Intelligence artificielle - une réglementation en construction
Ce qu'il faut retenir
L’Union européenne est entrain de construire un droit européen de l’intelligence artificielle : une proposition de règlement, dont l’objet est d’établir des règles harmonisées, a été publiée en avril 2021, axée sur les risques et la responsabilisation des producteurs de systèmes d’intelligence artificielle, suivie de deux propositions de directives le 28 septembre 2022, dont l’objet est de définir et d’encadrer le régime de responsabilité lié aux systèmes d’IA. Ce règlement devrait être adopté d’ici début 2024. Le présent article porte sur la proposition de règlement - ou AI Act.
Dans sa communication sur la stratégie numérique en 2021, la Commission européenne annonçait vouloir investir au minimum 1 milliard d’euros par an dans l’IA, et 20 milliards sur la décennie, en mobilisant les Etats-membres et les entrepreneurs privés. (1) Les enjeux du développement de l’IA sont ainsi non seulement humains, mais également économiques.
Avant d’être encadrée par des règles de droit, l’intelligence artificielle a fait l’objet de multiples travaux de réflexion autour de principes d’éthique. Ces travaux ont donné lieu à la publication de plusieurs documents de référence : lignes directrices, chartes, recommandations. Ces règles, non contraignantes et évolutives, ont permis de prendre la mesure de l’entrée de l’IA dans nos vies, tant privée que professionnelle.
Toutefois, ces règles éthiques ne sont pas suffisantes. L’accélération du déploiement des systèmes d’IA dans notre société rend désormais nécessaire de traiter les risques de manière plus formelle et de responsabiliser les acteurs du domaine -fournisseurs, distributeurs, utilisateurs. Une seconde étape dans le développement de l’IA passe donc par une approche normative.
1. La construction d’un premier cadre souple par l’éthique
L’intelligence artificielle n’est pas vraiment nouvelle. Cependant, nous assistons depuis ces toutes dernières années à une accélération de l’utilisation de ces systèmes dans de très nombreux secteurs de l’économie et dans notre vie quotidienne : développement de plus en plus poussé de la robotisation, systèmes d’aide à la conduite et de conduite autonome, déploiement dans la médecine et la finance, objets connectés, traduction automatique, chatbots, etc.
L’intelligence artificielle suscite des réactions de deux ordres : d’une part, on reconnaît les avantages apportés par les systèmes d’IA (rapidité d’analyse de données, de fourniture de réponses, d’exécution, etc.) ; d’autre part, l’intelligence artificielle inquiète par les nouveaux risques générés par ces systèmes pour les droits des individus.
a) L’approche de l’IA par l’éthique, ou soft law
L’approche de l’IA par l’éthique, ou soft law, a permis le développement d’une réflexion sur les bienfaits et les risques de l’IA. Plusieurs groupes se sont constitués aux niveaux national et international.
Parmi ces différentes initiatives, on retiendra notamment :
- La Stratégie nationale pour l’IA : en France, le Gouvernement a lancé, courant 2017, une réflexion sur le développement de l’IA. Dans la “Stratégie nationale pour l’IA”, les auteurs déclarent que : “La construction d’un modèle éthique de l’intelligence artificielle est plus que jamais un facteur clé de succès dans la compétition internationale et pour la protection des droits fondamentaux” ; (2)
- Les Lignes directrices en matière d’éthique pour une IA digne de confiance de la Commission européenne, publiées le 8 avril 2019 ; (3)
- La Recommandation du Conseil sur l’intelligence artificielle, adoptée le 22 mai 2019 par l'Observatoire des politiques relatives à l’IA de l’OCDE ; (4)
- Le Partenariat Mondial sur l’Intelligence Artificielle (PMIA, ou Global Partnership on AI - GPAI), lancé à l’initiative de la France et du Canada en juin 2020, visant à guider le développement et l’utilisation responsables de l’IA. (5)
Deux axes forts émergent de ces travaux :
1. Un axe “humain”, à savoir, la nécessaire préservation des droits de l’homme et de la société, avec la création d’une IA de confiance protégeant les droits fondamentaux.
Dans les Lignes directrices de la Commission européenne, les auteurs qualifient une intelligence artificielle digne de confiance si “elle présente les trois caractéristiques suivantes, qui devraient être respectées tout au long du cycle de vie du système: a) elle doit être licite, en assurant le respect des législations et réglementations applicables; b) elle doit être éthique, en assurant l’adhésion à des principes et valeurs éthiques; et c) elle doit être robuste, sur le plan tant technique que social car, même avec de bonnes intentions, les systèmes d’IA peuvent causer des préjudices involontaires.”
2. Un axe économique, à savoir, la sécurisation du marché et la stimulation de l’innovation, avec la création d’un environnement économique porteur pour favoriser la recherche et le développement de systèmes d’IA en Europe, face à une compétition internationale intense.
