L’IA Act ou AI Act
Législation européenne sur l’intelligence artificielle.
Petite histoire
Février 2020, l’UE publie un livre blanc sur l’intelligence artificielle, « une approche européenne axée sur l’excellence et la confiance ».
En 2021, l’IA générative n’avait pas encore fait son coming out… Une proposition de règlement européen est proposée le 21 avril 2021 par la Commission européenne, sur la base du livre blanc.
Un accord de principe, encore provisoire, entre le Conseil et le Parlement européen a été obtenu le 9 décembre 2023 sur la législation dont le texte final devra encore être formellement adopté par le Conseil et le Parlement. Une étape décisive vers l’adoption finale de ce texte a été franchie lorsque, le 2 février 2024, le texte a été ratifié par l’ensemble des ambassadeurs des 27 pays de l’Union européenne.
Une approche équilibrée visant à préserver l’avancée technologique européenne en respectant les principes et droits fondamentaux des citoyens est mise en avant dans l’exposé des motifs :
Il est dans l’intérêt de l’UE de préserver son avance technologique et de faire en sorte que les Européens puissent bénéficier de nouvelles technologies dont le développement et le fonctionnement respectent les valeurs de l’Union et les droits et principes fondamentaux.
Principe
L’IA Act repose sur le principe de l’évaluation des risques présentés par les systèmes d’IA. Mais d’abord, qu’est-ce qu’un système d’IA ? On le définit généralement comme un système informatique ou un logiciel comportant des composants faisant appel à l’intelligence artificielle, notamment l’apprentissage automatique, la reconnaissance automatique de la parole, le traitement de la langue naturelle, la vision artificielle et les systèmes à base de connaissances. La définition donnée par l’UE précise qu’il s’agit d’un logiciel
qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit.
Cinq niveaux de risque sont définis selon la dangerosité des usages de l’IA :
Niveau 1 : risque inacceptable
Les systèmes de ce niveau ne sont pas compatibles avec les valeurs et droits fondamentaux de l’UE.
Les systèmes d’IA présentant un niveau de risque inacceptable sont tout simplement interdits. Cela concerne en particulier les pratiques de manipulation psychologique, l’utilisation de techniques subliminales, l’utilisation de systèmes d’identification biométrique à distance en temps réel. Il est interdit de les vendre (mise sur le marché), les mettre en service ou les utiliser. Des exceptions sont toutefois accordées aux forces de l’ordre dans le cadre de la lutte contre le terrorisme. Les concevoir ou les étudier n’est donc pas interdit, ce qui permet d’en appréhender les risques.
Niveau 2 : risque élevé
Lorsque, sans être totalement inacceptable, le risque s’avère élevé pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, le système d’IA peut être autorisé sous condition d’une obligation de mise en place d’un système de gestion des risques visant à éliminer les risques ou à les réduire.
Ces systèmes sont également tenus de mettre en place une gouvernance des données d’entrainement des modèles, en particulier lorsqu’ils utilisent des techniques de type Deep Learning. Ils se doivent d’être documentés et d’assurer la traçabilité de leur fonctionnement. En dernier ressort, ces systèmes doivent rester sous contrôle humain. Des exigences d’exactitude, robustesse et cybersécurité sont également requises pour ces systèmes, qui doivent être gérés dans le cadre d’un système de gestion de la qualité.
On trouve dans cette catégorie l’utilisation de l’IA dans les transports, les dispositifs médicaux, la correction d’examens, le recrutement ou encore l’octroi de prêts.
Niveau 3 : IA générative à usage général
Suite au développement rapide de systèmes de type ChatGPT, une catégorie spéciale a été rajoutée en 2023 pour traiter spécifiquement de l’IA générative.
Mais qui va contrôler tout cela, et avec quels moyens ?
Niveau 4 : risque limité
La catégorie « risque limité » s’applique, par exemple, aux « chatbots » pour lesquels le risque est estimé très faible. Les systèmes à risque limité ne seront soumis qu’à une obligation de transparence vis-à-vis des utilisateurs qui devront être informés que leur contenu a été généré par une IA.
Niveau 5 : risque minimal
Enfin, le risque est jugé quasi nul dans des systèmes tels que les jeux vidéos ou les filtres anti-spam. Leurs erreurs ne prêtent effectivement que rarement à conséquence, même si un mauvais classement des mails peut avoir des conséquences fâcheuses. Mais on est prévenu !
Aucune obligation ne s’applique à ces systèmes, mais une simple incitation à l’adoption d’un code de conduite éthique.
Quelles sanctions ?
La mise en conformité des systèmes d’IA s’applique tant aux systèmes déjà existants qu’aux systèmes en développement. Une évaluation du niveau de risque de chaque système d’IA est ainsi nécessaire pour déterminer le type d’obligation qui s’y applique.
