Depuis que l’intelligence artificielle (IA) générative, comme ChatGPT pour le texte ou Stable Diffusion pour les images, est entrée dans nos vies, elle ne laisse personne indifférent et suscite fascination et peur. Une machine peut en effet accomplir certaines tâches mieux qu’un humain, mais aussi commettre des erreurs. Entre les mains d’acteurs malveillants, l’IA peut également être utilisée pour créer des deepfakes (contenu trompeur) ou pour influencer un résultat électoral.
Si laisser une machine résumer un texte semble peu risqué, la prise de décision automatisée par l’IA dans des contextes plus ou moins sensibles nécessite d’évaluer les risques et de les réguler. Alors que le secteur de l’IA connaît une expansion rapide, la question de la régulation de l’IA devient une préoccupation majeure pour les États. C’est donc dans ce contexte de course au leadership que l’Union européenne (UE) entend promouvoir sa vision de la régulation sur l’IA avec l’AI Act.
Pourquoi la loi IA ?
Si l’UE manque encore de fleurons qui lui permettraient de rivaliser avec les États-Unis et la Chine, il est un domaine dans lequel elle peut véritablement s’affirmer : celui de la régulation. En effet, à travers l’AI Act, l’UE est en mesure d’imposer ses règles aux autres acteurs en subordonnant l’accès au marché européen au respect de ses valeurs. Il s’agit d’une étape décisive vers son objectif d’incarner un modèle de régulation.
L’approche européenne s’articule autour du concept d’« IA digne de confiance » (ou IA digne de confiance) et vise à faire de l’UE le pionnier de l’IA « légale », « éthique » et « robuste ». Selon Carme Artigas, secrétaire d’État espagnole chargée de la numérisation et de l’intelligence artificielle, il s’agit de « stimuler l’innovation et l’adoption de l’intelligence artificielle dans toute l’Europe tout en respectant pleinement les droits fondamentaux de nos citoyens. » Le défi est de taille, tant les enjeux politiques, économiques et sociaux sont considérables. Le 13 mars, les ambitions de l’UE se sont concrétisées avec l’adoption par le Parlement européen de la loi sur l’IA au terme d’une longue procédure.
La loi IA dans sa version préfinale prévoit des obligations variables en fonction du système ou modèle d’IA et de son impact. L’étendue des obligations imposées aux fournisseurs et aux utilisateurs est proportionnelle aux risques de violation des droits fondamentaux que posent ces derniers. Ce faisant, il distingue les dispositifs d’IA présentant des risques inacceptables pour les Européens, ceux présentant des risques systémiques, ceux à risque élevé et enfin les dispositifs à risques faibles ou limités.
Une réglementation qui distingue différents niveaux de risque
Le règlement interdit tout d’abord les pratiques présentant des risques inacceptables. Il s’agit des systèmes les plus intrusifs dont les utilisations peuvent avoir des conséquences néfastes disproportionnées sur les droits des utilisateurs, comme l’utilisation de systèmes d’IA à des fins de manipulation pour influencer le comportement des individus (scandale Cambridge Analytica, analyse des données personnelles des électeurs afin d’influencer leur comportement). intentions de vote), des systèmes d’IA permettant l’établissement d’un crédit social et, sauf exceptions, des dispositifs d’identification à distance des personnes sur la base de caractéristiques personnelles comme la reconnaissance faciale algorithmique.
Ajoutés tardivement dans la réglementation, les modèles de fondation (ou modèles d’IA à usage général), les grands modèles d’intelligence artificielle exploitant de grandes quantités de données et pouvant être adaptés pour réaliser plusieurs types de tâches, font l’objet d’un régime distinct. En fonction de leurs capacités, ils peuvent être considérés comme présentant un « risque systémique ». Cette catégorie concerne notamment ChatGPT dans sa version actuelle. Les fournisseurs de modèles présentant un risque systémique seront soumis à des obligations renforcées par rapport aux autres modèles de fondation (entre autres, obligation de notifier les incidents de cybersécurité à la Commission).
