisäämällä uusia ehtoja kyseisessä alakohdassa säädettyihin edellytyksiin tai muuttamalla niitä, jos on konkreettista ja luotettavaa näyttöä sellaisten tekoälyjärjestelmien olemassaolosta, jotka kuuluvat liitteen III soveltamisalaan mutta jotka eivät aiheuta merkittävää vahingon riskiä luonnollisten henkilöiden terveydelle, turvallisuudelle tai perusoikeuksille.
6. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier le paragraphe 3, deuxième alinéa, du présent article en ajoutant de nouvelles conditions à celles qui y sont énoncées, ou en les modifiant, lorsqu’il existe des preuves concrètes et fiables de l’existence de systèmes d’IA qui relèvent du champ d’application de l’annexe III, mais qui ne présentent pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques.
7. Komissio antaa delegoituja säädöksiä 97 artiklan mukaisesti tämän artiklan 3 kohdan toisen alakohdan muuttamiseksi poistamalla jonkin siinä säädetyn edellytyksen, jos on konkreettista ja luotettavaa näyttöä siitä, että tämä on tarpeen tässä asetuksessa säädetyn terveyden, turvallisuuden ja perusoikeuksien suojelun tason säilyttämiseksi.
7. La Commission adopte des actes délégués conformément à l’article 97 afin de modifier le paragraphe 3, deuxième alinéa, du présent article en supprimant l’une des conditions qui y est établie, lorsqu’il existe des preuves concrètes et fiables attestant que cela est nécessaire pour maintenir le niveau de protection de la santé, de la sécurité et des droits fondamentaux prévu par le présent règlement.
8. Tämän artiklan 6 ja 7 kohdan mukaisesti hyväksytyt, 3 kohdan toisessa alakohdassa säädettyihin edellytyksiin tehtävät muutokset eivät saa heikentää tässä asetuksessa säädetyn terveyden, turvallisuuden ja perusoikeuksien suojelun yleistä tasoa, ja niillä on varmistettava johdonmukaisuus 7 artiklan 1 kohdan nojalla annettujen delegoitujen säädösten kanssa ja otettava huomioon markkinoiden ja teknologian kehityksen.
8. Toute modification des conditions établies au paragraphe 3, deuxième alinéa, adoptée conformément aux paragraphe 6 et 7 du présent article ne diminue pas le niveau global de protection de la santé, de la sécurité et des droits fondamentaux prévu par le présent règlement et veille à la cohérence avec les actes délégués adoptés conformément à l’article 7, paragraphe 1, et tient compte des évolutions du marché et des technologies.
7 artikla
Article 7
Liitteen III muuttaminen
Modifications de l’annexe III
1. Siirretään komissiolle valta antaa 97 artiklan mukaisesti delegoituja säädöksiä liitteen III muuttamiseksi lisäämällä siihen suuririskisiä tekoälyjärjestelmiä koskevia käyttötapauksia tai muokkaamalla niitä, jos molemmat seuraavista edellytyksistä täyttyvät:
1. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier l’annexe III en y ajoutant des cas d’utilisation de systèmes d’IA à haut risque, ou en les modifiant, lorsque les deux conditions suivantes sont remplies:
a)
tekoälyjärjestelmiä on tarkoitus käyttää millä tahansa liitteessä III luetelluista aloista;
a)
les systèmes d’IA sont destinés à être utilisés dans l’un des domaines énumérés à l’annexe III;
b)
tekoälyjärjestelmät aiheuttavat terveys- ja turvallisuushaitan riskin tai perusoikeuksiin kohdistuvan kielteisen vaikutuksen riskin, joka on vähintään yhtä suuri kuin liitteessä III jo tarkoitettujen suuririskisten tekoälyjärjestelmien aiheuttaman haitan tai kielteisen vaikutuksen riski.
b)
les systèmes d’IA présentent un risque de préjudice pour la santé et la sécurité, ou un risque d’incidence négative sur les droits fondamentaux, et ce risque est équivalent ou supérieur au risque de préjudice ou d’incidence négative que présentent les systèmes d’IA à haut risque déjà visés à l’annexe III.
2. Arvioidessaan 1 kohdan b alakohdan mukaista edellytystä komissio ottaa huomioon seuraavat perusteet:
2. Lorsqu’elle évalue les conditions visées au paragraphe 1, point b), la Commission tient compte des critères suivants:
a)
tekoälyjärjestelmän käyttötarkoitus;
a)
la destination du système d’IA;
b)
missä määrin tekoälyjärjestelmää on käytetty tai todennäköisesti käytetään;
b)
la mesure dans laquelle un système d’IA a été utilisé ou est susceptible de l’être;
c)
tekoälyjärjestelmän käsittelemien ja käyttämien tietojen luonne ja määrä, erityisesti se, käsitelläänkö erityisiä henkilötietoryhmiä;
c)
la nature et la quantité des données traitées et utilisées par le système d’IA, en particulier le traitement ou l’absence de traitement des catégories particulières de données à caractère personnel;
d)
missä määrin tekoälyjärjestelmä toimii itsenäisesti, ja missä määrin ihmisen on mahdollista kumota päätös tai suositukset, jotka voisivat aiheuttaa mahdollista haittaa;
d)
la mesure dans laquelle le système d’IA agit de manière autonome et la mesure dans laquelle l’homme peut intervenir pour annuler une décision ou des recommandations susceptibles de causer un préjudice potentiel;
e)
missä määrin tekoälyjärjestelmän käyttö on jo aiheuttanut haittaa terveydelle ja turvallisuudelle, vaikuttanut kielteisesti perusoikeuksiin tai herättänyt merkittävää huolta tällaisen haitan tai kielteisen vaikutuksen todennäköisyydestä, mikä käy ilmi esimerkiksi kansallisille toimivaltaisille viranomaisille toimitetuista raporteista tai dokumentoiduista väitteistä taikka muista asianmukaisista raporteista;
e)
la mesure dans laquelle l’utilisation d’un système d’IA a déjà causé un préjudice à la santé et à la sécurité, a eu une incidence négative sur les droits fondamentaux ou a suscité de graves préoccupations quant à la probabilité de ce préjudice ou de cette incidence négative, tel que cela ressort, par exemple, des rapports ou allégations documentées soumis aux autorités nationales compétentes ou d’autres rapports, le cas échéant;
f)
tällaisen haitan tai tällaisen haitallisen vaikutuksen mahdollinen laajuus, erityisesti sen voimakkuus ja kyky vaikuttaa useisiin henkilöihin tai vaikuttaa suhteettomasti erityiseen henkilöryhmään;
f)
l’ampleur potentielle d’un tel préjudice ou d’une telle incidence négative, notamment en ce qui concerne son intensité et sa capacité d’affecter plusieurs personnes ou d’affecter un groupe particulier de personnes de manière disproportionnée;
g)
missä määrin henkilöt, joille mahdollisesti aiheutuu haittaa tai joihin mahdollisesti kohdistuu kielteinen vaikutus, ovat riippuvaisia tekoälyjärjestelmän tuottamasta tuloksesta, erityisesti koska käytännöllisistä tai oikeudellisista syistä ei ole kohtuudella mahdollista olla noudattamatta tätä tulosta;
g)
la mesure dans laquelle les personnes ayant potentiellement subi un préjudice ou une incidence négative dépendent des résultats obtenus au moyen d’un système d’IA, notamment parce qu’il n’est pas raisonnablement possible, pour des raisons pratiques ou juridiques, de s’affranchir de ces résultats;
h)
missä määrin on kyse vallan epätasapainosta tai missä määrin henkilöt, joille mahdollisesti aiheutuu haittaa tai kohdistuu kielteinen vaikutus, ovat haavoittuvassa asemassa tekoälyjärjestelmän käyttöönottajaan nähden, erityisesti aseman, valta-aseman, tietämyksen, taloudellisten tai sosiaalisten olosuhteiden tai iän vuoksi;
h)
la mesure dans laquelle il existe un déséquilibre de pouvoir, ou les personnes ayant potentiellement subi un préjudice ou une incidence négative se trouvent dans une situation vulnérable par rapport au déployeur d’un système d’IA, notamment en raison du statut, de l’autorité, de connaissances, de circonstances économiques ou sociales ou de l’âge;
i)
missä määrin tekoälyjärjestelmän avulla tuotettu tulos on helposti korjattavissa tai peruutettavissa, kun otetaan huomioon korjaukseen tai peruuttamiseen käytettävissä olevat tekniset ratkaisut, jolloin tulosten, joilla on haitallisia vaikutuksia terveyteen, turvallisuuteen tai perusoikeuksiin, ei katsota olevan helposti korjattavissa tai peruutettavissa;
i)
la mesure dans laquelle les résultats obtenus en utilisant un système d’IA sont facilement corrigibles ou réversibles, compte tenu des solutions techniques disponibles pour les corriger ou les inverser, les résultats qui ont une incidence négative sur la santé, la sécurité ou les droits fondamentaux ne devant pas être considérés comme facilement corrigibles ou réversibles;
j)
tekoälyjärjestelmän käyttöönotosta yksilöille, ryhmille tai koko yhteiskunnalle koituvan hyödyn suuruus ja todennäköisyys, tuoteturvallisuuden mahdolliset parannukset mukaan lukien;
j)
la probabilité que le déploiement du système d’IA présente des avantages pour certaines personnes, certains groupes de personnes ou la société dans son ensemble et la portée de ces avantages, y compris les améliorations éventuelles quant à la sécurité des produits;
k)
missä määrin voimassa olevassa unionin oikeudessa säädetään
k)
la mesure dans laquelle le droit existant de l’Union prévoit:
i)
tekoälyjärjestelmän aiheuttamiin riskeihin liittyvistä tehokkaista oikeussuojakeinoista, lukuun ottamatta vahingonkorvausvaateita;
i)
des mesures de réparation efficaces en ce qui concerne les risques posés par un système d’IA, à l’exclusion des réclamations en dommages-intérêts;
ii)
tehokkaista toimenpiteistä kyseisten riskien ehkäisemiseksi tai vähentämiseksi merkittävästi.
ii)
des mesures efficaces destinées à prévenir ou à réduire substantiellement ces risques.
3. Siirretään komissiolle valta antaa 97 artiklan mukaisesti delegoituja säädöksiä liitteessä III olevan luettelon muuttamiseksi poistamalla siitä suuririskisiä tekoälyjärjestelmiä, jos molemmat seuraavista edellytyksistä täyttyvät:
3. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier la liste figurant à l’annexe III en supprimant des systèmes d’IA à haut risque lorsque les deux conditions suivantes sont remplies:
a)
kyseessä oleva suuririskinen tekoälyjärjestelmä ei enää aiheuta merkittäviä riskejä perusoikeuksiin, terveyteen tai turvallisuuteen nähden ottaen huomioon 2 kohdassa luetellut kriteerit;
a)
le système d’IA à haut risque concerné ne présente plus de risques substantiels pour les droits fondamentaux, la santé ou la sécurité, compte tenu des critères énumérés au paragraphe 2;
b)
poisto ei laske unionin oikeuden mukaisen terveyden, turvallisuuden ja perusoikeuksien suojan yleistä tasoa.
b)
la suppression ne diminue pas le niveau global de protection de la santé, de la sécurité et des droits fondamentaux en vertu du droit de l’Union.
2 JAKSO
SECTION 2
Suuririskisiä tekoälyjärjestelmiä koskevat vaatimukset
Exigences applicables aux systèmes d’IA à haut risque
8 artikla
Article 8
Vaatimustenmukaisuus
Respect des exigences
1. Suuririskisten tekoälyjärjestelmien on täytettävä tässä jaksossa säädetyt vaatimukset, ottaen huomioon niiden suunnitellut käyttötarkoitukset sekä tekoälyn ja tekoälyyn liittyvien teknologioiden yleisesti tunnustettu viimeisin kehitys. Jäljempänä olevassa 9 artiklassa tarkoitettu riskinhallintajärjestelmä on otettava huomioon varmistettaessa, että kyseisiä vaatimuksia noudatetaan.
1. Les systèmes d’IA à haut risque respectent les exigences énoncées dans la présente section, en tenant compte de leur destination ainsi que de l’état de la technique généralement reconnu en matière d’IA et de technologies liées à l’IA. Pour garantir le respect de ces exigences, il est tenu compte du système de gestion des risques prévu à l’article 9.
2. Jos tuote sisältää tekoälyjärjestelmän, johon sovelletaan tämän asetuksen vaatimuksia ja liitteessä I olevassa A jaksossa luetellun unionin yhdenmukaistamislainsäädännön vaatimuksia, tarjoajat ovat vastuussa sen varmistamisesta, että niiden tuote on kaikilta osin vaatimustenmukainen kaikkiin sovellettavan unionin yhdenmukaistamislainsäädännön mukaisiin vaatimuksiin nähden. Varmistaessaan, että 1 kohdassa tarkoitetut suuririskiset tekoälyjärjestelmät ovat tässä jaksossa vahvistettujen vaatimusten mukaisia, ja jotta voidaan varmistaa johdonmukaisuus, välttää päällekkäisyyttä ja minimoida lisärasitteita, tarjoajien on voitava tarvittaessa sisällyttää tarvittavat testaus- ja raportointiprosessit, tiedot ja dokumentaatio, joita ne toimittavat tuotteeseensa liittyen, dokumentaatioon ja menettelyihin, jotka ovat jo olemassa ja joita edellytetään liitteessä I olevassa A jaksossa luetellun unionin yhdenmukaistamislainsäädännön nojalla.
2. Lorsqu’un produit contient un système d’IA auquel s’appliquent les exigences du présent règlement ainsi que les exigences de la législation d’harmonisation de l’Union dont la liste figure à la section A de l’annexe I, les fournisseurs sont chargés de veiller à ce que leur produit soit pleinement conforme à toutes les exigences en vertu de la législation d’harmonisation de l’Union applicable. Pour garantir que les systèmes d’IA à haut risque visés au paragraphe 1 sont conformes aux exigences énoncées dans la présente section, et afin d’assurer la cohérence, d’éviter les doubles emplois et de réduire au minimum les charges supplémentaires, les fournisseurs ont le choix d’intégrer, le cas échéant, les processus d’essai et de déclaration nécessaires, les informations et la documentation qu’ils fournissent concernant leur produit dans la documentation et les procédures qui existent déjà et qui sont requises en vertu de la législation d’harmonisation de l’Union dont la liste figure à la section A de l’annexe I.
9 artikla
Article 9
Riskinhallintajärjestelmä
Système de gestion des risques
1. Suuririskisille tekoälyjärjestelmille on perustettava, pantava täytäntöön ja dokumentoitava riskinhallintajärjestelmä ja sitä on pidettävä yllä.
1. Un système de gestion des risques est établi, mis en œuvre, documenté et tenu à jour en ce qui concerne les systèmes d’IA à haut risque.
2. Riskinhallintajärjestelmän on käsitettävä iteratiiviseksi prosessiksi, joka jatkuu suunnitellusti suuririskisen tekoälyjärjestelmän koko elinkaaren ajan ja joka on säännöllisesti ja järjestelmällisesti tarkastettava ja saatettava ajan tasalle. Siihen on sisällyttävä seuraavat vaiheet:
2. Ce système de gestion des risques s’entend comme étant un processus itératif continu qui est planifié et se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui doit périodiquement faire l’objet d’un examen et d’une mise à jour méthodiques. Il comprend les étapes suivantes:
a)
niiden tunnettujen ja kohtuudella ennakoitavissa olevien riskien tunnistaminen ja analysointi, joita suuririskinen tekoälyjärjestelmä voi aiheuttaa liittyen terveyteen, turvallisuuteen tai perusoikeuksiin, kun suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti;
a)
l’identification et l’analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination;
b)
niiden riskien arviointi, joita voi syntyä, kun suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti ja kohtuudella ennakoitavissa olevissa väärinkäyttöolosuhteissa;
b)
l’estimation et l’évaluation des risques susceptibles d’apparaître lorsque le système d’IA à haut risque est utilisé conformément à sa destination et dans des conditions de mauvaise utilisation raisonnablement prévisible;
c)
muiden mahdollisesti syntyvien riskien arviointi 72 artiklassa tarkoitetusta markkinoille saattamisen jälkeisestä seurantajärjestelmästä kerättyjen tietojen analysoinnin perusteella;
c)
l’évaluation d’autres risques susceptibles d’apparaître, sur la base de l’analyse des données recueillies au moyen du système de surveillance après commercialisation visé à l’article 72;
d)
sellaisten asianmukaisten ja kohdennettujen riskinhallintatoimenpiteiden hyväksyminen, joiden tarkoituksena on puuttua a alakohdan mukaisesti tunnistettuihin riskeihin.
d)
l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés en vertu du point a).
3. Tässä artiklassa tarkoitetut riskit koskevat ainoastaan niitä, joita voidaan kohtuudella lieventää ja poistaa suuririskisen tekoälyjärjestelmän kehittämisen tai suunnittelun avulla tai asianmukaisten teknisten tietojen antamisella.
3. Les risques visés au présent article ne concernent que ceux qui peuvent être raisonnablement atténués ou éliminés dans le cadre du développement ou de la conception du système d’IA à haut risque, ou par la fourniture d’informations techniques appropriées.
4. Edellä 2 kohdan d alakohdassa tarkoitetuissa riskinhallintatoimenpiteissä on otettava asianmukaisesti huomioon vaikutukset ja mahdollinen vuorovaikutus, jotka johtuvat tässä jaksossa säädettyjen vaatimusten soveltamisesta yhdessä, jotta voidaan minimoida riskit tehokkaammin ja saavuttaa samalla asianmukainen tasapaino toteutettaessa toimenpiteet kyseisten vaatimusten täyttämiseksi.
4. Les mesures de gestion des risques visées au paragraphe 2, point d), tiennent dûment compte des effets et de l’interaction possibles résultant de l’application combinée des exigences énoncées dans la présente section, en vue de prévenir les risques plus efficacement tout en parvenant à un bon équilibre dans le cadre de la mise en œuvre des mesures visant à répondre à ces exigences.
5. Edellä 2 kohdan d alakohdassa tarkoitettujen riskinhallintatoimenpiteiden on oltava sellaisia, että kuhunkin vaaraan liittyvän asiaankuuluvan jäännösriskin ja suuririskisten tekoälyjärjestelmien kokonaisjäännösriskin katsotaan olevan hyväksyttävällä tasolla.
5. Les mesures de gestion des risques visées au paragraphe 2, point d), sont telles que le risque résiduel pertinent associé à chaque danger ainsi que le risque résiduel global lié aux systèmes d’IA à haut risque sont jugés acceptables.
Tarkoituksenmukaisimpia riskinhallintatoimenpiteitä määritettäessä on varmistettava seuraavat seikat:
Pour déterminer les mesures de gestion des risques les plus adaptées, il convient de veiller à:
a)
2 kohdan nojalla määritettyjen ja arvioitujen riskien poistaminen tai vähentäminen siinä määrin kuin se on teknisesti mahdollista suuririskisen tekoälyjärjestelmän asianmukaisella suunnittelulla ja kehittämisellä;
a)
éliminer ou réduire les risques identifiés et évalués conformément au paragraphe 2 autant que la technologie le permet grâce à une conception et à un développement appropriés du système d’IA à haut risque;
b)
tarvittaessa asianmukaisten riskinvähentämis- ja valvontatoimenpiteiden toteuttaminen sellaisiin riskeihin puuttumiseksi, joita ei voida poistaa;
b)
mettre en œuvre, le cas échéant, des mesures adéquates d’atténuation et de contrôle répondant aux risques impossibles à éliminer;
c)
vaadittavien tietojen antaminen 13 artiklan mukaisesti ja tarvittaessa käyttöönottajille annettava koulutus.
c)
fournir aux déployeurs les informations requises conformément à l’article 13 et, éventuellement, une formation.
Suuririskisen tekoälyjärjestelmän käyttöön liittyvien riskien poistamiseksi tai vähentämiseksi on otettava asianmukaisesti huomioon käyttöönottajalta odotettava tekninen tietämys, kokemus ja koulutus sekä oletettu yhteys, jossa järjestelmää on tarkoitus käyttää.
En vue de l’élimination ou de la réduction des risques liés à l’utilisation du système d’IA à haut risque, il est dûment tenu compte des connaissances techniques, de l’expérience, de l’éducation et de la formation pouvant être attendues du déployeur, ainsi que du contexte prévisible dans lequel le système est destiné à être utilisé.
6. Suuririskiset tekoälyjärjestelmät on testattava tarkoituksenmukaisimpien ja kohdennetuimpien riskinhallintatoimenpiteiden määrittämiseksi. Testauksella on varmistettava, että suuririskiset tekoälyjärjestelmät toimivat johdonmukaisesti käyttötarkoituksensa mukaisesti ja että ne ovat tässä jaksossa vahvistettujen vaatimusten mukaisia.
6. Les systèmes d’IA à haut risque sont soumis à des essais afin de déterminer les mesures de gestion des risques les plus appropriées et les plus ciblées. Les essais garantissent que les systèmes d’IA à haut risque fonctionnent de manière conforme à leur destination et qu’ils sont conformes aux exigences énoncées dans la présente section.
7. Testausmenettelyihin voi sisältyä todellisissa olosuhteissa tapahtuva testaus 60 artiklan mukaisesti.
7. Les procédures d’essai peuvent comprendre des essais en conditions réelles conformément à l’article 60.
8. Suuririskisten tekoälyjärjestelmien testaus on tapauksen mukaan suoritettava milloin tahansa kehitysprosessin aikana ja joka tapauksessa ennen niiden markkinoille saattamista tai käyttöönottoa. Testauksessa on käytettävä ennalta määriteltyjä mittareita ja todennäköisyyden kynnyksiä, jotka soveltuvat suuririskisen tekoälyjärjestelmän suunniteltuun käyttötarkoitukseen.
8. Les tests des systèmes d’IA à haut risque sont effectués, selon les besoins, à tout moment pendant le processus de développement et, en tout état de cause, avant leur mise sur le marché ou leur mise en service. Les tests sont effectués sur la base d’indicateurs et de seuils probabilistes préalablement définis, qui sont adaptés à la destination du système d’IA à haut risque.
9. Edellä 1–7 kohdassa kuvattua riskinhallintajärjestelmää täytäntöön pantaessa tarjoajien on kiinnitettävä huomiota siihen, onko suuririskisellä tekoälyjärjestelmällä todennäköisesti sen käyttötarkoitus huomioon ottaen haitallinen vaikutus alle 18-vuotiaisiin henkilöihin ja tarvittaessa muihin haavoittuvassa asemassa oleviin ryhmiin.
9. Lors de la mise en œuvre du système de gestion des risques prévu aux paragraphes 1 à 7, les fournisseurs prennent en considération la probabilité que, compte tenu de sa destination, le système d’IA à haut risque puisse avoir une incidence négative sur des personnes âgées de moins de 18 ans et, le cas échéant, sur d’autres groupes vulnérables.
10. Niiden suuririskisten tekoälyjärjestelmien tarjoajien osalta, joihin sovelletaan unionin oikeuden muiden asiaankuuluvien säännösten mukaisia sisäisiä riskinhallintaprosesseja koskevia vaatimuksia, 1–9 kohdassa tarkoitetut näkökohdat voivat olla osa kyseisen lainsäädännön nojalla vahvistettuja riskinhallintamenettelyjä tai voidaan yhdistää niihin.
10. En ce qui concerne les fournisseurs de systèmes d’IA à haut risque qui sont soumis à des exigences concernant les processus internes de gestion des risques en vertu d’autres dispositions pertinentes du droit de l’Union, les aspects présentés aux paragraphes 1 à 9 peuvent faire partie des procédures de gestion des risques établies conformément à ladite législation, ou être combinées à celles-ci.
10 artikla
Article 10
Data ja datanhallinta
Données et gouvernance des données
1. Suuririskiset tekoälyjärjestelmät, joissa hyödynnetään tekniikoita, joihin sisältyy tekoälymallien kouluttaminen datan avulla, on kehitettävä sellaisten koulutus-, validointi- ja testausdatajoukkojen pohjalta, jotka täyttävät 2–5 kohdassa tarkoitetut laatuvaatimukset, kun tällaisia datajoukkoja käytetään.
1. Les systèmes d’IA à haut risque faisant appel à des techniques qui impliquent l’entraînement de modèles d’IA au moyen de données sont développés sur la base de jeux de données d’entraînement, de validation et de test qui satisfont aux critères de qualité visés aux paragraphes 2 à 5 chaque fois que ces jeux de données sont utilisés.
2. Koulutus-, validointi- ja testausdatajoukkoihin on sovellettava suuririskisen tekoälyjärjestelmän käyttötarkoitukseen soveltuvia datanhallinta- ja hallinnointikäytäntöjä. Näiden käytäntöjen on koskettava erityisesti seuraavia seikkoja:
2. Les jeux de données d’entraînement, de validation et de test sont soumis à des pratiques en matière de gouvernance et de gestion des données appropriées à la destination du systèmes d’IA à haut risque. Ces pratiques concernent en particulier:
a)
asiaankuuluvat suunnitteluvalinnat;
a)
les choix de conception pertinents;
b)
datan keruuprosessit ja datan alkuperä sekä henkilötietojen osalta datankeruun alkuperäinen tarkoitus;
b)
les processus de collecte de données et l’origine des données, ainsi que, dans le cas des données à caractère personnel, la finalité initiale de la collecte de données;
c)
asiaankuuluvat tietojenkäsittelytoimet, kuten huomautusten ja tunnisteiden lisääminen, puhdistus, ajantasaistaminen, rikastaminen ja yhdistäminen;
c)
les opérations de traitement pertinentes pour la préparation des données, telles que l’annotation, l’étiquetage, le nettoyage, la mise à jour, l’enrichissement et l’agrégation;
d)
oletusten muotoilu erityisesti niiden tietojen osalta, joita datan on tarkoitus mitata ja edustaa;
d)
la formulation d’hypothèses, notamment en ce qui concerne les informations que les données sont censées mesurer et représenter;
e)
tarvittavien datajoukkojen saatavuuden, määrän ja soveltuvuuden arviointi;
e)
une évaluation de la disponibilité, de la quantité et de l’adéquation des jeux de données nécessaires;
f)
sellaisten mahdollisten vinoutumien selvittäminen, jotka todennäköisesti vaikuttavat ihmisten terveyteen ja turvallisuuteen, vaikuttavat kielteisesti perusoikeuksiin tai johtavat unionin oikeudessa kiellettyyn syrjintään, erityisesti silloin, kun tuotokset vaikuttavat tulevien toimintojen syöttötietoihin;
f)
un examen permettant de repérer d’éventuels biais qui sont susceptibles de porter atteinte à la santé et à la sécurité des personnes, d’avoir une incidence négative sur les droits fondamentaux ou de se traduire par une discrimination interdite par le droit de l’Union, en particulier lorsque les données de sortie influencent les entrées pour les opérations futures;
g)
asianmukaiset toimenpiteet f alakohdan mukaisesti havaittujen mahdollisten vinoutumien havaitsemiseksi, ehkäisemiseksi ja lieventämiseksi;
g)
les mesures appropriées visant à détecter, prévenir et atténuer les éventuels biais repérés conformément au point f);
h)
sellaisten merkityksellisten puuttuvien tai puutteellisten tietojen tunnistaminen, jotka estävät noudattamasta tätä asetusta, ja se, miten nämä puutteet voidaan korjata.
h)
la détection de lacunes ou déficiences pertinentes dans les données qui empêchent l’application du présent règlement, et la manière dont ces lacunes ou déficiences peuvent être comblées.
