La GenAI, décélération ou accélération à la publication de l'IA Act ? (Rétrospective)

Avec plus de deux ans de retard sur son annonce de publication, le projet européen "Artificial Intelligence Act" fait l'objet de compromis appuyés par l'utilisation accrue de l'IA générative.

Comme le rappelait la Présidente de la Commission européenne en décembre 2023, le règlement européen Artificial Intelligence Act ("AI Act") sera « le tout premier cadre juridique complet en matière d'intelligence artificielle au monde qui transposera les valeurs européennes dans une ère nouvelle [...] et qui apportera une contribution substantielle à l'élaboration de principes mondiaux pour une IA centrée sur l'humain. »

Depuis la première proposition de la Commission européenne, le texte de l'IA Act est un projet... de compromis !

Dans un contexte où les professionnels se servent quotidiennement de l'IA générative ("GenAI") pour améliorer leurs services en promettant des fonctionnalités toujours plus révolutionnaires et les consommateurs les utilisent à des fins professionnelles comme récréatives, l'appréhension de cette technologie par le régulateur de l'Union était nécessaire, quitte à ajouter au retard déjà en place. En effet, cette inclusion était loin de s'imposer comme une préoccupation prioritaire dans les premières versions du projet de l'IA Act. Cette prise en compte de l'IA générative par le régulateur européen génère à la fois un contretemps et un vecteur d'accélération à la nécessité de publication officielle de l'IA Act. Retour sur les grandes étapes de cette inclusion à une stratégie européenne où régulation incarne avantage compétitif.

Une stratégie européenne autour de l'IA amorcée il y a sept ans

Suite aux travaux entamés en 2017, la Commission européenne présentait sa stratégie en matière d’IA basée sur l'excellence et la confiance en avril 2018. Visant l’élaboration d’un cadre solide et de référence, l'Union européenne allait s'attaquer à la régulation d'un domaine complexe, à la croisée des ambitions entre concurrence mondiale, innovation technologique et protection des droits et libertés fondamentaux des citoyens. Afin de permettre à l’Europe devenir un acteur économique majeur, l’objectif de l’UE était donc d’avoir une approche coordonnée contribuant à améliorer la qualité de vie de ses citoyens et répondre aux défis liés à la transition numérique.

Un mois plus tard, la Commission européenne nommait un comité consultatif de 52 experts, le groupe de hauts experts (GEHN IA) pour travailler sur des règles ayant trait à l'équité, la sécurité et la transparence de l'intelligence artificielle. En avril 2019, le GEHN IA présentait ses Lignes directrices pour un système d’IA digne de confiance, reposant sur trois piliers :

  • Une IA licite : pour assurer le respect de la loi et de la réglementation
  • Une IA robuste : pour garantir une mise en œuvre sécurisée et fiable
  • Une IA éthique : pour contribuer à la création d'une société démocratique, garante de l'autonomie humaine

Selon la stratégie énoncée, l’Union européenne voulait donc adopter un cadre règlementaire n’entraînant pas de fragmentation du marché intérieur.

RGPD & IA Act : entre inspiration, conciliation et application contrôlée par la CNIL en France

Construit avec le même instrument juridique que celui adopté en 2016 pour le Règlement européen sur la protection des donnée (RGPD), le projet d'IA Act suit la même volonté d'asseoir une régulation à fort impact. Le premier texte proposé le 21 avril 2021 par la Commission européenne était un projet de "règlement", acte juridique de portée générale, obligatoire dans toutes ses dispositions dont la portée se traduit par une application directe et uniformisée pour tous les Etats membres de l'Union.

Pour rappel, le projet de règlement de l'IA Act constitue le premier cadre juridique au monde visant à :

  • Etablir des règles harmonisées pour les systèmes d’IA, et notamment pour ceux amenés à interagir avec des personnes physiques (systèmes de reconnaissance émotionnelle, de catégorisation biométrique et de génération d'images, de contenus audios et vidéo - GenAI) ;
  • Interdire certaines utilisations de l'IA, poser des exigences spécifiques pour les systèmes d’IA dits "à haut risque" et imposer des obligations pour les opérateurs de ces systèmes d’IA ;
  • Fixer des règles sur le contrôle et la surveillance du marché.

