« Hallucinations » de ChatGPT, réutilisations des données personnelles, manque de transparence du système… Alors que les nombreuses questions ou couacs viennent obscurcir l’engouement que suscitent ChatGPT, Midjourney et tous les autres outils de d’intelligence artificielle générative, l’Union européenne travaille depuis des mois sur un texte qui régulera le secteur de l’IA. Le 11 mai dernier, une étape décisive a été franchie. Les Eurodéputés ont donné leur premier feu vert à « l’AI Act », ou le règlement européen sur l’IA. L’accord politique trouvé en commission au Parlement européen devrait être adopté en assemblée plénière à la mi-juin.
Le texte, depuis des mois sur les tables des députés européens, pourrait devenir l’une des premières lois au monde sur l’intelligence artificielle. La réglementation pourrait être suivie partout dans le monde, comme cela a été le cas pour le RGPD, le règlement sur les données personnelles. Mais un certain nombre de sujets, comme la reconnaissance faciale ou les outils de générations de texte, de code, d’images suscitent encore de nombreux désaccords. À quoi servira ce texte, quels grands principes contient-il, et en quoi pourrait-il vous impacter ? Voici ce qu’il faut en retenir.
1. L’AI Act, premier des trois piliers à règlementer le secteur de l’IA
Après la Chine qui a déjà émis de grands principes, l’AI Act sera l’un des premiers textes au monde à imposer de nouvelles obligations de transparence et de gouvernance aux développeurs d’intelligences artificielles. Il vise à mettre fin au « far west » actuel et permettra de mieux protéger les citoyens européens. En cas de non-respect de ces nouvelles règles, les entreprises du secteur risquent gros : en plus d’être exclues du marché de l’UE, elles pourraient avoir à payer des amendes allant jusqu’à 30 millions d’euros ou 4% de leur chiffre d’affaires.
Ce texte est conçu comme le premier et principal texte d’un ensemble de trois éléments qui constitueront la future législation européenne.
- L’AI Act va imposer aux développeurs d’IA comme OpenAI pour ChatGPT, Google pour Bard et tous les autres de nouvelles obligations de transparence et de gouvernance.
- Dans un deuxième temps, une future directive – pas encore en discussion mais présentée en septembre dernier – réglera la question de la responsabilité en cas de dommages physiques ou moraux causés par l’IA aux citoyens européens.
- Des normes techniques seront enfin émises dans un troisième temps par le Cen Cenelec, le Comité européen de normalisation en électronique et en électrotechnique. Ce dernier précisera techniquement ce que veulent dire les obligations de l’AI Act. « Le règlement prévoit par exemple des obligations de transparence. Une fois qu’on a dit ça, on n’a pas tout dit », explique Arnaud Latil, maître de conférences de droit privé à Sorbonne Université et membre du Sorbonne Center for Artificial Intelligence (SCAI). « La transparence pour une IA générative ne sera pas la même que pour une IA d’analyse de la qualité de produits dans l’industrie. C’est la mise en œuvre de cette transparence qui va être définie par ce comité », ajoute le spécialiste.
2. Seules des utilisations de l’IA sont règlementées, pas l’IA en elle-même
Autre point à comprendre : l’IA Act est pensé comme un texte qui va réguler des usages particuliers de l’IA. L’idée n’est pas de dire si une technologie est bonne ou mauvaise, mais de voir comment elle est utilisée, et quel risque cette utilisation entraîne pour les citoyens européens. En fonction du degré de risque, l’IA va tomber dans l’une des quatre catégories définies : des IA à risque inadmissible, à très haut risque, à risque modéré, et à moindre risque. Cette pyramide des risques va imposer des obligations plus ou moins fortes de transparence et de gouvernance aux développeurs d’IA. Plus le risque est important, et plus les obligations vont être fortes.
- Les IA à usage inacceptable sont totalement interdites. Ce sera par exemple le cas pour le scoring social, une notation des individus en fonction de leur fiabilité. Même chose pour les systèmes visant à manipuler par des techniques subliminales et qui agiraient sur l’inconscient… ou ceux qui exploitent la vulnérabilité d’une personne.
- Les IA à usage à haut risque devront passer par des procédures d’évaluation préalable, et de contrôle de conformité avant de pouvoir être accessibles aux Européens.
Sont concernés les outils de gestion et d’exploitation des infrastructures critiques, des systèmes d’IA relatifs à l’éducation, aux services privés essentiels et publics, à la migration, aux ressources humaines et aux contrôles aux frontières. Un outil d’analyse de CV qui classe les candidats à l’emploi entrerait dans cette catégorie.
Les entreprises devront notamment – et la liste est très longue – mettre en place un système de gestion du risque, un contrôle humain du système, une documentation technique, une politique contraignante de gouvernance des données utilisées pour l’entraînement. Elles devront aussi respecter des obligations d’exactitude, de robustesse et de cybersécurité… Le respect de ces dispositions sera contrôlé par des autorités de surveillance désignées dans chacun des 27 Etats membres.
- Les usages à risque modéré ne sont soumis qu’à une obligation de transparence vis-à-vis des utilisateurs.
- Les usages à faible risque ne sont pas régulés par l’AI Act comme les jeux vidéo dotés d’une IA ou les filtres anti-spam.