3. Koulutus-, validointi- ja testausdatajoukkojen on oltava käyttötarkoitukseen nähden merkityksellisiä, riittävän edustavia ja niin suurelta osin kuin mahdollista virheettömiä ja täydellisiä. Niillä on oltava asianmukaiset tilastolliset ominaisuudet, tarvittaessa myös niiden henkilöiden tai henkilöryhmien osalta, joihin liittyen suuririskistä tekoälyjärjestelmää on tarkoitus käyttää. Kyseiset datajoukkojen ominaisuudet voidaan saavuttaa yksittäisten datajoukkojen tai niiden yhdistelmän tasolla.
3. Les jeux de données d’entraînement, de validation et de test sont pertinents, suffisamment représentatifs et, dans toute la mesure possible, exempts d’erreurs et complets au regard de la destination. Ils possèdent les propriétés statistiques appropriées, y compris, le cas échéant, en ce qui concerne les personnes ou groupes de personnes à l’égard desquels le système d’IA à haut risque est destiné à être utilisé. Ces caractéristiques des jeux de données peuvent être remplies au niveau des jeux de données pris individuellement ou d’une combinaison de ceux-ci.
4. Datajoukoissa on otettava käyttötarkoituksen edellyttämässä laajuudessa huomioon ne ominaisuudet tai osatekijät, jotka ovat ominaisia sille maantieteelliselle, viitekehyksenä olevalle, käyttäytymiseen liittyvälle tai toiminnalliselle ympäristölle, jossa suuririskistä tekoälyjärjestelmää on tarkoitus käyttää.
4. Les jeux de données tiennent compte, dans la mesure requise par la destination, des caractéristiques ou éléments propres au cadre géographique, contextuel, comportemental ou fonctionnel spécifique dans lequel le système d’IA à haut risque est destiné à être utilisé.
5. Siinä määrin kuin se on ehdottoman välttämätöntä suuririskisten tekoälyjärjestelmien vinoutumien havaitsemisen ja korjaamisen varmistamiseksi tämän artiklan 2 kohdan f ja g alakohdan mukaisesti, tällaisten järjestelmien tarjoajat voivat poikkeuksellisesti käsitellä erityisiä henkilötietoryhmiä edellyttäen, että luonnollisten henkilöiden perusoikeudet ja -vapaudet turvataan asianmukaisilla suojatoimilla. Tällainen käsittely edellyttää asetuksissa (EU) 2016/679 ja (EU) 2018/1725 ja direktiivissä (EU) 2016/680 vahvistettujen säännösten lisäksi kaikkien seuraavien ehtojen täyttymistä:
5. Dans la mesure où cela est strictement nécessaire aux fins de la détection et de la correction des biais en ce qui concerne les systèmes d’IA à haut risque, conformément au paragraphe 2, points f) et g), du présent article, les fournisseurs de ces systèmes peuvent exceptionnellement traiter des catégories particulières de données à caractère personnel, sous réserve de garanties appropriées pour les droits et libertés fondamentaux des personnes physiques. Outre les dispositions des règlements (UE) 2016/679 et (UE) 2018/1725 et de la directive (UE) 2016/680, toutes les conditions suivantes doivent être réunies pour que ce traitement puisse avoir lieu:
a)
vinoutumia ei voida tehokkaasti havaita ja korjata käsittelemällä muita tietoja, kuten synteettisiä tai anonymisoituja tietoja;
a)
la détection et la correction des biais ne peuvent être satisfaites de manière efficace en traitant d’autres données, y compris des données synthétiques ou anonymisées;
b)
erityisiin henkilötietoryhmiin sovelletaan henkilötietojen uudelleenkäyttöä koskevia teknisiä rajoituksia ja viimeisintä kehitystä edustavia tietoturvaa ja yksityisyyden suojaa parantavia toimenpiteitä, kuten pseudonymisointia;
b)
les catégories particulières de données à caractère personnel sont soumises à des limitations techniques relatives à la réutilisation des données à caractère personnel, ainsi qu’aux mesures les plus avancées en matière de sécurité et de protection de la vie privée, y compris la pseudonymisation;
c)
erityisiin henkilötietoryhmiin kohdistetaan toimenpiteitä, joilla varmistetaan, että käsitellyt henkilötiedot turvataan ja suojataan asianmukaisia suojatoimia noudattaen, mukaan lukien tietoihin pääsyn tiukka valvonta ja dokumentointi, jotta vältetään väärinkäyttö ja varmistetaan, että ainoastaan valtuutetuilla henkilöillä on pääsy kyseisiin henkilötietoihin asianmukaista salassapitovelvollisuutta soveltaen;
c)
les catégories particulières de données à caractère personnel font l’objet de mesures visant à garantir que les données à caractère personnel traitées sont sécurisées, protégées et soumises à des garanties appropriées, y compris des contrôles stricts et une documentation de l’accès, afin d’éviter toute mauvaise utilisation et de veiller à ce que seules les personnes autorisées ayant des obligations de confidentialité appropriées aient accès à ces données à caractère personnel;
d)
erityisiä henkilötietoryhmiä ei välitetä, siirretä tai muutoin saateta muiden osapuolten saataville;
d)
les catégories particulières de données à caractère personnel ne doivent pas être transmises, transférées ou consultées d’une autre manière par d’autres parties;
e)
erityisiä henkilötietoryhmiä poistetaan, kun vinoutuma on korjattu tai kun henkilötietojen säilytysaika on päättynyt, sen mukaan kumpi ajankohdista on aikaisempi;
e)
les catégories particulières de données à caractère personnel sont supprimées une fois que le biais a été corrigé ou que la période de conservation des données à caractère personnel a expiré, selon celle de ces deux échéances qui arrive en premier;
f)
asetusten (EU) 2016/679 ja (EU) 2018/1725 sekä direktiivin (EU) 2016/680 mukaisiin käsittelytoimia koskeviin selosteisiin sisältyvät syyt, joiden vuoksi erityisten henkilötietoryhmien käsittely oli ehdottoman välttämätöntä vinoutumien havaitsemiseksi ja korjaamiseksi ja miksi tätä tavoitetta ei voitu saavuttaa käsittelemällä muita tietoja.
f)
les registres des activités de traitement visés dans les règlements (UE) 2016/679 et (UE) 2018/1725 et dans la directive (UE) 2016/680 comprennent les raisons pour lesquelles le traitement des catégories particulières de données à caractère personnel était strictement nécessaire pour détecter et corriger les biais, ainsi que la raison pour laquelle cet objectif n’a pas pu être atteint par le traitement d’autres données.
6. Sellaisen suuririskisten tekoälyjärjestelmien kehittämisen osalta, jossa ei käytetä tekniikoita, joihin sisältyy tekoälymallien kouluttaminen, 2–5 kohtaa sovelletaan ainoastaan datajoukkojen testaukseen.
6. En ce qui concerne le développement de systèmes d’IA à haut risque qui ne font pas appel à des techniques qui impliquent l’entraînement de modèles d’IA, les paragraphes 2 à 5 s’appliquent uniquement aux jeux de données de test.
11 artikla
Article 11
Tekninen dokumentaatio
Documentation technique
1. Suuririskisen tekoälyjärjestelmän tekninen dokumentaatio on laadittava ennen kuin järjestelmä saatetaan markkinoille tai otetaan käyttöön, ja se on pidettävä ajan tasalla.
1. La documentation technique relative à un système d’IA à haut risque est établie avant que ce système ne soit mis sur le marché ou mis en service et est tenue à jour.
Tekninen dokumentaatio on laadittava siten, että siinä osoitetaan suuririskisen tekoälyjärjestelmän olevan tässä jaksossa vahvistettujen vaatimusten mukainen ja annetaan kansallisille toimivaltaisille viranomaisille ja ilmoitetuille laitoksille tarvittavat tiedot selkeässä ja ymmärrettävässä muodossa sen arvioimiseksi, täyttääkö tekoälyjärjestelmä kyseiset vaatimukset. Sen on sisällettävä vähintään liitteessä IV esitetyt tiedot. Pk-yritykset, mukaan lukien startup-yritykset, voivat toimittaa liitteessä IV täsmennetyn teknisen dokumentaation osat yksinkertaistetulla tavalla. Tätä varten komissio laatii yksinkertaistetun teknisen dokumentaatiolomakkeen, joka on suunnattu pienten ja mikroyritysten tarpeisiin. Jos pk-yritys, myös startup-yritys, päättää toimittaa liitteessä IV vaaditut tiedot yksinkertaistetussa muodossa, sen on käytettävä tässä kohdassa tarkoitettua lomaketta. Ilmoitettujen laitosten on hyväksyttävä kyseinen lomake vaatimustenmukaisuuden arviointia varten.
La documentation technique est établie de manière à démontrer que le système d’IA à haut risque satisfait aux exigences énoncées dans la présente section et à fournir aux autorités nationales compétentes et aux organismes notifiés les informations nécessaires sous une forme claire et intelligible pour évaluer la conformité du système d’IA avec ces exigences. Elle contient, au minimum, les éléments énoncés à l’annexe IV. Les PME, y compris les jeunes pousses, peuvent fournir des éléments de la documentation technique spécifiée à l’annexe IV d’une manière simplifiée. À cette fin, la Commission établit un formulaire de documentation technique simplifié ciblant les besoins des petites entreprises et des microentreprises. Lorsqu’une PME, y compris une jeune pousse, choisit de fournir les informations requises à l’annexe IV de manière simplifiée, elle utilise le formulaire visé au présent paragraphe. Les organismes notifiés acceptent le formulaire aux fins de l’évaluation de la conformité.
2. Kun markkinoille saatetaan tai käyttöön otetaan suuririskinen tekoälyjärjestelmä, joka liittyy tuotteeseen, johon sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, on laadittava kootusti tekninen dokumentaatio, joka sisältää kaikki 1 kohdassa esitetyt tiedot sekä kyseisissä säädöksissä vaaditut tiedot.
2. Lorsqu’un système d’IA à haut risque lié à un produit couvert par la législation d’harmonisation de l’Union dont la liste figure à la section A de l’annexe I est mis sur le marché ou mis en service, un seul ensemble de documentation technique est établi, contenant toutes les informations visées au paragraphe 1, ainsi que les informations requises en vertu de ces actes juridiques.
3. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti liitteen IV muuttamiseksi tarvittaessa sen varmistamiseksi, että teknisessä dokumentaatiossa annetaan tekniikan kehityksen perusteella kaikki tarvittavat tiedot sen arvioimiseksi, onko järjestelmä tässä jaksossa vahvistettujen vaatimusten mukainen.
3. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier l’annexe IV, lorsque cela est nécessaire, afin de garantir que, compte tenu du progrès technique, la documentation technique fournit toutes les informations requises pour évaluer la conformité du système avec les exigences énoncées dans la présente section.
12 artikla
Article 12
Tietojen säilyttäminen
Enregistrement
1. Suuririskisissä tekoälyjärjestelmissä on mahdollistettava teknisesti tapahtumien automaattinen tallentaminen (”lokitiedot”) järjestelmän koko elinkaaren ajan.
1. Les systèmes d’IA à haut risque permettent, techniquement, l’enregistrement automatique des événements (journaux) tout au long de la durée de vie du système.
2. Jotta voidaan varmistaa sellainen suuririskisen tekoälyjärjestelmän toiminnan jäljitettävyyden taso, joka on oikeassa suhteessa järjestelmän käyttötarkoitukseen, lokitusvalmiuksilla on mahdollistettava sellaisten tapahtumien tallentaminen, jotka ovat merkityksellisiä seuraaville:
2. Afin de garantir un degré de traçabilité du fonctionnement d’un système d’IA qui soit adapté à la destination du système, les fonctionnalités de journalisation permettent l’enregistrement des événements pertinents pour:
a)
sellaisten tilanteiden tunnistaminen, jotka voivat johtaa siihen, että suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin tai johtaa merkittävään muutokseen;
a)
repérer les situations susceptibles d’avoir pour effet que le système d’IA à haut risque présente un risque au sens de l’article 79, paragraphe 1, ou d’entraîner une modification substantielle;
b)
jäljempänä 72 kohdassa tarkoitetun markkinoille saattamisen jälkeisen seurannan helpottaminen; sekä
b)
faciliter la surveillance après commercialisation visée à l’article 72; et
c)
jäljempänä 26 artiklan 5 kohdassa tarkoitettu suuririskisten tekoälyjärjestelmien toiminnan seuranta.
c)
surveiller le fonctionnement du système d’IA à haut risque comme prévu à l’article 26, paragraphe 5.
3. Liitteessä III olevan 1 kohdan a alakohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien lokitusvalmiuksiin on sisällyttävä vähintään seuraavat osatekijät:
3. Pour les systèmes d’IA à haut risque visés à l’annexe III, point 1 a), les fonctionnalités de journalisation fournissent, au minimum:
a)
järjestelmän kunkin käyttöjakson kirjaaminen (kunkin käytön alkamispäivä ja -aika ja päättymispäivä ja -aika);
a)
l’enregistrement de la période de chaque utilisation du système (date et heure de début et de fin pour chaque utilisation);
b)
viitetietokanta, jonka perusteella järjestelmä on tarkastanut syöttötiedot;
b)
la base de données de référence utilisée par le système pour vérifier les données d’entrée;
c)
syöttötiedot, joiden osalta haku on johtanut tulokseen;
c)
les données d’entrée pour lesquelles la recherche a abouti à une correspondance;
d)
14 artiklan 5 kohdassa tarkoitettujen tulosten tarkastamiseen osallistuvien luonnollisten henkilöiden tunnistetiedot.
d)
l’identification des personnes physiques participant à la vérification des résultats, visées à l’article 14, paragraphe 5.
13 artikla
Article 13
Avoimuus ja tietojen antaminen käyttöönottajille
Transparence et fourniture d’informations aux déployeurs
1. Suuririskiset tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että varmistetaan, että niiden toiminta on riittävän avointa, jotta käyttöönottajat voivat tulkita järjestelmän tuotoksia ja käyttää niitä asianmukaisesti. On varmistettava sopiva avoimuuden tyyppi ja taso, jotta voidaan taata 3 jaksossa säädettyjen tarjoajan ja käyttöönottajan asiaankuuluvien velvoitteiden noudattaminen.
1. La conception et le développement des systèmes d’IA à haut risque sont tels que le fonctionnement de ces systèmes est suffisamment transparent pour permettre aux déployeurs d’interpréter les sorties d’un système et de les utiliser de manière appropriée. Un type et un niveau adéquats de transparence sont garantis afin de veiller au respect des obligations pertinentes incombant au fournisseur et au déployeur énoncées à la section 3.
2. Suuririskisten tekoälyjärjestelmien mukana on oltava käyttöohjeet asianmukaisessa digitaalisessa tai muussa muodossa, ja niissä on annettava ytimekkäitä, täydellisiä, paikkansapitäviä ja selkeitä tietoja, jotka ovat käyttöönottajien kannalta olennaisia, esteettömiä ja ymmärrettäviä.
2. Les systèmes d’IA à haut risque sont accompagnés d’une notice d’utilisation dans un format numérique approprié ou autre, contenant des informations concises, complètes, exactes et claires, qui soient pertinentes, accessibles et compréhensibles pour les déployeurs.
3. Käyttöohjeiden on sisällettävä ainakin seuraavat:
3. La notice d’utilisation contient au moins les informations suivantes:
a)
tarjoajan ja tarvittaessa tämän valtuutetun edustajan henkilöllisyys ja yhteystiedot;
a)
l’identité et les coordonnées du fournisseur et, le cas échéant, de son mandataire;
b)
suuririskisen tekoälyjärjestelmän ominaisuudet, valmiudet ja suorituskyvyn rajoitukset, mukaan lukien seuraavat:
b)
les caractéristiques, les capacités et les limites de performance du système d’IA à haut risque, notamment:
i)
järjestelmän käyttötarkoitus;
i)
sa destination;
ii)
15 artiklassa tarkoitettu tarkkuuden, mukaan lukien sen mittarit, vakauden ja kyberturvallisuuden taso, johon nähden suuririskinen tekoälyjärjestelmä on testattu ja validoitu ja jota voidaan odottaa, sekä kaikki tunnetut ja ennakoitavissa olevat olosuhteet, joilla voi olla vaikutusta kyseiseen tarkkuuden, vakauden ja kyberturvallisuuden odotettuun tasoon;
ii)
le niveau d’exactitude, y compris les indicateurs utilisés, de robustesse et de cybersécurité visé à l’article 15 qui a servi de référence pour les tests et la validation du système d’IA à haut risque et qui peut être attendu, ainsi que toutes circonstances connues et prévisibles susceptibles d’avoir une incidence sur le niveau attendu d’exactitude, de robustesse et de cybersécurité;
iii)
kaikki tunnetut tai ennakoitavissa olevat olosuhteet, jotka liittyvät suuririskisen tekoälyjärjestelmän käyttöön sen käyttötarkoituksen mukaisesti tai kohtuudella ennakoitavissa olevissa väärinkäytön olosuhteissa ja jotka voivat aiheuttaa 9 artiklan 2 kohdassa tarkoitettuja terveyteen ja turvallisuuteen tai perusoikeuksiin kohdistuvia riskejä;
iii)
toutes circonstances connues ou prévisibles liées à l’utilisation du système d’IA à haut risque conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisible, susceptibles d’entraîner des risques pour la santé et la sécurité ou pour les droits fondamentaux visés à l’article 9, paragraphe 2;
iv)
tapauksen mukaan suuririskisen tekoälyjärjestelmän tekniset valmiudet ja ominaisuudet, jotta voidaan antaa tietoja, jotka ovat merkityksellisiä sen tuotoksen selittämiseksi;
iv)
le cas échéant, les capacités et caractéristiques techniques du système d’IA à haut risque à fournir des informations pertinentes pour expliquer ses sorties;
v)
tarvittaessa sen käyttäytyminen niiden henkilöiden tai henkilöryhmien osalta, joihin järjestelmää on tarkoitus käyttää;
v)
le cas échéant, sa performance en ce qui concerne des personnes ou groupes de personnes spécifiques à l’égard desquels le système est destiné à être utilisé;
vi)
tarvittaessa syöttötietoja koskevat spesifikaatiot tai muut käytettyjä koulutus-, validointi- ja testausdatajoukkoja koskevat olennaiset tiedot ottaen huomioon suuririskisen tekoälyjärjestelmän käyttötarkoitus;
vi)
le cas échéant, les spécifications relatives aux données d’entrée, ou toute autre information pertinente concernant les jeux de données d’entraînement, de validation et de test utilisés, compte tenu de la destination du système d’IA à haut risque;
vii)
tapauksen mukaan tiedot, joiden avulla käyttöönottajat voivat tulkita suuririskisen tekoälyjärjestelmän tuotoksia ja käyttää niitä asianmukaisesti;
vii)
le cas échéant, les informations permettant aux déployeurs d’interpréter les sorties du système d’IA à haut risque et de les utiliser de manière appropriée;
c)
suuririskisen tekoälyjärjestelmän ja sen suorituskyvyn muutokset, jotka tarjoaja on määritellyt ennalta ensimmäisen vaatimustenmukaisuuden arvioinnin yhteydessä, jos sellaisia on;
c)
les modifications du système d’IA à haut risque et de sa performance qui ont été prédéterminées par le fournisseur au moment de l’évaluation initiale de la conformité, le cas échéant;
d)
14 artiklassa tarkoitetut ihmisen suorittamat valvontatoimenpiteet, mukaan lukien tekniset toimenpiteet, jotka on otettu käyttöön, jotta käyttöönottajien olisi helpompi tulkita suuririskisten tekoälyjärjestelmien tuotoksia;
d)
les mesures de contrôle humain visées à l’article 14, notamment les mesures techniques mises en place pour faciliter l’interprétation des sorties des systèmes d’IA à haut risque par les déployeurs;
e)
tarvittavat laskenta- ja laiteresurssit, suuririskisen tekoälyjärjestelmän odotettu käyttöikä ja kaikki tarvittavat huolto- ja hoitotoimenpiteet, mukaan lukien niiden aikavälit, joilla varmistetaan tekoälyjärjestelmän asianmukainen toiminta, mukaan lukien ohjelmistopäivitykset;
e)
les ressources informatiques et matérielles nécessaires, la durée de vie attendue du système d’IA à haut risque et toutes les mesures de maintenance et de suivi, y compris leur fréquence, nécessaires pour assurer le bon fonctionnement de ce système d’IA, notamment en ce qui concerne les mises à jour logicielles;
f)
tarpeen mukaan kuvaus suuririskiseen tekoälyjärjestelmään sisältyvistä mekanismeista, joiden avulla käyttöönottajat voivat asianmukaisesti kerätä, tallentaa ja tulkita lokitietoja 12 artiklan mukaisesti.
f)
le cas échéant, une description des mécanismes compris dans le système d’IA à haut risque qui permet aux déployeurs de collecter, stocker et interpréter correctement les journaux, conformément à l’article 12.
14 artikla
Article 14
Ihmisen suorittama valvonta
Contrôle humain
1. Suuririskiset tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että luonnolliset henkilöt voivat tehokkaasti valvoa niitä niiden ollessa käytössä, mukaan lukien asianmukaisten käyttöliittymätyökalujen käyttö.
1. La conception et le développement des systèmes d’IA à haut risque permettent, notamment au moyen d’interfaces homme-machine appropriées, un contrôle effectif par des personnes physiques pendant leur période d’utilisation.
2. Ihmisen suorittamalla valvonnalla on pyrittävä ehkäisemään tai minimoimaan terveydelle, turvallisuudelle tai perusoikeuksille aiheutuvat riskit, joita voi syntyä, kun suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti tai kohtuudella ennakoitavissa olevissa väärinkäytön olosuhteissa, erityisesti jos tällaiset riskit jatkuvat huolimatta muiden tässä jaksossa vahvistettujen vaatimusten soveltamisesta.
2. Le contrôle humain vise à prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux qui peuvent apparaître lorsqu’un système d’IA à haut risque est utilisé conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisible, en particulier lorsque de tels risques persistent malgré l’application d’autres exigences énoncées dans la présente section.
3. Valvontatoimenpiteiden on oltava oikeassa suhteessa suuririskisen tekoälyjärjestelmän riskeihin, itsenäisyyden tasoon ja käyttöympäristöön, ja ne on varmistettava jommallakummalla tai molemmilla seuraavista toimenpidetyypeistä:
3. Les mesures de contrôle sont proportionnées aux risques, au niveau d’autonomie et au contexte d’utilisation du système d’IA à haut risque, et sont assurées au moyen d’un ou des deux types de mesures suivants:
a)
toimenpiteet, jotka tarjoaja on määrittänyt ja, jos se on teknisesti toteutettavissa, sisällyttänyt suuririskiseen tekoälyjärjestelmään ennen sen markkinoille saattamista tai käyttöönottoa;
a)
des mesures identifiées et, lorsque cela est techniquement possible, intégrées par le fournisseur dans le système d’IA à haut risque avant la mise sur le marché ou la mise en service de ce dernier;
b)
toimenpiteet, jotka tarjoaja on määrittänyt ennen suuririskisen tekoälyjärjestelmän markkinoille saattamista tai käyttöönottoa ja jotka on tarkoituksenmukaista toteuttaa käyttöönottajan toimesta.
b)
des mesures identifiées par le fournisseur avant la mise sur le marché ou la mise en service du système d’IA à haut risque et qui se prêtent à une mise en œuvre par le déployeur.
4. Edellä 1, 2 ja 3 kohdan täytäntöönpanoa varten suuririskinen tekoälyjärjestelmä on tarjottava käyttöönottajalle siten, että luonnolliset henkilöt, joiden tehtäväksi ihmisen suorittama valvonta on annettu, voivat tapauksen mukaan ja oikeassa suhteessa niihin nähden
4. Aux fins de la mise en œuvre des dispositions des paragraphes 1, 2 et 3, le système d’IA à haut risque est fourni au déployeur de telle manière que les personnes physiques chargées d’effectuer un contrôle humain, dans la mesure où cela est approprié et proportionné, ont la possibilité:
a)
ymmärtää asianmukaisesti suuririskisen tekoälyjärjestelmän asiaankuuluvat valmiudet ja rajoitukset ja seurata sen toimintaa asianmukaisesti, myös poikkeamien, toimintahäiriöiden ja odottamattoman toiminnan havaitsemiseksi ja niihin puuttumiseksi;
a)
de comprendre correctement les capacités et les limites pertinentes du système d’IA à haut risque et d’être en mesure de surveiller correctement son fonctionnement, y compris en vue de détecter et de traiter les anomalies, les dysfonctionnements et les performances inattendues;
b)
pysyä tietoisina mahdollisesta taipumuksesta luottaa automaattisesti tai liiallisesti suuririskisen tekoälyjärjestelmän tuottamiin tuotoksiin (”automaatiovinouma”), erityisesti sellaisten suuririskisten tekoälyjärjestelmien osalta, joita käytetään tietojen tai suositusten antamiseen luonnollisten henkilöiden tekemiä päätöksiä varten;
b)
d’avoir conscience d’une éventuelle tendance à se fier automatiquement ou excessivement aux sorties produites par un système d’IA à haut risque (biais d’automatisation), en particulier pour les systèmes d’IA à haut risque utilisés pour fournir des informations ou des recommandations concernant les décisions à prendre par des personnes physiques;
c)
tulkita oikein suuririskisen tekoälyjärjestelmän tuotoksia ottaen huomioon esimerkiksi käytettävissä olevat tulkintavälineet ja -menetelmät;
c)
d’interpréter correctement les sorties du système d’IA à haut risque, compte tenu par exemple des outils et méthodes d’interprétation disponibles;
d)
päättää missä tahansa erityistilanteessa, että suuririskistä tekoälyjärjestelmää ei käytetä, tai muutoin jättää huomiotta, korjata tai peruuttaa suuririskisen tekoälyjärjestelmän tuotokset;
d)
de décider, dans une situation particulière, de ne pas utiliser le système d’IA à haut risque ou d’ignorer, remplacer ou inverser la sortie du système d’IA à haut risque;
e)
puuttua suuririskisen tekoälyjärjestelmän toimintaan tai pysäyttää järjestelmän pysäytyspainikkeella tai vastaavalla menettelyllä, jonka avulla järjestelmä voidaan pysäyttää turvalliseen tilaan.
e)
d’intervenir dans le fonctionnement du système d’IA à haut risque ou d’interrompre le système au moyen d’un bouton d’arrêt ou d’une procédure similaire permettant au système de s’arrêter de manière sécurisée.
