AI Act de l’Europe
Le texte européen pour réguler les usages de l’IA
Après de longs débats, l’Union européenne a trouvé un accord pour la régulation des systèmes d’IA. Mais ces décisions, et leurs exceptions, sont déjà vivement critiquées.
35 heures de débat ont été nécessaires aux États membres et au Parlement européen pour trouver un accord sur l'IA. © artjazz - stock.adobe.com
Qu’est-ce que l’AI Act va changer dans nos vies ? Pour le moment, rien. Un accord a été trouvé par la Commission européenne, mais il doit maintenant être examiné par le Parlement européen et les représentants des 27 pays membres. La possibilité que des États le bloquent existe, au même titre que celui d’une profonde évolution du texte d’ici sa mise en application à l’horizon 2025. D’ici là, les États-Unis auront probablement régulé leur propre utilisation de l’intelligence artificielle, comme le souhaite le président Joe Biden.
En attendant, l’Europe reste globalement à la traine en matière d’intelligence artificielle. Malgré la multiplication des initiatives d’envergure, les États-Unis et l’Asie restent les plus ambitieux. Dans certains cas, l’Union européenne est aussi servie dans un second temps, puisque les développeurs d’IA génératives doivent l’adapter aux règles européennes. C’est notamment le cas de Google Gemini, annoncé pour début 2024 en France.
Les États membres et le Parlement européen s’accordent sur l’IA
Il aura fallu 35 heures d’échanges pour que les États membres et le Parlement européen trouvent un accord au sujet de la régulation de l’intelligence artificielle. Tard vendredi 8 décembre, Thierry Breton, commissaire européen, annonçait fièrement la nouvelle : « Historique ! l’Union européenne devient le premier continent à établir des règles claires pour l’utilisation de l’IA. L’AI Act est bien plus qu’un recueil de règles, c’est un tremplin pour les startups et les chercheurs de l’UE afin de mener la course mondiale à l’IA. Le meilleur reste à venir ! »
Si les débats furent si difficiles, ce fut en raison de l’équilibre difficile à trouver entre innovation et régulation. L’accord vise en effet à protéger les droits fondamentaux et à gérer les risques potentiels liés à l’utilisation de systèmes d’IA, mais sans empêcher l’innovation. Outre ces mesures protectionnistes, l’idée est de construire la confiance du public envers l’intelligence artificielle, en assurant une utilisation transparente de ces systèmes. Le texte, cependant, n’entrera en vigueur qu’en 2025. Il sera accompagné de la création d’un office européen de l’IA. Les entreprises qui iraient à l’encontre du texte risquent des amendes jusqu’à 7 % de leur chiffre d’affaires, avec un plafonnement à 35 millions d’euros.
5 mesures phares de l’AI Act
L’AI Act se pare de plusieurs mesures, qu’elles concernent l’IA générative ou les systèmes avancés, comme les modèles prédictifs à visée de surveillance par exemple. Au sujet de l’IA générative, le mot d’ordre est la transparence. La qualité des données utilisées pour l’entraînement des modèles, le respect des droits d’auteur et l’identification claire des contenus créés par IA représentent les points essentiels.
Parallèlement, des mesures s’appliqueront aux systèmes jugés à haut risque. L’AI Act se définit, sur le sujet, par 5 points principaux :
- Reconnaissance biométrique et identification faciale : la surveillance de masse et l’identification des personnes sur les lieux publics sont interdites.
- Social scoring : l’usage de l’IA pour créer des systèmes de notation sociale en fonction des comportements et des caractéristiques personnelles est interdit.
- Reconnaissance des émotions : la détection des émotions est interdite, notamment en raison de la précision de ces analyses et du potentiel de manipulation.
- Manipulation d’opinion et ingénierie sociale : la diffusion de fausses informations, la manipulation de l’opinion publique, sont autant de points que l’AI Act vise à empêcher.
- Application de la loi : l’utilisation de l’IA par les forces de l’ordre, pour la reconnaissance faciale par exemple, est interdite.
Des réactions mitigées
Néanmoins, ces annonces ont provoqué des réactions mitigées, notamment en France. L’interdiction de la reconnaissance faciale, de la surveillance de masse, ou de l’identification biométrique n’est pas totale. En effet, il existe des exceptions liées à la sécurité, comme la lutte contre le terrorisme par exemple. Ce que regrette par exemple Amnesty International : « Ne pas garantir une interdiction complète de la reconnaissance faciale constitue une occasion largement manquée de stopper et de prévenir des dommages colossaux aux droits de l’homme, à l’espace civique et à l’État de droit, qui sont déjà menacés dans toute l’UE » , peut-on lire sur le site de l’ONG.
« La rapidité semble avoir prévalu sur la qualité, avec des conséquences potentiellement désastreuses pour l’économie européenne », a réagi de son côté Daniel Friedlaender, responsable Europe de la Computer and Communications Industry Association, « un des principaux lobbys du secteur de la technologie », écrit Le Monde. En filigrane, la crainte pour les acteurs européens de « rater un nouveau virage technologique », alors que les Français Mistral AI et Hugging Face, ou l’Allemand Aleph Alpha souhaitent concurrencer les géants comme OpenAI. L’UE espère néanmoins que ces mesures donneront l’exemple à travers le monde, et que d’autres pays mettront en place une régulation des usages de l’IA.
