IA Act : quels seront les tenants et aboutissants ?

Des préoccupations subsistent concernant l'IA Act par les grandes entreprises privées, plaidant pour des restrictions moins contraignantes et une approche moins bureaucratique de sa réglementation.

Tribune de Paul Pinault, VP IIoT Product & Market Strategy de Braincube et Gérald Sadde Partner Lawyer chez SHIFT Avocats

Dans le cadre de sa stratégie numérique, l’Union européenne réglementera l’intelligence artificielle (IA) pour garantir de meilleures conditions de développement et d’utilisation de cette technologie innovante. Bien que l'IA Act suscite l'intérêt des experts en IA, certaines préoccupations subsistent, comme en témoigne la récente lettre ouverte de grandes entreprises privées plaidant pour des restrictions moins contraignantes et une approche moins bureaucratique de la réglementation de l'IA. 

L'étendue du champ d'application de l'IA Act : responsabilité et intervention

En réglementant l’IA, le législateur objective les grands principes de base qui ne sont, in fine, que des évidences qui s'appliquent déjà dans le droit européen : l’IA ne doit pas être discriminante et ne doit pas être dangereuse. La mise en place d’une réglementation permet de faire en sorte que l’IA soit un souci commun, partagé au même degré d’intensité, ou tout du moins, un niveau d’intensité qui corresponde au niveau de criticité de l’IA. 

Pour autant, toutes les IA n’ont pas le même niveau de criticité, qui dépend principalement du domaine d’application. Par exemple, les IA dans les jeux vidéo permettant aux PNJ (personnages non-joueurs) de mener de véritables conversations, ont finalement un niveau de criticité très faible et sont ainsi peu impactées par la réglementation. Au contraire des IA de reconnaissances faciales qui peuvent être discriminantes ou utilisées en violation de la vie privée. De fait, toutes les IA ne devraient pas être concernées par le texte qui entrera en vigueur puisque le niveau de criticité s’apprécie également en fonction de l’usage qu’il est fait de l’IA.

Si la criticité d’une IA se calcule en fonction de son usage, se pose également la question de celui qui doit prouver sa conformité. Est-ce de la responsabilité du fournisseur, de l’utilisateur, du mandataire, de l’importateur ou bien du distributeur ? La proposition de texte assigne ainsi des obligations aux différents principaux intervenants de l’IA selon leur niveau d’implication. En fonction de cette criticité, les algorithmes et les sources de données d'entraînement seront alors audités par un comité expert qui décidera de son autorisation de mise sur le marché. Cette dernière nécessitera la constitution d’un document technique en vue de l’obtention du marquage CE et la mise en place de systèmes de suivi de qualité et de gestion des risques.

IA Act et secret industriel peuvent-ils être compatibles ? 

Se posent alors plusieurs questions, à commencer pour les créateurs d’IA qui devront exposer leurs algorithmes et par là leur propriété intellectuelle auprès d’experts, indépendants, qui bien que sous contrat de confidentialité, vont acquérir des connaissances clés réutilisables de nombreuses années après. S’en suit la problématique des offreurs de services qui eux voudront déployer des IA issues d’autres fournisseurs et qui pourront être bloqués par la frilosité, entre autre de la part d’acteurs étranger, à dévoiler leurs secrets de fabrication, autant à leurs clients qu’à une entité sous tutelle européenne.

Ceci pourrait conduire à restreindre l’usage de certaines IA à l’espace hors UE,  car celles-ci représentent un danger sociétal mais du fait de leur valeur trop importante pour être dévoilées auprès d’instances étrangères. Il est à rappeler que les algorithmes, dont les IA font partie, ne sont pas protégés par le brevet en Europe ni par un quelconque droit de propriété intellectuelle. 

Les sociétés non européennes seront-elles disposées à se soumettre à un examen minutieux de la part d’autorités européennes ? Auront-elles réellement le choix ? Sur le papier, tout fabricant d'IA souhaitant importer sa solution sur le territoire européen devra faire vérifier la conformité de son algorithme avec le droit européen. On peut donc légitimement s'interroger sur l'intérêt des sociétés à se soumettre à un tel examen de la part des européens. Cependant, si l'on prend l'exemple du RGPD, tous les États ont fini par se conformer, d'une manière ou d'une autre, à la législation locale. Bien sûr, la mise en place du RGPD ne s'est pas faite du jour au lendemain, mais il est aujourd'hui largement reconnu, ne serait-ce que par les lourdes amendes qui ont été infligées. Avec l’IA Act, tout acteur qui ne pourra pas prouver sa conformité ne pourra pas continuer à fournir ses services sur le territoire européen faute de certificat CE. 

Vers une modération de l’IA plutôt que sa dissection

Comme l’indique l’IA Act, il est judicieux pour le législateur de favoriser, dans un premier temps, une approche de modération a posteriori de l'IA, à l'instar de ce qu'OpenAI propose avec ChatGPT. En effet, les premières mesures de modération de l'IA concernent les comportements déviants des algorithmes. Il conviendra d'examiner en détail ce qui s'est produit. Cependant, pour ouvrir la boîte noire, comme cela se fait dans le domaine de l'aéronautique, il faudra analyser les événements, accéder aux journaux de bord et aux données enregistrées.

Plutôt que de se focaliser sur le "pourquoi" de tels comportements de l'IA, l'accent devra être mis sur le contrôle de la qualité. Les fabricants d'IA devront mettre en place une gestion de la qualité et des mesures correctives en cas de déviation précoce du fonctionnement. Le législateur s'intéresserait aux mesures correctives mises en place suite au constat d'un début de déviance de fonctionnement et pourrait légitimement interroger le fournisseur sur la qualité des jeux d’essai garantissant ainsi l’absence de biais.

Un texte qui suscite de nombreuses questions chez les acteurs de l’IA européens

Alors que ce texte est déjà très abouti après plusieurs années de travail du législateur, fort est de constater que dans le débat sociétal sur l’IA, sa maturité est pour le moment totalement ignorée. En conséquence, il ne permet pas aux entreprises européennes du secteur technologique de se préparer à son arrivée, encore moins à celles issue de l’étranger. Cette incertitude pourrait créer une onde de choc susceptible de ralentir ou déstabiliser un écosystème européen naissant dans un domaine de très forte croissance.