La mise en place de régulations plus poussées autour de l'intelligence artificielle se concrétise dans l'UE. La semaine dernière, le Parlement européen a largement voté en faveur de l'AI Act (pour Artificial Intelligence Act), un texte qui vise à mieux encadrer cette technologie.

Cette dernière, de plus en plus utilisée par les entreprises et les pouvoirs publics, a récemment connu des progrès fulgurants, avec l'arrivée en fanfare de l'intelligence artificielle générative, capable de créer de toute pièce des contenus originaux, et révélée au grand public via des logiciels de création d'images, comme Midjourney et par le chatbot ChatGPT. Face à ces évolutions rapides de la technologie, une mise à jour s'imposait depuis les règles sur la gestion des données mises en place par le RGPD.

Quatre niveaux de risques

« Le droit suit ici la technologie. À mesure que celle-ci évolue, on vient renforcer l'encadrement juridique pour garantir les droits et la liberté des individus, contrôler l'acuité des réponses fournies par l'intelligence artificielle, corriger les biais et s'assurer que les risques soient soigneusement évalués », résume Eric Le Quellenec, avocat chez Simmons & Simmons, spécialisé dans la cybersécurité et la confidentialité des données.

L'un des principaux apports de l'AI Act consiste à classer les systèmes d'intelligence artificielle en plusieurs catégories, en fonction du niveau de risque qu'ils posent : faible, moyen ou élevé. Une quatrième catégorie regroupe les systèmes posant un risque inacceptable, qui sont tout simplement interdits dans l'UE. Cette dernière inclut notamment les systèmes de crédit social basés sur l'IA et l'utilisation de dispositifs d'identification biométrique à distance, en temps réel et à des fins répressives dans des espaces accessibles au public. L'interdiction de la reconnaissance faciale, évoquée lors de l'élaboration du texte, n'a finalement pas été retenue.

Lire aussiL'UE veut réguler l'intelligence artificielle, ChatGPT dans le viseur

Pour les trois autres catégories d'IA autorisées, le texte prévoit un nombre d'obligations graduel en fonction du niveau de risque. La catégorie « risque élevé », que la Commission se réserve le droit de mettre régulièrement à jour, comprend notamment les systèmes d'intelligence artificielle appliqués à la gestion et l'exploitation d'infrastructures critiques, l'éducation et la formation professionnelle, ou encore la gestion de la migration, de l'asile et du contrôle aux frontières.

« Pour ces systèmes, le texte impose une supervision humaine, ainsi que l'obligation d'effectuer une analyse d'impact, qui vise à anticiper en amont tous les risques qui peuvent porter sur les droits fondamentaux, et les éléments de mitigation et de suppression prévus dans le cas où ce risque se présenterait. Puis, tout au long du cycle de vie du système d'IA, à mettre à jour cette analyse afin de déterminer, sur chaque risque identifié, où est-ce que l'on se situe. Ces systèmes doivent obligatoirement faire l'objet d'une déclaration de conformité à l'UE et porter un marquage CE », décrypte Eric Le Quellenec.

La catégorie intermédiaire désigne les systèmes qui interagissent avec les humains. Ils sont utilisés pour détecter des émotions ou déterminer l'association avec des catégories sociales basées sur des données biométriques, ou encore générer ou manipuler du contenu (les fameux deep fakes). À ceux-ci, la loi impose d'indiquer que le contenu en question a été généré par une IA.

La dernière catégorie, enfin, comporte des systèmes déjà largement déployés et utilisés aujourd'hui, comme l'intelligence artificielle mobilisée dans les jeux vidéo ou pour filtrer les spams. Dans ce cas, le texte se contente de fortement inciter à respecter un code de conduite pouvant inclure des engagements relatifs à la durabilité environnementale, à l'accessibilité pour les personnes handicapées, à la participation des parties prenantes à la conception et au développement des systèmes d'IA et à la diversité des équipes de développement. Une réévaluation des risques doit en outre être effectuée dès modification substantielle.

