Articles
Plongée au cœur de l'IA réglementée : Décryptage de l'AI Act et de ses implications
Nombreux sont ceux qui voient dans le projet de règlement de l’Artificial Intelligence Act (« AI Act ») un excès de zèle normatif susceptible d’entraver l’innovation au sein de l’Union Européenne, en raison des contraintes juridiques et économiques qu’il impose au monde des fournisseurs de services technologiques.
Nombreux sont également ceux qui, conscients de l’écosystème technologique mondial dominé par les Etats-Unis et la Chine et leurs méthodes - culturellement plus agressives que celles à l’œuvre sur le vieux continent -, appellent les gouvernements à réguler le marché de l’intelligence artificielle, sans délai, afin de tenter d’en endiguer les risques.
Ces frictions illustrent bien à quel point l’encadrement de l’intelligence artificielle (« IA ») passionne et divise à hauteur des enjeux qu’il représente.
Pourquoi l’AI Act ?
Alors que la valorisation des licornes spécialisées en intelligence artificielle explose, un nombre croissant d’experts, composé de chercheurs, de spécialistes du secteur et d’organisations internationales, tire la sonnette d’alarme en pointant du doigt les dangers que l’IA fait peser sur nos sociétés, nos économies et nos démocraties. Désinformation, manipulations, discriminations, cybercrimes font partie des risques les plus fréquemment associés à l’utilisation des intelligences artificielles et à leurs dérives.
Face à cette réalité, l'Union Européenne s'est retrouvée à un carrefour : gagner le haut du podium dans la course effrénée à l’IA en créant les fournisseurs et les distributeurs d’IA de demain ou faire usage de la force régulatrice de l’Union Européenne pour protéger ses ressortissants et leur garantir que - dans l’espace de l’Union - seules des IA vertueuses et respectueuses de leurs droits fondamentaux seront déployées.
« Choisir, c’est renoncer » dit l’adage d’André Gide ; mais quel plan d’actions choisir dans ce cas ? Encourager l’économie et l’innovation européenne ou protéger l’éthique et les valeurs de l’Union ?
Au regard des enjeux en présence, le Parlement européen et le Conseil ont tranché la question en entreprenant l’un des chantiers de régulation figurant parmi les plus ambitieux et les plus complexes recensés depuis le Règlement (UE) 2016/679 sur la protection des données (« RGPD ») et en initiant puis en publiant, dès le 21 avril 2021, un projet de règlementation sur l’intelligence artificielle.
Ce texte vise deux principaux objectifs :
🎯 faciliter le développement d’un marché unique pour des applications d’intelligences artificielles légales, dignes de confiance, et empêcher la fragmentation du marché ;
🎯 veiller à ce que les intelligences artificielles mises sur le marché de l’Union soient sûres et respectent la législation en vigueur en matière de droits fondamentaux ainsi que les valeurs de l’Union.
C’est ainsi que le projet d’Artificial Intelligence Act, premier projet de régulation en la matière, touchant des acteurs à l’échelle globale, vit le jour.
Qui est concerné ?
Le périmètre de cette régulation est double.
D’une part, il s’applique à toute personne morale fournissant, distribuant ou déployant une intelligence artificielle, que son siège social soit situé au sein d’un Etat Membre de l’Union Européenne ou que son activité, impliquant une intelligence artificielle, cible des ressortissants européens.
D’autre part, ce projet de règlement s’emploie à couvrir toute forme d’intelligence artificielle qu’elle qu’en soit la destination - à l’exception des systèmes exclusivement utilisés à des fins militaires ou de défense ainsi que pour des activités de recherche et de développement, dénuées d’objectif commercial. En outre, il s’applique sans préjudice des autres dispositifs législatifs préexistants.
Compte-tenu de la diversité et de la haute évolutivité des natures des technologies qu’il était souhaité de réguler par l’AI Act, le Parlement et le Conseil ont proposé d’articuler cette règlementation sur une approche fondée sur les risques générés par les intelligences artificielles en présence.
D’ailleurs, il est à noter que le texte ne fait pas état d’intelligence artificielle à proprement parler, mais plutôt de système d’intelligence artificielle (« SIA »), démystifiant l’apparente simplicité et unicité des SIA et révélant les véritables casse-têtes technologique et juridique que cachent ces technologies.
Qu’en retenir ?
En application de l’actuelle rédaction du règlement, il revient à tout responsable d’un SIA, dès sa conception et - en tout état de cause - avant sa commercialisation sur le marché de l’Union, de qualifier les risques potentiels ou prévisibles que pourraient engendrer sa technologie, selon l’un ou l’autre des niveaux recensés :
- « risque inacceptable » notamment, en cas de SIA contraires aux valeurs et aux droits fondamentaux de l’Union Européenne (ex : notation sociale, identification biométrique en temps réel sauf exceptions, manipulation de personnes etc.),
- « haut risque » en cas de SIA utilisés comme des composants de sécurité de produits ou répertoriés dans les domaines listés en annexe du règlement,
- « risque faible ou minimal » (ex : recours à des chatbots, etc.).