[dg order= »DESC » columns= »1″ ids= »22335″]
Le non-respect des obligations concernant les systèmes à haut risque pourrait entraîner une sanction financière pouvant atteindre 7 % du chiffre d’affaires de l’entreprise, plafonnés toutefois à 35 millions d’euros. Suivant le modèle déjà utilisé pour le RGPD, la création d’un organisme de contrôle, office européen de l’IA, est prévue pour assurer la coordination des différents organismes nationaux.
[pmb_web_only_blocks]
Discussions
« Historique, première… »
— Thierry Breton (@ThierryBreton) February 2, 2024
L’#IAAct a déchaîné les passions…à juste titre!
Aujourd’hui les 27 États membres ont approuvé à l’unanimité l’accord politique conclu en décembre— reconnaissant l’équilibre trouvé par les négociateurs entre innovation & sécurité.
L’UE, c’est l’IA! pic.twitter.com/DiidlOsGyd
[/pmb_web_only_blocks]
Cette toute première réglementation sur l’intelligence artificielle a été adoptée le 2 février 2024 à l’unanimité par les ambassadeurs de l’UE. Paris et Berlin, qui voyaient dans le texte négocié en décembre un frein à l’innovation pour leurs champions nationaux, ont remisé leurs réserves. (cf. L’analyse du quotidien libéral “Frankfurter Allgemeine Zeitung”).
Certains compromis ont été nécessaires. On notera, par exemple, que, à la demande de Paris, le résumé des données d’entraînement devra prendre en compte le secret des affaires. De nombreuses règles resteraient encore floues et devront être précisées au fil de la jurisprudence.
Les lobbys ont bien sûr réagi, cela fait partie de leur rôle. Ainsi, le principal lobby du secteur de la technologie « Computer and Communications Industry Association» souligne que certaines règles pourraient ralentir le développent des applications d’IA en Europe.
.@BChampris: « Despite efforts to improve the final #AIAct text, after ‘victory’ was prematurely declared in December, many of the new rules remain unclear and could slow down the development and roll-out of innovative #AI applications in Europe. » https://t.co/BhCmVuVgiv pic.twitter.com/tmIAxcSjy7
— CCIA Europe (@CCIAeurope) February 6, 2024
Bureaucratie contre innovation
Les « innovateurs » dont la France se réclame auraient souhaité ne pas entraver le développement de leurs startups et leur laisser une plus grande liberté, plus spécialement dans l’utilisation des données d’entraînement. De l’autre côté, les « conservateurs » souhaitaient préserver le droit d’auteur. Ce sont finalement ces derniers qui ont obtenu gain de cause. Les développeurs d’IA générative devront fournir des informations sur les données d’entraînement utilisées.
L’IA Act comporte toutefois un volet de soutien à l’innovation dont on parle moins.
L’article 53 prévoit la mise en place de « bacs à sable » réglementaires permettant de développer, tester et valider des systèmes d’IA avant leur mise sur le marché. Le fonctionnement détaillé de ces bacs à sable devra être défini ultérieurement dans des actes d’exécution.
Notons qu’un bac à sable au bénéfice des services publics a déjà été mis en place par la CNIL en 2023 « pour favoriser une IA innovante et respectueuse de la vie privée ». Plusieurs projets y font l’objet d’un accompagnement, parmi lesquels un projet de la RATP portant sur de nouvelles formes de captations vidéos « garantissant qu’aucune donnée personnelle ne soit récupérée ».
L’article 54 de l’IA Act prévoit que des données personnelles collectées à d’autres fins puissent être utilisées dans ces bacs à sable, sous certaines conditions, dites « d’intérêt public », dans des domaines tels que la sécurité ou la santé publique. Ces exceptions à l’application stricte du RGPD sont prévues pour ne pas freiner le développement des startups européennes. L’article 55 prévoit d’ailleurs qu’un accès prioritaire aux bacs à sable soit accordé aux « petits fournisseurs et utilisateurs ».
Première réglementation mondiale
Faut-il, à l’instar du commissaire européen Thierry Breton, à l’origine de cette réglementation, se féliciter d’être les premiers à réglementer ? La réglementation européenne est-elle un frein à l’innovation, laissant la voie libre à la concurrence d’autres parties du monde ?
Cela suffira-t-il à créer la confiance des citoyens européens dans les systèmes d’IA, lorsqu’ils n’ignorent pas que leurs données sont traitées sur des serveurs par des entreprises non européennes et que la CNIL n’a toujours pas le pouvoir suffisant pour faire appliquer les lois européennes.
L’expérience du RGPD est-elle vraiment un succès ? A-t-elle renforcé la confiance des citoyens dans la protection de leurs données ?
Conclusion
L’entrée en vigueur n’aura lieu qu’en 2025 après ratification par le Parlement européen. Et ne sera applicable que deux ans après son entrée en vigueur… D’ici là, au train ou vont les développements actuels, le panorama de l’IA aura largement évolué. Sera-t-il encore temps d’interdire les usages les plus dangereux ? Les systèmes mis en place pourront-ils se plier à une exigence de rétro documentation ?
