IA Act : ChatGPT complique (encore plus) les échanges
Les discussions en cours au Parlement européen en vue de l'adoption de l'IA Act seront décisives pour une meilleure intégration et prise en compte du phénomène IA générative dans ce règlement. Pour rappel, l'IA Act est censé fournir le socle principal pour l'encadrement juridique de la commercialisation de systèmes, produits et solutions intégrant de l'intelligence artificielle en Europe. "La proposition initiale de la Commission européenne, d'avril 2021, tout comme l'orientation générale livrée par le Conseil en décembre dernier, sont intervenues avant que l'on ne puisse prendre réellement la mesure de tous les questionnements suscités par ChatGPT. Ce cas d'usage impose au Parlement de vraiment réfléchir et revoir le texte en tenant compte de cette nouvelle donne qui est de taille et qui questionne de nombreux domaines, comme la propriété intellectuelle, la protection des données personnelles, la production massive d'informations erronées et l'avenir de très nombreux secteurs d'activité", résume Juliette Sénéchal, professeur de droit du numérique à l'Université de Lille.
"Le Conseil n'a pas tout à fait classé l'IA générative comme étant à haut risque, il indique que la Commission pourra le faire"
Le concept d'IA générative n'était même pas cité dans les annexes de la proposition initiale de règlement de la Commission. De plus, l'orientation donnée par les 27 Etats-membres, qui se sont prononcés sur ce projet en décembre 2022, reste floue et souple pour ce qui est des IA génératives : "Le Conseil a choisi une solution un peu intermédiaire : il n'a pas tout à fait classé l'IA générative comme étant à haut risque, il indique que la Commission pourra le faire, si elle considère que cela s'avère nécessaire. A savoir que, à ce jour, on ne sait pas du tout comment le Parlement entend traiter cette question", alerte Juliette Sénéchal.
Tant que les étapes pour l'adoption de l'IA Act ne sont pas franchies, beaucoup d'eau risque de couler sous les ponts, tant les eurodéputés ne semblent pas d'accord sur différents aspects du règlement. "Les députés sont en désaccord sur à peu près tous les sujets et nous ne sommes pas du tout sûrs qu'ils arriveront à clarifier tous les points qui restent encore flous dans ce règlement, comme la définition même de l'IA (plus ou moins large selon les versions) et le traitement à donner aux IA génératives", commente la juriste. Et le processus est amené à être long puisque, après la formulation et le vote des amendements par le Parlement au projet de la Commission, les trois institutions – Commission, Conseil et Parlement – devront se concerter pour aboutir à une version définitive.
Respect des droits fondamentaux des citoyens
Le principe de base de l'IA Act est d'imposer des obligations de transparence et traçabilité aux développeurs de solutions faisant usage de l'intelligence artificielle. Cette dernière est envisagée comme un produit à part entière. "Ce texte vient encadrer l'activité des fabricants et développeurs de systèmes d'IA, que ce soit lors de leur conception et développement comme durant tout le cycle de vie du produit, afin de prévenir des risques liés à la santé, la sécurité et aux droits fondamentaux des personnes", explique Juliette Sénéchal. "Le règlement vise à ce que les développeurs adoptent des précautions à l'égard notamment des données qu'ils mobilisent pour créer leurs systèmes, et tout particulièrement dans les IA considérées à haut risque", précise-t-elle.
Trois niveaux de risque structurent les obligations des développeurs de systèmes d'IA dans ce texte : le niveau le plus risqué est interdit (cas par exemple d'outils de notation sociale) ; l'intermédiaire, à haut risque, implique une série stricte de mesures ; par exclusion tout ce qui n'entre pas dans les deux premiers cas n'est pas considéré comme risqué, ce qui ne les affranchit pas pour autant totalement d'obligations de transparence. La définition même d'IA tout comme la liste des IA à haut risque ou devant être interdites ne sont pas arrêtées pour le moment. "Les débats sont vifs au sein du Parlement et les questions ne sont pas encore tranchées sur les secteurs devant être classés comme à haut risque, comme la Justice, les services financiers, les assurances, l'enseignement ou l'usage de l'IA pour le traitement de données biométriques, ce dernier étant interdit mais sous certaines conditions", précise Juliette Sénéchal.