Ce n’est qu’à l’issue de cette étape préliminaire - similaire, dans l’esprit, à l’analyse d'impact à la protection des données prévue par le RGPD - que le responsable du SIA identifie les règles applicables au SIA concerné, tout au long de son cycle de vie.
Si les SIA dits à risque inacceptable sont réputés interdits de déploiement et de commercialisation au sein de l’Union, les SIA à « haut risque » font l’objet de règles encadrant leur conception, leur mise sur le marché européen et leur suivi, parmi lesquelles notamment :
- Etablissement d’un système de gestion des risques (identification des risques potentiels liés à un usage conforme du SIA à haut risque et à un détournement raisonnable et prévisible, étude des éventuels risques résultant de l’agrégation des données de suivi, adoption de mesures palliatives, etc.) ;
- Rédaction et tenue à jour de documentations techniques du SIA à haut risque démontrant sa conformité ;
- Déclaration de conformité, enregistrement dans une base de données de l’Union, marquage CE ;
- Journalisation des évènements enregistrés lors de l’utilisation du SIA ;
- Information adéquate et transparente des utilisateurs (quant à la nature des résultats générés par le SIA ou quant aux règles que s’impose la partie prenante mettant le SIA à disposition de l’utilisateur) ;
- Contrôle du SIA et surveillance humaine ;
- Mise en place d’indicateurs et de mesures de robustesse, de résilience et de cybersécurité.
Enfin, les SIA à risque faible ou minimal ne requièrent quant à eux qu’une simple information des utilisateurs et/ou, le cas échéant, la rédaction d’un code de conduite.
Depuis la rédaction du premier projet de texte, le législateur européen a été contraint d’en repenser certains aspects, en raison de l’émergence et de l’utilisation massive des modèles de fondation que sont, par exemple, pour ne citer que les grands modèles de langage (« LLM ») les plus populaires, les outils Chat-GPT, Dall-E ou encore Midjourney. Afin d’éviter que ces derniers ne soient qualifiés de SIA « à risque faible ou minimal », le projet de texte a été actualisé pour prévoir un nouveau corpus de règles ad hoc, applicables aux « IA à usage général » (ou en anglais « General Purpose AI » - « GPAI »).
Enfin, pour contrôler la bonne application de ce règlement, le projet d’AI Act prévoit également la mise en place d’une gouvernance duale à une échelle européenne et à une échelle nationale avec, un Bureau européen de l’intelligence artificielle en charge de la mise en œuvre et de l’harmonisation du règlement au sein des Etats Membres, et une autorité nationale compétente pour contrôler l’application du règlement – la Commission Nationale de l’Informatique et des Libertés (« CNIL ») étant pressentie pour la France.
Les sanctions prévues par le projet de règlement, en cas de non-respect des obligations pesant un SIA, peuvent consister en une amende pouvant s’élever jusqu’à 35 Millions d’Euros ou dans le cas d’une entreprise jusqu’à 7 % de son chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu), et ce, en sus de toute autre mesure nationale effective, proportionnée et dissuasive, susceptible d’être adoptée par un Etat Membre.
Applicables aux SIA en cours de conception, de déploiement ou d’ores et déjà commercialisés, le projet d’AI Act prévoit que la législation s'appliquera progressivement dans les 3 ans suivant son entrée en vigueur.
Quelles sont les prochaines étapes ?
Le projet a fait l’objet de vive inquiétudes, et notamment de la France qui craignait que certaines de ses obligations viendraient porter préjudice à l’Innovation et au développement pérenne de start-up européennes telles que Mistral AI ou encore Hugging Face.
Ces critiques n’ont néanmoins pas suffi à bloquer l’avancée du texte puisque ce dernier a fait l’objet d’un accord provisoire entre le Conseil et le Parlement européen le 8 décembre 2023, suivi d’un vote à l’unanimité par le Coreper (Comité des représentants des Etats Membres de l’Union Européenne) le 2 février 2024 puis d’une adoption par les députés du Parlement européen le 13 mars dernier.
Le texte, poursuivant la procédure législative européenne, sera prochainement soumis au vote du Conseil de l’Union pour entrer en vigueur 20 jours après sa publication au Journal officiel de l’Union Européenne (« JOUE »).
Quelques étapes demeurent encore à franchir avant que le texte n’entre en vigueur mais que les parties prenantes du secteur des Nouvelles Technologies ne s’y trompent pas : l’heure est désormais à l’action. L’AI Act arrive !
Pour toute question ou pour tout accompagnement dans ces démarches, les équipes de Plasseraud IP sont à votre disposition.