5. Liitteessä III olevan 1 kohdan a alakohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien osalta tämän artiklan 3 kohdassa tarkoitetuilla toimenpiteillä on lisäksi varmistettava, että käyttöönottaja ei tee mitään toimia tai päätöstä järjestelmästä seuraavan tunnistamisen perusteella, ellei vähintään kaksi luonnollista henkilöä, joilla on tarvittava pätevyys, koulutus ja valtuudet, ole erikseen todentanut ja vahvistanut sitä.
5. Pour les systèmes d’IA à haut risque visés à l’annexe III, point 1 a), les mesures prévues au paragraphe 3 du présent article sont de nature à garantir que, en outre, aucune mesure ou décision n’est prise par le déployeur sur la base de l’identification résultant du système sans vérification et confirmation distinctes de cette identification par au moins deux personnes physiques disposant des compétences, de la formation et de l’autorité nécessaires.
Vaatimusta vähintään kahden luonnollisen henkilön erikseen tekemästä todentamisesta ei sovelleta suuririskisiin tekoälyjärjestelmiin, joita käytetään lainvalvonnan, muuttoliikkeen hallinnan, rajavalvonnan tai turvapaikka-asioiden tarkoituksiin, jos unionin tai jäsenvaltioiden lainsäädännössä tämän vaatimuksen soveltaminen katsotaan kohtuuttomaksi.
L’exigence d’une vérification distincte par au moins deux personnes physiques ne s’applique pas aux systèmes d’IA à haut risque utilisés à des fins répressives ou dans les domaines de la migration, des contrôles aux frontières ou de l’asile, lorsque le droit de l’Union ou le droit national considère que l’application de cette exigence est disproportionnée.
15 artikla
Article 15
Tarkkuus, vakaus ja kyberturvallisuus
Exactitude, robustesse et cybersécurité
1. Suuririskiset tekoälyjärjestelmät on suunniteltava ja kehitettävä siten, että ne saavuttavat asianmukaisen tarkkuuden, vakauden ja kyberturvallisuuden tason ja toimivat tässä suhteessa johdonmukaisesti koko elinkaarensa ajan.
1. La conception et le développement des systèmes d’IA à haut risque sont tels qu’ils leur permettent d’atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de façon constante à cet égard tout au long de leur cycle de vie.
2. Jotta voitaisiin käsitellä teknisiä näkökohtia, jotka liittyvät 1 kohdassa vahvistettujen tarkkuuden ja vakauden tasojen mittaamiseen ja muihin mahdollisiin merkityksellisiin suorituskykymittareihin, komissio kannustaa kehittämään vertailuarvoja ja mittausmenetelmiä, tarvittaessa yhteistyössä asiaankuuluvien sidosryhmien ja organisaatioiden, kuten metrologiasta ja vertailuanalyysista vastaavien viranomaisten, kanssa.
2. Pour examiner les aspects techniques de la manière de mesurer les niveaux appropriés d’exactitude et de robustesse visés au paragraphe 1 et tout autre indicateur de performance pertinent, la Commission, en coopération avec les parties prenantes et organisations concernées, telles que les autorités de métrologie et d’étalonnage des performances, encourage, le cas échéant, l’élaboration de critères de référence et de méthodes de mesure.
3. Suuririskisten tekoälyjärjestelmien tarkkuustasot ja niihin liittyvät tarkkuusmittarit on ilmoitettava järjestelmän mukana olevissa käyttöohjeissa.
3. Les niveaux d’exactitude et les indicateurs de l’exactitude des systèmes d’IA à haut risque sont indiqués dans la notice d’utilisation jointe.
4. Suuririskisten tekoälyjärjestelmien on siedettävä mahdollisimman paljon virheitä, vikoja tai epäjohdonmukaisuuksia, joita saattaa esiintyä järjestelmässä tai ympäristössä, jossa järjestelmä toimii, erityisesti siksi, että järjestelmät ovat vuorovaikutuksessa luonnollisten henkilöiden tai muiden järjestelmien kanssa. Tältä osin on toteutettava teknisiä ja organisatorisia toimenpiteitä.
4. Les systèmes d’IA à haut risque font preuve d’autant de résilience que possible en cas d’erreurs, de défaillances ou d’incohérences pouvant survenir au sein des systèmes eux-mêmes ou de l’environnement dans lequel ils fonctionnent, notamment en raison de leur interaction avec des personnes physiques ou d’autres systèmes. Des mesures techniques et organisationnelles sont prises à cet égard.
Suuririskisten tekoälyjärjestelmien vakaus voidaan saavuttaa teknisillä vararatkaisuilla, joihin voivat kuulua varasuunnitelmat tai vikavarmistussuunnitelmat.
Des solutions techniques redondantes, telles que des plans de sauvegarde ou des mesures de sécurité après défaillance, peuvent permettre de garantir la robustesse des systèmes d’IA à haut risque.
Suuririskiset tekoälyjärjestelmät, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen, on kehitettävä siten, että poistetaan tai vähennetään mahdollisimman suurelta osin riski mahdollisesti vinoutuneista tuotoksista, jotka vaikuttavat tulevien toimintojen syöttötietoihin (palautesilmukat) ja varmistetaan, että tällaisiin palautesilmukoihin puututaan asianmukaisin lieventävin toimenpitein.
Les systèmes d’IA à haut risque qui continuent leur apprentissage après leur mise sur le marché ou leur mise en service sont développés de manière à éliminer ou à réduire dans la mesure du possible le risque que des sorties éventuellement biaisées n’influencent les entrées pour les opérations futures (boucles de rétroaction) et à veiller à ce que ces boucles de rétroaction fassent l’objet d’un traitement adéquat au moyen de mesures d’atténuation appropriées.
5. Suuririskisten tekoälyjärjestelmien on kestettävä asiaankuulumattomien ulkopuolisten tahojen yritykset muuttaa järjestelmän käyttöä, tuotoksia tai suorituskykyä hyödyntämällä järjestelmän haavoittuvuuksia.
5. Les systèmes d’IA à haut risque résistent aux tentatives de tiers non autorisés visant à modifier leur utilisation, leurs sorties ou leur performance en exploitant les vulnérabilités du système.
Suuririskisten tekoälyjärjestelmien kyberturvallisuuden varmistamiseen tähtäävien teknisten ratkaisujen on oltava asianmukaisia asiaan liittyviin olosuhteisiin ja riskeihin nähden.
Les solutions techniques visant à garantir la cybersécurité des systèmes d’IA à haut risque sont adaptées aux circonstances pertinentes et aux risques.
Teknisiin ratkaisuihin, joilla puututaan tekoälyn erityisiin haavoittuvuuksiin, on tarvittaessa sisällyttävä toimenpiteitä, joilla ehkäistään, havaitaan ja rajoitetaan sellaisia hyökkäyksiä ja vastataan sellaisiin hyökkäyksiin ja ratkaistaan sellaiset hyökkäykset, joilla pyritään manipuloimaan koulutusdatajoukkoa (datamyrkytys) tai koulutuksessa käytettyjä koulutusta edeltäviä komponentteja (mallimyrkytys), syöttötietoja, joiden tarkoituksena on saada tekoälymalli tekemään virhe (adversariaaliset esimerkit tai mallin kiertäminen), luottamuksellisuushyökkäykset tai mallin puutteet.
Les solutions techniques destinées à remédier aux vulnérabilités spécifiques à l’IA comprennent, au besoin, des mesures ayant pour but de prévenir, de détecter, de contrer, de résoudre et de maîtriser les attaques visant à manipuler le jeu de données d’entraînement (empoisonnement des données) ou les composants préentraînés utilisés en entraînement (empoisonnement de modèle), les entrées destinées à induire le modèle d’IA en erreur (exemples contradictoires ou invasion de modèle), les attaques visant la confidentialité ou les défauts du modèle.
3 JAKSO
SECTION 3
Suuririskisten tekoälyjärjestelmien tarjoajien ja käyttöönottajien sekä muiden osapuolten velvollisuudet
Obligations incombant aux fournisseurs et aux déployeurs de systèmes d’IA à haut risque et à d’autres parties
16 artikla
Article 16
Suuririskisten tekoälyjärjestelmien tarjoajien velvollisuudet
Obligations incombant aux fournisseurs de systèmes d’IA à haut risque
Suuririskisten tekoälyjärjestelmien tarjoajien on
Les fournisseurs de systèmes d’IA à haut risque:
a)
varmistettava, että niiden suuririskiset tekoälyjärjestelmät ovat 2 jaksossa vahvistettujen vaatimusten mukaisia;
a)
veillent à ce que leurs systèmes d’IA à haut risque soient conformes aux exigences énoncées à la section 2;
b)
ilmoitettava suuririskisessä tekoälyjärjestelmässä tai, jos se ei ole mahdollista, sen pakkauksessa tai sen mukana seuraavassa dokumentaatiossa tapauksen mukaan nimensä, rekisteröity tuotenimensä tai rekisteröity tavaramerkkinsä sekä osoite, josta niihin saa yhteyden;
b)
indiquent sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, leur nom, raison sociale ou marque déposée, l’adresse à laquelle ils peuvent être contactés;
c)
käytettävä 17 artiklan mukaista laadunhallintajärjestelmää;
c)
mettent en place un système de gestion de la qualité conforme à l’article 17;
d)
säilytettävä 18 artiklassa tarkoitettu dokumentaatio;
d)
assurent la conservation de la documentation visée à l’article 18;
e)
säilytettävä 19 artiklassa tarkoitetut suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot, kun nämä tiedot ovat niiden hallinnassa;
e)
assurent la tenue des journaux générés automatiquement par leurs systèmes d’IA à haut risque, lorsque ces journaux se trouvent sous leur contrôle, conformément à l’article 19;
f)
varmistettava, että suuririskiselle tekoälyjärjestelmälle tehdään 43 artiklassa tarkoitettu asiaankuuluva vaatimustenmukaisuuden arviointimenettely ennen sen markkinoille saattamista tai käyttöönottoa;
f)
veillent à ce que le système d’IA à haut risque soit soumis à la procédure d’évaluation de la conformité applicable visée à l’article 43, avant sa mise sur le marché ou sa mise en service;
g)
laadittava EU-vaatimustenmukaisuusvakuutus 47 artiklan mukaisesti;
g)
élaborent une déclaration UE de conformité conformément à l’article 47;
h)
kiinnitettävä CE-merkintä 48 artiklan mukaisesti suuririskiseen tekoälyjärjestelmään tai, jos se ei ole mahdollista, sen pakkaukseen tai sen mukana seuraavaan dokumentaatioon sen osoittamiseksi, että järjestelmä on tämän asetuksen mukainen;
h)
apposent le marquage CE sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, afin d’indiquer la conformité avec le présent règlement, conformément à l’article 48;
i)
noudatettava 49 artiklan 1 kohdassa tarkoitettuja rekisteröintivelvollisuuksia;
i)
respectent les obligations en matière d’enregistrement prévues à l’article 49, paragraphe 1;
j)
toteutettava tarvittavat korjaavat toimenpiteet ja annettava 20 artiklassa vaaditut tiedot;
j)
prennent les mesures correctives nécessaires et fournissent les informations requises à l’article 20;
k)
osoitettava kansallisen toimivaltaisen viranomaisen perustellusta pyynnöstä, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen;
k)
à la demande motivée d’une autorité nationale compétente, prouvent la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2;
l)
varmistettava, että suuririskinen tekoälyjärjestelmä täyttää direktiivien (EU) 2016/2102 ja (EU) 2019/882 mukaiset esteettömyysvaatimukset.
l)
veillent à ce que le système d’IA à haut risque soit conforme aux exigences en matière d’accessibilité conformément aux directives (UE) 2016/2102 et (UE) 2019/882.
17 artikla
Article 17
Laadunhallintajärjestelmä
Système de gestion de la qualité
1. Suuririskisten tekoälyjärjestelmien tarjoajien on otettava käyttöön laadunhallintajärjestelmä, jolla varmistetaan tämän asetuksen noudattaminen. Järjestelmä on dokumentoitava järjestelmällisesti ja täsmällisesti kirjallisiksi periaatteiksi, menettelyiksi ja ohjeiksi, ja siihen on sisällyttävä ainakin seuraavat seikat:
1. Les fournisseurs de systèmes d’IA à haut risque mettent en place un système de gestion de la qualité garantissant le respect du présent règlement. Ce système est documenté de manière méthodique et ordonnée sous la forme de politiques, de procédures et d’instructions écrites, et comprend au moins les aspects suivants:
a)
strategia säännösten noudattamista varten, mukaan lukien vaatimustenmukaisuusmenettelyjen ja suuririskisiin tekoälyjärjestelmiin tehtyjen muutosten hallintamenettelyjen noudattaminen;
a)
une stratégie de respect de la réglementation, notamment le respect des procédures d’évaluation de la conformité et des procédures de gestion des modifications apportées aux systèmes d’IA à haut risque;
b)
suuririskisen tekoälyjärjestelmän suunnittelussa, suunnittelun valvonnassa ja rakenteen tarkastuksessa käytettävät tekniikat, menettelyt ja järjestelmälliset toimenpiteet;
b)
des techniques, procédures et actions systématiques destinées à la conception des systèmes d’IA à haut risque ainsi qu’au contrôle et à la vérification de cette conception;
c)
suuririskisen tekoälyjärjestelmän kehittämisessä, laadunvalvonnassa ja laadunvarmistuksessa käytettävät tekniikat, menettelyt ja järjestelmälliset toimenpiteet;
c)
des techniques, procédures et actions systématiques destinées au développement des systèmes d’IA à haut risque ainsi qu’au contrôle et à l’assurance de leur qualité;
d)
tarkastus-, testaus- ja validointimenettelyt, jotka on suoritettava ennen suuririskisen tekoälyjärjestelmän kehittämistä, sen aikana ja sen jälkeen, sekä niiden suoritustiheys;
d)
des procédures d’examen, de test et de validation à exécuter avant, pendant et après le développement du système d’IA à haut risque, ainsi que la fréquence à laquelle elles doivent être réalisées;
e)
sovellettavat tekniset eritelmät, standardit mukaan luettuina, ja, jos asiaankuuluvia yhdenmukaistettuja standardeja ei sovelleta täysimääräisesti tai ne eivät kata kaikkia 2 jaksossa vahvistettuja asiaankuuluvia vaatimuksia, keinot, joilla varmistetaan, että suuririskinen tekoälyjärjestelmä on kyseisten vaatimusten mukainen;
e)
des spécifications techniques, notamment des normes, à appliquer et, lorsque les normes harmonisées pertinentes ne sont pas appliquées intégralement, ou ne couvrent pas toutes les exigences pertinentes énoncées à la section 2, les moyens à utiliser pour faire en sorte que le système d’IA à haut risque satisfasse auxdites exigences;
f)
datanhallintajärjestelmät ja -menettelyt, mukaan lukien datanhankinta, datankeruu, datan analysointi, tunnisteiden lisääminen, datan tallentaminen, datan suodattaminen, datanlouhinta, datan yhdistäminen, datan säilyttäminen ja kaikki muut dataan liittyvät toimet, jotka suoritetaan ennen suuririskisten tekoälyjärjestelmien markkinoille saattamista tai käyttöönottoa ja näitä toimia varten;
f)
les systèmes et procédures de gestion des données, notamment l’acquisition, la collecte, l’analyse, l’étiquetage, le stockage, la filtration, l’exploration, l’agrégation, la conservation des données et toute autre opération concernant les données qui est effectuée avant la mise sur le marché ou la mise en service de systèmes d’IA à haut risque et aux fins de celles-ci;
g)
9 artiklassa tarkoitettu riskinhallintajärjestelmä;
g)
le système de gestion des risques prévu à l’article 9;
h)
markkinoille saattamisen jälkeistä seurantaa koskevan järjestelmän perustaminen, toteutus ja ylläpito 72 artiklan mukaisesti;
h)
l’élaboration, la mise en œuvre et le fonctionnement d’un système de surveillance après commercialisation conformément à l’article 72;
i)
menettelyt, jotka liittyvät vakavasta vaaratilanteesta ilmoittamiseen 73 artiklan mukaisesti;
i)
les procédures relatives au signalement d’un incident grave conformément à l’article 73;
j)
kansallisten toimivaltaisten viranomaisten, muiden asianomaisten viranomaisten, myös niiden, jotka tarjoavat pääsyn dataan tai tukevat sitä, ilmoitettujen laitosten, muiden toimijoiden, asiakkaiden tai muiden asianomaisten osapuolten kanssa käytävän viestinnän järjestäminen.
j)
la gestion des communications avec les autorités nationales compétentes, les autres autorités compétentes, y compris celles fournissant ou facilitant l’accès aux données, les organismes notifiés, les autres opérateurs, les clients ou d’autres parties intéressées;
k)
järjestelmät ja menettelyt kaiken asiaankuuluvan dokumentaation ja tiedon säilyttämistä varten;
k)
les systèmes et procédures de conservation de tous les documents et informations pertinents;
l)
resurssien hallinta, mukaan lukien toimitusvarmuuteen liittyvät toimenpiteet;
l)
la gestion des ressources, y compris les mesures liées à la sécurité d’approvisionnement;
m)
vastuuvelvollisuuskehys, jossa määritellään johdon ja muun henkilöstön vastuut kaikkien tässä kohdassa lueteltujen seikkojen osalta.
m)
un cadre de responsabilisation définissant les responsabilités de l’encadrement et des autres membres du personnel en ce qui concerne tous les aspects énumérés dans le présent paragraphe.
2. Edellä 1 kohdassa tarkoitettujen seikkojen toteutuksen on oltava oikeassa suhteessa tarjoajan organisaation kokoon. Tarjoajien on joka tapauksessa noudatettava sellaista kurinalaisuutta ja suojelun tasoa, jota edellytetään sen varmistamiseksi, että suuririskinen tekoälyjärjestelmä on tämän asetuksen mukainen.
2. La mise en œuvre des aspects visés au paragraphe 1 est proportionnée à la taille de l’organisation du fournisseur. Les fournisseurs respectent, en tout état de cause, le degré de rigueur et le niveau de protection requis afin de garantir que leurs systèmes d’IA à haut risque sont conformes au présent règlement.
3. Suuririskisten tekoälyjärjestelmien tarjoajat, joihin sovelletaan asiaankuuluvan alakohtaisen unionin oikeuden mukaisia laadunhallintajärjestelmiä tai vastaavia toimintoja koskevia velvoitteita, voivat sisällyttää 1 kohdassa kuvatut seikat osaksi kyseisen lainsäädännön mukaisia laadunhallintajärjestelmiä.
3. Les fournisseurs de systèmes d’IA à haut risque qui sont soumis à des obligations relatives aux systèmes de gestion de la qualité, ou liées à l’exercice d’une fonction équivalente en vertu de la législation sectorielle pertinente de l’Union peuvent inclure les aspects énumérés au paragraphe 1 dans les systèmes de gestion de la qualité conformément à ladite législation.
4. Niiden tarjoajien osalta, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, velvoite ottaa käyttöön laadunhallintajärjestelmä lukuun ottamatta tämän artiklan 1 kohdan g, h ja i alakohtaa katsotaan täytetyksi, kun noudatetaan asiaankuuluvan unionin rahoituspalvelulainsäädännön mukaisia sisäisiä hallintojärjestelyjä tai -prosesseja koskevia sääntöjä. Tätä varten on otettava huomioon 40 artiklassa tarkoitetut yhdenmukaistetut standardit.
4. Si les fournisseurs sont des établissements financiers soumis à des exigences relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues par la législation de l’Union sur les services financiers, la conformité avec les règles relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues dans la législation pertinente de l’Union sur les services financiers vaut respect de l’obligation de mettre en place un système de gestion de la qualité, à l’exception du paragraphe 1, points g), h) et i) du présent article. À cette fin, toute norme harmonisée visée à l’article 40 est prise en considération.
18 artikla
Article 18
Dokumentaation säilyttäminen
Conservation des documents
1. Tarjoajan on pidettävä seuraavat asiakirjat kansallisten toimivaltaisten viranomaisten saatavilla 10 vuoden ajan sen jälkeen, kun suuririskinen tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön:
1. Pendant une période prenant fin 10 ans après la mise sur le marché ou la mise en service du système d’IA à haut risque, le fournisseur tient à la disposition des autorités nationales compétentes:
a)
11 artiklassa tarkoitettu tekninen dokumentaatio,
a)
la documentation technique visée à l’article 11;
b)
17 artiklassa tarkoitettu laadunhallintajärjestelmää koskeva dokumentaatio,
b)
la documentation concernant le système de gestion de la qualité visé à l’article 17;
c)
tarvittaessa ilmoitettujen laitosten hyväksymiä muutoksia koskeva dokumentaatio,
c)
la documentation concernant les modifications approuvées par les organismes notifiés, le cas échéant;
d)
tarvittaessa ilmoitettujen laitosten tekemät päätökset ja niiden antamat muut asiakirjat,
d)
les décisions et autres documents émis par les organismes notifiés, le cas échéant;
e)
47 artiklassa tarkoitettu EU-vaatimustenmukaisuusvakuutus.
e)
la déclaration UE de conformité visée à l’article 47.
2. Kunkin jäsenvaltion on määritettävä olosuhteet, joissa 1 kohdassa tarkoitettu dokumentaatio on kansallisten toimivaltaisten viranomaisten saatavilla kyseisessä kohdassa esitetyn ajan silloin, kun tarjoaja tai sen alueelle sijoittautunut valtuutettu edustaja menee konkurssiin tai lopettaa toimintansa ennen kyseisen kauden loppua.
2. Chaque État membre détermine les conditions dans lesquelles la documentation visée au paragraphe 1 reste à la disposition des autorités nationales compétentes pendant la période indiquée audit paragraphe dans le cas où un fournisseur ou son mandataire établi sur son territoire fait faillite ou met un terme à ses activités avant la fin de cette période.
3. Tarjoajien, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, on säilytettävä tekninen dokumentaatio osana asiakirjoja, jotka säilytetään asiaankuuluvan unionin rahoituspalvelulainsäädännön nojalla.
3. Si les fournisseurs sont des établissements financiers soumis à des exigences relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues par la législation de l’Union sur les services financiers, ils tiennent à jour la documentation technique dans le cadre de la documentation conservée en vertu de la législation pertinente de l’Union sur les services financiers.
19 artikla
Article 19
Automaattisesti tuotetut lokitiedot
Journaux générés automatiquement
1. Suuririskisten tekoälyjärjestelmien tarjoajien on säilytettävä suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat 12 artiklan 1 kohdassa tarkoitetut lokitiedot siltä osin kuin tällaiset lokitiedot ovat niiden hallinnassa. Lokitietoja on säilytettävä suuririskisen tekoälyjärjestelmän käyttötarkoitukseen nähden asianmukaisen ajanjakson ajan, kuitenkin vähintään kuusi kuukautta, jollei sovellettavassa unionin tai kansallisessa lainsäädännössä, erityisesti henkilötietojen suojaa koskevassa unionin oikeudessa, toisin säädetä, sanotun kuitenkaan rajoittamatta sovellettavan unionin tai kansallisen lainsäädännön soveltamista.
1. Les fournisseurs de systèmes d’IA à haut risque assurent la tenue des journaux générés automatiquement par leurs systèmes d’IA à haut risque, visés à l’article 12, paragraphe 1, dans la mesure où ces journaux se trouvent sous leur contrôle. Sans préjudice du droit de l’Union ou du droit national applicable, les journaux sont conservés pendant une période adaptée à la destination du système d’IA à haut risque, d’au moins six mois, sauf disposition contraire dans le droit de l’Union ou le droit national applicable, en particulier dans le droit de l’Union sur la protection des données à caractère personnel.
2. Tarjoajien, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, on säilytettävä suuririskisten tekoälyjärjestelmiensä automaattisesti tuottamat lokitiedot osana asiakirjoja, jotka säilytetään asiaankuuluvan rahoituspalvelulainsäädännön nojalla.
2. Si les fournisseurs sont des établissements financiers soumis à des exigences relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues par la législation de l’Union sur les services financiers, ils tiennent à jour les journaux générés automatiquement par leurs systèmes d’IA à haut risque dans le cadre de la documentation conservée en vertu de la législation pertinente sur les services financiers.
20 artikla
Article 20
Korjaavat toimenpiteet ja ilmoitusvelvollisuus
Mesures corrective et devoir d’information
1. Suuririskisten tekoälyjärjestelmien tarjoajien, jotka katsovat tai joilla on syytä uskoa, että niiden markkinoille saattama tai käyttöön ottama järjestelmä ei ole tämän asetuksen mukainen, on välittömästi toteutettava tarvittavat korjaavat toimenpiteet kyseisen järjestelmän saattamiseksi vaatimusten mukaiseksi, sen poistamiseksi markkinoilta tai käytöstä taikka sitä koskevan palautusmenettelyn järjestämiseksi. Niiden on ilmoitettava asiasta kyseisen suuririskisen tekoälyjärjestelmän jakelijoille ja tarvittaessa käyttöönottajille, valtuutetulle edustajalle ja maahantuojille.
1. Les fournisseurs de systèmes d’IA à haut risque qui considèrent ou ont des raisons de considérer qu’un système d’IA à haut risque qu’ils ont mis sur le marché ou mis en service n’est pas conforme au présent règlement prennent immédiatement les mesures correctives nécessaires pour le mettre en conformité, le retirer, le désactiver ou le rappeler, selon le cas. Ils informent les distributeurs du système d’IA à haut risque concerné et, le cas échéant, les déployeurs, le mandataire et les importateurs en conséquence.
2. Jos suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin ja tarjoaja tulee tietoiseksi kyseisestä riskistä, tarjoajan on välittömästi selvitettävä sen syyt tarvittaessa yhteistyössä raportoivan käyttöönottajan kanssa ja ilmoitettava erityisesti vaatimustenvastaisuudesta ja asiaankuuluvista toteutetuista korjaavista toimenpiteistä asianomaisen suuririskisen tekoälyjärjestelmän osalta toimivaltaisille markkinavalvontaviranomaisille ja tarvittaessa sille ilmoitetulle laitokselle, joka on antanut 44 artiklan mukaisesti todistuksen kyseiselle suuririskiselle tekoälyjärjestelmälle.
2. Lorsque le système d’IA à haut risque présente un risque au sens de l’article 79, paragraphe 1, et que le fournisseur prend conscience de ce risque, celui-ci recherche immédiatement les causes, en collaboration avec le déployeur à l’origine du signalement, le cas échéant, et informe les autorités de surveillance du marché compétentes pour le système d’IA à haut risque concerné et, le cas échéant, l’organisme notifié qui a délivré un certificat pour ce système d’IA à haut risque, conformément à l’article 44, en précisant en particulier la nature du cas de non-conformité et les éventuelles mesures correctives pertinentes prises.
21 artikla
Article 21
Yhteistyö toimivaltaisten viranomaisten kanssa
Coopération avec les autorités compétentes
1. Suuririskisten tekoälyjärjestelmien tarjoajien on toimivaltaisen viranomaisen perustellusta pyynnöstä toimitettava kyseiselle viranomaiselle kaikki tieto ja dokumentaatio, joka on tarpeen sen osoittamiseksi, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, asianomaisen jäsenvaltion ilmaisemalla viranomaisen helposti ymmärtämällä kielellä, joka on yksi unionin toimielinten virallisista kielistä.