5 choses à savoir sur le projet européen de régulation de l’IA
L’Europe va réguler les usages de l’IA, en interdisant certaines pratiques à risque et en imposant des contrôles aux entreprises.
L’Union européenne travaille depuis plus de deux ans sur un projet de réglementation de l’intelligence artificielle : l’IA Act. Son objectif : permettre l’innovation en garantissant la sécurité et les droits des utilisateurs. Réunis jeudi 11 mai à l’occasion d’un vote en commission, les eurodéputés ont décidé de passer à la vitesse supérieure. Ils ont approuvé un projet de régulation de l’IA plus strict que le texte initial d’avril 2021, à une très grande majorité. Découvrez, en 5 points, ce qui se cache derrière l’IA Act.
1. Quel est l’objectif de l’IA Act ?
L’IA Act vise à fixer un cadre juridique uniforme à la commercialisation et à l’usage des intelligences artificielles. Il a pour but d’empêcher de potentielles dérives liées à l’IA, tout en laissant la place à l’innovation. « Nous avons réussi à trouver un compromis qui réglemente l’IA de manière proportionnée, protège les droits civils et stimule l’innovation et l’économie », s’est réjouit l’eurodéputée allemande Svenja Hahn à Reuters. L’adoption d’une telle réglementation serait une première mondiale à cette échelle.
2. Comment sera appliqué l’IA Act ?
L’Europe avance un texte reprenant les réglementations déjà appliquées en matière de sécurité des produits. Mais elle compte aussi, après classement des usages dits « à risque » des intelligences artificielles, imposer aux entreprises des contrôles. Ces applications de l’IA jugées « à risque » concernent les infrastructures critiques, l’éducation, les ressources humaines, le maintien de l’ordre ou la gestion des migrations.
Le texte mentionne que les entreprises qui développent ces IA doivent garantir le maintien d’un contrôle humain, la mise en place d’une documentation technique et d’un système de gestion du risque notamment. Chaque pays membre de l’UE aura son propre organe de contrôle. Aucune autre obligation ne sera imposée aux applications n’étant pas considérées comme à risque.
3. Des utilisations de l’IA purement et simplement interdites ?
Lors du vote, les eurodéputés ont donné leur feu vert à l’interdiction de l’utilisation de la reconnaissance faciale dans les espaces publics et des outils de police prédictive. Ce sont là deux exemples d’application de l’IA que l’Europe ne veut pas voir se développer sur son territoire. Dans le texte d’avril 2021, les systèmes établissant des notes sociales, d’identification biométrique, de manipulation subliminale et ciblant les personnes vulnérables étaient également visés.
4. Quel impact sur les IA génératives comme ChatGPT ?
Au sujet des IA génératives, qui redessinent le paysage numérique et se sont largement démocratisées ces derniers mois, de nouvelles mesures de transparence seront imposées. Des outils comme ChatGPT, Midjourney ou encore DALL-E devront très probablement divulguer quels contenus protégés par des droits d’auteur ont été utilisés pour entraîner leur modèle de langage.
En outre, ces IA devraient à l’avenir être testées par des experts indépendants pour contrôler les risques possibles concernant la sécurité, la santé, les droits fondamentaux, la démocratie ou encore l’environnement. Ces dangers difficiles à éviter et les potentiels usages malicieux devront être précisés dans une documentation distincte. Et dans tous les cas, le respect du RGPD sera essentiel.
5. Quand sera mis en place l’IA Act ?
L’ébauche de projet votée par les députés européens est un premier pas en avant vers l’adoption d’un texte complet de régulation des usages de l’IA, après deux ans de négociations. L’étape suivante du processus législatif est la confirmation en juin, lors d’une séance plénière de la commission, du résultat de ce premier accord.
S’en suivra alors une nouvelle période de négociations avec les États membres avant d’aboutir à la rédaction et au vote du texte final. Margrethe Vestager, vice-présidente de la commission, a fait part à la presse de sa volonté de « ne pas perdre de temps », et espère « avoir la première réunion de négociation politique avant l’été » afin de pouvoir la terminer cette année.
AI Act de l’Europe critiquée
En France, il y aura prochainement un encadrement du développement et de l’utilisation des intelligences artificielles, alors que ce secteur est en plein boom depuis l’apparition de ChatGPT en novembre 2022. Dans la nuit du 8 au 9 décembre 2023, la Commission européenne est arrivée à un accord à propos de l’AI Act, un texte qui vise à réguler les services comme ChatGPT ou Midjourney. L’UE promet que son AI Act n’est pas là pour freiner l’innovation, mais pour s’assurer que ces services resteront contrôlables.
Si l’Union européenne est devenue une référence internationale en matière de régulation du secteur de la tech (RGPD, Digital Services Act, DMA, l’USB-C sur tous les smartphones…), l’AI Act divise.