L'IA générative épargnée grâce au lobbying d'OpenAI

Durant l'élaboration de la loi, l'idée de classer automatiquement les logiciels d'intelligence artificielle générative, comme ChatGPT et Midjourney, dans la catégorie à haut risque a été avancée. Elle n'a finalement pas été retenue dans le texte voté par le Parlement. Un choix qu'une enquête parue dans Time Magazine attribue sans ambages aux efforts de lobbying déployés par l'industrie, OpenAI en tête. À la place, ceux-ci ne seront considérés comme à haut risque que lorsqu'ils sont utilisés dans certains domaines sensibles identifiés par la loi (voir plus haut). Un traitement au cas par cas plutôt qu'une classification systématique comme à haut risque, donc.

La loi fait cependant des modèles d'IA entraînés sur une vaste quantité de données un cas à part. Elle impose ainsi à leurs créateurs un certain nombre d'obligations, parmi lesquelles celle de transparence quant au fait que le contenu est généré par une IA, d'empêcher la génération de contenus illégaux, de déclarer si un système a été entraîné sur des contenus protégés par le droit d'auteur et d'effectuer une analyse de risque. Afin d'éviter les atteintes aux droits d'auteur, les entreprises seront notamment tenues de publier tous les travaux de scientifiques, musiciens, illustrateurs, photographes et journalistes utilisés pour entraîner leurs algorithmes.

Lire aussiEntreprises, pourquoi vous devriez encadrer l'utilisation de ChatGPT par vos employés

Un peu plus souples que les mesures imposées aux IA à haut risque, celles-ci ne sont pas pour autant anodines. Un manquement à ces devoirs entraînerait en effet l'obligation de supprimer l'application, sous peine de se voir infliger une amende pouvant aller jusqu'à 7% du chiffre d'affaires.

Durant sa récente audition devant le Congrès américain, Sam Altman, le patron d'OpenAI, avait pourtant déclaré à plusieurs reprises que l'IA générative posait un risque majeur pour l'humanité et s'était fait le champion de régulations très strictes. En mai, il avait menacé de quitter l'Europe s'il jugeait son entreprise incapable de se soumettre aux nouvelles régulations.

Les lacunes de l'AI Act

Le vote favorable du Parlement ouvre désormais la voie à un trilogue entre la Commission, le Parlement et le Conseil européen, qui discuteront des derniers ajustements à apporter au texte avant que celui-ci ne soit entériné par cette dernière autorité.

S'il couvre de nombreuses problématiques soulevées aujourd'hui par l'intelligence artificielle, le texte ne donne en revanche aucune recommandation aux entreprises souhaitant utiliser celle-ci de manière éthique, regrette Éric le Quellenec.

« Mettons que je sois une multinationale qui traite un million de CV par an et que je veuille utiliser l'AI pour mon processus de recrutement. Qu'est-ce que je dois faire ? Nommer un digital ethic officer, consulter mon comité d'entreprise... ? L'AI Act ne s'étend pas du tout là-dessus, contrairement au RGPD qui imposait dans certains cas de nommer un data protection officer et de mettre en place certaines briques de gouvernance. »

La loi n'a pas non plus retenu l'idée, fréquemment évoquée, de créer un statut de personne robot, instaurant une autonomie de l'IA avec une mutualisation des responsabilités dans un fonds de garantie, « un choix assez peu innovant de la part des législateurs », selon l'avocat, « mais ce n'est après tout que la première pierre pour encadrer une technologie qui reste quand même naissante et expérimentale à bien des égards. »

Enfin, « on aurait aussi pu souhaiter la création d'une agence fédérale d'encadrement de l'IA, mais étant données les réticences nationales au sein de l'UE ce ne sera pas le cas. On sera donc sur un mode collaboratif, avec un risque de divergences d'appréhension d'un pays à l'autre. »