1. À la demande motivée d’une autorité compétente, les fournisseurs de systèmes d’IA à haut risque fournissent à ladite autorité toutes les informations et tous les documents nécessaires pour démontrer la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2, dans une langue aisément compréhensible par l’autorité dans l’une des langues officielles des institutions de l’Union, telle qu’indiquée par l’État membre concerné.
2. Tarjoajien on toimivaltaisen viranomaisen perustellusta pyynnöstä myös annettava pyynnön esittäneelle toimivaltaiselle viranomaiselle tapauksen mukaan pääsy 12 artiklan 1 kohdassa tarkoitetun suuririskisen tekoälyjärjestelmän automaattisesti luotuihin lokitietoihin siltä osin kuin tällaiset lokitiedot ovat niiden hallinnassa.
2. À la demande motivée d’une autorité compétente, les fournisseurs accordent également à l’autorité compétente à l’origine de la demande, le cas échéant, l’accès aux journaux générés automatiquement par le système d’IA à haut risque visés à l’article 12, paragraphe 1, dans la mesure où ces journaux sont sous leur contrôle.
3. Kaikkea tietoa, jonka toimivaltainen viranomainen saa tämän artiklan nojalla, on käsiteltävä 78 artiklassa säädettyjen salassapitovelvollisuuksien mukaisesti.
3. Les informations obtenues par une autorité compétente en application du présent article sont traitées conformément aux obligations de confidentialité énoncées à l’article 78.
22 artikla
Article 22
Suuririskisten tekoälyjärjestelmien tarjoajien valtuutetut edustajat
Mandataires des fournisseurs de systèmes d’IA à haut risque
1. Kolmansiin maihin sijoittautuneiden tarjoajien on ennen suuririskisten tekoälyjärjestelmiensä asettamista saataville unionin markkinoilla nimettävä kirjallisella toimeksiannolla unioniin sijoittautunut valtuutettu edustaja.
1. Avant de mettre leurs systèmes d’IA à haut risque à disposition sur le marché de l’Union, les fournisseurs établis dans des pays tiers désignent, par mandat écrit, un mandataire établi dans l’Union.
2. Tarjoajan on valtuutettava edustajansa suorittamaan tarjoajalta saamassaan toimeksiannossa määritellyt tehtävät.
2. Le fournisseur autorise son mandataire à exécuter les tâches indiquées dans le mandat que lui a confié le fournisseur.
3. Valtuutetun edustajan on suoritettava tarjoajalta saamassaan toimeksiannossa määritellyt tehtävät. Valtuutetun edustajan on toimitettava markkinavalvontaviranomaisille pyynnöstä jäljennös toimeksiannosta jollakin toimivaltaisen viranomaisen määrittämällä unionin toimielinten virallisella kielellä. Tämän asetuksen soveltamiseksi toimeksiannossa valtuutetulle edustajalle on annettava valtuudet suorittaa seuraavat tehtävät:
3. Le mandataire exécute les tâches indiquées dans le mandat que lui a confié le fournisseur. Il fournit une copie du mandat aux autorités de surveillance du marché à leur demande, dans l’une des langues officielles des institutions de l’Union, indiquée par l’autorité compétente. Aux fins du présent règlement, le mandat habilite le mandataire à exécuter les tâches suivantes:
a)
varmistaa, että 47 artiklassa tarkoitettu EU-vaatimustenmukaisuusvakuutus ja 11 artiklassa tarkoitettu tekninen dokumentaatio on laadittu ja että tarjoaja on toteuttanut asianmukaisen vaatimustenmukaisuuden arviointimenettelyn;
a)
vérifier que la déclaration UE de conformité visée à l’article 47 et la documentation technique visée à l’article 11 ont été établies et que le fournisseur a suivi une procédure appropriée d’évaluation de la conformité;
b)
pitää toimivaltaisten viranomaisten ja 74 artiklan 10 kohdassa tarkoitettujen kansallisten viranomaisten tai elinten saatavilla 10 vuoden ajan sen jälkeen, kun suuririskinen tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön, valtuutetun edustajan nimenneen tarjoajan yhteystiedot, jäljennös 47 artiklassa tarkoitetuista EU-vaatimustenmukaisuusvakuutuksesta, teknisestä dokumentaatiosta ja tarvittaessa ilmoitetun laitoksen antamasta todistuksesta;
b)
tenir à la disposition des autorités compétentes et des autorités ou organismes nationaux visés à l’article 74, paragraphe 10, pendant une période de dix ans après la mise sur le marché ou la mise en service du système d’IA à haut risque, les coordonnées du fournisseur ayant désigné le mandataire, une copie de la déclaration UE de conformité visée à l’article 47, la documentation technique et, le cas échéant, le certificat délivré par l’organisme notifié;
c)
antaa toimivaltaiselle viranomaiselle perustellusta pyynnöstä kaikki tieto ja dokumentaatio, mukaan lukien edellä olevan b alakohdan mukainen tieto ja dokumentaatio, joka on tarpeen sen osoittamiseksi, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, mukaan lukien pääsy suuririskisen tekoälyjärjestelmän automaattisesti tuottamiin 12 artiklan 1 kohdassa tarkoitettuihin lokitietoihin siltä osin kuin tällaiset lokitiedot ovat tarjoajan hallinnassa;
c)
à la demande motivée d’une autorité compétente, communiquer à cette dernière toutes les informations et tous les documents, y compris ceux visés au point b) du présent alinéa, nécessaires pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, et notamment lui donner accès aux journaux générés automatiquement par le système d’IA à haut risque, visés à l’article 12, paragraphe 1, dans la mesure où ces journaux se trouvent sous le contrôle du fournisseur;
d)
tehdä perustellusta pyynnöstä yhteistyötä toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita nämä toteuttavat suuririskisen tekoälyjärjestelmän suhteen, erityisesti suuririskisen tekoälyjärjestelmän aiheuttamien riskien vähentämiseksi ja lieventämiseksi;
d)
à la demande motivée des autorités compétentes, coopérer avec elles à toute mesure prise par ces dernières à l’égard du système d’IA à haut risque, en particulier pour réduire et atténuer les risques posés par le système d’IA à haut risque;
e)
tarpeen mukaan noudattaa 49 artiklan 1 kohdassa tarkoitettuja rekisteröintivelvoitteita tai, jos rekisteröinnin suorittaa tarjoaja itse, varmistaa, että liitteessä VIII olevan A jakson 3 alakohdassa tarkoitetut tiedot pitävät paikkansa.
e)
le cas échéant, respecter les obligations en matière d’enregistrement visées à l’article 49, paragraphe 1, ou, si l’enregistrement est effectué par le fournisseur lui-même, vérifier que les informations visées à l’annexe VIII, section A, point 3, sont correctes.
Toimeksiannon ansiosta toimivaltaiset viranomaiset voivat ottaa toimijan lisäksi tai sen puolesta yhteyttä valtuutettuun edustajaan kaikissa tämän asetuksen noudattamisen varmistamiseen liittyvissä kysymyksissä.
Le mandat habilite le mandataire à servir d’interlocuteur, en plus ou à la place du fournisseur, aux autorités compétentes, pour toutes les questions liées au respect du présent règlement.
4. Valtuutetun edustajan on päätettävä toimeksianto, jos se katsoo tai sillä on syytä katsoa, että tarjoaja toimii tämän asetuksen mukaisten velvoitteidensa vastaisesti. Tässä tapauksessa sen on välittömästi ilmoitettava toimeksiannon päättymisestä ja sen syistä asiaankuuluvalle markkinavalvontaviranomaiselle sekä tapauksen mukaan asiaankuuluvalle ilmoitetulle laitokselle.
4. Le mandataire met fin au mandat s’il considère ou a des raisons de considérer que le fournisseur agit de manière contraire aux obligations qui lui incombent en vertu du présent règlement. Dans ce cas, il informe immédiatement l’autorité de surveillance du marché concernée et, selon le cas, l’organisme notifié pertinent de la cessation du mandat et des motifs qui la sous-tendent.
23 artikla
Article 23
Maahantuojien velvollisuudet
Obligations des importateurs
1. Suuririskisen tekoälyjärjestelmän maahantuojien on ennen tällaisen järjestelmän markkinoille saattamista varmistettava, että järjestelmä on tämän asetuksen mukainen tarkistamalla, että
1. Avant de mettre sur le marché un système d’IA à haut risque, les importateurs s’assurent que le système est conforme au présent règlement en vérifiant que:
a)
kyseisen suuririskisen tekoälyjärjestelmän tarjoaja on suorittanut 43 artiklassa tarkoitetun asiaankuuluvan vaatimustenmukaisuuden arviointimenettelyn;
a)
le fournisseur du système d’IA à haut risque a suivi la procédure pertinente d’évaluation de la conformité visée à l’article 43;
b)
tarjoaja on laatinut teknisen dokumentaation 11 artiklan ja liitteen IV mukaisesti;
b)
le fournisseur a établi la documentation technique conformément à l’article 11 et à l’annexe IV;
c)
järjestelmällä on vaadittu CE-merkintä ja sen mukana on 47 artiklassa tarkoitettu EU-vaatimustenmukaisuusvakuutus ja käyttöohjeet.
c)
le système porte le marquage CE requis et est accompagné de la déclaration UE de conformité visée à l’article 47 et de la notice d’utilisation;
d)
tarjoaja on nimittänyt valtuutetun edustajan 22 artiklan 1 kohdan mukaisesti.
d)
le fournisseur a désigné un mandataire conformément à l’article 22, paragraphe 1.
2. Jos maahantuojalla on riittävät syyt katsoa, että suuririskinen tekoälyjärjestelmä ei ole tämän asetuksen mukainen tai se on väärennetty tai sen mukana on väärennetty dokumentaatio, se ei saa saattaa kyseistä tekoälyjärjestelmää markkinoille ennen kuin se on saatettu vaatimusten mukaiseksi. Jos suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, maahantuojan on ilmoitettava asiasta järjestelmän tarjoajalle, valtuutetuille edustajille ja markkinavalvontaviranomaisille.
2. Lorsqu’un importateur a des raisons suffisantes de considérer qu’un système d’IA à haut risque n’est pas conforme au présent règlement, ou a été falsifié ou s’accompagne de documents falsifiés, il ne met le système sur le marché qu’après sa mise en conformité. Lorsque le système d’IA à haut risque présente un risque au sens de l’article 79, paragraphe 1, l’importateur en informe le fournisseur du système, les mandataires et les autorités de surveillance du marché.
3. Maahantuojien on ilmoitettava nimensä, rekisteröity tuotenimensä tai rekisteröity tavaramerkkinsä sekä osoite, josta maahantuojaan voidaan saada yhteys, suuririskisessä tekoälyjärjestelmässä ja sen pakkauksessa tai tarvittaessa sen mukana seuraavassa dokumentaatiossa.
3. Les importateurs indiquent leur nom, raison sociale ou marque déposée, ainsi que l’adresse à laquelle ils peuvent être contactés, sur le système d’IA à haut risque et sur son emballage ou dans la documentation l’accompagnant, selon le cas.
4. Maahantuojien on varmistettava, että sinä aikana, jona suuririskinen tekoälyjärjestelmä on niiden vastuulla, tapauksen mukaan varastointi- tai kuljetusolosuhteet eivät vaaranna sen tämän osaston 2 jaksossa vahvistettujen vaatimusten mukaisuutta.
4. Les importateurs s’assurent, lorsqu’un système d’IA à haut risque est sous leur responsabilité, que les conditions de stockage ou de transport, le cas échéant, ne compromettent pas sa conformité avec les exigences énoncées à la section 2.
5. Maahantuojien on säilytettävä 10 vuoden ajan sen jälkeen, kun suuririskinen tekoälyjärjestelmä on saatettu markkinoille tai otettu käyttöön, jäljennös ilmoitetun laitoksen antamasta todistuksesta, tarvittaessa käyttöohjeista ja 47 artiklassa tarkoitetusta EU-vaatimustenmukaisuusvakuutuksesta.
5. Pendant une période de dix ans après la mise sur le marché ou la mise en service du système d’IA à haut risque, les importateurs conservent une copie du certificat délivré par l’organisme notifié, selon le cas, de la notice d’utilisation et de la déclaration UE de conformité visée à l’article 47.
6. Maahantuojien on asiaankuuluvien toimivaltaisten viranomaisten perustellusta pyynnöstä toimitettava niille kaikki tieto ja dokumentaatio, mukaan lukien 5 kohdassa tarkoitettu tieto ja dokumentaatio, joka on tarpeen sen osoittamiseksi, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, kyseessä olevan viranomaisen helposti ymmärtämällä kielellä. Tätä varten niiden on myös varmistettava, että tekninen dokumentaatio voidaan asettaa kyseisten viranomaisten saataville.
6. À la demande motivée des autorités compétentes concernées, les importateurs communiquent à ces dernières toutes les informations et tous les documents nécessaires, y compris ceux visés au paragraphe 5, pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, dans une langue aisément compréhensible par les autorités nationales compétentes. À cette fin, ils veillent également à ce que la documentation technique puisse être mise à la disposition de ces autorités.
7. Maahantuojien on tehtävä yhteistyötä asiaankuuluvien toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita kyseiset viranomaiset toteuttavat maahantuojien markkinoille saattaman suuririskisen tekoälyjärjestelmän suhteen, erityisesti sen aiheuttamien riskien vähentämiseksi ja lieventämiseksi.
7. Les importateurs coopèrent avec les autorités compétentes concernées à toute mesure prise par ces autorités à l’égard d’un système d’IA à haut risque mis sur le marché par les importateurs, en particulier pour réduire et atténuer les risques qu’il présente.
24 artikla
Article 24
Jakelijoiden velvollisuudet
Obligations des distributeurs
1. Jakelijoiden on ennen suuririskisen tekoälyjärjestelmän asettamista saataville markkinoilla tarkastettava, että siinä on vaadittu CE-merkintä, että sen mukana on jäljennös 47 artiklassa tarkoitetusta EU-vaatimustenmukaisuusvakuutuksesta ja käyttöohjeista ja että tapauksen mukaan kyseisen järjestelmän tarjoaja ja maahantuoja ovat noudattaneet 16 artiklan b ja c alakohdassa ja 23 artiklan 3 kohdassa säädettyjä velvoitteitaan.
1. Avant de mettre un système d’IA à haut risque à disposition sur le marché, les distributeurs vérifient qu’il porte le marquage CE requis, qu’il est accompagné d’une copie de la déclaration UE de conformité visée à l’article 47 et de la notice d’utilisation, et que le fournisseur et l’importateur dudit système, selon le cas, ont respecté leurs obligations respectives en vertu de l’article 16, points b) et c), et de l’article 23, paragraphe 3.
2. Mikäli jakelija katsoo tai sillä on hallussaan olevien tietojen perusteella syytä uskoa, että suuririskinen tekoälyjärjestelmä ei ole 2 jaksossa vahvistettujen vaatimusten mukainen, se ei saa asettaa suuririskistä tekoälyjärjestelmää saataville markkinoilla ennen kuin järjestelmä on saatettu kyseisten vaatimusten mukaiseksi. Lisäksi jos suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, jakelijan on ilmoitettava asiasta tapauksen mukaan tarjoajalle tai maahantuojalle.
2. Lorsqu’un distributeur considère ou a des raisons de considérer, sur la base des informations en sa possession, qu’un système d’IA à haut risque n’est pas conforme aux exigences énoncées à la section 2, il ne met le système à disposition sur le marché qu’après la mise en conformité de celui-ci avec lesdites exigences. De plus, lorsque le système d’IA à haut risque présente un risque au sens de l’article 79, paragraphe 1, le distributeur en informe le fournisseur ou l’importateur du système, selon le cas.
3. Jakelijoiden on varmistettava, että sinä aikana, jona suuririskinen tekoälyjärjestelmä on niiden vastuulla, tapauksen mukaan varastointi- tai kuljetusolosuhteet eivät vaaranna sen 2 jaksossa vahvistettujen vaatimusten mukaisuutta.
3. Les distributeurs s’assurent, lorsqu’un système d’IA à haut risque est sous leur responsabilité, que les conditions de stockage ou de transport, le cas échéant, ne compromettent pas sa conformité avec les exigences énoncées à la section 2.
4. Jakelijan, joka katsoo tai jolla on hallussaan olevien tietojen perusteella syytä uskoa, että sen markkinoilla saataville asettama suuririskinen tekoälyjärjestelmä ei ole 2 jaksossa vahvistettujen vaatimusten mukainen, on toteutettava tarvittavat korjaavat toimenpiteet kyseisen järjestelmän saattamiseksi vaatimusten mukaiseksi, sen poistamiseksi markkinoilta tai sitä koskevan palautusmenettelyn järjestämiseksi tai varmistettava, että tarvittaessa tarjoaja, maahantuoja tai mikä tahansa asiaankuuluva toimija toteuttaa kyseiset korjaavat toimenpiteet. Mikäli suuririskinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, jakelijan on välittömästi ilmoitettava asiasta järjestelmän tarjoajalle tai maahantuojalle ja asianomaisen suuririskisen tekoälyjärjestelmän osalta toimivaltaisille viranomaisille ja annettava yksityiskohtaiset tiedot erityisesti vaatimustenvastaisuudesta ja mahdollisesti toteutetuista korjaavista toimenpiteistä.
4. Lorsqu’un distributeur considère ou a des raisons de considérer, sur la base des informations en sa possession, qu’un système d’IA à haut risque qu’il a mis à disposition sur le marché n’est pas conforme aux exigences énoncées à la section 2, il prend les mesures correctives nécessaires pour mettre ce système en conformité avec lesdites exigences, le retirer ou le rappeler ou veille à ce que le fournisseur, l’importateur ou tout opérateur concerné, selon le cas, prenne ces mesures correctives. Lorsque le système d’IA à haut risque présente un risque au sens de l’article 79, paragraphe 1, le distributeur en informe immédiatement le fournisseur ou l’importateur du système ainsi que les autorités compétentes pour le système d’IA à haut risque concerné et précise, notamment, le cas de non-conformité et les éventuelles mesures correctives prises.
5. Suuririskisen tekoälyjärjestelmän jakelijoiden on asiaankuuluvan toimivaltaisen viranomaisen perustellusta pyynnöstä toimitettava kyseiselle viranomaiselle kaikki niiden 1–4 kohdan mukaisia toimia koskevat tiedot ja dokumentaatio, jotka ovat tarpeen sen osoittamiseksi, että kyseinen järjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen.
5. À la demande motivée d’une autorité compétente concernée, les distributeurs d’un système d’IA à haut risque communiquent à cette autorité toutes les informations et tous les documents concernant les mesures qu’ils ont prises en vertu des paragraphes 1 à 4, nécessaires pour démontrer la conformité de ce système avec les exigences énoncées à la section 2.
6. Jakelijoiden on tehtävä yhteistyötä asiaankuuluvien toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita nämä viranomaiset toteuttavat jakelijoiden markkinoilla saataville asettaman suuririskisen tekoälyjärjestelmän suhteen, erityisesti sen aiheuttamien riskien vähentämiseksi tai lieventämiseksi.
6. Les distributeurs coopèrent avec les autorités compétentes concernées à toute mesure prise par ces autorités à l’égard d’un système d’IA à haut risque mis à disposition sur le marché par les distributeurs, en particulier pour réduire et atténuer les risques qu’il présente.
25 artikla
Article 25
Vastuut tekoälyn arvoketjussa
Responsabilités tout au long de la chaîne de valeur de l’IA
1. Mitä tahansa jakelijaa, maahantuojaa, käyttöönottajaa tai muuta kolmatta osapuolta pidetään tätä asetusta sovellettaessa suuririskisen tekoälyjärjestelmän tarjoajana ja niitä koskevat samat velvoitteet kuin tarjoajaa 16 artiklan mukaisesti missä tahansa seuraavissa olosuhteissa:
1. Tout distributeur, importateur, déployeur ou autre tiers est considéré comme un fournisseur d’un système d’IA à haut risque aux fins du présent règlement et est soumis aux obligations incombant au fournisseur au titre de l’article 16 dans toutes les circonstances suivantes:
a)
ne laittavat nimensä tai tavaramerkkinsä suuririskiseen tekoälyjärjestelmään, joka on jo saatettu markkinoille tai otettu käyttöön, sanotun kuitenkaan rajoittamatta sopimusjärjestelyjä, joissa määrätään, että velvoitteet jaetaan muulla tavoin;
a)
il commercialise sous son propre nom ou sa propre marque un système d’IA à haut risque déjà mis sur le marché ou mis en service, sans préjudice des dispositions contractuelles prévoyant une autre répartition des obligations;
b)
ne tekevät jo markkinoille saatettuun tai jo käyttöön otettuun suuririskiseen tekoälyjärjestelmään merkittävän muutoksen siten, että se pysyy 6 artiklan mukaisena suuririskisenä tekoälyjärjestelmänä;
b)
il apporte une modification substantielle à un système d’IA à haut risque qui a déjà été mis sur le marché ou a déjà été mis en service de telle manière qu’il reste un système d’IA à haut risque en application de l’article 6;
c)
ne muuttavat tekoälyjärjestelmän, myös yleiskäyttöisen tekoälyjärjestelmän, jota ei ole luokiteltu suuririskiseksi ja joka on jo saatettu markkinoille tai otettu käyttöön, käyttötarkoitusta siten, että tekoälyjärjestelmästä tulee 6 artiklan mukainen suuririskinen tekoälyjärjestelmä.
c)
il modifie la destination d’un système d’IA, y compris un système d’IA à usage général, qui n’a pas été classé à haut risque et a déjà été mis sur le marché ou mis en service de telle manière que le système d’IA concerné devient un système d’IA à haut risque conformément l’article 6.
2. Edellä 1 kohdassa tarkoitetuissa tilanteissa tarjoajaa, joka on alun perin saattanut tekoälyjärjestelmän markkinoille tai ottanut sen käyttöön, ei enää pidetä kyseisen tekoälyjärjestelmän tarjoajana tätä asetusta sovellettaessa. Kyseisen alkuperäisen tarjoajan on tehtävä tiivistä yhteistyötä uusien tarjoajien kanssa ja asetettava saataville tarvittavat tiedot ja tarjottava kohtuudella odotettavissa olevat tekninen pääsy ja muu apu, joita tämän asetuksen mukaisten velvoitteiden täyttäminen edellyttää, erityisesti suuririskisten tekoälyjärjestelmien vaatimustenmukaisuuden arvioinnin noudattamisen osalta. Tätä kohtaa ei sovelleta tapauksissa, joissa alkuperäinen tarjoaja on selkeästi täsmentänyt, että sen tekoälyjärjestelmää ei saa muuttaa suuririskiseksi tekoälyjärjestelmäksi eikä siihen sen vuoksi sovelleta dokumentaation luovuttamisvelvoitetta.
2. Lorsque les circonstances visées au paragraphe 1, se produisent, le fournisseur qui a initialement mis sur le marché ou mis en service le système d’IA n’est plus considéré comme un fournisseur de ce système d’IA spécifique aux fins du présent règlement. Ce fournisseur initial coopère étroitement avec les nouveaux fournisseurs et met à disposition les informations nécessaires et fournit l’accès technique raisonnablement attendu et toute autre assistance nécessaire au respect des obligations énoncées dans le présent règlement, en particulier en ce qui concerne la conformité avec l’évaluation de la conformité des systèmes d’IA à haut risque. Le présent paragraphe ne s’applique pas dans les cas où le fournisseur initial a clairement précisé que son système d’IA ne doit pas être transformé en un système d’IA à haut risque et ne relève donc pas de l’obligation relative à la remise de la documentation.
3. Niiden suuririskisten tekoälyjärjestelmien osalta, jotka ovat sellaisten tuotteiden turvakomponentteja, joihin sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, tuotteen valmistajaa pidetään suuririskisen tekoälyjärjestelmän tarjoajana, ja siihen sovelletaan 16 artiklan mukaisia velvoitteita jommassakummassa seuraavista olosuhteista:
3. Lorsque des systèmes d’IA à haut risque constituent des composants de sécurité de produits couverts par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, section A, le fabricant de ces produits est considéré comme étant le fournisseur du système d’IA à haut risque et est soumis aux obligations visées à l’article 16 dans l’un des deux cas suivants:
a)
suuririskinen tekoälyjärjestelmä saatetaan markkinoille yhdessä tuotteen kanssa tuotteen valmistajan nimellä tai tavaramerkillä;
a)
le système d’IA à haut risque est mis sur le marché avec le produit sous le nom ou la marque du fabricant du produit;
b)
suuririskinen tekoälyjärjestelmä otetaan käyttöön tuotteen valmistajan nimellä tai tavaramerkillä sen jälkeen, kun tuote on saatettu markkinoille.
b)
le système d’IA à haut risque est mis en service sous le nom ou la marque du fabricant du produit après que le produit a été mis sur le marché.
4. Suuririskisen tekoälyjärjestelmän tarjoajan ja kolmannen osapuolen, joka toimittaa suuririskisessä tekoälyjärjestelmässä käytettäviä tai siihen integroitavia tekoälyjärjestelmiä, välineitä, palveluja, komponentteja tai prosesseja, on määritettävä kirjallisella sopimuksella tarvittavat tiedot, valmiudet, tekninen pääsy ja muu apu, jotka perustuvat yleisesti tunnustettuun alan viimeisimpään kehitykseen, jotta suuririskisen tekoälyjärjestelmän tarjoaja voi noudattaa täysimääräisesti tämän asetuksen mukaisia velvoitteita. Tätä kohtaa ei sovelleta kolmansiin osapuoliin, jotka asettavat yleisön saataville maksuttomalla ja avoimen lähdekoodin lisenssillä välineitä, palveluja, prosesseja tai komponentteja, jotka ovat muita kuin yleiskäyttöisiä tekoälymalleja.
4. Le fournisseur d’un système d’IA à haut risque et le tiers qui fournit un système d’IA, des outils, services, composants ou processus qui sont utilisés ou intégrés dans un système d’IA à haut risque précisent, par accord écrit, les informations, les capacités, l’accès technique et toute autre assistance nécessaire, sur la base de l’état de la technique généralement reconnu, pour permettre au fournisseur du système d’IA à haut risque de se conformer pleinement aux obligations prévues dans le présent règlement. Le présent paragraphe ne s’applique pas aux tiers qui rendent accessibles au public des outils, services, processus ou composants, autres que des modèles d’IA à usage général, dans le cadre d’une licence libre et ouverte.
Tekoälytoimisto voi laatia ja suositella vapaaehtoisia mallisopimusehtoja suuririskisten tekoälyjärjestelmien tarjoajien ja sellaisten kolmansien osapuolten välisiä sopimuksia varten, jotka toimittavat välineitä, palveluja, komponentteja tai prosesseja, joita käytetään suuririskisissä tekoälyjärjestelmissä tai integroidaan niihin. Laatiessaan kyseisiä vapaaehtoisia mallisopimusehtoja tekoälytoimisto ottaa huomioon tietyillä aloilla tai tietyissä liiketoimintamalleissa mahdollisesti sovellettavat sopimusperusteiset vaatimukset. Vapaaehtoiset mallisopimusehdot on julkaistava, ja niiden on oltava saatavilla maksutta helposti käytettävässä sähköisessä muodossa.
