Enfin voté. Près de trois années après sa première proposition par la Commission, en avril 2021, l'IA Act vient d'être approuvé à l'écrasante majorité ce mercredi par les eurodéputés, avec 523 voix pour, 46 voix contre et 49 abstentions.
Ce texte vise à encadrer les dérives potentielles autour de l'intelligence artificielle, tout en protégeant et favorisant l'innovation autour de cette technologie dans l'Union européenne (UE). Un fragile équilibre qui a suscité de nombreux débats, avec notamment une récente fronde de la France et de l'Allemagne qui sont parvenues à obtenir un allègement du texte afin de protéger leurs champions nationaux de l'IA générative, Mistral AI et Aleph Alpha.
Les IA classées selon les niveaux de risque
L'IA Act classe les systèmes d'intelligence artificielle en plusieurs catégories, en fonction du niveau de risque, avec des contraintes allant de zéro pour les plus anodins à l'interdiction pure et simple pour les plus dangereux. Dans cette dernière catégorie, on trouve les systèmes de notation à l'image du crédit social chinois, ou encore les dispositifs de reconnaissance émotionnelle utilisés sur le lieu de travail ou à l'école.
Viennent ensuite les IA dites « à haut risque », utilisées dans des domaines sensibles comme le secteur médical, l'éducation et la police. Pour les créateurs de ces modèles, le texte prévoit des contraintes spécifiques, comme la nécessité de prouver que leur système a été entraîné avec des données de qualité, prévoir une surveillance humaine sur la machine, fournir une documentation technique solide et mettre en place un système de gestion des risques.
Surtout, « pour les IA à haut risque, le régime de responsabilité va être le même que celui sur les produits défectueux, ce qui signifie des amendes élevées ainsi qu'une charge de la preuve allégée pour la personne qui se plaindra d'un dommage. Par exemple, si une personne meurt parce que le système d'IA chargé de doser son traitement médical a commis une erreur, il suffira de faire un lien d'apparence pour engager la responsabilité de l'éditeur de cette IA. C'est un changement majeur dont on ne mesure pas encore très bien les conséquences », note Eric le Quellenec, avocat chez Simmons & Simmons.
La France a fait pression pour un texte moins restrictif
Suite à l'émergence de l'IA générative, une autre catégorie a été ajoutée, celle des modèles dits systémiques, comme ChatGPT ou Google Gemini. Les entreprises qui proposent ces technologies devront en évaluer et atténuer les risques, suivre et signaler à la Commission les incidents graves, offrir des garanties en matière de cybersécurité et fournir des informations sur la consommation d'énergie de leurs modèles.
La France, qui voulait la suppression de toute contrainte supplémentaire pesant sur les IA génératives, par crainte qu'un texte trop restrictif ne nuise aux entreprises européennes (et en particulier à Mistral AI), n'a pas obtenu gain de cause mais est parvenue à faire en sorte que les restrictions les plus lourdes ne s'appliquent qu'à une poignée de modèles très puissants.
Un texte trop timide sur la désinformation permise par l'IA ?
Pour Katharina Zügel, qui a participé à la rédaction d'un récent rapport sur l'IA publié par le Forum sur l'Information et la Démocratie, l'IA Act est un pas dans la bonne direction qui permet au pouvoir politique de reprendre le contrôle sur l'évolution de l'IA. « Cela montre que les démocraties ont aussi leur mot à dire dans l'élaboration de ces systèmes d'IA qui ont aujourd'hui un impact majeur sur toute la société. Les entreprises privées ne peuvent pas être les seules aux manettes », confie-t-elle à La Tribune.
Elle regrette toutefois que le texte se montre timide sur les possibilités d'utiliser l'IA, et en particulier l'IA générative, au service de la désinformation, alors que plus de 60 élections différentes doivent avoir lieu dans le monde cette année. « Les systèmes d'IA utilisés dans l'espace informationnel devraient à mon sens être catégorisés à haut risque, ce qui n'est pas explicitement le cas dans le texte qui a été voté. La Commission, qui a compétence pour modifier les cas d'usages des systèmes à haut risque, pourrait les faire basculer dans cette catégorie en considérant qu'ils ont un impact sur les droits fondamentaux. »
Concernant les deepfakes ou hypertrucages, le texte introduit en outre l'obligation d'étiqueter comme tel tout contenu produit par une IA, une technique baptisée watermarking, qui vise à empêcher les contenus trompeurs. D'autres éléments concernant la diffusion de l'information sont en outre couverts par le Digital Services Act (DSA), entré en application mi-février.
Toutefois « en matière de recours juridiques face aux deepfakes, pour les personnes qui en sont victimes, l'IA Act n'apporte rien. Quand on voit l'efficacité et la vitesse de propagation de ces techniques d'influence, il n'en fait donc sans doute pas assez », affirme Eric Le Quellenec.