3. Adopter un règlement européen prend beaucoup de temps
La proposition de la Commission européenne date du 21 avril 2021. Pourquoi le texte n’a-t-il toujours pas été adopté aujourd’hui, alors que l’appel à réguler le secteur est lancé depuis des mois, provenant autant de représentants de l’UE que d’acteurs de l’IA comme Sam Altman, le patron d’Open AI à l’origine de ChatGPT ? D’abord parce qu’adopter un règlement au sein de l’UE prend des années. Il avait fallu sept ans au RGPD pour devenir loi. Et pourtant, plaidait la vice-présidente de la Commission européenne, Margrethe Vestager le 8 mai dernier, « il faut aller plus vite » pour adapter notre législation à l’IA.
Pour qu’un texte devienne une loi européenne, on oublie souvent qu’il faut l’accord de trois grandes instances : la Commission européenne (l’exécutif), le Parlement européen (la voix des citoyens) et le Conseil (qui représente les 27 États-membres). Dans un premier temps, chacun des trois organes doit émettre une seule et unique position. La Commission est celle qui a écrit le texte. Le Conseil a déjà travaillé sur le règlement et a émis un compromis à l’automne dernier – avec des modifications. Et c’est désormais au tour du Parlement de proposer un seul et unique texte, un chemin qui peut être long et douloureux. Sur ce texte, les 705 Eurodéputés ont émis des milliers d’amendements.
A lire aussi : L’Europe ne protège pas assez notre vie privée face aux Gafam, selon une ONG
Une fois que cette étape sera franchie – ce qui devrait être le cas lors du vote en assemblée plénière mi-juin, commencera ce qu’on appelle le Trilogue. Les 3 organes se mettent autour de la table et doivent trouver un terrain d’entente sur un seul texte avant le grand vote final.
4. L’arrivée de ChatGPT a rallongé les débats
Sur ce processus déjà long est arrivé un imprévu de taille : ChatGPT. Le texte a été proposé le 21 avril 2021, soit plusieurs mois avant l’émergence des IA génératives. À l’époque, on avait estimé que l’approche par les risques, déjà adoptée pour le RGPD, le règlement sur les données personnelles ou le DSA, le Digital Services Act, était adapté.
A lire aussi : Comment une start-up a défié Google pour vous rendre le contrôle de vos données personnelles
Or, avec le lancement de ChatGPT en novembre 2022, et l’explosion de l’IA générative et de tous les outils de génération de contenus, « on a pris conscience, un peu dans l’urgence, qu’en réalité il y a des outils dont les usages sont multiples. Et si on veut les saisir dans leur ensemble, il faut se départir de l’approche par les usages », explique Arnaud Latil. Traduction : alors que c’était au tour des Eurodéputés d’examiner le règlement et de se mettre d’accord, ChatGPT a rebattu les cartes. On s’est rendu compte que la même IA pouvait présenter des usages et des risques différents. Les députés européens se sont alors demandés s’ils ne devaient pas ajouter des dispositions spécifiques à cette intelligence artificielle en particulier.
Quel problème pose l’approche par les usages ? D’un côté, cela permet de concentrer le débat public sur ce qui est le plus grave et le plus dangereux, et de passer en second rang, ce qui est accessoire. Mais de l’autre, « distinguer en fonction du niveau de risque, ce n’est d’abord pas une science exacte. Le danger de l’approche par les risques, c’est son instrumentalisation », souligne Arnaud Latil. Le législateur, en se demandant si une IA présente un risque, va s’appuyer sur l’avis des scientifiques, mais aussi sur sa conviction politique de ce qu’il considère comme étant une chose à risque.
Les caméras augmentées, dont l’utilisation a été confirmée en France par le Conseil constitutionnel pendant les JO de Paris, constituent-elles par exemple un risque ? « Certains vont vous dire que oui, d’autres que non et là, toute expertise scientifique, au bout d’un moment, va être dictée par la branche politique », résume le professeur.
5. Les Eurodéputés ont ajouté… beaucoup de choses
Au sein du Parlement européen, la question d’ajouter ou pas des règles spécifiques à l’IA générative a été âprement débattue. Et finalement, les députés ont estimé qu’il fallait alourdir les obligations pour ces IA en particulier, notamment en matière de transparence et de respect des droits fondamentaux. Les Eurodéputés ont ajouté « une obligation d’entraîner et de développer les IA génératives de telle manière à ce que ça ne porte pas atteinte aux droits fondamentaux, notamment la liberté d’expression. Cela reste pour l’instant un peu flou », analyse Arnaud Latil. Autre élément apporté par les députés : l’entraînement des IA génératives ne devra désormais pas porter atteinte au droit d’auteur.
Ces éléments sont loin d’être les seuls. Les Eurodéputés ont allongé la liste des usages interdits par rapport à ce qu’avaient prévu la Commission et le Conseil. Les IA se basant sur la reconnaissance des émotions, qui peuvent être utilisées par les employeurs ou la police pour identifier des salariés ou des conducteurs fatigués, sont désormais totalement interdites. Point de tension particulièrement accru : les députés ont aussi interdit l’identification biométrique à distance (donc la reconnaissance faciale) dans les lieux publics, à la fois en temps réel et après coup. L’utilisation a posteriori reste néanmoins possible si un juge l’a autorisé, en amont.
Sur ce point, les lignes pourraient encore bouger jusqu’au vote final. Mais pour le co-rapporteur du texte, Brando Benifei, l’important n’est pas là. L’AI Act, qui régulera un secteur en pleine expansion, a aussi pour objectif d’apaiser les inquiétudes soulevées par l’IA comme son impact sur l’emploi et sur la démocratie. Il explique : « Avec notre texte, nous montrons quel type de société nous voulons, une société où (…) la police prédictive, la catégorisation biométrique, la reconnaissance émotionnelle et la récupération discriminatoire d’images faciales sur Internet sont considérés comme des pratiques inacceptables ».