Quelques mots au sujet de la réglementation européenne sur l’ Intelligence Artificielle

L’ idée de cet article est de vous fournir un aperçu et quelques pistes de réflexion sur l’ état de la législation européenne sur l’ Intelligence Artificielle.

En effet, l’ European Union Artificial Intelligence Act, pour l’appeler par son nom, est actuellement en discussion avancée auprès des Institutions Européennes. L’ objectif est de finaliser le texte pour la fin de l’ année 2023 afin de le faire voter par le Parlement Européen avant les prochaines élections européennes de juin 2024. Il faudra ensuite encore au moins 18 mois pour mettre en place les structures et procédures d’ exécution. La loi deviendrait donc opérationnelle à partir de début 2026 au plus tôt.

La récente montée en puissance de l’ IA « généraliste » -qui englobe l’ IA générative- complique les choses car elle ne s’ intègre pas facilement dans le cadre réglementaire que je vais décrire ci-dessous; sa prise en compte dans l’ AI Act fait actuellement l’ objet d’ intenses tractations.

Afin de ne pas allonger trop cet article, je vais ici me concentrer sur le traitement de l’ IA « traditionnelle », et je couvrirai la problématique de l’IA généraliste dans le prochain article.

Je ne suis pas juriste et donc le texte qui suit ne saurait se substituer à l’avis éclairé d’un homme de l’ art; mais si je peux vous permettre de comprendre la situation d’ensemble et de poser les bonnes questions aux spécialistes en la matière j’ estimerai avoir atteint mon but.

1. Contexte

Le but de l’ EU AI Act est de réglementer de manière uniforme la vente et l’ utilisation de produits et services basés sur l’ IA dans l’ Union Européenne. Cette législation est potentiellement très importante car elle est la première au monde qui adresse explicitement les risques causés par l’ Intelligence Artificielle.

Elle vient complémenter les autres législations européennes qui réglementent l’ économie digitale : le RGPD, le Digital Services Act et le Digital Markets Act. Le RGPD couvre la protection des données personnelles des citoyens de l’ UE, le DMA empêche les grandes plateformes systémiques (Google, Apple, Meta, Microsoft… ) d’ abuser de leur position dominante, et le DSA réglemente les différents aspects de l’ offre de services en ligne comme par exemple la lutte contre les contenus illégaux.

Comme le RGPD, l’ EU AI Act aura très probablement un impact global car son champ d’action couvre non seulement tous les systèmes IA mis sur le marché dans l’ UE mais aussi tous les services en ligne mis à disposition des citoyens de l’ UE, indépendamment de la localisation des fournisseurs de services….

Trois domaines sont exclus du champ de la législation : les applications militaires, les systèmes IA développés dans un but de recherche scientifique et les modèles gratuits et/ou open-source.

2. Approche basée sur le risque

L’idée fondamentale de la législation est d’ évaluer chaque système IA en fonction du niveau de risque qu’ il fait courir aux utilisateurs; ceci donne lieu à un classement de l’ application parmi quatre catégories. Ces catégories vont déterminer le niveau de réglementation qui sera d’ application.

Ces catégories sont : risque inacceptable, risque élevé, risque limité et risque minimal. Assez logiquement, ce sont surtout les deux premières catégories qui font l’ objet des attentions de l’ AI Act.

Cette approche est logique vu le but de protection des citoyens recherché. La loi est neutre au niveau technologique et réduit les contraintes sur les applications peu risquées afin de limiter autant que possible la charge administrative sur les développeurs.

Voyons maintenant chacune des catégories plus en détail.

3. Risque inacceptable

Ces applications sont considérées comme faisant courir un risque inacceptable aux utilisateurs et sont donc interdites par l’ AI Act.

La liste actuelle de ces applications comprend trois catégories de systèmes :

• les systèmes qui manipulent les utilisateurs à travers des messages subliminaux ou en exploitant les vulnérabilités de certains groupes d’utilisateurs (comme les enfants);
  
• les systèmes de crédit social, qui attribuent un score de fiabilité aux citoyens en fonction de leur comportement social;
  
• les systèmes d’identification biométrique en temps réel dans les espaces publics (notamment la reconnaissance faciale).

Certaines dérogations sont en discussion, comme l’ identification biométrique en cas de suspicion de crime grave ou de recherche de mineurs disparus.

La mention des systèmes de crédit social me semble curieuse car elle ne nécessite pas en soi de l’ IA pour être mise en place. Il me semble qu’ il s’ agit surtout d’une réaction au projet chinois en ce sens et de s’ assurer qu’ aucun pays européen n’ a la mauvaise idée de les imiter.