Dans son rapport de juin 2020, le GEHN IA (op. cit.) préconisait la définition de règles sur la transparence algorithmique, la responsabilité et l'explicabilité des systèmes d'IA, tout en évoquant la crainte d’une application trop stricte des principes de protection des données aux solutions d’IA. En effet, selon ce rapport, il était reconnu que le RGPD fournissait des grands principes à concilier car susceptibles d'interférer avec les technologies d'IA, notamment pour :

  • Le principe de limitation de finalité et absence de traitement ultérieur incompatible (crainte quant à la limitation préalable de toute réutilisation des informations générées et la difficile évaluation de traitements ultérieurs compatibles) ;
  • Le principe de minimisation (crainte quant à la collecte massive de données pour l'entrainement ou la création de systèmes d'IA, avec une durée de conservation imprécise, tant sur le point de départ du délai que le délai lui-même) ;
  • Le principe de transparence (crainte de l'incompréhension des personnes concernées par les traitements quant au fonctionnement des systèmes d'IA lors de l'information préalable obligatoire).

L'anticipation de la conciliation entre ces principes et les technologies d'IA ont obligé les experts mobilisés dans la construction du cadre juridique au niveau de l'UE à adopter une approche prudente et pragmatique, basée sur les risques liés à la finalité de chaque utilisation dont les principes seront à vérifier lors d'analyses d'impact par chaque responsables de traitement et sous-traitants au sens du RGPD.

Enfin, comme cela était pressenti pour la France, l'autorité de contrôle de la bonne application de l'IA Act sera la Commission Nationale de l'Informatique et des Libertés ("CNIL"). Pour rappel, le projet de règlement a augmenté les seuils de sanctions prévus initialement, allant jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial total de l'exercice précédent pour les infractions aux pratiques interdites. Ce type d'amende pourrait se cumuler en cas de non-respect également des exigences attendues en matière de données personnelles sur la base du RGPD.

La GenAI : entre contretemps et accélérateur de publication de l'IA Act

Incarnant une initiative juridique pionnière, le projet européen de règlementation de l'intelligence artificielle est l'un des textes les plus sujets à compromis de ces dernières années entre innovation technologique, confiance et adhésion du public, compétitivité sur la scène internationale, considérations éthiques, respect des droits fondamentaux et protection des données personnelles. Ce compromis s'illustre plus récemment sur l'intégration de l'IA générative qui a constitué en 2023 un contretemps à la publication du texte, mais qui aujourd'hui pèse lourd sur le besoin rapide de publication.

  • La GenAI, une spécificité ayant entraîné une revue du texte du projet de l'IA Act

Bien que le Règlement européen sur l’IA ne soit pas encore publié ni entré en vigueur, un accord politique provisoire sur le texte du projet de règlement a été trouvé en décembre dernier à l'issue de trois jours de pourparlers entre la présidence du Conseil et les négociateurs du Parlement européen.

Pour rappel, le texte a pour objectif de veiller à ce que les systèmes d'IA mis sur le marché européen et utilisés dans l'UE soient dignes de confiance en ce qu'ils respectent les droits fondamentaux et les valeurs de l'UE. Initialement, le projet de règlement européen sur l'IA imposait, à travers quatre catégories, d'opérer une distinction entre les systèmes d’IA présentant un risque inacceptable, un risque élevé, un risque acceptable et minime.

Aussi, dans les premières versions du projet et l'approche basée sur les risques, l'utilisation de l'IA générative n'avait pas émergé en pratique comme ce fût le cas fulgurant sur l'année 2023 avec la popularité de ce système d'IA, notamment par la mise sur le marché de ChatGPT. La GenAI n'avait donc pas fait l'objet d'une qualification et d'un régime juridique clairement définis dans ce texte et une telle omission, ajoutée aux délais de publication et d'entrée en vigueur, aurait coûté cher à l'Union européenne.

