L'entreprise désireuse de recourir aux outils d'intelligence artificielle (IA) développés pour la prévention des risques sur les chantiers doit notamment prendre en compte les obligations introduites par le règlement européen sur l'intelligence artificielle du 13 juin 2024. Celles-ci entrent en application entre 2025 et 2030 et varient selon la catégorie de systèmes d'IA (SIA) utilisée et le rôle que joue l'entreprise dans leur mise en œuvre.
Quels usages de l'IA rencontre-t-on dans la sécurisation des chantiers ?
Ils sont déjà nombreux. Ainsi, un avertisseur sonore peut être déclenché grâce à des SIA de reconnaissance visuelle qui détectent des situations dangereuses (absence du port d'équipements de protection, présence d'un individu dans une zone dangereuse ou qui risque d'être percuté par un engin de chantier, etc.). Ces outils permettent aussi la mise en place de mesures correctives grâce à la constitution de bases de données des accidents en enregistrant la typologie, la position et l'heure des événements.
Il existe également des solutions de reconnaissance faciale ou encore des dispositifs d'analyse de données issues de capteurs permettant de détecter et mesurer des nuisances (sonores, olfactives, vibratoires, qualité air/eau, etc.) en vue de leur correction.
Quelles sont les catégories de SIA sur le marché ?
Le règlement européen sur l'IA organise les SIA en quatre catégories en fonction de leur niveau de risque. Chacune est soumise à des règles différentes : plus le niveau de risque est important, plus les obligations sont nombreuses et contraignantes. Si les SIA relevant des deux catégories dites sans risque ou à faible risquene sont soumis qu'à des obligations de transparence, voire à aucune obligation, il en va différemment de la troisième catégorie, dite à haut risque. Ces SIA, susceptibles de présenter des risques pour la santé, la sécurité et les droits fondamentaux des personnes, sont soumis à des mesures plus contraignantes, variables selon qu'elles s'appliquent à un fournisseur (l'entreprise qui fabrique ou met sur le marché) ou à un déployeur (l'utilisateur professionnel) du SIA concerné. La quatrième catégorie de SIA est celle des SIA à risque inacceptable dont la mise sur le marché et l'utilisation sont interdites, tel un système utilisé pour identifier les émotions d'une personne sur le lieu de travail (sous réserve d'exceptions).
Comment déployer un SIA à haut risque ? L'exemple de la reconnaissance faciale à distance.
La reconnaissance faciale à distance correspond à un SIA identifiant des personnes sans leur participation active, en comparant leurs données biométriques avec celles qui figurent dans une base de données. Il s'agit d'un SIA à haut risque.
Une entreprise du BTP qui en fait usage sans l'avoir développé est considérée comme déployeur. A ce titre, elle devra prendre des mesures techniques et organisationnelles appropriées pour garantir qu'elle utilise la reconnaissance faciale conformément aux notices d'utilisation accompagnant le SIA.
L'entreprise devra également confier le contrôle humain du système de reconnaissance faciale à des personnes qui disposent des compétences, de la formation, de l'autorité et du soutien nécessaires. En particulier, elle devra aussi assurer une surveillance humaine, veiller à la pertinence des données d'entrée, conserver les journaux générés par le système pendant une période appropriée, signaler tous risques détectés aux autorités compétentes et au fournisseur, avec lesquels elle doit coopérer.
Quelles autres obligations légales sont à observer ?
Un SIA étant un dispositif pouvant permettre de contrôler l'activité des salariés, il est nécessaire de consulter les instances représentatives du personnel. Il s'agit de plus de s'assurer que le déploiement du SIA est conforme à la législation relative à la protection des données personnelles. En particulier si son utilisation implique le traitement de nouvelles catégories de données personnelles (comme c'est le cas pour la reconnaissance faciale), leur collecte devra être limitée à celles permettant d'atteindre l'objectif fixé par l'employeur, à savoir renforcer la prévention et la sécurité sur le chantier. En outre, il sera nécessaire de mettre à jour le registre des activités de traitement, de déterminer les finalités des traitements mis en œuvre par les SIA et leurs bases légales, et d'informer les salariés et les autres personnes évoluant sur le chantier.
Par ailleurs, il convient de vérifier, avant déploiement, si la conduite d'une analyse d'impact sur la protection des données (AIPD) est nécessaire. C'est le cas si l'utilisation du SIA engendre un risque élevé pour les droits et libertés des personnes. Une AIPD permet de cartographier et évaluer les risques qui pèsent sur les traitements de données réalisés par un SIA et d'établir un plan d'action pour réduire ces risques à un niveau acceptable. Si, malgré cela, l'entreprise ne parvient pas à réduire suffisamment le niveau de risque, elle devra consulter la Commission nationale de l'informatique et des libertés (Cnil).