4. Risque élevé

C’ est la catégorie-clé de l’ EU AI Act.

Les applications IA sont considérées comme présentant un risque élevé si une des deux conditions suivantes est réunie :

• l’ IA est intégrée dans un produit qui est lui-même soumis à une réglementation existante en matière de sécurité. C’ est par exemple le cas des automobiles, des avions, des jouets, des équipements médicaux ou encore des ascenseurs.
  
• l’IA est exploitée pour remplir une tâche sensible dans un des huit domaines ci-dessous :
  
  • les systèmes d’identification biométrique qui ne constituent pas un risque inacceptable;
  • la gestion des infrastructures critiques : route, chemin de fer, eau, gaz, électricité…;
  • l’ éducation et l’apprentissage professionnel;
  • l’ emploi et la gestion des travailleurs;
  • l’ accès aux services publics essentiels : logement, aide sociale, soins de santé…;
  • la police;
  • le contrôle aux frontières, la migration et l’ asile;
  • la justice et les processus démocratiques (élections etc…).

La définition précise de ce qui constitue une tâche sensible est toujours en discussion, mais l’ idée est de se concentrer sur les tâches qui jouent un rôle dans la prise de décision.

Ces systèmes à haut risque seront soumis à un processus d’ évaluation au cours duquel ils devront démontrer que toutes les mesures possibles ont été prises pour assurer leur fiabilité et leur sécurité. Après la mise sur le marché, les exploitants devront mettre en place un mécanisme de supervision et de suivi des incidents sérieux qui devront être notifiés aux autorités.

Vous remarquerez que les soins de santé ne sont pas repris dans la liste, ce qui peut surprendre. La raison est que ce secteur est déjà largement couvert par des législations spécifiques de sécurité, c’est donc la première condition mentionnée ci-dessus qui va s’appliquer.

5. Risque limité

Les applications à risque limité sont typiquement celles dans lesquelles l’ utilisateur interagit directement avec une IA mais sans tomber dans le champ des risques élevés (ou inacceptables) définis ci-dessus.

Dans ce cas, l’exploitant est uniquement soumis à une obligation de transparence : il doit informer l’ utilisateur qu’ il interagit avec une IA afin d’ éviter toute manipulation et lui permettre de choisir de continuer ou non l’interaction.

Cette catégorie inclut les systèmes de chatbot, les générateurs d’images, d’audio et/ou de vidéo de synthèse, ainsi que les générateurs de deepfakes.

6. Risque minimal

Ces applications utilisent l’ IA dans une fonction qui ne pose aucun risque pratique pour l’utilisateur, comme des jeux vidéo ou des filtres anti-spam.

Elles ne sont soumise à aucune contrainte spécifique par l’ AI Act.

La grande majorité des systèmes IA actuels entre dans cette dernière catégorie.

7. Conclusions

La législation n’est pas encore votée donc des évolutions auront encore lieu, et il sera très intéressant de voir quels compromis seront adoptés dans la version finale. Mais la pierre d’ achoppement principale est sans conteste la réglementation de l’ IA généraliste, dont je reparlerai.

Une autre partie importante des discussions en cours porte sur les mécanismes de mise en oeuvre, et ces derniers sont absolument cruciaux. Il ne suffit pas de faire voter un beau texte pour changer le cours des choses; il faut aussi que les provisions de la loi soient implémentables et exécutables, faute de quoi l’ AI Act restera lettre morte dans la pratique.

Sources et références

• EU AI Act : first regulation on artificial intelligence : Nouvelles du Parlement Européen, le 8 juin 2023 : https://www.europarl.europa.eu/news/en/headlines/society/20230601STO93804/eu-ai-act-first-regulation-on-artificial-intelligence
  
• The EU AI Act : A primer, Georgetown Univerity Center for Security and Emerging Technology, Mia Hoffmann : https://cset.georgetown.edu/article/the-eu-ai-act-a-primer/
  
• AI Act : Leading MEPs revise high-risk classification, ignoring negative legal opinion, Euractiv : https://www.euractiv.com/section/artificial-intelligence/news/ai-act-leading-meps-revise-high-risk-classification-ignoring-negative-legal-opinion/
  
• EU Council nears common position on AI Act in semi-final text, Euractiv : https://www.euractiv.com/section/digital/news/eu-council-nears-common-position-on-ai-act-in-semi-final-text/