L’IA Act : vers un encadrement de l’intelligence artificielle dans l’Union européenne

L’intelligence artificielle continue de prouver son importance et son efficacité, surpassant les capacités humaines pour réaliser des tâches complexes dans de nombreux domaines. Bien que les avantages et le potentiel de cette technologie paraissent évidents, plusieurs inconvénients et enjeux se cachent derrière cette performance. C’est pourquoi, le projet de loi intitulé AI Act – ou IA Act en français – a été adopté le 2 février 2024 par le Parlement européen. Son objectif : maîtriser l’IA et limiter, voire interdire, toute dérive des systèmes l’utilisant.

📥 Recevez les dernières actualités sur l’IA directement dans votre boîte mail ! Abonnez-vous à la newsletter.

Comme pour toute technologie, une mauvaise utilisation de l’IA pourrait entraîner des risques et représenter un danger pour les personnes, les sociétés et même la civilisation. En effet, plusieurs pratiques et applications menaçant les droits fondamentaux des humains voient le jour depuis plusieurs années. C’est la raison pour laquelle l’Union européenne tente depuis 2021 de mettre en place une réglementation dont la vocation est de réguler l’utilisation de l’intelligence artificielle.

Qu’est-ce que l’IA Act ?

L’AI Act (Artificial Intelligence Act) est un projet de loi de l’Union européenne qui vise à encadrer et à réguler l’utilisation de l’intelligence artificielle. Il propose une réglementation devant être respectée par toutes les applications et les systèmes utilisant une approche d’intelligence artificielle. Cela concerne aussi bien les produits qui sont fournis par des acteurs établis dans l’Union que dans un pays tiers.

Le Parlement européen met l’accent sur la sécurité, la transparence, la traçabilité, la non-discrimination et le respect de l’environnement dans l’utilisation des systèmes d’IA au sein de l’UE. Il privilégie la supervision humaine des systèmes d’IA pour éviter des conséquences négatives. De plus, il cherche à établir une définition uniforme et technologiquement neutre de l’IA applicable aux futurs systèmes.

Pourquoi réguler l’IA ?

Avec les progrès enregistrés dans le domaine de l’intelligence artificielle, plusieurs applications intelligentes basées sur l’IA continuent de voir le jour. La démocratisation de l’utilisation de l’IA a permis aux personnes et aux entreprises de se familiariser avec cette technologie, allant même jusqu’à tenter une utilisation malveillante.

En effet, on constate depuis plusieurs années des dérives de l’utilisation des systèmes d’IA touchant les droits fondamentaux des personnes. Ces dérives peuvent être catégorisées en plusieurs classes : sociale, éthique et juridique.

D’un point de vue social

L’automatisation des tâches par l’intelligence artificielle met en péril de nombreux emplois dont les fonctions peuvent être automatisées, conduisant ainsi à un chômage technologique pour les travailleurs concernés. Par exemple, les postes de secrétaire sont menacés par l’émergence de modèles d’IA générative, notamment en raison de leur performance démontrée. De plus, certaines entreprises expérimentent des prototypes de robots serveurs et même des drones livreurs dans certains restaurants, etc.

Parallèlement, on constate un accroissement des inégalités entre les individus. La raison : ceux qui maîtrisent mieux la technologie sont favorisés par rapport à ceux qui ont du mal à suivre les progrès technologiques. Une autre préoccupation majeure réside dans la dépendance croissante des humains à l’égard des technologies, les rendant vulnérables en cas de panne ou de cyberattaque, et diminuant ainsi leurs compétences.

Les biais algorithmiques présents dans les systèmes d’IA qui filtrent et prennent des décisions sur la base de profils peuvent également représenter un danger de discrimination. Comment ? En exploitant les préjugés présents dans les données d’entraînement des modèles.

D’un point de vue éthique

L’utilisation généralisée des systèmes d’intelligence artificielle soulève de nombreuses questions éthiques cruciales. Par exemple, des « chatbots » peuvent diffuser des discours racistes sur les réseaux sociaux, et des décisions judiciaires peuvent être influencées par des biais liés aux données sociales et ethniques. En parallèle, l’utilisation croissante de la technologie de deepfake suscite également des préoccupations éthiques importantes.

Cette technologie permet de créer des vidéos trompeuses et convaincantes qui peuvent être utilisées pour ridiculiser des individus, ou propager des informations fausses et diffamatoires à leur sujet. Ces manipulations de contenu audiovisuel peuvent entraîner des répercussions graves, telles que :

• La détérioration de la réputation des personnes concernées ;
• La propagation de la confusion dans l’opinion publique ;
• Voire l’instigation de conflits.