Le règlement énumère dans deux de ses annexes de nombreux secteurs d'activité et types de produits à haut risque lorsqu'ils mobilisent l'IA, comme les dispositifs médicaux d'aide au diagnostic, les outils d'aide à la décision judiciaire, de recrutement de salariés, les services de sélection et d'admission post-Bac d'étudiants, etc. Mais, d'après l'approche du Conseil, il ne suffit pas d'être classé à haut risque pour être fortement encadré par la législation – il faut également que ce soit démontré que l'impact de l'usage de l'IA est central dans les décisions prises par l'utilisateur professionnel. "On peut ici penser notamment aux biais générés par l'automatisation d'une tâche : un médecin qui se sert d'un système d'IA pour faire ses diagnostics risque à terme de perdre son esprit critique. Il faut donc lutter contre ce biais. La même question se pose désormais à l'égard des IA génératives", analyse Juliette Sénéchal. Par ailleurs, la notion même de risque n'est pas tout à fait délimitée par le texte, sans doute afin de laisser son approche suffisamment large pour intégrer tout type de menace, même celles qui n'auraient pas encore été identifiées.
Comment contrôler les IA ?
Les principales obligations imposées aux IA à haut risque concernent la transparence (et donc la soumission aux contrôles et aux audits), l'évaluation des risques, la traçabilité au sujet de la gouvernance des données (afin que celle-ci soit le plus fiable possible) et l'offre d'une information claire et suffisante à l'utilisateur professionnel afin que l'usage que ce dernier en fait soit optimale à l'égard des droits fondamentaux, de la santé et de la sécurité des bénéficiaires finaux. "Vous pouvez être confronté à des IA biaisées, y compris de manière involontaire, d'où l'importance d'imposer aux développeurs de ces solutions la mise à disposition des autorités de documentations techniques sur la gouvernance des données. Un exemple en est la journalisation, c'est-à-dire l'enregistrement de toutes les décisions prises par l'IA et de leurs jeux de donnée respectifs", précise Arthur Millerand, associé chez Parallel Avocats, cabinet spécialisé dans le numérique et l'innovation. "Les données, tout comme l'IA, nécessitent elles aussi une traçabilité précise", insiste-t-il.
Il reste que pour avoir des effets, l'application de ce règlement devra être accompagnée de la capacité technique des Etats membres à la contrôler. "Le vrai sujet, c'est comment gouverner et contrôler l'algorithme : ce qui déterminera à l'avenir l'efficacité de cette réglementation sera la capacité des autorités à définir des standards sur ce que les acteurs privés devront communiquer concernant la manière dont fonctionnent leurs algorithmes. Il faut que les régulateurs puissent regarder et comprendre vraiment ce qui se passe 'dans' la machine pour pouvoir contrôler et, le cas échéant, sanctionner. Tout l'intérêt de ce règlement est de poser les bases pour cela", estime Arthur Millerand. Et il prévient : "Il était urgent de se doter d'un outil juridique comme l'IA Act, mais ce texte restera lettre morte si les Etats membres ne se dotent pas, dans le même temps, des compétences techniques et de ressources nécessaires décisives pour contrôler son application de manière efficace." Les services compétents devront disposer, en plus des juristes, d'ingénieurs en mesure d'auditer les logiques et les données qui nourrissent l'intelligence artificielle.
Si important soit ce texte, on peut déjà s'attendre à ce que l'IA Act ne soit pas suffisant pour encadrer et protéger de tout risque de dérive les entreprises et individus se servant de ces systèmes. De plus, le règlement n'a pas été bâti pour encadrer les conséquences générées par l'usage de l'IA, tous secteurs confondus. "L'IA Act servira de base mais les autres règlementations, comme le droit de la consommation, s'étofferont avec des dispositions spécifiques à l'IA", explique Arthur Millerand. "Au fur et à mesure que des difficultés seront identifiées, des règlementations sectorielles complémentaires seront nécessaires", conclut Juliette Sénéchal.