Un accord historique. Après un trilogue marathon de plusieurs jours, les trois institutions européennes, parlement, conseil et commission, sont parvenues à un accord sur le contenu de l’AI Act vendredi 8 décembre. Ce texte, le premier à réglementer l’intelligence artificielle, adopte une approche par les risques, qui encadre les cas d’usages et non pas la technologie. Quelques rares applications sont interdites, comme les outils de notation sociale et de surveillance de masse. Viennent ensuite les usages dits à haut risque, soumis à diverses règles (contrôle humain, publication d’une documentation technique, etc.). Ces applications comprennent celles utilisées dans les ressources humaines, le maintien de l’ordre ou les infrastructures critiques. Les usages dits à risques modérés sont soumis à des obligations moindres. Enfin, tous les autres cas d'application ne sont assujettis à aucune obligation.
Le sujet de la biométrie a fait l’objet de nombreux débats. Le parlement souhaitant initialement purement et simplement interdire la reconnaissance faciale. Il a finalement accepté des exceptions. L’utilisation de la biométrie à distance des personnes dans les lieux publics est possible pour la sécurité nationale, la défense et les objectifs militaires pour certaines missions à l'image de la lutte contre le terrorisme. Les forces de l'ordre ne seront toutefois pas autorisées à faire du profilage basé sur la race, les préférences politique ou sexuelle, ou encore les opinions religieuses. La reconnaissance des émotions est quant à elle interdite dans le cadre du travail et de l’éducation mais des exceptions sont prévues pour des raisons de santé et de sécurité. Des applications pour le suivi thérapeutique d’un patient pourraient donc proposer un tel outil.
L’Allemagne, la France et l’Italie opposés à une régulation spécifique de l'IA générative
Au-delà des derniers arbitrages, l’IA générative, une technologie permettant de créer de nouveaux contenus, a bouleversé les discussions. La Commission européenne a proposé son texte en 2021… avant qu’OpenAI séduise le grand public avec son robot conversationnel ChatGPT ultra-médiatisé depuis fin 2022. L’outil a séduit plus de 100 millions d’utilisateurs en l’espace de deux mois. Mais l’entreprise américaine n’est pas exemptée des discussions autour de l’IA.
La saga sur l’éviction temporaire de son PDG Sam Altman est révélatrice des débats dans le secteur autour des risques liés à l’IA. Des membres du conseil d’administration, à l’origine du renvoi du charismatique dirigeant, craignent que l’IA générative puisse mener à la destruction de l’humanité. La popularité d’OpenAI a conduit Sam Altman à plaider pour une régulation de l’IA auprès des dirigeants du monde entier… Tout en menant un lobbying actif pour éviter que l’AI Act entrave l’entreprise. Un argumentaire entendu par certains États. L’Allemagne, la France et l’Italie ne souhaitaient pas de régulation spécifique sur les IA génératives dans ce texte.
Une position largement dictée par la pépite allemande Aleph Alpha et celle française Mistral AI. Cette dernière compte Cédric O, ancien secrétaire d’État au numérique, parmi ses cofondateurs. L’homme, qui connaît les rouages politiques, a mené le lobbying de la start-up française en affirmant qu’il ne faut pas brider l’innovation. Des règles trop contraignantes et coûteuses pourraient signer l’arrêt de mort des jeunes pousses. «Au contraire, la réglementation favorise l’innovation car elle établit un cadre qui peut se traduire par des standards», balaye Raja Chatila, professeur émérite à Sorbonne-Université. La mise en place des mécanismes nécessaires pour respecter la législation est coûteuse, mais cela peut aussi être perçu comme une image de marque pour les entreprises afin de rassurer les utilisateurs. Pour rappel, le RGPD a connu ces mêmes débats. Aujourd’hui, ce règlement diffuse ses effets à travers le monde et il est même copié par certains pays.
Pour l’IA générative, les modèles en open source sont finalement exemptés d’une réglementation stricte sauf s’ils sont utilisés pour des applications jugées à haut risque. Pour les autres, plus de transparence sur les algorithmes et un contrôle de la qualité des données utilisées par ces systèmes est imposé, notamment pour s'assurer qu'ils respectent la législation sur les droits d'auteur.
Une application effective au plus tôt en 2026
Cet accord tombe à pic. Création d’arme chimique ou bactériologique, prise de contrôle d’une infrastructure critique, menace pour la démocratie… L’IA fait peur et les instances internationales se penchent dessus depuis des années. Avec une accélération des codes de bonnes conduites depuis l’arrivée des deepfakes et plus récemment des outils d’IA générative. États, entreprises, chercheurs et spécialistes se sont réunis à Bletchkey Park, au Royaume-Uni à la fin du mois de novembre.
De ces débats ressortent des grands principes en faveur d’une IA sûre, sécurisée, robuste et digne de confiance. Mais ils n’engendrent aucune obligation. L’Union européenne prend les devants et ce règlement, comme l’a fait le RGPD avant lui, pourrait se diffuser plus largement auprès des autres pays. Il doit encore être adopté définitivement par un vote au parlement et son application effective ne devrait pas arriver avant 2026. Le temps pour les entreprises de se mettre en conformité. En cas de non respect de la loi, des amendes de 7,5 millions d’euros ou 1,5% du chiffre d’affaires à 35 millions d’euros ou 7% du chiffre d’affaires sont prévues. Elles seront imposées par l'office européen de l’IA, une nouvelle entité créée au sein de la Commission européenne.
