Alors que les outils d’intelligence artificielle font les gros titres, l’Union européenne planche sur un règlement pour ces technologies depuis plusieurs années. Le texte initial de l’IA Act, proposé par la Commission en avril 2021, a été amendé en commission parlementaire. Cette version amendée vient d’être votée ce mercredi 14 juin 2023 par le Parlement européen à 499 voix pour, 28 contre et 93 abstentions. Les négociations entre les Etats membres et la Commission vont ainsi pouvoir débuter. Les observateurs anticipent une adoption définitive du texte d’ici la fin de l’année ou le début de l’année prochaine, ce qui ferait de l'Europe le premier continent à réguler autant l’intelligence artificielle. Que contient exactement ce texte ?
Des outils interdits
Comme le RGPD (le règlement européen sur la protection des données), l’IA Act adopte une approche par les risques jugée «plutôt pertinente» par Patrice Navarro, associé au sein du cabinet Hogan Lovells. L’idée est de «faire une classification par les risques d’outils que nous ne connaissons pas ou qui n’existent pas encore», résume l’avocat. Les technologies d’IA sont ainsi classées selon un score de risque. Certains systèmes sont interdits par nature : c'est le cas des outils de notation sociale, pour lesquels un consensus est acté et ne devrait pas évoluer lors des prochaines négociations.
Les parlementaires entendent aussi proscrire les systèmes de police prédictifs ou encore la récupération aveugle de données biométriques provenant des réseaux sociaux ou de la vidéo-surveillance afin de créer une base de données utilisée pour la reconnaissance faciale. Les systèmes d’identification biométrique à distance dans les espaces accessibles au public, en temps réel ou à posteriori, devraient eux aussi faire l'objet d'une interdiction... Du moins la plupart du temps.
Le sujet clivant de la reconnaissance faciale dans les lieux publics devrait susciter des débats. Certaines autorités plaident pour la bannir purement et simplement. La Commission n’a pas suivi cet avis : dans le texte initial, ces technologies sont prohibées à des fins répressives, sauf exception (menace terroriste imminente, recherche d’un enfant, etc.). A noter que la France a, de son côté, autorisé temporairement le traitement algorithmique des images issues de caméras de vidéo-surveillance en vue des Jeux Olympiques et Paralympiques de 2024 tout en réaffirmant l’interdiction de la reconnaissance faciale… Que certains aimeraient expérimenter.
Des technos à haut risque scrutées de près
D’autres technologies, dites à haut risque, sont fortement encadrées. Cela concerne celles utilisées dans les dispositifs médicaux, les infrastructures critiques comme les transports, l’administration de la justice, la gestion de la migration, de l’asile et du contrôle aux frontières, les logiciels de tri des CV... C'est dans cette catégorie que la Commission entend placer tous les systèmes d’authentification biométrique à distance dans les espaces accessibles au public. Un point qui doit encore être arbitré et qui devrait faire l’objet, là aussi, de débats houleux.
L’ensemble de ces systèmes à haut risque devraient être soumis à des obligations avant de pouvoir être mis sur le marché : une attention particulière devra être portée aux données sélectionnées pour les entraîner afin d’en atténuer les risques, des mesures de surveillance humaine appropriées devront être mises en place, une information claire devra être fournie à l'utilisateur... Les députés souhaitent ajouter dans cette catégorie les dispositifs employés pour influencer les électeurs comme les systèmes de recommandations utilisés par les réseaux sociaux. Les parlementaires veulent également inclure des contraintes pour que les fournisseurs de modèles de référence évaluent et limitent les risques, garantissent un niveau élevé de protection des droits fondamentaux et s’enregistrent dans la base de données de l’UE.
Suivent les technologies présentant un risque limité et un risque minimal ou nul. Les filtres anti-spam ou les jeux vidéo compatibles avec l’IA entrent dans cette dernière catégorie et ne devraient être soumis à aucune obligation particulière.
Le difficile contrôle des IA
«Il est complexe d’imaginer qu’il sera possible de faire des audits d’algorithmes d’intelligence artificielle, observe le député Renaissance Eric Bothorel. Il semble plus facile de lutter sur le contenu et de poser des limites sur ce qu’il est possible de faire ou non avec ces technologies.» Par exemple, si des biais sont détectés, il est nécessaire de les corriger. Une chose est sûre : dans chaque pays, une autorité aura à sa charge le contrôle de la bonne application du règlement. La Cnil est pressentie pour assurer ce rôle en France, mais rien n’est encore fixé. La sanction en cas de non-respect pourrait monter jusqu’à 6% du chiffre d’affaires mondial de l’entreprise.
Lorsqu’une technologie d’intelligence artificielle sera développée, une étude des risques sur la base de l’IA Act devra être effectuée pour savoir si la commercialisation de l'outil présente un risque et identifier quelles conditions doivent être respectées. Cette grille d’évaluation n’est pas évidente à appréhender, notamment pour des start-up. Mais l’étiquette de conformité apposée par la réglementation européenne sur une technologie d’IA sera «un argument commercial», veut croire l'avocat Patrice Navarro, qui voit cela comme une incitation pour les entreprises à se conformer au droit européen. La législation prévoit également des "bacs à sable réglementaires", des environnements où les systèmes d’IA peuvent être testés avant leur déploiement. Un outil imaginé pour la recherche et l’innovation, salué par Eric Bothorel, qui ajoute qu’il «faut laisser la possibilité à ces outils de progresser. L’idée n’est pas d’interdire.» L’enjeu, résume Patric Navarro, est de «créer un environnement éthique sans préjudice à l’économie et l’innovation». Alors même que l’Europe semble être à la traine sur certains sujets.
Les IA génératives, ChatGPT en tête, sont venues bousculer le législateur européen. Ces technologies soulèvent de nombreuses questions, sans entrer dans aucune catégorie détaillée dans la proposition initiale de la Commission. Les députés ont donc précisé que les modèles génératifs devront répondre à des exigences de transparence et informer leurs utilisateurs que le contenu est généré par une IA, éviter la publication de résumés de données protégées par le droit d’auteur ou de contenus illégaux. Des décisions sont attendues en France sur la conformité du chatbot avec le RGPD et pourraient venir encadrer ces nouveaux outils (voir encadré). Tout comme un juge pourrait le faire sur les questions de droits d’auteur à travers les lois existantes sur la propriété intellectuelle. «N’allons pas trop vite trop loin», résume Eric Bothorel au sujet de la réglementation. Le juge a peut-être déjà suffisamment de textes à sa disposition. Des exceptions aux droits d’auteurs sont par exemple déjà prévues par la loi : il faudra vérifier dans quelle mesure l’utilisation d’œuvres pour l’entraînement des algorithmes peut entrer dans l’une de ces exceptions.
Déjà cinq plaintes contre ChatGPT
Cinq plaintes ont déjà été déposées auprès de la Cnil en France contre OpenAI, l’entreprise derrière ChatGPT. Le député Renaissance Eric Bothorel fait partie des plaignants. Lorsqu’il interroge ChatGPT sur son pédigrée, le chatbot répond tout simplement par de nombreuses informations fausses. Est-ce que ce nouvel outil entre dans le champ d’application du RGPD ? La Cnil va devoir répondre à cette question et préciser si un outil comme ChatGPT peut continuer à publier des informations personnelles erronées.
