Quelle réglementation pour encadrer l'intelligence artificielle ?
Le développement de l'IA appelle au déploiement d'un cadre juridique adapté pour encadrer son utilisation et garantir la protection de ses acteurs et utilisateurs. Mais qu'en est-il vraiment ?
Quelle réglementation pour encadrer l’intelligence artificielle ?
Les risques inhérents à la conception et au recours à l’intelligence artificielle (IA), qu’ils soient réels ou fantasmés, appellent à la fixation d’un cadre juridique imposant aux développeurs, aux intégrateurs et aux utilisateurs d’IA des obligations strictes et des garanties adaptées.
Or, bien que la législation en vigueur établisse quelques règles (notamment issues du RGPD) et confère une certaine protection aux acteurs de l’IA, elle se révèle manifestement insuffisante au regard des enjeux propres à cette technologie.
Un cadre juridique en phase de développement
Alors qu’elle se présente comme la révolution technologique clé des prochaines années - à tel point que 590 start-ups françaises l’ont placée au cœur de leur business en 2023[1] -, l’IA ne fait toujours pas, aujourd’hui, l’objet d’une réglementation effective définissant spécifiquement les exigences de conformité en la matière.
La Commission européenne a présenté pour la première fois le 21 avril 2021 une proposition de règlement intitulée « Artificial Intelligence Act » (IA Act)[2] visant à encadrer les systèmes d’intelligence artificielle. Après des négociations prolongées, accélérées par l'émergence de ChatGPT fin 2022, un accord provisoire a été trouvé entre le Conseil et le Parlement le 8 décembre 2023. Adopté à l'unanimité par les 27 États membres de l'Union européenne le 2 février 2024, puis très largement approuvé par les eurodéputés les 13 février et 13 mars suivants, ce texte représente une régulation inédite en Europe. Ses objectifs déclarés sont de promouvoir une IA éthique et digne de confiance, en renforçant la sécurité juridique associée à cette technologie grâce à une approche fondée sur les risques, tout en préservant la compétitivité de l'Union européenne.
L’IA Act doit toutefois être voté en séance plénière du Parlement européen en avril prochain puis publié au Journal officiel d’ici l’été. Bien que cette réglementation « historique » [3] ne sera pleinement applicable que sous 2 ans (sauf exceptions), les acteurs de l’IA sont de plus en plus nombreux à souhaiter anticiper leur mise en conformité de façon stratégique et pragmatique.
Un projet de réglementation complexe
En pratique, l’AI Act instaure une « réglementation produit », allant du marquage CE à l’interdiction de mise sur le marché, applicable aux seuls systèmes d’IA faisant l’objet d’une commercialisation. Cette réglementation complexe impose ainsi de lourdes contraintes aux différentes catégories d’organisations impliquées dans la chaine de l’IA : fournisseurs, importateurs, distributeurs, déployeurs, opérateurs, fabricants. Les obligations de ces acteurs, notamment en matière de transparence et de sécurité informatique, varient selon leur implication au sein de la chaine, mais également selon le niveau de risque que présente le système ou le modèle d’IA : minime, faible, à haut risque ou inacceptable.
A titre d’exemples :
- une entreprise concevant des filtres anti-spams pour protéger les messageries de ses salariés contre les courriels indésirables et susceptibles d’être infectés par des virus, dont le programme contient des algorithmes déterminant la probabilité qu’un courriel soit ou non indésirable : l’usage d’un tel système d’IA ne présente qu’un risque minime et n’implique pas une mise en conformité poussée. L’IA Act recommande toutefois à cette entreprise de se conformer volontairement à un code de conduite pour les systèmes d’IA, élaborés notamment sur la base d’objectifs d’équité, de transparence, de confidentialité et de durabilité[4] ;
- une institution financière développant un système d’IA destiné à évaluer la solvabilité des demandeurs de crédit, ayant de fait accès à des données sensibles (emplois, revenus, patrimoine etc.) et contenant des algorithmes déterminant l’octroi ou non d’un crédit : l’usage d’un tel système d’IA revêt un haut risque dès lors qu’il peut s’avérer discriminant pour les personnes affectées. Cet usage sera à ce titre soumis à des exigences strictes de conformité (obligation de documentation, d’enregistrement du système dans la base de données de l’UE et mise en place de mesures de conformité garantissant notamment la robustesse et la cybersécurité du système, un contrôle humain ainsi qu’une documentation technique)[5].