Le projet était déjà en retard pour des raisons politiques, discussions sur l'éthique et difficiles définitions communes de ce que devait être en droit "l'IA". La reprise du texte sur la GenAI a donc - dans un premier temps - constitué un contretemps complémentaire à l'adoption du texte en tant que tel : 799 amendements et presque trois années de réécriture plus tard, la GenAI a été spécifiée au sein du projet de règlement au point de constituer une catégorie spéciale d'IA. Ainsi, la dernière version de 2023 du projet l'IA Act comporte, non plus quatre, mais cinq catégories de risque dont l'une d'entre elles est dédiée à "l'IA générative à usage général". Les systèmes afférents à fort impact et susceptibles d'engendrer des risques systémiques doivent ainsi faire l'objet d'une évaluation approfondie, là où les systèmes aux risques minimes se verront limités à des obligations de transparence.

  • La GenAI, une réalité pratique accélératrice d'un besoin de publication d'une régulation retardée et concurrencée, dans un contexte de ré-élections européennes

L'Union européenne a un fort rayonnement en termes d'influence réglementaire à l'échelle mondiale, source d'inspiration et référentiels des régulations des autres systèmes - en plus d'être obligatoire dans certains cas pour eux. Sa réglementation permet ainsi de contrebalancer la concurrence lui étant défavorable sur certains sujets, comme cela a été le cas par exemple avec le RGPD.

En ce sens, la publication du RGPD a permis, en plus de la prise de conscience citoyenne, d’entamer de véritables négociations politiques et revues de modèles économiques et de l'influence prépondérante des "géants de la data", par exemple quant aux revenus des GAFAM et de la réutilisation des données des européens par le gouvernement américain - FISA et autres épisodes Schrems non développés au sein de cet article. L'idée à retenir est qu'un texte comme celui du RGPD - même s'il a été indiqué comme contraignant pour certains professionnels de la data, critiqué ou même décrié d'inutilité pour les plus fervents défenseurs de la vie privée (et cela n'en était pas l'objet) - a permis de rétablir un certain équilibre de souveraineté, également économique et politique, à travers le sujet de la protection des données personnelles des citoyens. C'est dans cette même lignée que le projet de l'IA Act entend s'inscrire : la régulation doit permettre à l'Union européenne de rattraper son retard concurrentiel en modérant les utilisations de l'intelligence artificielle et les ré-exploitations de données.

Toutefois, d'autres pays ont amorcé leur réflexion de régulation depuis les annonces de l'UE sur ce sujet. Fort à parier que, n'en déplaise aux puristes de la théorie de la séparation des pouvoirs, notre système législatif est en réalité en interactions constantes avec le pouvoir politique. Deux points d'attention en conséquence. Le premier est que l'IA Act est un projet qui se veut par essence favorable aux initiatives européennes, encourageant l'innovation des acteurs à grande comme petite échelle, dans le respect de la protection des données des citoyens. L'Union, inspirante donc comme cela a été le cas pour le RGPD, ne voudrait pas avoir finalement à tout réadapter et suivre d'autres systèmes, d'où l'importance d'une publication prochaine qui tendrait à influencer les autres pays. Le second est que des élections européennes sont attendues à la mi-année, avec les ré-élections du Parlement européen qui auront lieu du 6 au 9 juin.

Enfin, l'accord politique provisoire de décembre 2023 prévoit que la législation sur l'IA devrait s'appliquer deux ans après son entrée en vigueur, à quelques exceptions près pour certaines dispositions spécifiques. Cette entrée en vigueur ne pouvant avoir lieu qu'après la publication du texte au Journal Officiel de l'Union européenne n'est donc pas effective avant 2025.