Après les données personnelles et les grandes plateformes numériques, au tour de l’intelligence artificielle (IA) d’être réglementée par l’Union européenne. Les députés ont adopté leur position. Le trilogue entre la Commission, le Parlement et les États membres va pouvoir débuter. Comme le règlement européen sur la protection des données (RGPD), l’IA Act adopte une approche par les risques jugée «plutôt pertinente» par Patrice Navarro, associé au sein du cabinet Hogan Lovells. L’idée est de faire une classification par les risques d’outils que nous ne connaissons pas ou qui n’existent pas encore», résume l’avocat. Les technologies d’IA sont ainsi classées selon un score de risque. Certains systèmes sont interdits par nature : c’est le cas des outils de notation sociale, contre lesquels un consensus est acté et ne devrait pas évoluer lors des prochaines négociations.
Les data biométriques en débat
Les parlementaires entendent aussi proscrire les systèmes de police prédictifs et la récupération aveugle d’informations biométriques provenant des réseaux sociaux et de la vidéosurveillance afin de créer une base de données utilisée pour la reconnaissance faciale. Les systèmes d’identification biométrique à distance dans les espaces accessibles au public, en temps réel ou a posteriori, seront probablement eux aussi interdits... Du moins la plupart du temps. Le sujet clivant de la reconnaissance faciale dans les lieux publics devrait susciter des débats. Si certaines autorités plaident pour la bannir purement et simplement, la Commission n’a pas suivi cet avis : dans le texte initial, ces technologies sont prohibées à des fins répressives, sauf exception (menace terroriste imminente, recherche d’un enfant...).
Au-delà de l’authentification faciale dans les espaces publics, d’autres technologies, qualifiées à haut risque par la Commission, seront fortement encadrées. Cela concerne celles utilisées dans les dispositifs médicaux, les infrastructures critiques comme les transports, l’administration de la justice, la gestion de la migration, de l’asile et du contrôle aux frontières, les logiciels de tri des CV... Ces catégories à haut risque devraient être soumises à des obligations avant leur mise sur le marché : porter une attention particulière aux données sélectionnées pour les entraîner afin d’en atténuer les risques, mettre en place de mesures de surveillance humaine appropriées, fournir une information claire à l’utilisateur...
Les députés souhaitent ajouter à cette catégorie les dispositifs employés pour influencer les électeurs, comme les systèmes de recommandation sur les réseaux sociaux. Ils veulent aussi y inclure l’obligation pour les fournisseurs de modèles de référence d’évaluer et limiter les risques, de garantir un niveau élevé de protection des droits fondamentaux et de s’enregistrer dans la base de données de l’Union européenne. Les technologies présentant un risque limité, minimal ou nul, comme les filtres antispam et les jeux vidéo compatibles avec l’IA, ne devraient être soumis à aucune contrainte particulière.
La Cnil à la manœuvre en France
«Il est complexe d’imaginer des audits d’algorithmes d’intelligence artificielle, observe le député Renaissance Éric Bothorel. Il semble plus facile de lutter sur le contenu et de poser des limites sur ce qu’il est possible de faire ou non avec ces technologies.» Par exemple, si des biais sont détectés, il sera nécessaire de les corriger. Une chose est sûre : dans chaque pays, une autorité aura à sa charge le contrôle de la bonne application du règlement. La Cnil est pressentie pour jouer ce rôle en France, mais rien n’est encore fixé. La sanction en cas de non-respect pourrait monter jusqu’à 6 % du chiffre d’affaires mondial de l’entreprise.
Lorsqu’une technologie d’intelligence artificielle sera développée, une étude des risques sur la base de l’IA Act devra être effectuée pour savoir si sa commercialisation présente un risque et identifier quelles conditions doivent être respectées. Cette grille d’évaluation n’est pas évidente à appréhender, notamment pour des start-up. Mais l’étiquette de conformité apposée par la réglementation européenne sur une technologie d’IA pourrait devenir «un argument commercial», veut croire l’avocat Patrice Navarro, qui voit cela comme une incitation à se conformer au droit européen. La législation prévoit également des «bacs à sable réglementaires», des environnements où les systèmes d’IA pourront être testés avant leur déploiement. Un mécanisme salué par Éric Bothorel, qui précise qu’il «faut laisser la possibilité à ces outils de progresser» et que «l’idée n’est pas d’interdire». L’enjeu est de créer un environnement éthique pour développer ces outils sans porter préjudice à l’économie et à l’innovation.
ChatGPT joue les perturbateurs
Les IA génératives, ChatGPT en tête, sont venues bousculer le législateur européen. Ces technologies, qui n’entrent dans aucune catégorie de l’IA Act, soulèvent de nombreuses questions. Les députés ont donc précisé que les modèles génératifs devront répondre à des exigences de transparence et informer leurs utilisateurs du fait que le contenu est généré par une IA, éviter la publication de résumés de données protégées par le droit d’auteur et de contenus illégaux. Des décisions sont attendues en France sur la conformité du chatbot avec le RGPD. Cinq plaintes ont déjà été déposées auprès de la Cnil. Le député Renaissance Éric Bothorel fait partie des plaignants. Lorsqu’il interroge ChatGPT sur son pedigree, le chatbot fournit de nombreuses informations fausses. Cet outil entre-t-il dans le champ d’application du RGPD ? Peut-il continuer à publier des informations personnelles erronées ? La Cnil va devoir se prononcer. Tout comme un juge pourrait le faire sur les questions de droits d’auteur à travers les lois existantes sur la propriété intellectuelle. « N’allons pas trop vite, trop loin », résume Éric Bothorel au sujet de la réglementation. Le juge a peut-être déjà suffisamment de textes à sa disposition.
Vous lisez un article de L'Usine Nouvelle 3720-3721 - Juillet/août 2023