Les mesures permettant d’anticiper la mise en conformité des systèmes d’IA
Pour déterminer les mesures à engager par les entreprises qui souhaiteraient anticiper la mise en conformité de leurs systèmes d’IA actuellement en production et, au-delà, s’assurer que leurs futures solutions répondront pleinement aux exigences de la réglementation, il est dès lors recommandé :
- d’identifier et de cartographier, au sein de leurs systèmes d’information, les systèmes d’IA existants et/ou envisagés ;
- d’évaluer le niveau de risques propre à chaque système d’IA ainsi identifié au regard notamment du secteur d’activité, des circonstances du recours à l’IA, des personnes affectées, des sources et de la nature des données traitées (étant précisé que les mesures de mise en conformité s’appliquent à chaque système d’IA pris individuellement, et non à l’entreprise dans son ensemble) ;
- d’élaborer, en fonction du niveau de risques, une stratégie de mise en conformité déterminant, par ordre de priorité, les principales actions à initier aux fins de mise en conformité telles que déterminées par l’IA Act ;
- de veiller à encadrer le développement des futurs systèmes d’IA en anticipant, le cas échéant, le budget et les délais associés ;
- de constituer des équipes dédiées et opérationnelles d’intervenants complémentaires (experts-métiers, développeurs, data scientists, DPO, juristes etc.) assurant le pilotage des projets ;
- de documenter chaque étape de la mise en conformité et d’assurer le suivi de la politique interne en collaborant activement avec la gouvernance.
L’IA Act établit en outre une catégorie spécifique de modèles d’IA « à usage général », capables d’exécuter diverses tâches et pouvant être intégrés en aval dans différents systèmes d’IA. Dans cette catégorie, les « large generative models » générant textes, images et autres contenus (tels que ChatGPT) devront faire l’objet d’une documentation technique intégrant notamment les méthodes de test du modèle d’IA et rendre accessible au public le résumé des bases de données d’entrainement[6].
Des sanctions potentiellement sévères
La violation des obligations fixées par l’IA Act expose les opérateurs concernés à des amendes proportionnelles au niveau de risque du système d’IA, pouvant s’élever à 35 millions d’euros ou à 7% du chiffre d’affaires annuel mondial pour les personnes morales (application du montant le plus élevé avec une exception pour les PME et les start-ups auxquelles sera toutefois appliqué le montant le moins élevé). Des sanctions spécifiques sont prévues par ailleurs pour les fournisseurs de modèles d’IA « à usage général ».
Ces sanctions particulièrement sévères, couplées à des normes particulièrement contraignantes et complexes, pourraient constituer un véritable frein au progrès et à la compétitivité dans le secteur de l’IA, en particulier pour les plus petites entreprises dont les moyens financiers sont plus modestes.
Les contraintes sont d’autant plus accrues que la mise en conformité à l’IA Act devra s’associer au respect des réglementations déjà en vigueur au sein de l'UE, notamment le RGPD et la directive sur le droit d'auteur dans le marché numérique.
Alors que les incidences de l’utilisation de l’IA sont déjà nombreuses et que sa réglementation a peiné à faire son apparition en Europe, les premiers détracteurs de l’IA Act considèrent ainsi que l’Union européenne se serait précipitée pour imposer un cadre normatif sans véritablement prendre la mesure de ses conséquences.
[1] Mapping 2023 des startups françaises de l'IA publié par France Digitale le 29 mars 2023 https://francedigitale.org/publications/mapping-startups-ia
[2] Proposition de Règlement du Parlement Européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union du 21 avril 2021 (2021/0106 (COD))
[4] IA Act, article 69
[5] IA Act, articles 8 et suivants
[6] AI Act, article 52c a) et d)