AI Act : l'Europe peaufine ses armes pour réguler l'IA

La Parlement européen vient d'adopter l'AI Act, un texte destiné à encadrer l'activité des IA génératives comme ChatGPT, Bard ou Midjourney mais aussi, et surtout, à combattre toutes les dérives liées à l'intelligence artificielle.
Mieux vaut prévenir que guérir. Pour identifier, contenir voire interdire les dérives liées au déploiement de l'intelligence artificielle dans notre vie quotidienne, l'Europe veut se doter d'un cadre juridique spécifique. Le Parlement européen a entériné jeudi 11 mai un texte de 144 pages proposé en avril 2021 par la Commission européenne. Après le RGPD, et les récents DSA et DMA, l'IA Act (Artificial Intelligence Act) s'inscrit dans la politique, pionnière au niveau mondial, de régulation juridique européenne. Il vise à nous protéger, nous, citoyens français et européens, en préservant notre sécurité et nos droits des dangers de l'IA, tout en ne bridant pas, non plus, l'innovation technologique . "L'Europe veut une approche éthique, basée sur l'humain", résume Brando Benifei, rapporteur du texte au Parlement européen.
Cette proposition de règlement présente "quatre niveaux de protection : ce qui est interdit, ce qui est à haut risque, ce qui est à moyen risque et ce qui est autorisé", ajoute Thierry Breton (commissaire européen au Marché intérieur) cité par France Inter. Ce qui devrait être interdit tout d'abord… On parle ici des systèmes de contrôle des populations à l'instar du système de score ou de "crédit social" aujourd'hui massivement déployé en Chine et souvent jugé contraire aux valeurs fondamentales de l'Union européenne. Sont également dans le viseur de l'Europe, ce qui pourrait poser quelques problèmes d'adaptation à certains pays membres (dont la France), les systèmes d'identification biométriques à distance en temps réel des personnes dans les lieux publics par les forces de l'ordre, à des fins répressives.
Autre sujet qui pourrait faire l'objet d'une interdiction, la récolte massive de photos via les réseaux sociaux ou la vidéosurveillance (sans l'accord des personnes concernées) pour entraîner des IA et des algorithmes et in fine créer des bases de données de reconnaissance faciale. Les IA susceptibles de recourir à des techniques subliminales dans le but de manipuler ou de porter préjudice à la santé physique ou mentale des individus devraient également tomber sous le coup de la loi. Voilà pour les interdictions.
AI Act : imposer un contrôle humain de l'IA
Mais l'AI Act a bien d'autres ambitions. Il s'agit avant tout, en mettant en avant des principes de transparence, de traçabilité, de sécurité, de non-discrimination et de respect de l'environnement d'imposer aux systèmes d'IA, un contrôle, une validation humaine, de prévoir en quelque sorte un contrôle humain sur la machine et d'informer le public, le grand public, et donc en premier lieu les internautes que nous sommes. Concernant les IA génératives comme ChatGPT et MidJourney, les parlementaires européens souhaitent que chaque contenu créé par un IA, soit mentionné comme tel. Une disposition qui vise à lutter contre la prolifération des contenus illégaux, contre la manipulation de l'information mais aussi à protéger le droit d'auteur.
Autre point important, les algorithmes de recommandations utilisés par les réseaux sociaux et susceptibles d'être instrumentalisés en période électorale pour influencer le vote, pourraient être classés dans la catégorie des IA à haut risque, et donc placés sous haute surveillance. Les entreprises (comme Google ou OpenAI) qui fournissent des modèles d'IA de référence devront s'engager à respecter les droits fondamentaux mais devront également également s'enregistrer dans la base de données de l'UE (Union européenne). En cas de non-respect de ces engagements les sanctions financières pourraient aller jusqu'à 30 millions d'euros ou 6% des profits mondiaux de l'entreprise concernée. Un régime de sanction qui rappelle celui mis en place par le RGPD.
Par ailleurs, l'IA étant une matière évolutive, à défaut d'être vivante, la Commission européenne compte "organiser tous les six mois une sorte de révision pour que le règlement ne soit pas obsolète", ajoute Nathalie Devillier, docteur en droit, citée par France Inter. Les agences nationales, comme la Cnil en France, travailleront sur les ajustements à apporter. Autre point à ne pas négliger, les citoyens européens pourront porter plainte contre des systèmes d'IA s'ils estiment que leurs droits ne sont pas respectés.
À quelle échéance ce nouveau cadre législatif européen pourrait-il entrer en application ? En pratique, pour le moment, l'AI Act a été adopté en commission par les eurodéputés ; le texte doit encore être voté en session plénière au mois de juin puis la négociation se poursuivra au niveau du Conseil européen. Une adoption définitive d'ici à la fin de l'année 2023 n'est donc plus à exclure. Cependant, comme pour le RGPD, une période de grâce de deux ans devrait être accordée aux acteurs économiques concernés pour que chacun puisse s'adapter en toute sérénité à cette nouvelle donne juridique.