AI Act : l'Europe dégaîne ses armes pour réguler l'IA

La Parlement européen vient d'adopter l'AI Act, un projet de loi destiné à encadrer l'activité des IA génératives comme ChatGPT, Bard ou Midjourney, mais aussi à combattre toutes les dérives liées à l'intelligence artificielle.

Mieux vaut prévenir que guérir. Pour identifier, contenir voire interdire les dérives liées au déploiement de l'intelligence artificielle dans notre vie quotidienne, l'Europe veut se doter d'un cadre juridique spécifique. Le Parlement européen a adopté le 14 juin le projet de loi AI Act, (Artificial Intelligence Act), avec 499 voix pour, 28 voix contre et 93 abstentions. Les discussions avec les États membres de l'UE sur la forme finale de la loi devraient avoir lieu d'ici la fin de l'année. Initialement proposé par la Commission européenne en avril 2021, l'IA Act s'inscrit dans la politique, pionnière au niveau mondial, de régulation juridique européenne, après le RGPD et les récents DSA et DMA. Il vise à nous protéger, nous, citoyens français et européens, en préservant notre sécurité et nos droits des dangers de l'IA – notamment au niveau de la surveillance humaine, de la sécurité, de la vie privée, de la transparence des algorithmes, de la non-discrimination et du bien-être social et environnemental –, tout en ne bridant pas, non plus, l'innovation technologique. Il cherche également à accroitre la responsabilité des entreprises, à créer une autorité de régulation de l'IA et à mettre l'accent sur la dimension éthique. Il constitue la première loi sur l'IA émanant d'une autorité de régulation majeure dans le monde.

AI Act : des interdictions pour les IA à haut risque

Cette proposition de règlement présente quatre niveaux de protection : ce qui est interdit, ce qui est à haut risque, ce qui est à moyen risque et ce qui est autorisé. On parle ici des systèmes de contrôle des populations à l'instar du système de score ou de "crédit social" aujourd'hui massivement déployé en Chine et souvent jugé contraire aux valeurs fondamentales de l'Union européenne. Le projet de loi considère également comme utilisation à haut risque les applications d'IA "qui portent atteinte de manière significative à la santé, à la sécurité, aux droits fondamentaux ou à l'environnement". C'est le cas pour les IA utilisées pour influencer les électeurs et le résultat des élections. Autre sujet qui pourrait faire l'objet d'une interdiction, la récolte massive de photos via les réseaux sociaux ou la vidéosurveillance (sans l'accord des personnes concernées) pour entraîner des IA et des algorithmes et, in fine, créer des bases de données de reconnaissance faciale. Voilà pour les interdictions.

Sont également dans le viseur de l'Europe – ce qui pourrait poser quelques problèmes d'adaptation à certains pays membres, dont la France – les systèmes d'identification biométrique à distance en temps réel des personnes dans les lieux publics par les forces de l'ordre, à des fins répressives. Cela concerne les systèmes d'identification biométrique à distance en temps réel et a posteriori dans les espaces publics – notons que le Sénat français vient d'adopter une proposition de loi autorisant l'expérimentation de la reconnaissance faciale dans l'espace public (voir notre article) –, les systèmes de catégorisation biométrique utilisant des caractéristiques sensibles (le sexe, la race, l'appartenance ethnique, le statut de citoyen, la religion, l'orientation politique...) et systèmes de police prédictive, c'est-à-dire basés sur le profilage, la localisation ou le comportement criminel antérieur – là encore, la France vient d'adopter une loi autorisant ce type d'utilisation dans le cadre des JO 2024 (voir notre article). Est également concernée l'extraction non ciblée d'images faciales sur Internet ou de séquences de vidéosurveillance pour créer des bases de données de reconnaissance faciale.

AI Act : imposer un contrôle humain à l'IA

Mais l'AI Act a bien d'autres ambitions. Il s'agit avant tout, en mettant en avant des principes de transparence, de traçabilité, de sécurité, de non-discrimination et de respect de l'environnement d'imposer aux systèmes d'IA, un contrôle, une validation humaine, de prévoir en quelque sorte un contrôle humain sur la machine et d'informer le public, le grand public, et donc en premier lieu les internautes que nous sommes. Concernant les IA génératives comme ChatGPT et MidJourney, les parlementaires européens souhaitent que chaque contenu créé par une IA, soit mentionné comme tel. Une disposition qui vise à lutter contre la prolifération des contenus illégaux – les entreprises devront d'ailleurs mettre en place des mesures de protection à ce sujet –, contre la manipulation de l'information via des fake news, mais aussi à protéger le droit d'auteur.