En outre, les décisions prises par les systèmes d’IA sont souvent opaques et difficiles à expliquer, ce qui expose les individus à un risque accru de discrimination. Cette opacité peut entraîner des décisions injustes ou biaisées, affectant disproportionnellement certains groupes de personnes. En conséquence, il est impératif d’examiner attentivement les implications éthiques de l’utilisation de l’IA, et de mettre en place des mesures pour garantir une utilisation éthique et responsable de cette technologie.

D’autre part, la confidentialité et la vie privée sont menacées par les systèmes d’IA qui pourraient exploiter les données des individus sans leur consentement. Ceci est d’autant plus préoccupant avec l’intégration de systèmes d’IA générative dans certains services de Google et de Microsoft qui pourraient accéder à des données confidentielles en exploitant l’inattention, l’ignorance et le manque de connaissance des personnes.

D’un point de vue juridique

Les dérives constatées dans l’utilisation des applications basées sur l’intelligence artificielle soulèvent plusieurs questions d’ordre juridique et nécessitent des réponses concrètes pour prévenir la violation des droits fondamentaux des individus et des sociétés. Ces questions portent notamment sur la détermination de la responsabilité en cas d’erreur ou d’accident, ainsi que sur la précision des sanctions à appliquer en cas d’utilisation abusive.

Considérons tout d’abord un exemple concret : celui d’un accident impliquant une voiture autonome. Qui devrait être tenu responsable dans une telle situation ? Le propriétaire de la voiture, la victime de l’accident, l’entreprise qui a conçu et commercialisé le véhicule, ou bien encore le fabricant ? Par ailleurs, il y a eu des débats animés parmi les artistes à propos de l’utilisation de leurs œuvres dans le processus d’entraînement des modèles d’intelligence artificielle qui génèrent des créations artistiques. Certains artistes ont exprimé leur désaccord, arguant que cela se faisait sans leur consentement. Tout cela pose évidemment des questions sur la responsabilité des créateurs de ces modèles, ainsi que sur les éventuelles compensations à verser aux parties concernées.

Autre questionnement : bien que la technologie des « deepfakes » ait été initialement associée à des utilisations divertissantes, elle est aujourd’hui exploitée de manière malveillante. Son utilisation s’étend désormais à la falsification de documents et à la manipulation de l’opinion publique, notamment à des fins politiques.

Toutes ces préoccupations alimentent l’inquiétude de la société et plaident en faveur d’une réglementation de l’utilisation de l’IA par le biais d’une législation visant à interdire les dérives, et à sanctionner toute partie créant ou utilisant un système d’IA portant atteinte aux droits fondamentaux des individus.

D’un point de vue sécurité

Avec l’évolution spectaculaire des systèmes d’IA, et plus particulièrement des modèles d’IA générative, plusieurs spécialistes redoutent le développement de systèmes d’IA nuisant la sécurité. En effet, la capacité de ces modèles à raisonner, à analyser et à coder ne cesse de s’améliorer. Ainsi, on pourrait voir émerger des systèmes capables d’analyser les failles de réseau et de lancer des cyberattaques. On pourrait même voir des armes basées sur l’IA telles que des soldats-robots, ou des armes biologiques ou chimiques.

Comment réguler l’IA : quelles seront les IA interdites en Europe après l’entrée en vigueur de l’AI Act ?

L’objectif du projet n’est pas de juger si une technologie est intrinsèquement positive ou négative, mais plutôt d’analyser comment elle est mise en œuvre et quels dangers cette utilisation peut poser pour les citoyens et les entreprises en Europe.

La Commission européenne avance une approche basée sur l’évaluation des risques des systèmes d’intelligence artificielle. Selon le niveau de risque déterminé, une IA sera classée dans l’une des quatre catégories identifiées ci-dessous.

Risque inacceptable ⮕ Utilisation interdite

Les systèmes d’IA à haut risque peuvent être reconnus par la violation des droits fondamentaux. L’utilisation de tels systèmes est strictement interdite. Une base de données incluant la liste des applications classées dans cette catégorie est mise à jour régulièrement et accessible en ligne.