Le Bureau de l’IA peut élaborer et recommander des clauses types volontaires pour les contrats entre les fournisseurs de systèmes d’IA à haut risque et les tiers qui fournissent des outils, des services, des composants ou des processus qui sont utilisés ou intégrés dans les systèmes d’IA à haut risque. Lorsqu’il élabore des clauses types volontaires, le Bureau de l’IA tient compte des éventuelles exigences contractuelles applicables dans des secteurs ou des activités spécifiques. Les clauses types volontaires sont publiées et mises à disposition gratuitement dans un format électronique facile d’utilisation.
5. Edellä olevat 2 ja 3 kohta eivät rajoita tarvetta kunnioittaa ja suojata teollis- ja tekijänoikeuksia ja luottamuksellisia liiketoimintatietoja ja liikesalaisuuksia unionin ja kansallisen lainsäädännön mukaisesti.
5. Les paragraphes 2 et 3 sont sans préjudice de la nécessité de respecter et de protéger les droits de propriété intellectuelle, les informations confidentielles de nature commerciale et les secrets d’affaires conformément au droit de l’Union et au droit national.
26 artikla
Article 26
Suuririskisten tekoälyjärjestelmien käyttöönottajien velvollisuudet
Obligations incombant aux déployeurs de systèmes d’IA à haut risque
1. Suuririskisten tekoälyjärjestelmien käyttöönottajien on toteutettava asianmukaiset tekniset ja organisatoriset toimenpiteet varmistaakseen, että ne käyttävät tällaisia järjestelmiä niiden mukana seuraavien käyttöohjeiden mukaisesti 3 ja 6 kohdassa säädetyllä tavalla.
1. Les déployeurs de systèmes d’IA à haut risque prennent des mesures techniques et organisationnelles appropriées afin de garantir qu’ils utilisent ces systèmes conformément aux notices d’utilisation accompagnant les systèmes, conformément aux paragraphes 3 et 6.
2. Käyttöönottajien on annettava ihmisen suorittama valvonta tehtäväksi luonnollisille henkilöille, joilla on tarvittava pätevyys, koulutus ja valtuudet, sekä annettava tarvittavaa tukea.
2. Les déployeurs confient le contrôle humain à des personnes physiques qui disposent des compétences, de la formation et de l’autorité nécessaires ainsi que du soutien nécessaire.
3. Edellä 1 ja 2 kohdassa säädetyt velvollisuudet eivät rajoita muiden unionin tai kansallisesta lainsäädännöstä johtuvien käyttöönottajien velvollisuuksien soveltamista eivätkä käyttöönottajan vapautta järjestää omat resurssinsa ja toimintansa tarjoajan ilmoittamien ihmisen suorittamien valvontatoimien toteuttamiseksi.
3. Les obligations énoncées aux paragraphes 1 et 2 sont sans préjudice des autres obligations du déployeur prévues par le droit de l’Union ou le droit national et de la faculté du déployeur d’organiser ses propres ressources et activités aux fins de la mise en œuvre des mesures de contrôle humain indiquées par le fournisseur.
4. Siltä osin kuin käyttöönottaja valvoo syöttötietoja, käyttöönottajan on varmistettava, että syöttötiedot ovat merkityksellisiä ja riittävän edustavia suuririskisen tekoälyjärjestelmän käyttötarkoituksen kannalta, sanotun kuitenkaan rajoittamatta 1 ja 2 kohdan soveltamista.
4. Sans préjudice des paragraphes 1 et 2, pour autant que le déployeur exerce un contrôle sur les données d’entrée, il veille à ce que ces dernières soient pertinentes et suffisamment représentatives au regard de la destination du système d’IA à haut risque.
5. Käyttöönottajien on seurattava suuririskisen tekoälyjärjestelmän toimintaa käyttöohjeiden perusteella ja tarvittaessa ilmoitettava asiasta tarjoajille 72 artiklan mukaisesti. Jos käyttöönottajilla on syytä katsoa, että suuririskisen tekoälyjärjestelmän käyttöohjeiden mukainen käyttö voi johtaa siihen, että kyseinen tekoälyjärjestelmä aiheuttaa 79 artiklan 1 kohdassa tarkoitetun riskin, niiden on ilman aiheetonta viivytystä ilmoitettava asiasta tarjoajalle tai jakelijalle ja asianomaiselle markkinavalvontaviranomaiselle ja keskeytettävä kyseisen järjestelmän käyttö. Jos käyttöönottajat ovat havainneet vakavan vaaratilanteen, niiden on myös välittömästi ilmoitettava kyseisestä vaaratilanteesta ensin tarjoajalle ja sen jälkeen tuojalle tai jakelijalle sekä asianomaisille markkinavalvontaviranomaisille. Jos käyttöönottaja ei pysty tavoittamaan tarjoajaa, 73 artiklaa sovelletaan soveltuvin osin. Tätä velvoitetta ei sovelleta niiden tekoälyjärjestelmien käyttöönottajien arkaluonteiseen operatiiviseen tietoon, jotka ovat lainvalvontaviranomaisia.
5. Les déployeurs surveillent le fonctionnement du système d’IA à haut risque sur la base de la notice d’utilisation et, le cas échéant, informent les fournisseurs conformément à l’article 72. Lorsque les déployeurs ont des raisons de considérer que l’utilisation du système d’IA à haut risque conformément à la notice d’utilisation pourrait conduire à ce que le système d’IA présente un risque au sens de l’article 79, paragraphe 1, ils en informent, sans retard injustifié, le fournisseur ou le distributeur ainsi que l’autorité de surveillance du marché concernée, et suspendent l’utilisation de ce système. Lorsque les déployeurs ont détecté un incident grave, ils informent également immédiatement d’abord le fournisseur, puis l’importateur ou le distributeur et les autorités de surveillance du marché concernées de cet incident. Si le déployeur n’est pas en mesure de joindre le fournisseur, l’article 73 s’applique mutatis mutandis. Cette obligation ne couvre pas les données opérationnelles sensibles des déployeurs de systèmes d’IA qui sont des autorités répressives.
Niiden käyttöönottajien osalta, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, ensimmäisessä alakohdassa esitetty seurantavelvoite katsotaan täytetyksi, kun noudatetaan asiaankuuluvan rahoituspalvelulainsäädännön mukaisia sisäisiä hallintojärjestelyjä, -prosesseja ja -mekanismeja koskevia sääntöjä.
Si les déployeurs sont des établissements financiers soumis à des exigences relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues par la législation de l’Union sur les services financiers, la conformité avec les règles relatives à la gouvernance, aux dispositifs, aux processus et aux mécanismes internes prévues dans la législation sur les services financiers vaut respect de l’obligation de surveillance énoncée au premier alinéa.
6. Suuririskisten tekoälyjärjestelmien käyttöönottajien on säilytettävä kyseisen suuririskisen tekoälyjärjestelmän automaattisesti tuottamat lokitiedot siltä osin kuin tällaiset lokitiedot ovat heidän hallinnassaan, suuririskisen tekoälyjärjestelmän käyttötarkoitukseen nähden asianmukaisen ajanjakson ajan, kuitenkin vähintään kuuden kuukauden ajan, jollei sovellettavassa unionin tai kansallisessa lainsäädännössä, erityisesti henkilötietojen suojaa koskevassa unionin oikeudessa, toisin säädetä.
6. Les déployeurs de systèmes d’IA à haut risque assurent la tenue des journaux générés automatiquement par ce système d’IA à haut risque dans la mesure où ces journaux se trouvent sous leur contrôle, pendant une période adaptée à la destination du système d’IA à haut risque, d’au moins six mois, sauf disposition contraire dans le droit de l’Union ou le droit national applicable, en particulier dans le droit de l’Union sur la protection des données à caractère personnel.
Käyttöönottajien, jotka ovat rahoituslaitoksia, joihin sovelletaan niiden sisäisiä hallintojärjestelyjä tai -prosesseja koskevia vaatimuksia unionin rahoituspalvelulainsäädännön nojalla, on säilytettävä lokitiedot osana asiakirjoja, jotka säilytetään asiaankuuluvan unionin rahoituspalvelulainsäädännön nojalla.
Si les déployeurs sont des établissements financiers soumis à des exigences relatives à leur gouvernance, à leurs dispositifs ou à leurs processus internes prévues par la législation de l’Union sur les services financiers, ils tiennent à jour les journaux dans le cadre de la documentation conservée en vertu de la législation pertinente de l’Union sur les services financiers.
7. Ennen suuririskisen tekoälyjärjestelmän käyttöönottoa tai käyttöä työpaikalla käyttöönottajien, jotka ovat työnantajia, on ilmoitettava työntekijöiden edustajille ja asianomaisille työntekijöille, että heihin sovelletaan suuririskistä tekoälyjärjestelmää. Nämä tiedot on tarvittaessa annettava työntekijöille ja heidän edustajilleen tiedottamista koskevassa unionin ja kansallisessa lainsäädännössä ja käytännössä vahvistettujen sääntöjen ja menettelyjen mukaisesti.
7. Avant de mettre en service ou d’utiliser un système d’IA à haut risque sur le lieu de travail, les déployeurs qui sont des employeurs informent les représentants des travailleurs et les travailleurs concernés qu’ils seront soumis à l’utilisation du système d’IA à haut risque. Ces informations sont fournies, le cas échéant, conformément aux règles et procédures prévues par le droit de l’Union et le droit national et aux pratiques en matière d’information des travailleurs et de leurs représentants.
8. Suuririskisten tekoälyjärjestelmin käyttöönottajien, jotka ovat viranomaisia tai unionin toimielimiä, elimiä tai laitoksia, on noudatettava 49 artiklassa tarkoitettuja rekisteröintivelvollisuuksia. Jos tällaiset käyttöönottajat toteavat, että suuririskistä tekoälyjärjestelmää, jota ne aikovat käyttää, ei ole rekisteröity 71 artiklassa tarkoitettuun EU:n tietokantaan, ne eivät saa käyttää kyseistä järjestelmää ja niiden on ilmoitettava asiasta tarjoajalle tai jakelijalle.
8. Les déployeurs de systèmes d’IA à haut risque qui sont des autorités publiques ou des institutions, organes ou organismes de l’Union, respectent les obligations en matière d’enregistrement prévues à l’article 49. Dans le cas où ces déployeurs constatent que le système d’IA à haut risque qu’ils envisagent d’utiliser n’a pas été enregistré dans la base de données de l’UE visée à l’article 71, ils n’utilisent pas ce système et informent le fournisseur ou le distributeur.
9. Suuririskisten tekoälyjärjestelmien käyttöönottajien on tarvittaessa käytettävä tämän asetuksen 13 artiklan mukaisesti toimitettuja tietoja noudattaakseen velvollisuuttaan tehdä tietosuojaa koskeva vaikutustenarviointi asetuksen (EU) 2016/679 35 artiklan tai direktiivin (EU) 2016/680 27 artiklan mukaisesti.
9. Le cas échéant, les déployeurs de systèmes d’IA à haut risque utilisent les informations fournies en application de l’article 13 du présent règlement pour se conformer à leur obligation de procéder à une analyse d’impact relative à la protection des données en vertu de l’article 35 du règlement (UE) 2016/679 ou de l’article 27 de la directive (UE) 2016/680.
10. Rikoksesta epäillyn tai tuomitun henkilön kohdennettua etsintää koskevan tutkinnan yhteydessä suuririskisen tekoälyjärjestelmän, joka on tarkoitettu käytettäväksi jälkikäteiseen biometriseen etätunnistukseen, käyttöönottajan on pyydettävä oikeusviranomaiselta tai hallintoviranomaiselta, jonka päätös on sitova ja johon sovelletaan tuomioistuinvalvontaa, lupaa kyseisen järjestelmän käyttöön etukäteen tai ilman aiheetonta viivytystä ja viimeistään 48 tunnin kuluessa kyseisen järjestelmän käyttöön, paitsi jos sitä käytetään mahdollisen epäillyn alustavaan tunnistamiseen rikokseen suoraan liittyvien objektiivisten ja todennettavissa olevien tosiseikkojen perusteella, sanotun kuitenkaan rajoittamatta direktiivin (EU) 2016/680 soveltamista. Kukin käyttö on rajoitettava siihen, mikä on ehdottoman välttämätöntä kyseessä olevan rikoksen tutkintaa varten.
10. Sans préjudice de la directive (UE) 2016/680, dans le cadre d’une enquête en vue de la recherche ciblée d’une personne soupçonnée d’avoir commis une infraction pénale ou condamnée pour avoir commis une infraction pénale, le déployeur d’un système d’IA à haut risque pour l’identification biométrique à distance a posteriori demande l’autorisation, ex ante ou sans retard injustifié et au plus tard dans les 48 heures, d’une autorité judiciaire ou administrative dont la décision est contraignante et soumise à un contrôle juridictionnel, pour l’utilisation de ce système, sauf lorsqu’il est utilisé pour l’identification initiale d’un suspect potentiel sur la base de faits objectifs et vérifiables directement liés à l’infraction. Chaque utilisation est limitée à ce qui est strictement nécessaire pour enquêter sur une infraction pénale spécifique.
Jos ensimmäisen alakohdan nojalla haettu lupa hylätään, kyseiseen lupaan linkitetyn jälkikäteisen biometrisen etätunnistusjärjestelmän käyttö on lopetettava välittömästi ja sen suuririskisen tekoälyjärjestelmän käyttöön liittyvät henkilötiedot, jota varten lupaa haettiin, on poistettava.
Si l’autorisation demandée en application du premier alinéa est rejetée, l’utilisation du système d’identification biométrique à distance a posteriori lié à l’autorisation demandée est interrompue avec effet immédiat et les données à caractère personnel liées à l’utilisation du système d’IA à haut risque pour lequel l’autorisation a été demandée sont supprimées.
Tällaista suuririskistä tekoälyjärjestelmää, joka on tarkoitettu käytettäväksi jälkikäteiseen biometriseen etätunnistukseen, ei saa missään tapauksessa käyttää lainvalvontatarkoituksiin kohdentamattomalla tavalla ilman minkäänlaista yhteyttä tiettyyn rikokseen, rikosoikeudelliseen menettelyyn, todelliseen ja välittömään tai todelliseen ja ennakoitavissa olevaan rikoksen uhkaan tai tietyn kadonneen henkilön etsimiseen. On varmistettava, että päätöstä, jolla on yksittäiseen henkilöön kohdistuvia kielteisiä oikeusvaikutuksia, ei saa tehdä pelkästään tällaisen jälkikäteisen biometrisen etätunnistusjärjestelmän tuotosten perusteella.
En aucun cas, ce système d’IA à haut risque pour l’identification biométrique à distance a posteriori ne peut être utilisé à des fins répressives de manière non ciblée, sans aucun lien avec une infraction pénale, une procédure pénale, une menace réelle et actuelle ou réelle et prévisible d’une infraction pénale, ou la recherche d’une personne disparue spécifique. Il convient d’assurer qu’aucune décision produisant des effets juridiques défavorables à l’égard d’une personne ne puisse être prise par les autorités répressives sur la seule base des sorties de tels systèmes d’identification biométrique à distance a posteriori.
Tämä kohta ei rajoita asetuksen (EU) 2016/679 9 artiklan ja direktiivin (EU) 2016/680 10 artiklan soveltamista biometristen tietojen käsittelyn osalta.
Le présent paragraphe est sans préjudice de l’article 9 du règlement (UE) 2016/679 et de l’article 10 de la directive (UE) 2016/680 pour le traitement des données biométriques.
Käyttötarkoituksesta tai käyttöönottajasta riippumatta tällaisten suuririskisten tekoälyjärjestelmien kaikenlainen käyttö on dokumentoitava asianomaiseen poliisitiedostoon ja asetettava pyynnöstä asianomaisen markkinavalvontaviranomaisen ja kansallisen tietosuojaviranomaisen saataville, lukuun ottamatta lainvalvontaan liittyvien arkaluonteisten operatiivisten tietojen luovuttamista. Tämä alakohta ei rajoita valvontaviranomaisille direktiivin (EU) 2016/680 nojalla annettuja valtuuksia.
Indépendamment de la finalité ou du déployeur, chaque utilisation de ces systèmes d’IA à haut risque est documentée dans le dossier de police pertinent et est mise à la disposition de l’autorité de surveillance du marché concernée et de l’autorité nationale chargée de la protection des données sur demande, à l’exclusion de la divulgation de données opérationnelles sensibles liées aux services répressifs. Le présent alinéa est sans préjudice des pouvoirs conférés par la directive (UE) 2016/680 aux autorités de contrôle.
Käyttöönottajien on toimitettava asianomaisille markkinavalvonta- ja kansallisille tietosuojaviranomaisille vuosittain raportit jälkikäteisten biometristen etätunnistusjärjestelmien käytöstä, lukuun ottamatta lainvalvontaan liittyvien arkaluonteisten operatiivisten tietojen luovuttamista. Raportit voidaan koota yhteen siten, että ne kattavat useamman kuin yhden käyttökerran.
Les déployeurs soumettent aux autorités de surveillance du marché concernées et aux autorités nationales chargées de la protection des données des rapports annuels sur leur utilisation de systèmes d’identification biométrique à distance a posteriori, à l’exclusion de la divulgation de données opérationnelles sensibles liées aux services répressifs. Les rapports peuvent être agrégés pour couvrir plus d’un déploiement.
Jäsenvaltiot voivat unionin oikeuden mukaisesti ottaa käyttöön jälkikäteisten biometristen etätunnistusjärjestelmien käyttöä koskevaa rajoittavampaa lainsäädäntöä.
Les États membres peuvent adopter, conformément au droit de l’Union, des lois plus restrictives sur l’utilisation de systèmes d’identification biométrique à distance a posteriori.
11. Sellaisten liitteessä III tarkoitettujen suuririskisten tekoälyjärjestelmien käyttöönottajien, jotka tekevät tai auttavat tekemään luonnollisiin henkilöihin liittyviä päätöksiä, on ilmoitettava luonnollisille henkilöille, että heihin sovelletaan suuririskistä tekoälyjärjestelmää, sanotun kuitenkaan rajoittamatta tämän asetuksen 50 artiklan soveltamista. Lainvalvontatarkoituksiin käytettäviin suuririskisiin tekoälyjärjestelmiin sovelletaan direktiivin (EU) 2016/680 13 artiklaa.
11. Sans préjudice de l’article 50 du présent règlement, les déployeurs de systèmes d’IA à haut risque visés à l’annexe III, qui prennent des décisions ou facilitent les prises de décision concernant des personnes physiques, informent lesdites personnes physiques qu’elles sont soumises à l’utilisation du système d’IA à haut risque. Pour les systèmes d’IA à haut risque utilisés à des fins répressives, l’article 13 de la directive (UE) 2016/680 s’applique.
12. Käyttöönottajien on tehtävä yhteistyötä asiaankuuluvien toimivaltaisten viranomaisten kanssa kaikissa toimissa, joita kyseiset viranomaiset toteuttavat suuririskisen tekoälyjärjestelmän suhteen tämän asetuksen täytäntöönpanemiseksi.
12. Les déployeurs coopèrent avec les autorités compétentes concernées à toute mesure prise par ces autorités à l’égard du système d’IA à haut risque en vue de mettre en œuvre le présent règlement.
27 artikla
Article 27
Suuririskisten tekoälyjärjestelmien perusoikeusvaikutusten arviointi
Analyse d’impact des systèmes d’IA à haut risque sur les droits fondamentaux
1. Käyttöönottajien, jotka ovat julkisoikeudellisia laitoksia tai julkisia palveluja tarjoavia yksityisiä yhteisöjä, ja liitteessä III olevassa 5 kohdan b ja c alakohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien käyttöönottajien on tehtävä arviointi tällaisen järjestelmän käytön mahdollisista perusoikeusvaikutuksista ennen 6 artiklan 2 kohdassa tarkoitetun suuririskisen tekoälyjärjestelmän käyttöönottoa, lukuun ottamatta suuririskisiä tekoälyjärjestelmiä, jotka on tarkoitettu käytettäviksi liitteessä III olevassa 2 kohdassa luetellulla alueella. Tätä varten käyttöönottajien on suoritettava arviointi, joka sisältää seuraavat:
1. Avant le déploiement d’un système d’IA à haut risque visé à l’article 6, paragraphe 2, à l’exception des systèmes d’IA à haut risque destinés à être utilisés dans le domaine visé à l’annexe III, point 2, les déployeurs qui sont des organismes de droit public ou des entités privées fournissant des services publics et les déployeurs de systèmes d’IA à haut risque visés à l’annexe III, points 5), b) et c), effectuent une analyse de l’impact sur les droits fondamentaux que l’utilisation de ce système peut produire. À cette fin, les déployeurs effectuent une analyse comprenant:
a)
kuvaus käyttöönottajan prosesseista, joissa suuririskistä tekoälyjärjestelmää käytetään käyttötarkoituksensa mukaisesti;
a)
une description des processus du déployeur dans lesquels le système d’IA à haut risque sera utilisé conformément à sa destination;
b)
kuvaus ajanjaksosta, jonka kuluessa kutakin suuririskistä tekoälyjärjestelmää on tarkoitus käyttää, ja kuinka usein;
b)
une description de la période pendant laquelle et de la fréquence à laquelle chaque système d’IA à haut risque est destiné à être utilisé;
c)
niiden luonnollisten henkilöiden ja ryhmien luokat, joihin järjestelmän käyttö todennäköisesti vaikuttaa;
c)
les catégories de personnes physiques et les groupes susceptibles d’être concernés par son utilisation dans le contexte spécifique;
d)
erityiset sellaisen haitan riskit, joka todennäköisesti kohdistuu tämän kohdan c alakohdan mukaisesti yksilöityihin luokkiin kuuluviin luonnollisiin henkilöihin tai henkilöryhmiin, ottaen huomioon tarjoajan 13 artiklan mukaisesti antamat tiedot;
d)
les risques spécifiques de préjudice susceptibles d’avoir une incidence sur les catégories de personnes physiques ou groupes de personnes identifiés en vertu du point c) du présent paragraphe, compte tenu des informations fournies par le fournisseur conformément à l’article 13;
e)
kuvaus ihmisen suorittamien valvontatoimenpiteiden toteuttamisesta käyttöohjeiden mukaisesti;
e)
une description de la mise en œuvre des mesures de contrôle humain, conformément à la notice d’utilisation;
f)
toimenpiteet, jotka on toteutettava kyseisten riskien toteutuessa, mukaan lukien sisäistä hallintoa ja valitusmekanismeja koskevat järjestelyt.
f)
les mesures à prendre en cas de matérialisation de ces risques, y compris les dispositifs relatifs à la gouvernance interne et aux mécanismes de plainte internes.
2. Edellä 1 kohdassa säädettyä velvoitetta sovelletaan suuririskisen tekoälyjärjestelmän ensimmäiseen käyttökertaan. Käyttöönottaja voi samanlaisissa tapauksissa tukeutua aiemmin tehtyyn perusoikeusvaikutusten arviointiin tai tarjoajan tekemään olemassa olevaan vaikutustenarviointiin. Jos käyttöönottaja katsoo suuririskisen tekoälyjärjestelmän käytön aikana, että jokin 1 kohdassa luetelluista elementeistä on muuttunut tai ei ole enää ajan tasalla, käyttöönottajan on toteutettava tarvittavat toimenpiteet tietojen päivittämiseksi.
2. L’obligation établie au paragraphe 1 s’applique à la première utilisation du système d’IA à haut risque. Le déployeur peut, dans des cas similaires, s’appuyer sur des analyses d’impact sur les droits fondamentaux effectuées précédemment ou sur des analyses d’impact existantes réalisées par le fournisseur. Si, au cours de l’utilisation du système d’IA à haut risque, le déployeur estime qu’un des éléments énumérés au paragraphe 1 a changé ou n’est plus à jour, il prend les mesures nécessaires pour mettre à jour les informations.
3. Kun tämän artiklan 1 kohdassa tarkoitettu arviointi on suoritettu, käyttöönottajan on ilmoitettava markkinavalvontaviranomaiselle sen tuloksista, ja palautettava tämän artiklan 5 kohdassa tarkoitettu täytetty lomake ilmoituksen osana. Käyttöönottajat voidaan 46 artiklan 1 kohdassa tarkoitetussa tapauksessa vapauttaa tästä ilmoitusvelvoitteesta.
3. Une fois l’analyse visée au paragraphe 1 du présent article effectuée, le déployeur en notifie les résultats à l’autorité de surveillance du marché, et soumet le modèle visé au paragraphe 5 du présent article, rempli, dans le cadre de la notification. Dans le cas visé à l’article 46, paragraphe 1, les déployeurs peuvent être exemptés de cette obligation de notification.
4. Jos jokin tässä artiklassa säädetyistä velvoitteista on jo täytetty asetuksen (EU) 2016/679 35 artiklan tai direktiivin (EU) 2016/680 27 artiklan nojalla suoritetun tietosuojaa koskevan vaikutustenarvioinnin avulla, tämän artiklan 1 kohdassa tarkoitetulla perusoikeuksia koskevalla vaikutustenarvioinnilla täydennetään kyseistä tietosuojaa koskevaa vaikutustenarviointia.
4. Si l’une des obligations prévues au présent article est déjà remplie au moyen de l’analyse d’impact relative à la protection des données réalisée en application de l’article 35 du règlement (UE) 2016/679 ou de l’article 27 de la directive (UE) 2016/680, l’analyse d’impact sur les droits fondamentaux visée au paragraphe 1 du présent article complète ladite analyse d’impact relative à la protection des données.
5. Tekoälytoimisto laatii mallin kyselylomakkeelle, käyttämällä myös automaattista välinettä, jotta käyttöönottajia voidaan auttaa täyttämään tämän artiklan mukaiset velvoitteensa yksinkertaistetulla tavalla.
5. Le Bureau de l’IA élabore un modèle de questionnaire, y compris au moyen d’un outil automatisé, afin d’aider les déployeurs à se conformer de manière simplifiée aux obligations qui leur incombent en vertu du présent article.
4 JAKSO
SECTION 4
Ilmoittamisesta vastaavat viranomaiset ja ilmoitetut laitokset
Autorités notifiantes et organismes notifiés
28 artikla
Article 28
Ilmoittamisesta vastaavat viranomaiset
Autorités notifiantes
1. Kunkin jäsenvaltion on nimettävä tai perustettava vähintään yksi ilmoittamisesta vastaava viranomainen, joka vastaa vaatimustenmukaisuuden arviointilaitosten arviointiin, nimeämiseen ja ilmoittamiseen sekä niiden valvontaan liittyvien tarvittavien menettelyjen perustamisesta ja toteuttamisesta. Kyseiset menettelyt on kehitettävä yhteistyössä kaikkien jäsenvaltioiden ilmoittamisesta vastaavien viranomaisten kesken.