Certains reprochent à l’Europe d’avoir régulé pour réguler, ou d’avoir légiféré trop tôt alors que l’industrie de l’intelligence artificielle est encore balbutiante. D’autres considèrent que le texte ne s’attaque pas aux sujets essentiels, et bien plus critiques pour les droits des personnes, comme la reconnaissance faciale. Les reproches sont nombreux depuis le 9 décembre.
La reconnaissance faciale, un terrain de mésentente
Concrètement, voilà ce que change l’AI Act :
- Les systèmes d’IA seront désormais classés selon les risques qu’ils présentent, grâce à un système de notation déterminant leur impact sur la société. Ces notes sont renseignées par les fournisseurs des systèmes, qui devront les afficher pour chaque service proposé.
- Les IA à haut risque, utilisés dans la cadre de la sécurité ou la surveillance, sont soumis à des règlementations très strictes.
- Les IA à très haut risque, qui font usage de reconnaissance biométrique ou affectent les droits fondamentaux (la notation sociale, par exemple), sont interdites.
- Les entreprises qui proposent des IA doivent s’engager à respecter des règles sur la transparence, la non-discrimination et la responsabilité environnementale.
- Des êtres humains doivent pouvoir modérer les IA.
- Certains outils devront explicitement indiquer à leurs utilisateurs qu’ils ne parlent pas à une vraie personne.
Arriver à un accord sur l’AI Act n’a pas été facile, la faute à l’intense lobbying des grandes entreprises de la tech, qui ont tout fait pour empêcher l’Union européenne de leur mettre des bâtons dans les roues. Les groupes européens, comme Mistral, font parmi des plus inquiets. Ils reprochent à Bruxelles de laisser le champ libre aux entreprises américaines en régulant trop vite le secteur européen, alors que l’IA est encore à ses débuts. Une idée partagée par Xavier Niel qui a lancé son organisation Kyutai, qui vise à offrir à la France une alternative à OpenAI.
Un autre problème a particulièrement agité les débats : la reconnaissance faciale. Des logiciels peuvent retrouver une personne en quelques secondes grâce à l’intelligence artificielle, ce que certains veulent interdire. Le texte final interdit la reconnaissance faciale en temps réel ainsi que l’utilisation de technologies biométriques pour analyser les émotions, mais laisse une marge de manœuvre aux gouvernements. Comme le rapporte Mediapart, la France a notamment fait pression pour pouvoir utiliser la reconnaissance faciale dans un cadre de « menaces terroristes ou spécifiques, substantielle et imminente », notamment pour retrouver des personnes disparues.
Des garde-fous pour la reconnaissance faciale
Le texte vise à « garantir que les droits fondamentaux, la démocratie, l’État de droit et la préservation de l’environnement sont protégés contre les intelligences artificielles à haut risque », explique le Parlement. Les détails restent à découvrir (et on sait que le diable peut parfois s’y cacher), mais dans les grandes lignes l’AI Act interdit :
- la catégorisation biométrique selon les croyances politiques, religieuses ou philosophiques, l’orientation sexuelle, la couleur de la peau ;
- la collecte non ciblée d’images faciales sur internet ou à partir de vidéos de surveillance pour créer des bases de données de reconnaissance faciale ;
- la détection des émotions sur le lieu de travail et à l’école ;
- l’évaluation sociale basée sur le comportement ou les caractéristiques personnelles ;
- les systèmes d’IA qui manipulent les comportements pour brider le libre arbitre ;
- les systèmes d’IA qui exploitent les vulnérabilités des personnes en raison de leur âge, handicap, situation sociale ou économique.
De grands principes donc, qui ont au moins le mérite d’avoir été couchés sur le papier. Le texte prévoit toutefois des garde-fous et des exceptions ciblées pour l’utilisation de techniques d’identification biométrique dans l’espace public (pour les forces de l’ordre).
Pour les systèmes IA classifiés à haut risque, des obligations « claires » sont édictées en raison de leur potentiel de nuisance pour la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’État de droit. Une évaluation de l’impact sur les droits fondamentaux sera obligatoire, et c’est applicable également aux secteurs de l’assurance et de la banque. Les systèmes influençant les résultats aux élections et le comportement des électeurs sont classés à haut risque.
Les systèmes d’IA à « usage général » ainsi que leurs modèles devront se conformer aux exigences de transparence : documentation technique, respect du droit d’auteur, diffusion de résumés sur le contenu utilisé pour la formation du modèle. Enfin, pour les modèles qui présentent des « risques systémiques », les obligations sont plus strictes avec une communication accrue avec la Commission et la mise en place de codes de bonne conduite.
En cas de non respect des règles européennes, les entreprises s’exposent à des amendes pouvant se monter à 35 millions d’euros ou 7 % du chiffre d’affaires mondial.
e parcours législatif de l’AI Act est encore loin d’être terminé : il faut maintenant un accord formel du Parlement et du Conseil. Une fois le feu vert acquis, il y aura une période de transition avant la mise en œuvre effective des dispositions du texte.
Sources :https://www.blogdumoderateur.com - https://www.consilium.europa.eu - https://www.numerama.com - https://www.01net.com