Cependant, l’éthique, bien que nécessaire, reste insuffisante pour réguler l’intelligence artificielle, notamment concernant la responsabilité des fabricants de systèmes d’IA, et la réparation des dommages résultant de l’utilisation de systèmes d’IA.
b) Les tentatives de définition - une approche transversale de l’IA
Il n’existe pas, à ce jour, de définition unique de l’IA. Plusieurs organismes, dans le cadre de ces réflexions, se sont toutefois lancés dans le difficile exercice de définir précisément ce qu’est l’intelligence artificielle.
En 2018, l’ACPR donnait la définition suivante : “Ensemble des techniques et des applications qui permettent de créer une machine capable d’imiter, de manière autonome, l’intelligence humaine”. (6)
En 2019, l’OCDE dans la Recommandation du Conseil sur l’intelligence artificielle, définissait le système d’IA comme “un système automatisé qui, pour un ensemble donné d'objectifs définis par l'homme, est en mesure d’établir des prévisions, de formuler des recommandations, ou de prendre des décisions influant sur des environnements réels ou virtuels. Les systèmes d'IA sont conçus pour fonctionner à des degrés d’autonomie divers.”
Enfin, dans sa version initiale, la proposition de règlement européen donne la définition suivante : “Un système d’intelligence artificielle est un logiciel développé au moyen d’une ou plusieurs des techniques et approches (énumérées à l’annexe 1) et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit.”
On se rend compte que l’IA ne recouvre pas une technologie unique. L’IA est protéiforme, ce qui rend les tentatives de définition difficiles. L’objectif de la réglementation à venir sera d’élaborer une définition de l’intelligence artificielle assez générique, neutre technologiquement, afin qu’elle reste applicable dans la durée.
2. Le développement du droit de l’intelligence artificielle : la phase normative
Une réglementation est en train de prendre forme à l’échelle européenne. Ce cadre réglementaire, qui s’appuie sur le socle des réflexions éthiques, pose les règles du droit de la responsabilité en matière d’IA. Il se décline selon un tryptique composé d’une proposition de règlement du 21 avril 2021 concernant l’intelligence artificielle (“AI Act”), (7) et de deux propositions de directives du 28 septembre 2022 axées sur la responsabilité.
En février 2020, la Commission européenne a publié un livre blanc intitulé “Intelligence artificielle - Une approche européenne axée sur l’excellence et la confiance”. Ce livre blanc soulignait notamment les risques engendrés par certains systèmes d’IA tels que les atteintes aux droits fondamentaux ou à la sécurité des personnes et proposait la labellisation de certains systèmes d’IA.
La proposition de règlement sur l’intelligence artificielle a été conçue dans la continuité de ce document. On y retrouve également la double approche exposée dans les Lignes directrices sus-visées, à savoir protection des individus (mettre en place un cadre réglementaire visant à protéger les droits et libertés des individus par la responsabilisation des acteurs de l’IA) et développement économique (garantir la sécurité juridique pour faciliter les investissements et l’innovation de systèmes d’IA légaux et sûrs).
a) La classification des systèmes d’IA - une approche par les risques
L’AI Act classifie les systèmes d’IA en fonction des risques. Cette classification a évolué lors de l’examen de la proposition de règlement en commission parlementaire (commissions des Libertés civiles et du Marché intérieur) en mai dernier.
Quatre catégories de SIA sont identifiées, présentées sous la forme d’un schéma pyramidal en fonction des risques d’atteinte potentielle aux droits fondamentaux :
En bas de la pyramide se situent les IA à risque minimum ;
Au deuxième étage se situent les IA à risque limité, telles que les chatbots ou les “deepfakes”. Ces IA peuvent être mises sur le marché sans autre restriction que l’assurance de la sécurité des produits et une obligation d’information si le contenu est généré par des moyens automatisés ;
Au troisième étage se situent les systèmes d’IA à haut risque. Ces systèmes comprennent par exemple, les systèmes d’identification biométrique, les IA utilisées dans le cadre d’infrastructures critiques ou de services publics essentiels. C’est cette catégorie d’IA qui fait l’objet des principales dispositions proposées ;
Enfin, au sommet figurent les IA interdites, car représentant une menace inacceptable pour les droits des individus ou la sécurité. Les IA interdites recouvrent les systèmes ayant pour objet la manipulation des comportements, le crédit social, la reconnaissance faciale dans les espaces publics (des exceptions existent cependant), l’exploitation des vulnérabilités de certains groupes de personnes (y compris les vulnérabilités dues à leur situation sociale ou économique).
Le Parlement a étendu les interdictions aux IA de catégorisation biométrique, à la police prédictive et à la récupération d’images faciales pour constituer des bases de données, ainsi qu’aux logiciels de reconnaissance des émotions pour le maintien de l’ordre, la gestion des frontières, du travail, et dans l’éducation.
b) Les systèmes d’IA à haut risque
La réglementation se focalise sur les systèmes d’IA à haut risque, non interdits, mais qui compte tenu des risques d’atteinte aux droits fondamentaux, doivent être encadrés.