1. Chaque État membre désigne ou établit au moins une autorité notifiante chargée de mettre en place et d’accomplir les procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité et à leur contrôle. Ces procédures sont élaborées en coopération entre les autorités notifiantes de tous les États membres.
2. Jäsenvaltiot voivat päättää, että 1 kohdassa tarkoitetun arvioinnin ja valvonnan suorittaa asetuksen (EY) N:o 765/2008 mukaisesti mainitussa asetuksessa tarkoitettu kansallinen akkreditointielin.
2. Les États membres peuvent décider que l’évaluation et le contrôle visés au paragraphe 1 doivent être effectués par un organisme national d’accréditation au sens du règlement (CE) no 765/2008 et conformément à ses dispositions.
3. Ilmoittamisesta vastaavien viranomaisten on oltava toteutukseltaan, organisaatioltaan ja toiminnaltaan sellaisia, että eturistiriitoja vaatimustenmukaisuuden arviointilaitosten kanssa ei synny ja että niiden toimien objektiivisuus ja puolueettomuus on turvattu.
3. Les autorités notifiantes sont établies, organisées et gérées de manière à éviter tout conflit d’intérêts avec les organismes d’évaluation de la conformité et à garantir l’objectivité et l’impartialité de leurs activités.
4. Ilmoittamisesta vastaavien viranomaisten organisaation on oltava sellainen, että vaatimustenmukaisuuden arviointilaitosten ilmoittamista koskevat päätökset tekevät eri toimivaltaiset henkilöt kuin ne, jotka ovat suorittaneet näiden laitosten arvioinnin.
4. Les autorités notifiantes sont organisées de telle sorte que les décisions concernant la notification des organismes d’évaluation de la conformité soient prises par des personnes compétentes différentes de celles qui ont réalisé l’évaluation de ces organismes.
5. Ilmoittamisesta vastaavat viranomaiset eivät saa tarjota mitään toimintoja, joita vaatimustenmukaisuuden arviointilaitokset suorittavat, eivätkä mitään konsultointipalveluja kaupallisin tai kilpailullisin perustein.
5. Les autorités notifiantes ne proposent ni ne fournissent aucune des activités réalisées par les organismes d’évaluation de la conformité, ni aucun service de conseil sur une base commerciale ou concurrentielle.
6. Ilmoittamisesta vastaavien viranomaisten on turvattava saamiensa tietojen luottamuksellisuus 78 artiklan mukaisesti.
6. Les autorités notifiantes garantissent la confidentialité des informations qu’elles obtiennent conformément à l’article 78.
7. Ilmoittamisesta vastaavilla viranomaisilla on oltava käytössään riittävä määrä pätevää henkilöstöä tehtäviensä asianmukaista hoitamista varten. Pätevällä henkilöstöllä on tarvittaessa oltava tehtäviensä edellyttämä asiantuntemus esimerkiksi tietotekniikan, tekoälyn ja lainsäädännön aloilla, mukaan lukien perusoikeuksien valvonta.
7. Les autorités notifiantes disposent d’un personnel compétent en nombre suffisant pour la bonne exécution de leurs tâches. Le personnel compétent possède l’expertise nécessaire, le cas échéant, pour sa fonction, dans des domaines tels que les technologies de l’information, l’IA et le droit, y compris le contrôle du respect des droits fondamentaux.
29 artikla
Article 29
Vaatimustenmukaisuuden arviointilaitoksen ilmoittamista koskeva hakemus
Demande de notification d’un organisme d’évaluation de la conformité
1. Vaatimustenmukaisuuden arviointilaitosten on toimitettava ilmoittamista koskeva hakemus sen jäsenvaltion ilmoittamisesta vastaavalle viranomaiselle, johon ne ovat sijoittautuneet.
1. Les organismes d’évaluation de la conformité soumettent une demande de notification à l’autorité notifiante de l’État membre dans lequel ils sont établis.
2. Ilmoittamista koskevaan hakemukseen on liitettävä kuvaus vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimoduulista tai -moduuleista ja tekoälyjärjestelmätyypeistä, joiden osalta vaatimustenmukaisuuden arviointilaitos katsoo olevansa pätevä, sekä mahdollinen akkreditointitodistus, jonka kansallinen akkreditointielin on antanut ja jossa todistetaan, että vaatimustenmukaisuuden arviointilaitos täyttää 31 artiklassa säädetyt vaatimukset.
2. La demande de notification est accompagnée d’une description des activités d’évaluation de la conformité, du ou des modules d’évaluation de la conformité et des types de systèmes d’IA pour lesquels l’organisme d’évaluation de la conformité se déclare compétent, ainsi que d’un certificat d’accréditation, lorsqu’il existe, délivré par un organisme national d’accréditation qui atteste que l’organisme d’évaluation de la conformité remplit les exigences énoncées à l’article 31.
Hakemukseen on liitettävä kaikki voimassa olevat asiakirjat, jotka liittyvät hakemuksen esittävän ilmoitetun laitoksen voimassa oleviin nimeämisiin jonkin muun unionin yhdenmukaistamislainsäädännön nojalla.
Tout document en cours de validité relatif à des désignations existantes de l’organisme notifié demandeur en vertu de toute autre législation d’harmonisation de l’Union est ajouté.
3. Jos asianomainen vaatimustenmukaisuuden arviointilaitos ei voi toimittaa akkreditointitodistusta, sen on toimitettava ilmoittamisesta vastaavalle viranomaiselle kaikki tarpeelliset asiakirjatodisteet, joiden avulla voidaan tarkastaa, tunnustaa ja säännöllisesti valvoa, että se täyttää 31 artiklassa säädetyt vaatimukset.
3. Lorsque l’organisme d’évaluation de la conformité ne peut pas produire de certificat d’accréditation, il présente à l’autorité notifiante toutes les preuves documentaires nécessaires à la vérification, à la reconnaissance et au contrôle régulier de sa conformité avec les exigences définies à l’article 31.
4. Kun on kyse muun unionin yhdenmukaistamislainsäädännön nojalla nimetyistä ilmoitetuista laitoksista, kaikkia näihin nimeämisiin liittyviä asiakirjoja ja todistuksia voidaan tarvittaessa käyttää tämän asetuksen mukaisen nimeämismenettelyn tukena. Ilmoitetun laitoksen on päivitettävä tämän artiklan 2 ja 3 kohdassa tarkoitetut asiakirjat aina, kun merkityksellisiä muutoksia esiintyy, jotta ilmoitetuista laitoksista vastaava viranomainen voi seurata ja todentaa, että 31 artiklassa säädettyjä vaatimuksia noudatetaan jatkuvasti.
4. Quant aux organismes notifiés désignés en vertu de toute autre législation d’harmonisation de l’Union, tous les documents et certificats liés à ces désignations peuvent être utilisés à l’appui de leur procédure de désignation au titre du présent règlement, le cas échéant. L’organisme notifié met à jour la documentation visée aux paragraphes 2 et 3 du présent article dès que des changements pertinents interviennent afin de permettre à l’autorité responsable des organismes notifiés de contrôler et de vérifier que toutes les exigences énoncées à l’article 31 demeurent observées.
30 artikla
Article 30
Ilmoitusmenettely
Procédure de notification
1. Ilmoittamisesta vastaavat viranomaiset voivat ilmoittaa ainoastaan sellaisia vaatimustenmukaisuuden arviointilaitoksia, jotka ovat täyttäneet 31 artiklassa säädetyt vaatimukset.
1. Les autorités notifiantes ne peuvent notifier que les organismes d’évaluation de la conformité qui ont satisfait aux exigences énoncées à l’article 31.
2. Ilmoittamisesta vastaavien viranomaisten on tehtävä kustakin 1 kohdassa tarkoitetusta vaatimustenmukaisuuden arviointilaitoksesta ilmoitus komissiolle ja muille jäsenvaltioille käyttäen komission kehittämää ja hallinnoimaa sähköistä ilmoitusvälinettä.
2. Les autorités notifiantes informent la Commission et les autres États membres à l’aide de l’outil de notification électronique mis au point et géré par la Commission quant à chaque organisme d’évaluation de la conformité visé au paragraphe 1.
3. Tämän artiklan 2 kohdassa tarkoitetun ilmoituksen on sisällettävä täydelliset tiedot vaatimustenmukaisuuden arviointitoimista, vaatimustenmukaisuuden arviointimoduulista tai -moduuleista, asianomaisista tekoälyjärjestelmätyypeistä sekä asiaankuuluva todistus pätevyydestä. Jos ilmoitus ei perustu 29 artiklan 2 kohdassa tarkoitettuun akkreditointitodistukseen, ilmoittamisesta vastaavan viranomaisen on toimitettava komissiolle ja muille jäsenvaltioille asiakirjatodisteet, joiden avulla voidaan todistaa vaatimustenmukaisuuden arviointilaitoksen pätevyys ja toteutetut järjestelyt, joilla varmistetaan, että laitosta valvotaan säännöllisesti ja että se täyttää edelleen 31 artiklassa säädetyt vaatimukset.
3. La notification visée au paragraphe 2 du présent article comprend des informations complètes sur les activités d’évaluation de la conformité, le ou les modules d’évaluation de la conformité et les types de systèmes d’IA concernés, ainsi que l’attestation de compétence correspondante. Lorsqu’une notification n’est pas fondée sur le certificat d’accréditation visé à l’article 29, paragraphe 2, l’autorité notifiante fournit à la Commission et aux autres États membres les preuves documentaires attestant de la compétence de l’organisme d’évaluation de la conformité et des dispositions prises pour faire en sorte que cet organisme soit régulièrement contrôlé et continue à satisfaire aux exigences énoncées à l’article 31.
4. Asianomainen vaatimustenmukaisuuden arviointilaitos voi suorittaa ilmoitetun laitoksen tehtäviä ainoastaan siinä tapauksessa, että komissio tai muut jäsenvaltiot eivät esitä vastalauseita kahden viikon kuluessa ilmoittamisesta vastaavan viranomaisen ilmoituksesta siinä tapauksessa, että käytetään 29 artiklan 2 kohdassa tarkoitettua akkreditointitodistusta, ja kahden kuukauden kuluessa ilmoittamisesta vastaavan viranomaisen ilmoituksesta siinä tapauksessa, että käytetään 29 artiklan 3 kohdassa tarkoitettuja asiakirjatodisteita.
4. L’organisme d’évaluation de la conformité concerné ne peut effectuer les activités propres à un organisme notifié que si aucune objection n’est émise par la Commission ou les autres États membres dans les deux semaines suivant la notification par une autorité notifiante, si cette notification comprend le certificat d’accréditation visé à l’article 29, paragraphe 2, ou dans les deux mois suivant la notification par une autorité notifiante si cette notification comprend les preuves documentaires visées à l’article 29, paragraphe 3.
5. Jos vastalauseita esitetään, komissio kuulee viipymättä asiaankuuluvia jäsenvaltioita ja vaatimustenmukaisuuden arviointilaitosta. Komissio päättää kyseisten kuulemisten perusteella, onko lupa perusteltu vai ei. Komissio osoittaa päätöksensä asianomaiselle jäsenvaltiolle sekä asiaankuuluvalle vaatimustenmukaisuuden arviointilaitokselle.
5. En cas d’objections, la Commission entame sans tarder des consultations avec les États membres et l’organisme d’évaluation de la conformité concernés. Au vu de ces consultations, la Commission décide si l’autorisation est justifiée ou non. La Commission adresse sa décision à l’État membre et à l’organisme d’évaluation de la conformité concernés.
31 artikla
Article 31
Ilmoitettuja laitoksia koskevat vaatimukset
Exigences concernant les organismes notifiés
1. Ilmoitettu laitos on perustettava jäsenvaltion kansallisen lainsäädännön mukaisesti ja sen on oltava oikeushenkilö.
1. Un organisme notifié est constitué en vertu du droit national d’un État membre et a la personnalité juridique.
2. Ilmoitettujen laitosten on täytettävä organisaatiota, laadunhallintaa, resursseja ja prosessia koskevat vaatimukset, jotka ovat tarpeen niiden tehtävien suorittamiseksi, sekä asiaankuuluvat kyberturvallisuusvaatimukset.
2. Les organismes notifiés se conforment aux exigences en matière d’organisation, de gestion de la qualité, de ressources et de procédures qui sont nécessaires à l’exécution de leurs tâches, ainsi qu’aux exigences appropriées en matière de cybersécurité.
3. Ilmoitetun laitoksen organisaatiorakenteen, vastuunjaon, raportointisuhteiden ja toiminnan on oltava sellaiset, että niillä varmistetaan luottamus kyseisen laitoksen toimiin ja sen toteuttamien vaatimustenmukaisuuden arviointitoimien tuloksiin.
3. La structure organisationnelle, la répartition des responsabilités, les liens hiérarchiques et le fonctionnement des organismes notifiés garantissent la confiance dans leurs activités et la fiabilité des résultats des activités d’évaluation de la conformité menées par les organismes notifiés.
4. Ilmoitettujen laitosten on oltava riippumattomia sen suuririskisen tekoälyjärjestelmän tarjoajasta, jonka vaatimustenmukaisuutta ne arvioivat. Ilmoitettujen laitosten on oltava riippumattomia myös kaikista muista toimijoista, joilla on arvioitavaan suuririskiseen tekoälyjärjestelmään liittyviä taloudellisia intressejä, sekä kaikista tarjoajan kilpailijoista. Tämä ei sulje pois sellaisten arvioitujen suuririskisten tekoälyjärjestelmien käyttöä, jotka ovat vaatimustenmukaisuuden arviointilaitoksen toimien kannalta tarpeellisia, tai tällaisten suuririskisten tekoälyjärjestelmien käyttöä henkilökohtaisiin tarkoituksiin.
4. Les organismes notifiés sont indépendants du fournisseur du système d’IA à haut risque pour lequel ils mènent les activités d’évaluation de la conformité. Les organismes notifiés sont également indépendants de tout autre opérateur ayant un intérêt économique dans les systèmes d’IA à haut risque qui font l’objet de l’évaluation, ainsi que de tout concurrent du fournisseur. Cela n’exclut pas l’utilisation de systèmes d’IA à haut risque évalués qui sont nécessaires au fonctionnement de l’organisme d’évaluation de la conformité ou l’utilisation de ces systèmes d’IA à haut risque à des fins personnelles.
5. Vaatimustenmukaisuuden arviointilaitos, sen ylin johto ja vaatimustenmukaisuuden arviointitehtävien suorittamisesta vastaava henkilöstö eivät saa olla suoraan mukana suuririskisten tekoälyjärjestelmien suunnittelussa, kehityksessä, markkinoinnissa tai käytössä eivätkä saa edustaa näissä toiminnoissa mukana olevia osapuolia. Ne eivät saa osallistua mihinkään toimintaan, joka saattaisivat olla ristiriidassa niiden suorittaman arvioinnin riippumattomuuden kanssa tai vaarantaa niiden luotettavuuden vaatimuksenmukaisuuden arviointitoimissa, joita varten ne on ilmoitettu. Tämä koskee erityisesti konsultointipalveluja.
5. L’organisme d’évaluation de la conformité, ses cadres supérieurs et le personnel chargé d’exécuter ses tâches d’évaluation de la conformité ne participent pas directement à la conception, au développement, à la commercialisation ou à l’utilisation de systèmes d’IA à haut risque, pas plus qu’ils ne représentent les parties engagées dans ces activités. Ils n’exercent aucune activité susceptible d’entrer en conflit avec leur indépendance de jugement ou leur intégrité en ce qui concerne les activités d’évaluation de la conformité pour lesquelles ils sont notifiés. Cela s’applique en particulier aux services de conseil.
6. Ilmoitettujen laitosten on oltava organisaatioltaan ja toiminnaltaan sellaisia, että niiden toimien riippumattomuus, objektiivisuus ja puolueettomuus on turvattu. Ilmoitettujen laitosten on dokumentoitava ja toteutettava rakenne ja menettelyt, joilla turvataan puolueettomuus sekä edistetään ja sovelletaan puolueettomuuden periaatteita koko niiden organisaatiossa ja henkilöstössä ja kaikissa arviointitoimissa.
6. Les organismes notifiés sont organisés et fonctionnent de façon à garantir l’indépendance, l’objectivité et l’impartialité de leurs activités. Les organismes notifiés documentent et appliquent une structure et des procédures visant à garantir l’impartialité et à encourager et appliquer les principes d’impartialité dans l’ensemble de leur organisation, du personnel et des activités d’évaluation.
7. Ilmoitetuilla laitoksilla on oltava käytössään dokumentoidut menettelyt, joilla varmistetaan, että niiden henkilöstö, asiantuntijaryhmät, tytäryhtiöt, alihankkijat ja niihin liittyvät tahot tai ulkoisten tahojen henkilöstö noudattavat 78 artiklan mukaisesti luottamuksellisuutta sellaisten tietojen osalta, jotka ne saavat haltuunsa vaatimustenmukaisuuden arviointitoimien suorittamisen aikana, paitsi kun lainsäädännössä edellytetään tietojen luovuttamista. Ilmoitettujen laitosten henkilöstöllä on vaitiolovelvollisuus kaikkien niiden tietojen suhteen, joita ne saavat suorittaessaan tämän asetuksen mukaisia tehtäviään, paitsi sen jäsenvaltion ilmoittamisesta vastaaviin viranomaisiin nähden, jossa ne toimivat.
7. Les organismes notifiés disposent de procédures documentées pour veiller à ce que leur personnel, leurs comités, leurs filiales, leurs sous-traitants et tout organisme associé ou le personnel d’organismes externes préservent, conformément à l’article 78, la confidentialité des informations auxquelles ils accèdent durant l’exercice de leurs activités d’évaluation de la conformité, sauf lorsque leur divulgation est requise par la loi. Le personnel des organismes notifiés est lié par le secret professionnel pour toutes les informations dont il a connaissance dans l’exercice de ses fonctions au titre du présent règlement, sauf à l’égard des autorités notifiantes de l’État membre où il exerce ses activités.
8. Ilmoitetuilla laitoksilla on oltava käytössään menettelyt tehtävien hoitamiseksi siten, että tarjoajan koko, toimiala ja rakenne sekä kyseessä olevan tekoälyjärjestelmän monimutkaisuus otetaan asianmukaisesti huomioon.
8. Les organismes notifiés disposent de procédures pour accomplir leurs activités qui tiennent dûment compte de la taille des fournisseurs, du secteur dans lequel ils exercent leurs activités, de leur structure et du degré de complexité du système d’IA concerné.
9. Ilmoitetuilla laitoksilla on oltava asianmukainen vastuuvakuutus vaatimustenmukaisuuden arviointitoimiensa varalle, jollei vastuu kuulu jäsenvaltiolle, johon ne ovat sijoittautuneet, kansallisen lainsäädännön mukaisesti tai jollei jäsenvaltio itse ole suoraan vastuussa vaatimustenmukaisuuden arvioinnista.
9. Les organismes notifiés souscrivent, pour leurs activités d’évaluation de la conformité, une assurance de responsabilité civile appropriée à moins que cette responsabilité ne soit couverte par l’État membre dans lequel ils sont établis sur la base du droit national ou que l’État membre soit lui-même responsable de l’évaluation de la conformité.
10. Ilmoitettujen laitosten on kyettävä suorittamaan kaikki niille tämän asetuksen mukaisesti kuuluvat tehtävät osoittaen mahdollisimman suurta ammatillista luotettavuutta ja kyseisellä erityisalalla vaadittavaa pätevyyttä riippumatta siitä, suorittavatko ilmoitetut laitokset kyseiset tehtävät itse vai suoritetaanko ne niiden puolesta ja vastuulla.
10. Les organismes notifiés sont en mesure d’accomplir toutes leurs tâches au titre du présent règlement avec la plus haute intégrité professionnelle et la compétence requise dans le domaine spécifique, qu’ils exécutent eux-mêmes ces tâches ou que celles-ci soient exécutées pour leur compte et sous leur responsabilité.
11. Ilmoitetuilla laitoksilla on oltava riittävästi sisäistä osaamista, jotta ne voivat tehokkaasti arvioida ulkoisten osapuolten niiden puolesta suorittamat tehtävät. Ilmoitetulla laitoksella on oltava pysyvästi käytettävissään riittävä määrä hallinnollista, teknistä, oikeudellista ja tieteellistä henkilöstöä, jolla on asiaankuuluviin tekoälyjärjestelmätyyppeihin, dataan ja datalaskentaan sekä 2 jaksossa vahvistettuihin vaatimuksiin liittyvää kokemusta ja tietämystä.
11. Les organismes notifiés disposent de compétences internes suffisantes pour pouvoir évaluer efficacement les tâches effectuées pour leur compte par des parties extérieures. L’organisme notifié dispose en permanence d’un personnel administratif, technique, juridique et scientifique en nombre suffisant et doté d’une expérience et de connaissances liées aux données, au traitement des données et aux types de systèmes d’IA en cause et aux exigences énoncées à la section 2.
12. Ilmoitettujen laitosten on osallistuttava 38 artiklassa tarkoitettuihin koordinointitoimiin. Niiden on myös osallistuttava suoraan tai oltava edustettuina eurooppalaisissa standardointiorganisaatioissa tai varmistettava, että ne ovat tietoisia asiaa koskevista standardeista ja ajan tasalla niiden suhteen.
12. Les organismes notifiés prennent part aux activités de coordination visées à l’article 38. Ils participent également, directement ou par l’intermédiaire d’un représentant, aux activités des organisations européennes de normalisation, ou font en sorte de se tenir informés des normes applicables et de leur état.
32 artikla
Article 32
Olettama ilmoitettuja laitoksia koskevien vaatimusten noudattamisesta
Présomption de conformité avec les exigences concernant les organismes notifiés
Jos vaatimustenmukaisuuden arviointilaitos voi osoittaa olevansa sellaisissa asiaankuuluvissa yhdenmukaistetuissa standardeissa tai niiden osissa vahvistettujen edellytysten mukainen, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, sen oletetaan täyttävän 31 artiklassa säädetyt vaatimukset, mikäli sovellettavat yhdenmukaistetut standardit kattavat nämä vaatimukset.
Lorsqu’un organisme d’évaluation de la conformité démontre sa conformité avec les critères énoncés dans les normes harmonisées concernées, ou dans des parties de ces normes, dont les références ont été publiées au Journal officiel de l’Union européenne, il est présumé répondre aux exigences énoncées à l’article 31 dans la mesure où les normes harmonisées applicables couvrent ces exigences.
33 artikla
Article 33
Ilmoitettujen laitosten tytäryhtiöt ja alihankinta
Filiales des organismes notifiés et sous-traitance
1. Jos ilmoitettu laitos antaa tietyt vaatimustenmukaisuuden arviointiin liittyvät tehtävät alihankintaan tai käyttää tytäryhtiötä, sen on varmistettava, että alihankkija tai tytäryhtiö täyttää 31 artiklassa säädetyt vaatimukset, ja tiedotettava asiasta ilmoittamisesta vastaavalle viranomaiselle.
1. Lorsqu’un organisme notifié sous-traite des tâches spécifiques dans le cadre de l’évaluation de la conformité ou a recours à une filiale, il s’assure que le sous-traitant ou la filiale répond aux exigences fixées à l’article 31 et en informe l’autorité notifiante.
2. Ilmoitettujen laitosten on kannettava täysi vastuu tehtävistä, jotka mitkä tahansa alihankkijat tai tytäryhtiöt suorittavat.
2. Les organismes notifiés assument l’entière responsabilité des tâches effectuées par tout sous-traitants ou toute filiale.
3. Toimia voidaan antaa alihankintaan tai teettää tytäryhtiöllä ainoastaan, jos siitä on sovittu tarjoajan kanssa. Ilmoitettujen laitosten on asetettava julkisesti saataville luettelo tytäryhtiöistään.
3. Des activités ne peuvent être sous-traitées ou réalisées par une filiale qu’avec l’accord du fournisseur. Les organismes notifiés rendent publique une liste de leurs filiales.
4. Asiaankuuluvat asiakirjat, jotka koskevat alihankkijan tai tytäryhtiön pätevyyden arviointia sekä työtä, jonka nämä ovat suorittaneet tämän asetuksen nojalla, on pidettävä ilmoittamisesta vastaavan viranomaisen saatavilla viiden vuoden ajan alihankinnan päättymispäivästä.
4. Les documents pertinents concernant l’évaluation des qualifications du sous-traitant ou de la filiale et le travail exécuté par celui-ci ou celle-ci en vertu du présent règlement sont tenus à la disposition de l’autorité notifiante pendant une période de cinq ans à compter de la date de cessation de la sous-traitance.
34 artikla
Article 34
Ilmoitettujen laitosten toimintaan liittyvät velvoitteet
Obligations opérationnelles des organismes notifiés
1. Ilmoitettujen laitosten on tarkastettava suuririskisen tekoälyjärjestelmien vaatimustenmukaisuus 43 artiklassa olevien vaatimustenmukaisuuden arviointimenettelyjen mukaisesti.
1. Les organismes notifiés vérifient la conformité du système d’IA à haut risque conformément aux procédures d’évaluation de la conformité visées à l’article 43.
2. Ilmoitettujen laitosten on vältettävä tarpeetonta rasitetta tarjoajille niiden toteuttaessa toimintaansa ja otettava asianmukaisesti huomioon tarjoajan koko, toimiala, sen rakenne ja kyseisen suuririskisen tekoälyjärjestelmän monimutkaisuus, erityisesti jotta voidaan minimoida suosituksessa 2003/361/EY tarkoitetuille mikroyrityksille ja pienille yrityksille aiheutuvat hallinnolliset rasitteet ja säännösten noudattamisesta aiheutuvat kustannukset. Ilmoitetun laitoksen on kuitenkin noudatettava sellaista tarkkuutta ja suojelun tasoa, jota suuririskisen tekoälyjärjestelmän vaatimustenmukaisuudelta edellytetään tämän asetuksen mukaisesti.
2. Les organismes notifiés évitent les charges inutiles pour les fournisseurs dans l’exercice de leurs activités et tiennent dûment compte de la taille du fournisseur, du secteur dans lequel il exerce ses activités, de sa structure et du degré de complexité du système d’IA à haut risque concerné, en particulier en vue de réduire au minimum les charges administratives et les coûts de mise en conformité pour les microentreprises et les petites entreprises au sens de la recommandation 2003/361/CE. L’organisme notifié respecte néanmoins le degré de rigueur et le niveau de protection requis afin de garantir la conformité du système d’IA à haut risque avec les exigences du présent règlement.
3. Ilmoitettujen laitosten on asetettava saataville ja pyynnöstä toimitettava kaikki asiaankuuluvat asiakirjat, myös tarjoajien dokumentaatio, 28 artiklassa tarkoitetulle ilmoittamisesta vastaavalle viranomaiselle, jotta kyseinen viranomainen voisi suorittaa arviointi-, nimeämis-, ilmoitus- ja seurantatoimensa ja jotta helpotetaan tässä jaksossa kuvattua arviointia.
