Une approche réglementaire par le risque. C’est la voie choisie par l’Union européenne pour encadrer le développement de l’intelligence artificielle et tenter un compromis entre innovation et protection des citoyens. La Commission a dévoilé mercredi 21 avril un projet de réglementation, résultat de plusieurs années de réflexion, notamment menée par le Groupe d’experts de haut niveau sur l’IA (GEHN IA) qu’elle a créée en 2018.
"En adoptant ces règles qui feront date, l'UE prend l'initiative d'élaborer de nouvelles normes mondiales qui garantiront que l'IA soit digne de confiance, a déclaré Margrethe Vestager, vice-présidente exécutive de la Commission, chargée du numérique et de la concurrence. En établissant les normes, nous pouvons ouvrir la voie à une technologie éthique dans le monde entier, tout en préservant la compétitivité de l'UE." Avec ce texte, Bruxelles veut s’assurer que les systèmes d’IA utilisés sur le marché européen soient sûrs et respectueux des droits fondamentaux et des valeurs de l’UE, tout en essayant de créer un cadre juridique favorable à l’innovation et à l’investissement. Un numéro d’équilibriste.
Quelques usages interdits ... sauf pour motifs sécuritaires
Le projet de réglementation européen n’interdit que très peu d’applications d’IA, en l’occurrence celles pour lesquelles le risque est jugé inacceptable en matière de sécurité, de moyens de subsistance et de droits des individus. "Il s'agit notamment des systèmes ou applications d'IA qui manipulent le comportement humain pour priver les utilisateurs de leur libre arbitre (par exemple, des jouets utilisant une assistance vocale incitant des mineurs à avoir un comportement dangereux) et des systèmes qui permettent la notation sociale par les États", note la Commission européenne dans sa communication. A noter également que l’utilisation pour le maintien de l’ordre de la reconnaissance faciale à distance, dans l’espace public et "en temps réel", est interdite. A trois exceptions près : rechercher un enfant disparu ; prévenir une menace terroriste spécifique et imminente ; identifier ou poursuivre l'auteur ou le suspect d'une infraction pénale grave. A chaque fois les enquêteurs devront obtenir une autorisation, limitée dans l’espace et dans le temps.
Ces exceptions ne devraient pas manquer de faire réagir les défenseurs des libertés publiques, alors qu’au moins trois cas d’arrestation à tort d’afro-américains dues à une erreur des logiciels de reconnaissance faciale ont été rendus publics aux Etats-Unis en 2020. "Le fait que le texte européen n’interdise que assez peu d’usages est un point qui interpelle, concède Raja Chatila, professeur émérite à Sorbonne Université et membre de nombreuses instances de réflexion autour de l’éthique des systèmes intelligents, dont le GEHN IA. J’ai été surpris par exemple de ne pas voir d’interdiction concernant l’utilisation de l’IA pour les décisions de justice."
Graduation du risque et obligations différentes
Au-delà de cette poignée d’interdictions, l’Europe définit un cadre normatif qui varie selon le degré de risque du système d’IA. Ceux considérés comme à haut risque devront être conformes à des obligations strictes pour pouvoir être mis sur le marché, telles que l’évaluation et la minimisation du risque, la qualité des données, la traçabilité des résultats, la transparence pour l’utilisateur, la robustesse et la sécurité, un contrôle humain approprié. Le caractère à haut risque peut-être défini par le secteur d’application lui-même, comme les transports, la justice ou le maintien de l’ordre. Ou par la finalité visée. Sont ainsi considérés comme à haut risque les logiciels déterminant l’accès à l'éducation ou le parcours professionnel d’une personne, ceux de tri des CV pour les procédures de recrutement, ou encore ceux d'évaluation du risque de crédit (qui peuvent priver certains citoyens de la possibilité d'obtenir un prêt).
Quid de la méthodologie de calcul du risque ?
Viennent ensuite les applications représentant un risque limité, comme les chatbots, soumis à des obligations spécifiques en matière de transparence. Enfin, les applications à risque minime, soit la grande majorité des systèmes d'IA, ne sont soumises à aucune réglementation spécifique. "Nos règles s'appliqueront lorsque c'est strictement nécessaire : quand la sécurité et les droits fondamentaux des citoyens de l'Union sont en jeu", a justifié Margrethe Vestager.
"Cette approche par le risque se justifie car une réglementation excessive n’est pas entendable, observe Raja Chatila. Réglementer des choses anodines n’a pas de sens et ce serait donner des contraintes à tout le monde. En même temps, cette approche risque de poser problème, avec un point qui reste à clarifier : quelle méthodologie de calcul du risque va-t-on utiliser et qui va l’appliquer ? On va arriver à un calcul qui n’est pas simple et les entreprises qui développent des solutions seront tentées de dire que l’application visée n’est pas risquée pour échapper à la réglementation."
Favoriser les entreprises centrées sur l’éthique
Cette réglementation s’applique à tout dispositif mis sur le marché européen, que son fournisseur soit dans l’UE ou non. Les GAFAM et autres géants américains et chinois, qui dominent aujourd’hui le marché de l’IA, devront donc se plier aux obligations européennes dès lors que leur produit est mis sur le marché européen. Le texte prévoit aussi certaines facilités pour les petites entreprises, dont devraient surtout profiter les acteurs de l’UE. "Le projet de la Commission donne aux petites entreprises un accès privilégié aux ‘sandbox réglementaires’, qui sont des dispositifs permettant de tester une application sur quelques acteurs d’une base de données limitées pour vérifier qu’elle soit en accord avec la réglementation, observe Nicolas Méric, le fondateur et dirigeant de Dreamquark, une start-up d’IA pour la finance. C’est une bonne nouvelle car c’est souvent difficile pour les petits acteurs de pouvoir postuler à ces sandbox."
Globalement l’entrepreneur accueille positivement le texte européen. "Le texte est très précis et très opérationnel. Il prend en compte les notions de jeu d’entraînement, jeu de test, ... Il tient compte de la réalité du métier de datascientist et de comment est développé un projet d’IA dans une entreprise." Et d’ajouter : "Il introduit aussi des notions intéressantes, comme le fait que l’explicabilité des dispositifs doit être à destination des utilisateurs finaux, alors qu’elle vise aujourd’hui trop souvent les datascientist eux-mêmes. Il parle aussi d’améliorer le cycle de vie des modèles, ce qui est très important pour les technologies basées sur des algorithmes auto-apprenants, qui continuent d’évoluer pendant leur utilisation." Autant de points qui devraient permettre de favoriser les entreprises ayant mis l’éthique au cœur de leurs technologies.