La catégorie des systèmes d’IA à haut risque s’applique aux systèmes susceptibles d’entraîner des conséquences néfastes importantes sur la santé, la sécurité et les droits fondamentaux des personnes. L’utilisation de systèmes d’IA dans les procédures de recrutement, la détermination de l’obtention de droits sociaux ou l’octroi de l’asile, etc. entrent dans cette catégorie. Cette classification se traduit par des obligations variées allant de la mise en place d’un système de gestion des risques robuste, au maintien d’une documentation technique exhaustive, en passant par le respect des exigences en matière de gouvernance des données, de supervision humaine et de cybersécurité.
Les systèmes à risques faibles ou limités restent soumis à l’obligation de transparence commune à tout système destiné à interagir directement avec les personnes. Cette catégorie concerne principalement les systèmes d’IA ayant une influence minime sur la prise de décision et regroupe les systèmes limités à des tâches très spécifiques comme le classement de fichiers ou la correction orthographique.
Un texte bienvenu mais imparfait
La gouvernance de ce cadre sera assurée par un nombre important d’institutions européennes et nationales, comme le Comité européen de l’intelligence artificielle et l’Office européen de l’IA, remettant en cause la lisibilité du système. En France, la Commission nationale de l’informatique et des libertés (CNIL) s’est déjà positionnée en renforçant son expertise sur l’IA, ce qui se traduit notamment par la publication de fiches de recommandations pour le développement et le déploiement de systèmes d’IA. ‘IA.
CNIL, CC BY-NC
Le texte était très attendu, notamment par les acteurs de l’industrie créative, mais aussi par les avocats et les organisations indépendantes. L’adoption du texte n’a cependant pas été simple, la France, l’Allemagne et l’Italie se montrant particulièrement réticentes à l’égard des dispositions relatives aux modèles de fondation, y voyant un obstacle potentiel au développement de l’IA en Europe. Dans ce domaine, la réglementation ne semble pas satisfaire toutes les parties.
L’AI Act est notamment critiqué pour proposer une définition inadéquate des modèles de fondation du « risque systémique », insuffisance à laquelle l’Office européen de l’IA (chargé entre autres de clarifier la mise en œuvre de l’AI Act) devra remédier rapidement. Par ailleurs, plusieurs compromissions ont été critiquées comme pouvant donner lieu à des abus, comme la possibilité donnée aux États d’utiliser des dispositifs d’identification biométrique en temps réel pour des raisons de sécurité nationale.
Combiner la loi IA et les textes déjà en vigueur
Par ailleurs, le respect de la réglementation, notamment pour les systèmes à risque, est conditionné au respect de normes techniques relatives à la qualité des systèmes, à leur sécurité ou encore à la gouvernance des données qui restent à déterminer. Dans cette optique, les efforts s’intensifient pour proposer des normes techniques pertinentes.
Antoine Boutet, Juliette Sénéchal, Margo Bernelin et William Letrone, Fourni par l’auteur
Enfin, l’AI Act n’épuise pas toutes les questions soulevées par l’IA ni les besoins réglementaires. Il faudra donc combiner sa lecture avec d’autres textes comme le Règlement Général sur la Protection des Données (RGPD) dans le cas des IA impliquant des traitements de données personnelles, ou encore le Règlement sur les Services Numériques (ou Loi sur les services numériques – DSA) et le Règlement sur les Marchés Numériques (ou Loi sur le marché numérique – DMA) dans le cas de l’IA intégrée aux plateformes de services.
Quoi qu’il en soit, en Europe comme ailleurs, il n’est plus question de laisser les grandes entreprises de l’IA s’autoréguler. Il reste à espérer que la phase de mise en œuvre parviendra à réduire les zones d’ombre qui subsistent à ce stade.
Le projet IPoP est soutenu par l’Agence Nationale de la Recherche (ANR), qui finance la recherche sur projet en France. Sa mission est de soutenir et de promouvoir le développement de la recherche fondamentale et finalisée dans toutes les disciplines, et de renforcer le dialogue entre science et société. Pour en savoir plus, consultez le site de l’ANR.