Parmi les exemples d’applications interdites, on peut citer :

• Toute application faisant l’objet d’une manipulation subliminale entraînant un préjudice physique ou psychologique. Par exemple : un système d’IA visant à trouver la fréquence optimale pour jouer un son inaudible dans un environnement de travail. Objectif : pousser un salarié à travailler encore plus au détriment de sa santé.
• L’extraction non ciblée d’images faciales sur internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale.
• La reconnaissance des émotions sur le lieu de travail et les établissements d’enseignement.
• L’exploitation d’un enfant ou de personnes handicapées entraînant un préjudice physique ou psychologique. Par exemple : un jeu incitant des mineurs à réaliser des défis dangereux.
• La notation sociale, également appelée « social scoring » en anglais, consiste à évaluer le comportement social ou les caractéristiques personnelles des individus. Par exemple : cela peut inclure l’utilisation de la biométrie à distance à des fins de surveillance répressive dans des espaces publics accessibles, comme la vérification des visages capturés par des caméras en temps réel pour surveiller les personnes.
• Les jeux et les applications qui utilisent de l’assistance vocale encourageant les comportements dangereux.

Certaines exceptions peuvent être accordées dans des situations spécifiquement définies, telles que la recherche d’un enfant disparu, la prévention d’une menace terroriste ou le suivi d’un suspect impliqué dans une infraction pénale grave. Ces dérogations doivent être approuvées par un organisme judiciaire indépendant, et sont limitées dans le temps et dans leur étendue géographique.

Risque élevé ⮕ Utilisation autorisée sous réserves

Les systèmes identifiés comme présentant un risque élevé sont autorisés sous réserve de se conformer aux exigences réglementaires en matière d’IA et de subir une évaluation de conformité menée par les autorités compétentes.

Ceci s’applique à tous les systèmes d’IA susceptibles d’avoir un impact néfaste sur la sécurité ou les droits fondamentaux des individus. À titre d’exemple, on peut citer :

• Tous les systèmes d’IA utilisés dans des produits : les jouets, les voitures, les dispositifs médicaux et les ascenseurs.
• D’autres systèmes qui seront enregistrés dans une base de données de l’UE, dont : la gestion des infrastructures critiques, l’éducation, l’emploi, les services publics, la sécurité, la gestion des migrations et l’aide juridique.

Avant leur utilisation et tout au long de leur durée de vie, ces systèmes sont assujettis à des obligations rigoureuses. Celles-ci comprennent notamment :

• La tenue d’un registre des activités pour garantir la traçabilité des résultats.
• La fourniture de documentation détaillée du système afin que les autorités puissent évaluer sa conformité.
• Et la mise en place de systèmes d’évaluation et d’atténuation des risques.

Risque limité

Les systèmes classés à risque limité sont autorisés mais sont soumis à des obligations spécifiques en matière d’information et de transparence. Cela concerne notamment les chatbots et tout système impliquant un dialogue avec des êtres humains. Les utilisateurs doivent en effet être informés qu’ils interagissent avec des machines.

De même, l’utilisation de la technologie de deepfake est incluse dans cette catégorie. Les utilisateurs doivent alors être avertis que le contenu a été généré par une intelligence artificielle.

Risque minimale ou absent ⮕ Autoriser sans restriction

Cette catégorie inclut tous les systèmes qui présentent peu ou aucun risque, et sont donc utilisables sans restriction.

Une fois qu’un système est déployé, les autorités compétentes seront chargées de surveiller sa conformité en évaluant son fonctionnement et en supervisant tout dysfonctionnement majeur. Parallèlement, les fournisseurs assureront une surveillance post-commercialisation. De plus, les utilisateurs et les fournisseurs signaleront les incidents et les dysfonctionnements graves afin de les faire remonter.

Cas d’usage de l’IA générative 

La loi sur l’IA vise à encadrer les systèmes d’IA génératifs en leur imposant des règles de transparence. Ainsi, tout système produisant du contenu, tel que ChatGPT ou Midjourney, doit informer l’utilisateur qu’il interagit avec une machine et spécifier que les contenus (textes, images, sons) sont générés par une IA.

De plus, il doit être clairement énoncé que ces technologies ne doivent pas être utilisées pour altérer la réalité ou tromper l’utilisateur.

Il est également requis que les entreprises responsables de la création de ces modèles assurent un contrôle sur leurs résultats. Par exemple : en mettant en place des filtres pour empêcher la diffusion de contenus illégaux tels que des discours racistes ou diffamatoires. De plus, elles doivent publier des résumés des données protégées par le droit d’auteur utilisées pour l’apprentissage.

Pour ce qui est des systèmes d’intelligence artificielle générative présentant un risque systémique (une catégorie de risque à définir), des obligations plus strictes sont envisagées. Ces règles devraient probablement s’appliquer aux plus grands systèmes de GenAI. Pour ces systèmes, il sera entre autres nécessaire :

• D’effectuer une évaluation des modèles et des tests contradictoires ;
• De réduire obligatoirement les risques systémiques ;
• Et de mettre en place des mesures de cybersécurité et d’efficacité énergétique.

