Vers un encadrement européen de l’intelligence artificielle
Les autorités européennes viennent de trouver un accord final sur le règlement encadrant l’usage de l’intelligence artificielle, communément désigné comme l’AI Act. La première version du texte, présentée au printemps 2021 par la Commission européenne, a donné lieu à d’âpres négociations et à un intense travail de lobbying, révélant les enjeux majeurs de ce texte pour les prochaines années.
Par Samir Merabet, Professeur de droit privé et sciences criminelles à l’Université des Antilles
Quel est le champ d’application de l’AI Act ?
Un peu sur le modèle du RGPD, l’AI Act retient un champ d’application particulièrement étendu. D’abord, le texte s’applique autant aux autorités publiques et qu’aux personnes privées, qu’il s’agisse de personnes morales ou physiques. Il concerne donc autant l’administration française que les géants du numérique. Ensuite, le règlement a vocation à s’appliquer de manière extensive à toute personne qui participe à la conception ou à l’exploitation d’un système d’intelligence artificielle, qu’il s’agisse d’un « fournisseur » ou d’un « utilisateur », au sens du texte. Enfin, cette réglementation bénéficie d’un champ d’application territoriale important. Il s’applique notamment à tout « fournisseur » ou « utilisateur » indépendamment de leur localisation, dès lors que les résultats générés par l’IA sont utilisés dans l’Union européenne. La plupart des systèmes utilisés sur le territoire de l’UE relèveront donc de cette réglementation.
Qu’est-ce que l’intelligence artificielle au sens de ce texte ?
Le règlement ne retient pas une approche technique de l’intelligence artificielle. Les autorités européennes font le choix d’une appréhension générale des systèmes algorithmiques, ce qui conduit à encadrer de très nombreux services, allant de la reconnaissance faciale aux systèmes d’aide à la décision utilisés dans les domaines les plus variés.
Malgré cette appréhension générale des intelligences artificielles, le récent succès des systèmes d’IA génératives a conduit la proposition de règlement à évoluer, pour reconnaître la catégorie particulière des modèles d’IA à usage général. Parmi ceux-ci figurent les IA génératives comme ChatGPT, pour lesquelles des règles spécifiques sont consacrées, notamment en matière de transparence.
Quels sont les risques de l’intelligence artificielle appréhendés par le règlement ?
La principale méthode retenue par le règlement consiste à distinguer les intelligences artificielles selon le degré de risques qu’elles génèrent. Trois degrés de risques sont envisagés, renvoyant à des contraintes réglementaires plus ou moins importantes.
D’abord, le règlement envisage les IA présentant des risques limités. Dans ce cas, les règles applicables seront peu nombreuses. Essentiellement des obligations d’information destinées à informer l’utilisateur d’un service que celui-ci est fourni au moyen de systèmes d’intelligence artificielle.
Ensuite, le texte envisage les intelligences artificielles à haut risque, qu’il identifie soit par leur fonction soit par les dangers qu’elles font naître. Relèvent de cette catégorie les systèmes suscitant des risques pour la santé, la sécurité, les droits fondamentaux, la démocratie ou encore l’État de droit. La catégorie est suffisamment extensive pour y intégrer de très nombreux services reposant sur des systèmes d’intelligence artificielle. Sont ainsi concernés les outils utilisés pour analyser ou filtrer des candidatures ou évaluer des candidats, les systèmes d’évaluation d’un assuré pour déterminer son risque et le montant de sa prime d’assurance ou ceux déterminant l’accès à des prestations essentielles. On pense ici par exemple à ceux utilisés par les services administratifs pour l’octroi et le calcul de prestations sociales. Tous ces systèmes d’IA à haut risque devront donner lieu à un enregistrement.
Enfin, le règlement réserve l’hypothèse des intelligences artificielles présentant un risque intolérable, dont l’utilisation est purement et simplement interdite. Il s’agit par exemple des systèmes de crédit social destiné à analyser des comportements pour attribuer des notes aux citoyens, de certains systèmes de reconnaissance des émotions, des systèmes capables de manipuler les comportements humains ou d’exploiter certaines vulnérabilités ou encore des outils de police prédictive visant les personnes. L’interdiction étant radicale, le règlement réserve quelques exceptions en matière d’identification biométrique par les pouvoirs publics.
Quels principes sont consacrés pour encadrer l’intelligence artificielle ?
Lorsque l’usage de certaines applications d’intelligence artificielle n’est pas purement et simplement interdit, le droit de l’Union européenne consacre de nombreux principes destinés à en prévenir les dangers. Les règles concernent les systèmes d’IA à haut risque. Sont ainsi envisagées diverses mesures techniques comme l’exigence d’un système de gestion des risques, des règles relatives à la gouvernance des données, à la documentation technique ou aux mesures d’enregistrement de l’activité de l’intelligence artificielle, un peu sur le modèle des enregistreurs de vol souvent désignés par l’appellation « boîtes noires ».
Certaines mesures retiennent particulièrement l’attention. C’est par exemple le cas du « contrôle humain » destiné à prévenir une forme de déshumanisation de certaines activités, du fait de l’utilisation de dispositifs d’intelligence artificielle. Le règlement énonce une série de moyens permettant d’assurer le respect d’un tel contrôle. L’idée générale du dispositif est que la conception de ces systèmes permet à l’utilisateur de garder la main, en décidant par exemple de ne pas utiliser le système ou d’en interrompre le fonctionnement. Une autre mesure phare du texte concerne la transparence des systèmes d’intelligence artificielle. Cela passe par la communication de diverses informations relatives à l’identité du fournisseur ou aux caractéristiques et performances du système en question. Ces mesures ont pour but d’identifier d’éventuels dysfonctionnements ou d’imputer des responsabilités, le cas échéant. Les dernières négociations portaient sur une nouvelle dimension de ce devoir de transparence, notamment à propos des données utilisées par les systèmes d’IA génératives, en vue de déterminer les éventuelles violations des droits d’auteur commises à cette occasion.
Quel est l’avenir de ce texte ?
L’accord intervenu le 9 décembre dernier doit permettre l’adoption formelle du règlement par le Parlement et le Conseil. Après l’entrée en vigueur du texte, ses effets seront mis en œuvre progressivement. Il sera entièrement applicable 24 mois après cette date. À ce stade, plusieurs questions restent en suspens, qui supposent l’adoption des mesures techniques nécessaires à la mise en œuvre du règlement. Certains sujets sensibles, comme la transparence appliquée aux systèmes d’IA génératives, pourraient encore évoluer à cette occasion.