3. Les organismes notifiés mettent à la disposition de l’autorité notifiante visée à l’article 28 et lui soumettent sur demande toute la documentation pertinente, y compris celle des fournisseurs, afin de permettre à cette autorité de réaliser ses activités d’évaluation, de désignation, de notification et de surveillance et pour faciliter les évaluations décrites à la présente section.
35 artikla
Article 35
Ilmoitettujen laitosten tunnusnumerot ja luettelot
Numéros d’identification et listes des organismes notifiés
1. Komissio antaa kullekin ilmoitetulle laitokselle yhden tunnusnumeron, vaikka laitos olisi ilmoitettu useamman kuin yhden unionin säädöksen nojalla.
1. La Commission attribue un numéro d’identification unique à chaque organisme notifié, même lorsqu’un organisme est notifié au titre de plus d’un acte de l’Union.
2. Komissio julkaisee tämän asetuksen mukaisesti ilmoitettujen laitosten luettelon, joka sisältää niiden tunnusnumerot ja toimet, joita varten ne on ilmoitettu. Komissio huolehtii luettelon pitämisestä ajan tasalla.
2. La Commission rend publique la liste des organismes notifiés au titre du présent règlement et y mentionne leurs numéros d’identification et les activités pour lesquelles ils ont été notifiés. La Commission veille à ce que cette liste soit tenue à jour.
36 artikla
Article 36
Ilmoituksiin tehtävät muutokset
Modifications apportées aux notifications
1. Ilmoittamisesta vastaava viranomainen ilmoittaa komissiolle ja muille jäsenvaltioille merkityksellisistä muutoksista ilmoitettua laitosta koskevaan ilmoitukseen käyttäen 30 artiklan 2 kohdassa tarkoitettua sähköistä ilmoitusvälinettä.
1. L’autorité notifiante notifie à la Commission et aux autres États membres toute modification pertinente apportée à la notification d’un organisme notifié au moyen de l’outil de notification électronique visé à l’article 30, paragraphe 2.
2. Edellä 29 ja 30 artiklassa vahvistettuja menettelyjä on sovellettava ilmoituksen soveltamisalan laajentamisiin.
2. Les procédures établies aux articles 29 et 30 s’appliquent en cas d’extension de la portée de la notification.
Jäljempänä 3–9 kohdassa vahvistettuja menettelyjä on sovellettava ilmoitusta koskeviin muutoksiin, jotka eivät koske sen soveltamisalan laajentamista.
En cas de modification de la notification autre qu’une extension de sa portée, les procédures prévues aux paragraphes 3 à 9 s’appliquent.
3. Jos ilmoitettu laitos päättää lopettaa vaatimustenmukaisuuden arviointia koskevat toimensa, sen on tiedotettava asiasta ilmoittamisesta vastaavalle viranomaiselle ja kyseisille tarjoajille mahdollisimman pian ja suunnitellun toimien lopettamisen tapauksessa vähintään yksi vuosi ennen toimien lopettamista. Ilmoitettujen laitosten todistukset voivat pysyä voimassa yhdeksän kuukauden ajan ilmoitetun laitoksen toimien lopettamisesta edellyttäen, että toinen ilmoitettu laitos on kirjallisesti vahvistanut, että se ottaa vastuulleen kyseisten todistusten kattamat suuririskiset tekoälyjärjestelmät. Viimeksi mainitun ilmoitetun laitoksen on saatettava suuririskisten tekoälyjärjestelmien täydellinen arviointi päätökseen kyseisen yhdeksän kuukauden jakson loppuun mennessä ennen uusien todistusten myöntämistä kyseisille järjestelmille. Jos ilmoitettu laitos on lopettanut toimintansa, ilmoittamisesta vastaava viranomainen peruuttaa nimeämisen.
3. Lorsqu’un organisme notifié décide de cesser ses activités d’évaluation de la conformité, il informe l’autorité notifiante et les fournisseurs concernés dès que possible et, dans le cas d’un arrêt prévu de ses activités, au moins un an avant de mettre un terme à ses activités. Les certificats de l’organisme notifié peuvent rester valables pendant une période de neuf mois après l’arrêt des activités de l’organisme notifié, à condition qu’un autre organisme notifié confirme par écrit qu’il assumera la responsabilité des systèmes d’IA à haut risque concernés par ces certificats. Cet autre organisme notifié procède à une évaluation complète des systèmes d’IA à haut risque concernés avant la fin de cette période de neuf mois, avant de délivrer de nouveaux certificats pour les systèmes en question. Lorsque l’organisme notifié a mis un terme à ses activités, l’autorité notifiante retire la désignation.
4. Jos ilmoittamisesta vastaavalla viranomaisella on riittävä syy katsoa, ettei ilmoitettu laitos enää täytä 31 artiklassa säädettyjä vaatimuksia tai ettei se täytä velvollisuuksiaan, ilmoittamisesta vastaavan viranomaisen on tutkittava asia viipymättä ja perinpohjaisesti. Sen on tässä yhteydessä ilmoitettava asianomaiselle ilmoitetulle laitokselle esitetyistä väitteistä ja annettava sille mahdollisuus esittää näkemyksensä. Jos ilmoittamisesta vastaava viranomainen tulee johtopäätökseen, ettei ilmoitettu laitos enää täytä 31 artiklassa säädettyjä vaatimuksia tai ettei se täytä velvollisuuksiaan, sen on kyseisten vaatimusten tai velvollisuuksien täyttämisen laiminlyönnin vakavuudesta riippuen rajoitettava nimeämistä taikka peruutettava se toistaiseksi tai kokonaan. Sen on ilmoitettava tästä viipymättä komissiolle ja muille jäsenvaltioille.
4. Lorsqu’une autorité notifiante a des raisons suffisantes de considérer qu’un organisme notifié ne répond plus aux exigences définies à l’article 31, ou qu’il ne s’acquitte pas de ses obligations, l’autorité notifiante procède sans retard à une enquête avec la plus grande diligence. Dans ce contexte, elle informe l’organisme notifié concerné des objections soulevées et lui donne la possibilité de faire connaître son point de vue. Si l’autorité notifiante conclut que l’organisme notifié ne répond plus aux exigences définies à l’article 31, ou qu’il ne s’acquitte pas de ses obligations, elle soumet la désignation à des restrictions, la suspend ou la retire, selon le cas, en fonction de la gravité du manquement. Elle en informe immédiatement la Commission et les autres États membres.
5. Jos sen nimeäminen on peruutettu määräaikaisesti, sitä on rajoitettu tai se on peruutettu kokonaan tai osittain, ilmoitetun laitoksen on tiedotettava asiasta asianomaisille tarjoajille 10 päivän kuluessa.
5. Lorsque sa désignation a été suspendue, restreinte ou révoquée en tout ou en partie, l’organisme notifié en informe les fournisseurs concernés dans un délai de dix jours.
6. Jos nimeämistä rajoitetaan tai se peruutetaan määräaikaisesti tai kokonaan, ilmoittamisesta vastaavan viranomaisen on toteutettava asianmukaiset toimenpiteet sen varmistamiseksi, että kyseisen ilmoitetun laitoksen asiakirja-aineistot säilytetään ja pidetään muiden jäsenvaltioiden ilmoittamisesta vastaavien viranomaisten ja markkinavalvontaviranomaisten saatavilla näiden pyynnöstä;
6. En cas de restriction, de suspension ou de retrait d’une désignation, l’autorité notifiante prend les mesures nécessaires pour que les dossiers de l’organisme notifié en question soient conservés et pour qu’ils soient mis à la disposition des autorités notifiantes d’autres États membres et des autorités de surveillance du marché, à leur demande.
7. Kun kyseessä on nimeämisen rajoittaminen, peruuttaminen määräaikaisesti tai peruuttaminen kokonaan, ilmoittamisesta vastaavan viranomaisen on
7. En cas de restriction, de suspension ou de retrait d’une désignation, l’autorité notifiante:
a)
arvioitava vaikutusta ilmoitetun laitoksen antamiin todistuksiin;
a)
évalue l’incidence sur les certificats délivrés par l’organisme notifié;
b)
toimitettava havainnoistaan raportti komissiolle ja muille jäsenvaltioille kolmen kuukauden kuluessa siitä, kun se on ilmoittanut nimeämiseen tehtävistä muutoksista;
b)
transmet un rapport sur ses conclusions à la Commission et aux autres États membres dans un délai de trois mois après avoir signalé les modifications apportées à la désignation;
c)
vaadittava ilmoitettua laitosta peruuttamaan määräaikaisesti tai kokonaan todistukset, jotka on annettu perusteettomasti, viranomaisen määrittelemän kohtuullisen ajanjakson kuluessa markkinoilla olevien suuririskisten tekoälyjärjestelmien jatkuvan vaatimustenmukaisuuden varmistamiseksi;
c)
exige de l’organisme notifié qu’il suspende ou retire, dans un délai raisonnable qu’elle détermine, tous les certificats délivrés à tort afin d’assurer la conformité constante des systèmes d’IA à haut risque sur le marché;
d)
ilmoitettava komissiolle ja jäsenvaltioille todistuksista, joiden peruuttamista määräaikaisesti tai peruuttamista kokonaan se on vaatinut.
d)
informe la Commission et les États membres des certificats dont elle a demandé la suspension ou le retrait;
e)
annettava sen jäsenvaltion kansallisille toimivaltaisille viranomaisille, jossa tarjoajalla on sääntömääräinen kotipaikkansa, kaikki asiaankuuluvat tiedot todistuksista, joiden peruuttamista määräaikaisesti tai kokonaan se on vaatinut. kyseisen viranomaisen on tarvittaessa toteutettava asianmukaiset toimenpiteet terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuvan mahdollisen riskin välttämiseksi.
e)
fournit aux autorités nationales compétentes de l’État membre dans lequel le fournisseur a son siège social toutes les informations pertinentes sur les certificats dont elle a demandé la suspension ou le retrait; cette autorité prend les mesures appropriées si cela est nécessaire pour éviter un risque potentiel pour la santé, la sécurité ou les droits fondamentaux.
8. Lukuun ottamatta perusteettomasti annettuja todistuksia ja jos nimeäminen on peruttu määräaikaisesti tai sitä on rajoitettu, todistukset pysyvät edelleen voimassa jonkin seuraavan edellytyksen toteutuessa:
8. À l’exception des certificats délivrés à tort, et lorsqu’une désignation a été suspendue ou restreinte, les certificats restent valables dans l’un des cas suivants:
a)
ilmoittamisesta vastaava viranomainen on vahvistanut kuukauden kuluessa määräaikaisesta peruuttamisesta tai rajoittamisesta, että todistuksiin, joihin määräaikainen peruuttaminen tai rajoittaminen vaikuttaa, ei liity terveydelle, turvallisuudelle tai perusoikeuksille aiheutuvaa riskiä, ja ilmoittamisesta vastaava viranomainen on esittänyt aikataulun ja toimet määräaikaisen peruuttamisen tai rajoittamisen korjaamiseksi; tai
a)
l’autorité notifiante a confirmé, dans un délai d’un mois suivant la suspension ou la restriction, qu’il n’y a pas de risque pour la santé, la sécurité ou les droits fondamentaux en lien avec les certificats concernés par la suspension ou la restriction, et l’autorité notifiante a défini un calendrier de mesures pour remédier à la suspension ou à la restriction; ou
b)
ilmoittamisesta vastaava viranomainen on vahvistanut, että määräaikaisen peruuttamisen kannalta merkityksellisiä todistuksia ei myönnetä, muuteta tai uusita määräaikaisen peruuttamisen tai rajoittamisen aikana ja toteaa, pystyykö ilmoitettu laitos edelleen seuraamaan olemassa olevia myönnettyjä todistuksia määräaikaisen peruuttamisen tai rajoittamisen aikana ja ottamaan niistä vastuun; jos ilmoittamisesta vastaava viranomainen toteaa, että ilmoitettu laitos ei pysty ottamaan vastuuta olemassa olevista myönnetyistä todistuksista, on todistuksen kattaman järjestelmän tarjoajan vahvistettava kirjallisesti sen jäsenvaltion kansallisille toimivaltaisille viranomaisille, jossa sillä on sääntömääräinen kotipaikkansa, kolmen kuukauden kuluessa määräaikaisesta peruuttamisesta tai rajoittamisesta, että toinen pätevä ilmoitettu laitos ottaa väliaikaisesti hoitaakseen ilmoitetun laitoksen tehtävät seurata todistuksia ja ottaa niistä vastuu määräaikaisen peruuttamisen tai rajoittamisen aikana.
b)
l’autorité notifiante a confirmé qu’aucun certificat ayant trait à la suspension ne sera délivré, modifié ou délivré à nouveau pendant la période de suspension ou de restriction et elle indique si l’organisme notifié est en mesure de continuer à contrôler les certificats existants délivrés et à en être responsable pour la durée de la suspension ou de la restriction. Si l’autorité notifiante considère que l’organisme notifié n’est pas en mesure de se charger des certificats existants délivrés, le fournisseur du système faisant l’objet du certificat confirme par écrit aux autorités nationales compétentes de l’État membre dans lequel il a son siège social, dans un délai de trois mois suivant la suspension ou la restriction, qu’un autre organisme notifié qualifié assume temporairement les fonctions de surveillance de l’organisme notifié et continue d’assumer la responsabilité des certificats pour la durée de la suspension ou de la restriction.
9. Lukuun ottamatta perusteettomasti annettuja todistuksia ja jos nimeäminen on peruttu, todistukset pysyvät voimassa yhdeksän kuukauden ajan seuraavin edellytyksin:
9. À l’exception des certificats délivrés à tort, et lorsqu’une désignation a été retirée, les certificats restent valables pendant une durée de neuf mois dans les cas suivants:
a)
sen jäsenvaltion kansallinen toimivaltainen viranomainen, jossa todistuksen kattaman suuririskisen tekoälyjärjestelmän tarjoajalla on sääntömääräinen kotipaikkansa, on vahvistanut, että kyseisiin suuririskisiin tekoälyjärjestelmiin ei liity terveyteen, turvallisuuteen tai perusoikeuksiin kohdistuvia riskejä; sekä
a)
l’autorité nationale compétente de l’État membre dans lequel le fournisseur du système d’IA à haut risque faisant l’objet du certificat a son siège social a confirmé que les systèmes d’IA à haut risque en question ne présentent pas de risque pour la santé, la sécurité ou les droits fondamentaux; et
b)
toinen ilmoitettu laitos on kirjallisesti vahvistanut, että se ottaa välittömästi vastuulleen kyseiset tekoälyjärjestelmät ja saattaa niiden arvioinnin päätöksen 12 kuukauden kuluessa nimeämisen peruuttamisesta.
b)
un autre organisme notifié a confirmé par écrit qu’il assumera la responsabilité immédiate de ces systèmes d’IA et achèvera son évaluation dans un délai de douze mois à compter du retrait de la désignation.
Ensimmäisessä alakohdassa tarkoitetuissa olosuhteissa sen jäsenvaltion kansallinen toimivaltainen viranomainen, jossa todistuksen kattaman järjestelmän tarjoajalla on kotipaikkansa, voi jatkaa todistusten väliaikaista voimassaoloa kolmen kuukauden pituisilla ajanjaksoilla, joiden kokonaiskesto ei saa ylittää 12:ta kuukautta.
Dans le cas visé au premier alinéa, l’autorité nationale compétente de l’État membre dans lequel le fournisseur du système faisant l’objet du certificat a son siège peut prolonger à plusieurs reprises la durée de validité provisoire des certificats de trois mois supplémentaires, pour une durée totale maximale de douze mois.
Kansallisen toimivaltaisen viranomaisen tai ilmoitetun laitoksen, joka ottaa hoitaakseen nimeämismuutoksen kohteena olevan ilmoitetun laitoksen tehtävät, on viipymättä ilmoitettava asiasta komissiolle, muille jäsenvaltioille ja muille ilmoitetuille laitoksille.
L’autorité nationale compétente ou l’organisme notifié assumant les fonctions de l’organisme notifié concerné par la modification de la désignation en informe immédiatement la Commission, les autres États membres et les autres organismes notifiés.
37 artikla
Article 37
Ilmoitettujen laitosten pätevyyden riitauttaminen
Contestation de la compétence des organismes notifiés
1. Komissio tutkii tarvittaessa kaikki tapaukset, joissa on syytä epäillä laitoksen pätevyyttä tai sitä, täyttääkö ilmoitettu laitos edelleen 31 artiklassa vahvistetut vaatimukset ja siihen sovellettavat velvollisuudet.
1. La Commission enquête, s’il y a lieu, sur tous les cas où il existe des raisons de douter de la compétence d’un organisme notifié ou du respect continu, par un organisme notifié, des exigences établies à l’article 31 et de ses responsabilités applicables.
2. Ilmoittamisesta vastaavan viranomaisen on toimitettava komissiolle pyynnöstä kaikki merkitykselliset tiedot, jotka koskevat kyseisen ilmoitetun laitoksen ilmoittamista tai sen pätevyyden ylläpitoa.
2. L’autorité notifiante fournit à la Commission, sur demande, toutes les informations utiles relatives à la notification ou au maintien de la compétence de l’organisme notifié concerné.
3. Komissio varmistaa, että kaikkia sen tämän artiklan mukaisten tutkimusten yhteydessä saamia arkaluontoisia tietoja käsitellään luottamuksellisesti 78 artiklan mukaisesti.
3. La Commission veille à ce que toutes les informations sensibles obtenues au cours des enquêtes qu’elle mène au titre du présent article soient traitées de manière confidentielle conformément à l’article 78.
4. Jos komissio toteaa, että ilmoitettu laitos ei täytä tai ei enää täytä sen ilmoittamiselle asetettuja vaatimuksia, se ilmoittaa asiasta ilmoituksen tehneelle jäsenvaltiolle asianmukaisesti ja pyytää sitä ryhtymään tarvittaviin korjaaviin toimenpiteisiin, mukaan lukien tarvittaessa ilmoituksen peruuttaminen toistaiseksi tai kokonaan. Jos jäsenvaltio ei toteuta tarvittavia korjaavia toimenpiteitä, komissio voi täytäntöönpanosäädöksellä peruuttaa nimeämisen toistaiseksi, rajoittaa sitä tai peruuttaa sen kokonaan. Tämä täytäntöönpanosäädös hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
4. Lorsque la Commission établit qu’un organisme notifié ne répond pas ou ne répond plus aux exigences relatives à sa notification, elle informe l’État membre notifiant en conséquence et lui demande de prendre les mesures correctives qui s’imposent, y compris la suspension ou le retrait de la notification si nécessaire. Si l’État membre ne prend pas les mesures correctives qui s’imposent, la Commission peut, au moyen d’un acte d’exécution, suspendre, restreindre ou retirer la désignation. Cet acte d’exécution est adopté en conformité avec la procédure d’examen visée à l’article 98, paragraphe 2.
38 artikla
Article 38
Ilmoitettujen laitosten koordinointi
Coordination des organismes notifiés
1. Komissio varmistaa, että suuririskisten tekoälyjärjestelmien osalta otetaan käyttöön asianmukainen koordinointi ja yhteistyö sellaisten ilmoitettujen laitosten välillä, jotka toimivat vaatimustenmukaisuuden arviointimenettelyissä tämän asetuksen mukaisesti, ja että koordinointi ja yhteistyö toteutetaan asianmukaisesti ilmoitettujen laitosten alakohtaisen ryhmän muodossa.
1. La Commission veille à ce que, en ce qui concerne les systèmes d’IA à haut risque, une coordination et une coopération appropriées entre les organismes notifiés intervenant dans les procédures d’évaluation de la conformité conformément au présent règlement soient mises en place et gérées de manière adéquate dans le cadre d’un groupe sectoriel d’organismes notifiés.
2. Jokaisen ilmoittamisesta vastaavan viranomaisen on varmistettava, että sen ilmoittamat laitokset osallistuvat kohdassa 1 tarkoitetun ryhmän työhön suoraan tai nimettyjen edustajien välityksellä.
2. Chaque autorité notifiante veille à ce que les organismes qu’elle a notifiés participent aux travaux d’un groupe visé au paragraphe 1, directement ou par l’intermédiaire de représentants désignés.
3. Komissio huolehtii osaamisen ja parhaiden käytäntöjen vaihdosta ilmoittamisesta vastaavien viranomaisten välillä.
3. La Commission veille à l’échange des connaissances et des bonnes pratiques entre les autorités notifiantes.
39 artikla
Article 39
Kolmansien maiden vaatimustenmukaisuuden arviointilaitokset
Organismes d’évaluation de la conformité de pays tiers
Sellaisen kolmannen maan lainsäädännön mukaisesti perustetut vaatimustenmukaisuuden arviointilaitokset, jonka kanssa unioni on tehnyt sopimuksen, voidaan valtuuttaa suorittamaan ilmoitettujen laitosten toimia tämän asetuksen mukaisesti edellyttäen, että ne täyttävät 31 artiklassa säädetyt vaatimukset tai varmistavat vastaavan vaatimustenmukaisuuden tason.
Les organismes d’évaluation de la conformité établis conformément à la législation d’un pays tiers avec lequel l’Union a conclu un accord peuvent être autorisés à exercer les activités d’organismes notifiés au titre du présent règlement, pour autant qu’ils répondent aux exigences prévues à l’article 31 ou qu’ils veillent à un niveau équivalent de respect.
5 JAKSO
SECTION 5
Standardit, vaatimustenmukaisuuden arviointi, todistukset, rekisteröinti
Normes, évaluation de la conformité, certificats, enregistrement
40 artikla
Article 40
Yhdenmukaistetut standardit ja standardointituotteet
Normes harmonisées et travaux de normalisation
1. Suuririskisiä tekoälyjärjestelmiä tai yleiskäyttöisiä tekoälymalleja, jotka ovat sellaisten yhdenmukaistettujen standardien tai niiden osien mukaisia, joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä asetuksen (EU) N:o 1025/2012 mukaisesti, on pidettävä tämän luvun 2 jaksossa vahvistettujen vaatimusten mukaisina tai tapauksen mukaan tämän asetuksen V luvun 2 ja 3 jaksossa vahvistettujen velvoitteiden mukaisina siltä osin kuin kyseiset standardit kattavat nämä vaatimukset tai velvoitteet.
1. Les systèmes d’IA à haut risque ou les modèles d’IA à usage général conformes à des normes harmonisées ou à des parties de normes harmonisées dont les références ont été publiées au Journal officiel de l’Union européenne conformément au règlement (UE) no 1025/2012 sont présumés conformes aux exigences visées à la section 2 du présent chapitre ou, le cas échéant, aux obligations énoncées au chapitre V, sections 2 et 3, du présent règlement, dans la mesure où ces exigences ou obligations sont couvertes par ces normes.
2. Asetuksen (EU) N:o 1025/2012 10 artiklan mukaisesti komissio esittää ilman aiheetonta viivytystä standardointipyyntöjä, jotka kattavat kaikki tämän luvun 2 jaksossa vahvistetut vaatimukset, ja tapauksen mukaan standardointipyyntöjä, jotka kattavat tämän asetuksen V luvun 2 ja 3 jaksossa säädetyt velvoitteet. Standardointipyynnössä on myös pyydettävä tuotteita raportointi- ja dokumentointiprosesseista, joilla parannetaan tekoälyjärjestelmien resurssitehokkuutta, kuten vähennetään suuririskisen tekoälyjärjestelmän energian ja muiden resurssien kulutusta sen elinkaaren aikana sekä kehitetään energiatehokkaasti yleiskäyttöisiä tekoälymalleja. Standardointipyyntöä valmistellessaan komissio kuulee tekoälylautakuntaa ja asiaankuuluvia sidosryhmiä, myös neuvoa-antavaa foorumia.
2. Conformément à l’article 10 du règlement (UE) no 1025/2012, la Commission présente sans retard injustifié des demandes de normalisation couvrant toutes les exigences énoncées à la section 2 du présent chapitre et, le cas échéant, les demandes de normalisation couvrant les obligations énoncées au chapitre V, sections 2 et 3, du présent règlement. La demande de normalisation inclut également une demande de livrables sur les processus de déclaration et de documentation afin d’améliorer les performances des systèmes d’IA en matière de ressources, telles que la réduction de la consommation d’énergie et d’autres ressources par le système d’IA à haut risque au cours de son cycle de vie, et sur le développement économe en énergie de modèles d’IA à usage général. Lors de la préparation d’une demande de normalisation, la Commission consulte le Comité IA et les parties prenantes concernées, y compris le forum consultatif.
Esittäessään standardointipyynnön eurooppalaisille standardointiorganisaatioille komissio täsmentää, että standardien on oltava selkeitä, yhdenmukaisia, myös eri aloilla kehitetyt standardit liitteessä I luetellun voimassa olevan unionin yhdenmukaistamislainsäädännön soveltamisalaan kuuluville tuotteille, ja niillä on pyrittävä varmistamaan, että unionissa markkinoille saatetut tai käyttöön otetut suuririskiset tekoälyjärjestelmät tai yleiskäyttöiset tekoälymallit täyttävät tässä asetuksessa säädetyt asiaankuuluvat vaatimukset tai velvoitteet.
Lorsqu’elle présente une demande de normalisation aux organisations européennes de normalisation, la Commission précise que les normes doivent être claires, cohérentes, y compris avec les normes développées dans les différents secteurs pour les produits relevant de la législation d’harmonisation de l’Union existante dont la liste figure à l’annexe I, et visant à veiller à ce que les systèmes d’IA à haut risque ou les modèles d’IA à usage général mis sur le marché ou mis en service dans l’Union satisfont aux exigences ou obligations pertinentes énoncées dans le présent règlement.
Komissio pyytää eurooppalaisia standardointiorganisaatioita esittämään asetuksen (EU) N:o 1025/2012 24 artiklan mukaisesti näyttöä siitä, että ne ovat parhaansa mukaan pyrkineet saavuttamaan tämän kohdan ensimmäisessä ja toisessa alakohdassa tarkoitetut tavoitteet.
La Commission demande aux organisations européennes de normalisation de fournir la preuve qu’elles mettent tout en œuvre pour atteindre les objectifs visés aux premier et deuxième alinéas du présent paragraphe, conformément à l’article 24 du règlement (UE) no 1025/2012.
3. Standardointiprosessiin osallistuvien on pyrittävä edistämään tekoälyalan investointeja ja innovointia, myös lisäämällä oikeusvarmuutta, sekä unionin markkinoiden kilpailukykyä ja kasvua sekä osaltaan edistämään maailmanlaajuisen standardointiyhteistyön lujittamista ja sellaisten olemassa olevien tekoälyalan kansainvälisten standardien huomioon ottamista, jotka ovat unionin arvojen, perusoikeuksien ja etujen mukaisia, ja edistämään monisidosryhmäistä hallintoa varmistaen etujen tasapainoinen edustus ja kaikkien asiaankuuluvien sidosryhmien tosiasiallinen osallistuminen asetuksen (EU) N:o 1025/2012 5, 6 ja 7 artiklan mukaisesti.