Autre point important, les algorithmes de recommandation utilisés par les réseaux sociaux et susceptibles d'être instrumentalisés en période électorale pour influencer le vote pourraient être classés dans la catégorie des IA à haut risque, et donc placés sous haute surveillance. Les entreprises – comme Google ou OpenAI – qui fournissent des modèles d'IA de référence devront s'engager à respecter les droits fondamentaux, mais devront également s'enregistrer dans la base de données de l'UE. De plus, les entreprises seront tenues responsables des actions de leurs systèmes d'IA. Aussi, si ces derniers causent un préjudice, elles en subiront les conséquences légales. Un moyen de forcer l'industrie à s'investir davantage dans la sécurité et la fiabilité de ses systèmes d'IA – en ne les laissant pas répandre de fausses informations ou encouragert les utilisateurs au suicide par exemple, comme cela a été le cas. En cas de non-respect de ces engagements, les sanctions financières pourraient aller jusqu'à 30 millions d'euros ou 6 % des profits mondiaux de l'entreprise concernée, ainsi qu'au retrait des applications et des services sur le territoire – comme lorsque l'Italie avait temporairement interdit ChatGPT. Un régime de sanction qui rappelle celui mis en place par le RGPD et qui retarde déjà le déploiement de l'IA de Google, Bard, en Europe.

Par ailleurs, l'IA étant une matière évolutive à défaut d'être vivante, la Commission européenne compte "organiser tous les six mois une sorte de révision pour que le règlement ne soit pas obsolète", expliquait Nathalie Devillier, docteure en droit, en mai 2023. Les agences nationales, comme la CNIL en France, travailleront sur les ajustements à apporter. Autre point à ne pas négliger, les citoyens européens pourront porter plainte contre des systèmes d'IA s'ils estiment que leurs droits ne sont pas respectés.

AI Act : protéger les droits des citoyens

Il est primordial de protéger les droits des citoyens et de donner à ces derniers les moyens de le faire. L'adoption rapide de ChatGPT et de Bing Chat a conduit de nombreux scientifiques, experts de l'IA et chefs d'entreprises – dont Sam Altman, le PDG d'Open AI ! – à tirer la sonnette d'alarme sur les dangers de cette technologie, allant jusqu'à affirmer qu'elle pourrait signer à terme la fin de l'humanité. Aussi, les députés souhaitent renforcer le droit des citoyens à déposer des plaintes concernant les systèmes d'IA et à recevoir des explications sur les décisions basées sur des systèmes d'IA. Brando Benifei, le co-rapporteur italien, se félicite que, "alors que les grandes entreprises technologiques tirent la sonnette d'alarme sur leurs propres créations, l'Europe est allée de l'avant et a proposé une réponse concrète aux risques que l'IA commence à poser".

L'AI Act est également un moyen de développer le marché européen de l'IA, en inspirant confiance aux utilisateurs, et donc d'encourager l'innovation européenne. Le co-rapporteur Dragos Tudorache déclare que "la loi sur l'IA donnera le ton au niveau mondial en matière de développement et de gouvernance de l'intelligence artificielle, en veillant à ce que cette technologie, appelée à transformer radicalement nos sociétés grâce aux avantages considérables qu'elle peut offrir, évolue et soit utilisée conformément aux valeurs européennes de démocratie, de droits fondamentaux et d'État de droit".

À quelle échéance ce nouveau cadre législatif européen pourrait-il entrer en application ? L'AI Act ayant été voté en session plénière, la négociation se poursuivra au niveau du Conseil européen. Une adoption définitive d'ici à la fin de l'année 2023 n'est donc plus à exclure. Cependant, comme pour le RGPD, une période de grâce de deux ans devrait être accordée aux acteurs économiques concernés pour que chacun puisse s'adapter en toute sérénité à cette nouvelle donne juridique. Reste que l'Europe est plus avancée que les États-Unis et d'autres pays occidentaux en matière de réglementation de l'IA, les 27 États membres débattant du sujet depuis plus de deux ans maintenant.