Ainsi, les systèmes d’IA à haut risque doivent respecter certaines exigences et répondre à un mécanisme d’évaluation de la conformité préalablement à leur mise sur le marché (contrôle de la conformité ex ante), doublé d’un contrôle de suivi des risques (contrôle des risques ex-post). La liste des systèmes à haut risque est définie et mise à jour par la Commission. Sont par ailleurs considérés comme présentant un niveau de risque élevé les systèmes d’IA portant un risque significatif d’atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes.
Les fournisseurs devront s’assurer que leurs systèmes répondent globalement aux exigences identifiées dans les Lignes directrices en matière d’éthique pour une IA digne de confiance, notamment un contrôle humain approprié, un niveau élevé de robustesse et de sécurité ainsi qu’un haut niveau de qualité des jeux de données, utilisés pour alimenter le système. (8) Ils devront également mettre en place un système de gestion des risques suivi (comprenant l’identification et l’évaluation des risques, et l’adoption de mesures de correction), ainsi qu’un système de traçabilité des opérations (enregistrement automatisé des événements). Un label CE sera délivré aux systèmes conformes aux exigences réglementaires préalablement à leur mise sur le marché. (9)
Le règlement ne couvre pas spécifiquement les systèmes d’IA à usage général (General purpose artificial intelligence - GPAI), dont les IA génératives telles que ChatGPT. Toutefois, les entreprises qui intégreront ces systèmes dans leur système d’IA considéré à haut risque devront se conformer aux obligations leur incombant au titre de la distribution ou de l’utilisation d’un système d’IA à haut risque.
Le Parlement a renforcé les obligations des fournisseurs d’IA à haut risque et a introduit une procédure d’évaluation d’impact sur les droits fondamentaux, à la charge des utilisateurs.
Ces obligations concernent les fournisseurs et les distributeurs qui distribuent des systèmes d’IA au sein de l’Union européenne, qu’ils soient établis dans l’UE ou dans un pays tiers.
Le non-respect de ces obligation par un fournisseur est passible d’une amende administrative pouvant atteindre 30 millions d’euros ou 6% de ses bénéfices mondiaux, le montant le plus élevé étant retenu.
La proposition de règlement prévoit la création d’un Comité européen de l’IA et d’autorités nationales en charge de faire respecter la conformité au règlement.
c) L’évolution du texte
L’AI Act est toujours en cours d’examen.
Le texte initial a été modifié au cours des présidences successives du Conseil de l’Union européenne.
La notion de système d’IA a été modifiée en décembre 2022, pour prendre en compte les dernières évolutions technologiques, à savoir “un système qui est conçu pour fonctionner avec des éléments d’autonomie et qui, sur la base des données et des entrées générées par la machine et/ou par l’homme, déduit la manière d’atteindre un ensemble donné d’objectifs en faisant appel à l’apprentissage automatique et/ou à des approches axées sur la logique et les connaissances, et produit des résultats générés par le système sous la forme de contenu (systèmes d’IA générative), ainsi que de prédictions, de recommandations ou de décisions qui influencent l’environnement avec lequel le système interagit.” (10)
La dernière version du règlement a été adoptée le 14 juin 2023 avec le vote par le Parlement européen en séance plénière, du texte amendé en commission.
Ce texte est actuellement en cours de négociation avec l’étape des trilogues (négociations trilatérales entre le Conseil de l’Union européenne, la Commission et le Parlement). Il ne devrait pas être adopté avant début 2024, le délai prévu pour l’entrée en application de l’AI Act étant de deux ans après son adoption, afin de permettre aux entreprises de se mettre en conformité.
(1) European Commission, A European approach to artificial intelligence, https://digital-strategy.ec.europa.eu/en/policies/european-approach-artificial-intelligence
(2) Stratégie nationale pour l’IA : https://www.entreprises.gouv.fr/fr/numerique/enjeux/la-strategie-nationale-pour-l-ia
(3) Commission européenne, Lignes directrices en matière d’éthique pour une IA digne de confiance, 8 avril 2019
(4) OCDE, “Recommandation du Conseil sur l’intelligence artificielle” adoptée le 22 mai 2019
(5) Partenariat Mondial sur l’Intelligence Artificielle : https://www.economie.gouv.fr/lancement-partenariat-mondial-intelligence-artificielle. Les membres sont : Allemagne, Australie, Brésil, Canada, République de Corée, Espagne, Etats-Unis, France, Inde, Italie, Japon, Mexique, Nouvelle-Zélande, Pays-Bas, Pologne, Royaume-Uni, Singapour, Slovénie, Union européenne
(6) ACPR - IA : enjeux pour le secteur financier, décembre 2018
(7) Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union COM (2021) 206 final 21 avril 2021 (“AI Act”)
(8) Voir les 7 exigences identifiées dans les Lignes directrices en matière d’éthique pour une IA digne de confiance, à savoir : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.
(9) Voir AI Act, chapitre 2
(10) Orientation générale du Conseil de l’UE, art. 3, par. 1
Bénédicte DELEPORTE
Avocat
Deleporte Wentz Avocat
www.dwavocat.com
juillet 2023