3. Les participants au processus de normalisation s’efforcent de favoriser les investissements et l’innovation dans le domaine de l’IA, y compris en renforçant la sécurité juridique, ainsi que la compétitivité et la croissance du marché de l’Union, de contribuer à renforcer la coopération mondiale en faveur d’une normalisation en tenant compte des normes internationales existantes dans le domaine de l’IA qui sont conformes aux valeurs et aux intérêts de l’Union et aux droits fondamentaux, et de renforcer la gouvernance multipartite en veillant à une représentation équilibrée des intérêts et à la participation effective de toutes les parties prenantes concernées conformément aux articles 5, 6 et 7 du règlement (UE) no 1025/2012.
41 artikla
Article 41
Yhteiset eritelmät
Spécifications communes
1. Komissio voi antaa täytäntöönpanosäädöksiä, joilla vahvistetaan yhteiset eritelmät tämän luvun 2 jaksossa säädettyjä vaatimuksia tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädettyjä velvoitteita varten, jos seuraavat edellytykset täyttyvät:
1. La Commission peut adopter des actes d’exécution établissant des spécifications communes pour les exigences énoncées à la section 2 du présent chapitre ou, le cas échéant, pour les obligations énoncées au chapitre V, sections 2 et 3, lorsque les conditions suivantes sont remplies:
a)
komissio on pyytänyt asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan nojalla yhtä tai useampaa eurooppalaista standardointiorganisaatiota laatimaan yhdenmukaistetun standardin tämän luvun 2 jaksossa vahvistettuja vaatimuksia varten tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädettyjä velvoitteita varten:
a)
la Commission, en vertu de l’article 10, paragraphe 1, du règlement (UE) no 1025/2012, a demandé à une ou plusieurs organisations européennes de normalisation d’élaborer une norme harmonisée pour les exigences énoncées à la section 2 du présent chapitre ou, le cas échéant, pour les obligations énoncées au chapitre V, sections 2 et 3, et:
i)
yksikään eurooppalainen standardointiorganisaatio ei ole hyväksynyt pyyntöä; tai
i)
la demande n’a été acceptée par aucune des organisations européennes de normalisation; ou
ii)
kyseiseen pyyntöön liittyviä eurooppalaisia yhdenmukaistettuja standardeja ei ole toimitettu asetuksen (EU) N:o 1025/2012 10 artiklan 1 kohdan mukaisesti asetetussa määräajassa; tai
ii)
les normes harmonisées faisant l’objet de cette demande n’ont pas été présentées dans le délai fixé conformément à l’article 10, paragraphe 1, du règlement (UE) no 1025/2012; ou
iii)
asiaankuuluvissa yhdenmukaistetuissa standardeissa ei oteta riittävästi huomioon perusoikeuksiin liittyviä huolenaiheita; tai
iii)
les normes harmonisées pertinentes ne répondent pas suffisamment aux préoccupations en matière de droits fondamentaux; ou
iv)
yhdenmukaistetut standardit eivät ole pyynnön mukaisia; ja
iv)
les normes harmonisées ne sont pas conformes à la demande; et
b)
tämän luvun 2 jaksossa tarkoitetut vaatimukset tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädetyt velvoitteet kattavien yhdenmukaistettujen standardien viitetietoja ei ole julkaistu Euroopan unionin virallisessa lehdessä asetuksen (EU) N:o 1025/2012 mukaisesti, eikä ole odotettavissa, että tällaiset viitetiedot julkaistaan kohtuullisen ajan kuluessa.
b)
aucune référence à des normes harmonisées couvrant les exigences visées à la section 2 du chapitre ou, le cas échéant, les obligations énoncées au chapitre V, sections 2 et 3, n’a été publiée au Journal officiel de l’Union européenne conformément au règlement (UE) no 1025/2012, et aucune référence de ce type ne devrait être publiée dans un délai raisonnable.
Yhteisiä eritelmiä laatiessaan komissio kuulee 67 artiklassa tarkoitettua neuvoa-antavaa ryhmää.
Lors de la rédaction des spécifications communes, la Commission consulte le forum consultatif visé à l’article 67.
Tämän kohdan ensimmäisessä alakohdassa tarkoitetut täytäntöönpanosäädökset hyväksytään 98 artiklan 2 kohdassa tarkoitettua tarkastelumenettelyä noudattaen.
Les actes d’exécution visés au premier alinéa du présent paragraphe sont adoptés en conformité avec la procédure d’examen visée à l’article 98, paragraphe 2.
2. Ennen kuin komissio laatii ehdotuksen täytäntöönpanosäädökseksi, se ilmoittaa asetuksen (EU) N:o 1025/2012 22 artiklassa tarkoitetulle komitealle katsovansa, että tämän artiklan 1 kohdassa säädetyt edellytykset täyttyvät.
2. Avant d’élaborer un projet d’acte d’exécution, la Commission informe le comité visé à l’article 22 du règlement (UE) no 1025/2012 qu’elle considère que les conditions énoncées au paragraphe 1 du présent article sont remplies.
3. Suuririskisiä tekoälyjärjestelmiä ja yleiskäyttöisiä tekoälymalleja, jotka ovat 1 kohdassa tarkoitettujen yhteisten eritelmien tai kyseisten eritelmien osien mukaisia, on pidettävä tämän luvun 2 jaksossa vahvistettujen vaatimusten tai tapauksen mukaan V luvun 2 ja 3 jaksossa tarkoitettujen velvoitteiden mukaisina siltä osin kuin kyseiset yhteiset eritelmät kattavat nämä vaatimukset tai velvoitteet.
3. Les systèmes d’IA à haut risque ou les modèles d’IA à usage général conformes aux spécifications communes visées au paragraphe 1, ou à des parties de ces spécifications, sont présumés conformes aux exigences visées à la section 2 du présent chapitre ou, le cas échéant pour se conformer aux obligations visées au chapitre V, sections 2 et 3, dans la mesure où ces exigences ou obligations sont couvertes par ces spécifications communes.
4. Jos eurooppalainen standardointiorganisaatio vahvistaa yhdenmukaistetun standardin ja ehdottaa komissiolle sen viitetietojen julkaisemista Euroopan unionin virallisessa lehdessä, komissio arvioi yhdenmukaistetun standardin asetuksen (EU) N:o 1025/2012 mukaisesti. Kun yhdenmukaistetun standardin viitetiedot julkaistaan Euroopan unionin virallisessa lehdessä, komissio kumoaa 1 kohdassa tarkoitetut täytäntöönpanosäädökset tai niiden osat, jotka kattavat samat tämän luvun 2 jaksossa vahvistetut vaatimukset tai tapauksen mukaan samat V luvun 2 ja 3 jaksossa säädetyt velvoitteet.
4. Lorsqu’une norme harmonisée est adoptée par une organisation européenne de normalisation et proposée à la Commission en vue de la publication de sa référence au Journal officiel de l’Union européenne, la Commission procède à l’évaluation de cette norme harmonisée conformément au règlement (UE) no 1025/2012. Lorsque la référence à une norme harmonisée est publiée au Journal officiel de l’Union européenne, la Commission abroge les actes d’exécution visés au paragraphe 1, ou les parties de ces actes qui couvrent les mêmes exigences que celles énoncées à la section 2 du présent chapitre ou, le cas échéant les mêmes obligations que celles énoncées au chapitre V, sections 2 et 3.
5. Jos suuririskisten tekoälyjärjestelmien tai yleiskäyttöisten tekoälymallien tarjoajat eivät noudata 1 kohdassa tarkoitettuja yhteisiä eritelmiä, niiden on perusteltava asianmukaisesti, että ne ovat ottaneet käyttöön tämän luvun 2 jaksossa vahvistetut vaatimukset tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädetyt velvoitteet täyttäviä, vähintään vastaavan tasoisia teknisiä ratkaisuja.
5. Lorsque les fournisseurs de systèmes d’IA à haut risque ou de modèles d’IA à usage général ne respectent pas les spécifications communes visées au paragraphe 1, ils justifient dûment avoir adopté des solutions techniques qui satisfont aux exigences visées à la section 2 du présent chapitre ou, le cas échéant, aux obligations énoncées au chapitre V, sections 2 et 3, à un niveau au moins équivalent auxdites spécifications.
6. Jos jäsenvaltio katsoo, että yhteinen eritelmä ei täysin täytä 2 jaksossa vahvistettuja vaatimuksia tai tapauksen mukaan V luvun 2 ja 3 jaksossa säädettyjä velvoitteita, sen on ilmoitettava asiasta komissiolle toimittamalla yksityiskohtainen selvitys. Komissio arvioi kyseiset tiedot ja muuttaa tarvittaessa täytäntöönpanosäädöstä, jolla kyseinen yhteinen eritelmä vahvistetaan.
6. Lorsqu’un État membre considère qu’une spécification commune ne satisfait pas entièrement aux exigences énoncées à la section 2 ou, le cas échéant aux obligations énoncées au chapitre V, sections 2 et 3, il en informe la Commission au moyen d’une explication détaillée. La Commission évalue ces informations et, le cas échéant, modifie l’acte d’exécution établissant la spécification commune concernée.
42 artikla
Article 42
Olettama tiettyjen vaatimusten noudattamisesta
Présomption de conformité avec certaines exigences
1. Suuririskisten tekoälyjärjestelmien, jotka on koulutettu ja testattu datalla, joka ilmentää erityistä maantieteellistä, käyttäytymiseen liittyvää, viitekehyksenä olevaa tai toiminnallista ympäristöä, jossa järjestelmiä on tarkoitus käyttää, on katsottava täyttävän 10 artiklan 4 kohdassa vahvistetut asiaankuuluvat vaatimukset.
1. Les systèmes d’IA à haut risque qui ont été entraînés et testés avec des données tenant compte du cadre géographique, comportemental, contextuel ou fonctionnel spécifique dans lequel ils sont destinés à être utilisés sont présumés conformes aux exigences pertinentes établies à l’article 10, paragraphe 4.
2. Suuririskisten tekoälyjärjestelmien, jotka on sertifioitu tai joista on annettu vaatimustenmukaisuusilmoitus asetuksen (EU) 2019/881 mukaisessa kyberturvallisuusjärjestelmässä ja joiden viitetiedot on julkaistu Euroopan unionin virallisessa lehdessä, oletetaan täyttävän tämän asetuksen 15 artiklassa vahvistetut kyberturvallisuusvaatimukset, siltä osin kuin kyberturvallisuussertifikaatti tai vaatimustenmukaisuusilmoitus tai niiden osat kattavat kyseiset vaatimukset.
2. Les systèmes d’IA à haut risque qui ont été certifiés ou pour lesquels une déclaration de conformité a été délivrée dans le cadre d’un schéma de cybersécurité conformément au règlement (UE) 2019/881 et dont les références ont été publiées au Journal officiel de l’Union européenne sont présumés conformes aux exigences de cybersécurité énoncées à l’article 15 du présent règlement, dans la mesure où ces dernières sont couvertes par tout ou partie du certificat de cybersécurité ou de la déclaration de conformité.
43 artikla
Article 43
Vaatimustenmukaisuuden arviointi
Évaluation de la conformité
1. Kun tarjoaja on liitteessä III olevassa 1 kohdassa lueteltujen suuririskisten tekoälyjärjestelmien osalta soveltanut 40 artiklassa tarkoitettuja yhdenmukaistettuja standardeja tai mahdollisuuksien mukaan 41 artiklassa tarkoitettuja yhteisiä eritelmiä osoittaakseen, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, tarjoajan on valittava jompikumpi seuraavista vaatimustenmukaisuuden arviointimenettelyistä, jotka perustuvat seuraaviin:
1. Pour les systèmes d’IA à haut risque énumérés à l’annexe III, point 1, lorsque, pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, le fournisseur a appliqué les normes harmonisées visées à l’article 40 ou, le cas échéant, les spécifications communes visées à l’article 41, il choisit l’une des procédures d’évaluation de la conformité suivantes sur la base:
a)
liitteessä VI tarkoitettu sisäinen valvonta; tai
a)
du contrôle interne visé à l’annexe VI; ou
b)
liitteessä VII tarkoitettu laadunhallintajärjestelmän ja teknisen dokumentaation arviointi, johon osallistuu ilmoitettu laitos.
b)
de l’évaluation du système de gestion de la qualité et de l’évaluation de la documentation technique, avec l’intervention d’un organisme notifié, visée à l’annexe VII.
Osoittaessaan, että suuririskinen tekoälyjärjestelmä on 2 jaksossa vahvistettujen vaatimusten mukainen, tarjoajan on noudatettava liitteessä VII vahvistettua vaatimustenmukaisuuden arviointimenettelyä, jos
Pour démontrer la conformité d’un système d’IA à haut risque avec les exigences énoncées à la section 2, le fournisseur suit la procédure d’évaluation de la conformité prévue à l’annexe VII dans les cas suivants:
a)
40 artiklassa tarkoitettuja yhdenmukaistettuja standardeja ei ole olemassa eikä 41 artiklassa tarkoitettuja yhteisiä eritelmiä ole saatavilla;
a)
les normes harmonisées visées à l’article 40 n’existent pas et les spécifications communes visées à l’article 41 font défaut;
b)
tarjoaja ei ole soveltanut tai on soveltanut vain osaa yhdenmukaistetusta standardista;
b)
le fournisseur n’a pas appliqué la norme harmonisée ou ne l’a appliquée que partiellement;
c)
edellä a alakohdassa tarkoitetut yhteiset eritelmät ovat olemassa, mutta tarjoaja ei ole soveltanut niitä;
c)
les spécifications communes visées au point a) existent, mais le fournisseur ne les a pas appliquées;
d)
yksi tai useampi a alakohdassa tarkoitetuista yhdenmukaistetuista standardeista on julkaistu rajoitetusti ja vain standardin siltä osin, jota rajoitus koskee.
d)
une ou plusieurs des normes harmonisées visées au point a), ont été publiées assorties d’une restriction et seulement sur la partie de la norme qui a été soumise à une restriction.
Tarjoaja voi valita minkä tahansa ilmoitetuista laitoksista liitteessä VII tarkoitettua vaatimustenmukaisuuden arviointimenettelyä varten. Kuitenkin jos lainvalvonta-, maahanmuutto- tai turvapaikkaviranomaisten tai unionin toimielinten, elinten, toimistojen tai virastojen on tarkoitus ottaa suuririskinen tekoälyjärjestelmä käyttöön, ilmoitettuna laitoksena toimii tapauksen mukaan 74 artiklan 8 tai 9 kohdassa tarkoitettu markkinavalvontaviranomainen.
Aux fins de la procédure d’évaluation de la conformité visée à l’annexe VII, le fournisseur peut choisir n’importe lequel des organismes notifiés. Toutefois, lorsque le système d’IA à haut risque est destiné à être mis en service par les autorités répressives, les services de l’immigration ou les autorités compétentes en matière d’asile ou par les institutions, organes ou organismes de l’UE, l’autorité de surveillance du marché visée à l’article 74, paragraphe 8 ou 9, selon le cas, agit en tant qu’organisme notifié.
2. Liitteessä III olevassa 2–8 kohdassa tarkoitettujen suuririskisten tekoälyjärjestelmien osalta tarjoajien on noudatettava liitteessä VI tarkoitettua sisäiseen valvontaan perustuvaa vaatimustenmukaisuuden arviointimenettelyä, jossa ei edellytetä ilmoitetun laitoksen osallistumista.
2. Pour les systèmes d’IA à haut risque visés à l’annexe III, points 2 à 8, les fournisseurs suivent la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI, qui ne prévoit pas d’intervention d’un organisme notifié.
3. Sellaisten suuririskisten tekoälyjärjestelmien osalta, joihin sovelletaan liitteessä I olevassa A jaksossa lueteltua unionin yhdenmukaistamislainsäädäntöä, tarjoajan on noudatettava kyseisissä säädöksissä edellytettyä asiaankuuluvaa vaatimustenmukaisuuden arviointimenettelyä. Kyseisiin suuririskisiin tekoälyjärjestelmiin sovelletaan tämän luvun 2 jaksossa vahvistettuja vaatimuksia, ja niiden on oltava osa tätä arviointia. Lisäksi sovelletaan liitteessä VII olevaa 4.3, 4.4 ja 4.5 kohtaa sekä 4.6 kohdan viidettä kohtaa.
3. Pour les systèmes d’IA à haut risque couverts par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I, section A, le fournisseur suit la procédure d’évaluation de la conformité pertinente selon les modalités requises par ces actes juridiques. Les exigences énoncées à la section 2 du présent chapitre s’appliquent à ces systèmes d’IA à haut risque et font partie de cette évaluation. Les points 4.3, 4.4 et 4.5 de l’annexe VII ainsi que le point 4.6, cinquième alinéa, de ladite annexe s’appliquent également.
Tätä arviointia varten ilmoitetuilla laitoksilla, jotka on ilmoitettu kyseisten säädösten mukaisesti, on oikeus valvoa, että suuririskiset tekoälyjärjestelmät ovat 2 jaksossa vahvistettujen vaatimusten mukaisia, edellyttäen, että sitä, että kyseiset ilmoitut laitokset täyttävät 31 artiklan 4, 5, 10 ja 11 kohdassa vahvistetut vaatimukset, on arvioitu kyseisten säädösten mukaisen ilmoitusmenettelyn yhteydessä.
Aux fins de ces évaluations, les organismes notifiés qui ont été notifiés en vertu de ces actes juridiques sont habilités à contrôler la conformité des systèmes d’IA à haut risque avec les exigences énoncées à la section 2, à condition que le respect, par ces organismes notifiés, des exigences énoncées à l’article 31, paragraphes 4, 5, 10 et 11, ait été évalué dans le cadre de la procédure de notification prévue par ces actes juridiques.
Jos liitteessä I olevassa A jaksossa luetellun säädöksen nojalla tuotteen valmistaja voi olla soveltamatta kolmannen osapuolen suorittamaa vaatimustenmukaisuuden arviointia ja edellyttäen, että kyseinen valmistaja on soveltanut kaikkia yhdenmukaistettuja standardeja, jotka kattavat kaikki asiaankuuluvat vaatimukset, kyseinen valmistaja voi käyttää tätä vaihtoehtoa ainoastaan, jos se on myös soveltanut yhdenmukaistettuja standardeja tai mahdollisuuksien mukaan 41 artiklassa tarkoitettuja yhteisiä eritelmiä, jotka kattavat kaikki tämän luvun 2 jaksossa vahvistetut vaatimukset.
Lorsqu’un acte juridique énuméré à l’annexe I, section A, confère au fabricant du produit la faculté de ne pas faire procéder à une évaluation de la conformité par un tiers, à condition que ce fabricant ait appliqué toutes les normes harmonisées couvrant toutes les exigences pertinentes, ce fabricant ne peut faire usage de cette faculté que s’il a également appliqué les normes harmonisées ou, le cas échéant, les spécifications communes visées à l’article 41 couvrant toutes les exigences énoncées à la section 2 du présent chapitre.
4. Suuririskisille tekoälyjärjestelmille, joille on jo tehty vaatimustenmukaisuuden arviointimenettely, on tehtävä uusi vaatimustenmukaisuuden arviointimenettely silloin, kun niitä muutetaan merkittävästi, riippumatta siitä, onko muutettua järjestelmää tarkoitus jaella edelleen vai jatkaako nykyinen käyttöönottaja sen käyttöä.
4. Les systèmes d’IA à haut risque qui ont déjà été soumis à une procédure d’évaluation de la conformité sont soumis à une nouvelle procédure d’évaluation de la conformité lorsqu’ils font l’objet de modifications substantielles, que le système modifié soit destiné à être distribué plus largement ou reste utilisé par le déployeur actuel.
Sellaisten suuririskisten tekoälyjärjestelmien osalta, jotka jatkavat oppimista markkinoille saattamisen tai käyttöönoton jälkeen, suuririskiseen tekoälyjärjestelmään ja sen suorituskykyyn tehtävät muutokset, jotka tarjoaja on määritellyt ennalta ensimmäisen vaatimustenmukaisuuden arvioinnin yhteydessä ja jotka ovat osa liitteessä IV olevan 2 kohdan f alakohdassa tarkoitettuja tekniseen dokumentaatioon sisältyviä tietoja, eivät muodosta merkittävää muutosta.
Pour les systèmes d’IA à haut risque qui continuent leur apprentissage après avoir été mis sur le marché ou mis en service, les modifications apportées au système d’IA à haut risque et à sa performance qui ont été déterminées au préalable par le fournisseur au moment de l’évaluation initiale de la conformité et font partie des informations contenues dans la documentation technique visée à l’annexe IV, point 2), f), ne constituent pas une modification substantielle.
5. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti liitteiden VI ja VII muuttamiseksi niiden saattamiseksi ajan tasalle tekniikan kehityksen huomioon ottamiseksi.
5. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier les annexes VI et VII afin de les mettre à jour compte tenu du progrès technique.
6. Siirretään komissiolle valta antaa delegoituja säädöksiä 97 artiklan mukaisesti tämän artiklan 1 ja 2 kohdan muuttamiseksi, jotta liitteessä III olevassa 2–8 kohdassa tarkoitettuihin suuririskisiin tekoälyjärjestelmiin voidaan soveltaa liitteessä VII tarkoitettua vaatimustenmukaisuuden arviointimenettelyä tai sen osia. Komissio ottaa tällaisia delegoituja säädöksiä hyväksyessään huomioon liitteessä VI tarkoitetun sisäiseen valvontaan perustuvan vaatimustenmukaisuuden arviointimenettelyn tehokkuuden tällaisista järjestelmistä terveydelle ja turvallisuudelle sekä perusoikeuksien suojelulle aiheutuvien riskien ehkäisemisessä tai minimoimisessa sekä riittävien valmiuksien ja resurssien saatavuuden ilmoitetuissa laitoksissa.
6. La Commission est habilitée à adopter des actes délégués conformément à l’article 97 pour modifier les paragraphes 1 et 2 du présent article afin de soumettre les systèmes d’IA à haut risque visés à l’annexe III, points 2 à 8, à tout ou partie de la procédure d’évaluation de la conformité visée à l’annexe VII. La Commission adopte ces actes délégués en tenant compte de l’efficacité de la procédure d’évaluation de la conformité fondée sur le contrôle interne visée à l’annexe VI pour prévenir ou réduire au minimum les risques que ces systèmes font peser sur la santé et la sécurité et sur la protection des droits fondamentaux, ainsi que de la disponibilité de capacités et de ressources suffisantes au sein des organismes notifiés.
44 artikla
Article 44
Todistukset
Certificats
1. Ilmoitettujen laitosten liitteen VII mukaisesti antamien todistusten on oltava laadittu kielellä, jota sen jäsenvaltion, johon ilmoitettu laitos on sijoittautunut, asiaankuuluvat viranomaiset ymmärtävät helposti.
1. Les certificats délivrés par les organismes notifiés conformément à l’annexe VII sont établis dans une langue aisément compréhensible par les autorités compétentes de l’État membre dans lequel l’organisme notifié est établi.
2. Todistukset ovat voimassa niissä mainitun ajan, joka saa olla enintään viisi vuotta liitteen I soveltamisalaan kuuluvien tekoälyjärjestelmien osalta ja enintään neljä vuotta liitteen III soveltamisalaan kuuluvien tekoälyjärjestelmien osalta. Tarjoajan pyynnöstä todistuksen voimassaoloa voidaan jatkaa uusilla, enintään viiden vuoden pituisilla jaksoilla liitteen I soveltamisalaan kuuluvien tekoälyjärjestelmien osalta ja enintään neljän vuoden pituisilla jaksoilla liitteen III soveltamisalaan kuuluvien tekoälyjärjestelmien osalta, uudelleenarvioinnin perusteella, joka suoritetaan sovellettavien vaatimustenmukaisuuden arviointimenettelyjen mukaisesti. Todistusten mahdolliset täydennykset ovat voimassa, jos todistus, johon täydennys on tehty, on voimassa.
2. Les certificats sont valables pendant la période indiquée sur ceux-ci, qui n’excède pas cinq ans pour les systèmes d’IA relevant de l’annexe I, et quatre ans pour les systèmes d’IA relevant de l’annexe III. À la demande du fournisseur, la durée de validité d’un certificat peut être prolongée d’une durée maximale de cinq ans à chaque fois pour les systèmes d’IA relevant de l’annexe I, et de quatre ans pour les systèmes d’IA relevant de l’annexe III, sur la base d’une nouvelle évaluation suivant les procédures d’évaluation de la conformité applicables. Tout document complémentaire à un certificat reste valable, à condition que le certificat qu’il complète le soit.
3. Jos ilmoitettu laitos toteaa, ettei suuririskinen tekoälyjärjestelmä enää täytä 2 jaksossa vahvistettuja vaatimuksia, sen on suhteellisuusperiaate huomioon ottaen peruutettava todistus määräaikaisesti tai kokonaan tai asetettava sille rajoituksia, jollei kyseisten vaatimusten noudattamista ole varmistettu siten, että tarjoaja toteuttaa asianmukaiset korjaavat toimenpiteet ilmoitetun laitoksen asettamassa asianmukaisessa määräajassa. Ilmoitetun laitoksen on perusteltava päätöksensä.
3. Lorsqu’un organisme notifié constate qu’un système d’IA ne répond plus aux exigences énoncées à la section 2, il suspend ou retire le certificat délivré ou l’assortit de restrictions, en tenant compte du principe de proportionnalité, sauf si le fournisseur applique, en vue du respect de ces exigences, des mesures correctives appropriées dans le délai imparti à cet effet par l’organisme notifié. L’organisme notifié motive sa décision.
Ilmoitettujen laitosten päätöksiä koskeva muutoksenhakumenettely, myös annettujen vaatimustenmukaisuuta koskevien todistusten osalta, on oltava käytössä.
Une procédure de recours contre les décisions des organismes notifiés, y compris concernant des certificats de conformité délivrés, est disponible.
45 artikla
Article 45
Ilmoitettujen laitosten tiedotusvelvollisuudet
Obligations d’information des organismes notifiés
1. Ilmoitettujen laitosten on tiedotettava ilmoittamisesta vastaavalle viranomaiselle seuraavista:
1. Les organismes notifiés communiquent à l’autorité notifiante:
a)
liitteen VII mukaisesti annetut unionin teknisen dokumentaation arviointitodistukset, näiden todistusten täydennykset ja kaikki laatujärjestelmän hyväksynnät;
a)
tout certificat d’évaluation UE de la documentation technique, tout document complémentaire afférent à ce certificat, et toute approbation d’un système de gestion de la qualité délivrée conformément aux exigences de l’annexe VII;
b)
liitteen VII vaatimusten mukaisesti myönnetyn unionin teknisen dokumentaation arviointitodistuksen tai laatujärjestelmän hyväksynnän epääminen, rajoittaminen tai peruuttaminen toistaiseksi tai kokonaan;
b)
tout refus, restriction, suspension ou retrait d’un certificat d’évaluation UE de la documentation technique ou d’une approbation d’un système de gestion de la qualité délivrée conformément aux exigences de l’annexe VII;
c)
olosuhteet, jotka vaikuttavat ilmoituksen soveltamisalaan tai ehtoihin;
c)
toute circonstance ayant une incidence sur la portée ou les conditions de la notification;
d)
vaatimustenmukaisuuden arviointitoimia koskevat t