Tout incident grave devra être signalé à la commission.

Quelles sanctions en cas de non-respect de l’IA Act ?

La législation européenne sera équipée de dispositifs de surveillance et de sanctions grâce à l’établissement d’un office européen de l’intelligence artificielle au sein de la Commission européenne. Cet office aura le pouvoir d’imposer des amendes pouvant aller de 7,5 à 35 millions d’euros selon la gravité de l’infraction et la taille de l’entreprise concernée.

La loi impose également des sanctions en cas de non-conformité au cadre réglementaire de l’IA. Les amendes pour violation de la loi sont basées sur un pourcentage du chiffre d’affaires annuel mondial de l’entreprise ou sur un montant fixe, le montant le plus élevé des deux étant retenu.

Les amendes pour les applications d’IA interdites peuvent aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires, tandis que pour les infractions aux obligations légales, elles peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires.

Enfin, les amendes pour la communication d’informations inexactes peuvent s’élever à 7,5 millions d’euros ou 1,5 % du chiffre d’affaires. Néanmoins, des limites plus adaptées sont prévues pour les PME et les jeunes entreprises en cas de non-respect de la loi.

Quand l’IA Act a-t-il été voté ?

Le projet de loi sur l’intelligence artificielle (Artificial Intelligence Act ou AI Act) a été examiné et voté au Parlement européen. Il a été approuvé à une large majorité par les eurodéputés le 13 mars dernier.

Dans un premier temps, le texte va faire l’objet d’une dernière vérification, effectuée par un juriste-linguiste.  Une version finale définitive du règlement est prévue pour le 22 avril 2024. Après sa publication au Journal Officiel, l’AI Act entrera en vigueur après un délai de 20 jours.

Quand l’AI Act entrera-t-il en vigueur ?

Bien que le projet de loi ne sera véritablement effectif que dans environ deux ans, le Parlement prévoit quelques étapes préliminaires avant son application :

• Dans un délai de 6 mois, les IA jugées inacceptables devront cesser leurs activités.
• Pour les IA à usage général, l’échéance est fixée à 12 mois.
• Après 24 mois, probablement en 2026, l’AI Act entrera pleinement en vigueur.

Réguler l’IA à l’échelle européenne est-il suffisant ?

Plusieurs parties prenantes estiment qu’une seule autorité européenne pourrait ne pas suffire à réguler efficacement l’IA, et qu’il est nécessaire d’avoir des entités nationales dédiées pour jouer un rôle complémentaire. Elles soulignent que la réglementation seule ne serait probablement pas adéquate.

De plus, la mise en place d’une « police de l’IA » permettrait de faciliter le processus de régulation et d’intervenir rapidement pour prévenir tout abus dans l’utilisation de l’IA. En cas de découverte d’un risque inacceptable lié à un système d’IA, il est question du temps nécessaire pour que l’information remonte aux instances européennes et qu’une réaction efficace soit mise en œuvre.

Une entité nationale française pourrait ainsi être plus réactive et alerter les autorités nationales compétentes pour intervenir rapidement et mettre fin aux dérives constatées. Elle pourrait ensuite faire remonter des rapports aux autorités européennes.

Par ailleurs, pour gérer une organisation de grande taille, il est souvent nécessaire de hiérarchiser la gestion avec des entités de plus petites tailles. Par exemple, dans le domaine du football, il existe la FIFA en tant qu’entité principale, avec des confédérations pour chaque continent et des fédérations pour chaque pays.

Ce modèle de hiérarchisation est également applicable dans le domaine administratif, politique et économique autour de l’Union européenne, des gouvernements nationaux, des régions, des départements et des communes. Un tel raisonnement reste valable dans le domaine de l’IA car une seule entité européenne ne pourra pas nécessairement gérer la diversité des impacts de l’IA de manière uniforme dans tous les pays. Chaque pays risque certainement d’être affecté de manière différente et aura des besoins spécifiques.

Conclusion

C’est pourquoi l’Institut Montaigne soutient la nécessité de créer une entité nationale chargée d’évaluer de manière rigoureuse la performance et les risques associés à la technologie de l’IA. Il soutient également le fait d’intervenir en cas de risques jugés inacceptables et estime que la France doit rattraper son retard par rapport à d’autres pays leaders dans le domaine de l’IA, comme les États-Unis et le Royaume-Uni. Pour ce faire, la France pourrait s’appuyer sur l’expertise de différentes institutions telles que le Laboratoire national de métrologie et d’essais (LNE), la CNIL pour les données personnelles, l’ANSSI pour la cybersécurité, ou encore l’ARCOM pour les contenus numériques.