Qui fera plier l'IA ? Première tentative de l'Union Européenne

Le 14 juin 2023, le Parlement européen a adopté l'IA Act, un projet de loi sur l’Intelligence Artificielle. Évaluation de la dangerosité des systèmes, gestion des risques, transparence vis-à-vis des utilisateurs : zoom sur une réglementation qui voit le jour dans un contexte de croissance fulgurante du marché de l’IA.

L'Intelligence Artificielle (IA) est un domaine de la science de l'informatique. Celui-ci se concentre sur le développement de systèmes et de technologies capables de réaliser des tâches qui nécessiteraient généralement l'intelligence humaine. A ce jour, l’IA est omniprésente dans plusieurs domaines :

Le service à la clientèle ("Chatbots" ou robots de conversation),
Les réseaux sociaux (algorithmes de recommandation),
La vie quotidienne (assistants vocaux).

Echange textuel avec un robot conversationnel de la SNCF — Exemple de conversation avec le "Chatbot" (robot de conversation) de la SNCF

Si ces outils dotés d’intelligence artificielle peuvent paraître indispensables pour la plupart d’entre nous, ils soulèvent en réalité certaines préoccupations. Cette méfiance s’est accrue avec l’apparition de systèmes d’IA génératives. Ceux-ci, à partir de données d’apprentissage, sont capables de générer différents types de contenus. Parmi tant d'autres, on peut citer ChatGPT, MidJourney, Chatsonic...

Pourquoi réglementer le développement et l’usage de l’IA ?

Avec le développement exponentiel de l'intelligence artificielle, des débordements ont pu être remarqués. En effet, les systèmes d'IA générative sont par exemple utilisés pour créer de faux contenus : propagation de fake news, génération de fausses images et vidéos, musiques générées à partir de la voix d'une personne (sans son consentement), etc.

D'autres reproches ont été adressés à ces systèmes, notamment l'absence de transparence dans la collecte des données personnelles, ou l'absence de filtres relatifs à l'âge des utilisateurs. C'est notamment pour ces raisons que ChatGPT a été bloqué en Italie le 31 mars dernier jusqu'à sa mise en conformité.

Il devenait urgent pour les autorités de se saisir de cette problématique d'usage disproportionné de l'Intelligence artificielle. Cette réglementation, qui représente le premier cadre légal sur l’Intelligence Artificielle, traduit la volonté de l’Union Européenne de se positionner très tôt sur ce secteur. Face aux risques que représente cette technologie – propagation de fausses informations, violation du droit d’auteur ou manipulation des individus – il est devenu essentiel d’agir.

Concrètement, les nouveautés de ce règlement sont :

Une approche par le risque, avec classification des systèmes d’IA en fonction de leur niveau de risque pour les individus.
Des obligations plus ou moins renforcées en fonction du type d’IA et du type d’acteur : selon leur qualité (fournisseur ou simple distributeur), les obligations seront plus ou moins renforcées.
Des sanctions pour non-respect du règlement.
Une promotion du développement des systèmes d’IA responsables.

Explorons ces mesures plus en détail.

Une approche basée sur le risque

Cette réglementation sur l'intelligence artificielle apporte une grande nouveauté : la classification des systèmes d'IA selon 4 niveaux de risque. A savoir : les systèmes d'IA sans risque, à faible risque, à haut risque et ceux présentant un risque inacceptable.

Les systèmes d'IA sans risque

Description	Systèmes d'IA ne représentant pas de risques pour les individus ou ne traitant pas de données personnelles.
Mesures	Pas de mesures spécifiques car aucun danger pour les individus.
Exemples	Simples objets connectés, systèmes de maintenance prédictive, filtre anti-spam.

Les systèmes d'IA à faible risque ou risque limité

Description	Systèmes soumis à une obligation de transparence en raison du risque de manipulation des individus.*
Mesures	Transparence : l'individu doit savoir qu'il interagit avec une IA. L'individu doit pouvoir décider de continuer ou non à interagir avec le système.
Exemples	Chatbots

* Cette transparence du système permettra à l'utilisateur·rice d'avoir conscience du fait qu'il·elle interagit avec une IA, et favorisera ainsi une prise de décision éclairée. Cela permettra d'éviter la manipulation des utilisateurs·rices par de faux contenus qui pourraient être rendus crédibles par l'IA.

Les systèmes d'IA à haut risque

Description	Principale catégorie visée par cette régulation. Ce sont les systèmes ayant un impact considérable sur la santé, la sécurité des individus ou présentant un risque pour leurs droits fondamentaux.
Mesures	Évaluation avant la mise sur le marché et tout au long du cycle de vie. Obligation de mettre en place un système de gestion des risques. Contrôle humain pour prévenir ou réduire les risques.
Exemples	Systèmes d'IA utilisés dans les produits soumis à la législation de l'UE sur la sécurité des produits.* Systèmes d'IA relevant de 8 domaines spécifiques qui devront être enregistrés dans une base de données de l'UE.**

* Produits soumis à la législation de l'UE sur la sécurité des produits : jouets, aviation, dispositifs médicaux…

**Ces domaines spécifiques sont :

L'identification biométrique et la catégorisation des personnes physiques.
La gestion et l'exploitation des infrastructures critiques.
L'éducation et la formation professionnelle...

IA Générative

Les systèmes d'IA générative comme ChatGPT, Midjourney, ou DALL-E doivent se conformer à une obligation de transparence en indiquant leurs sources, ce qui permettra de distinguer le contenu généré par IA.

Les systèmes d'IA à risque inacceptable

Title	Title
Description	Ces systèmes sont considérés comme une menace pour les individus.
Mesures	Interdiction
Exemples	Systèmes de manipulation cognitives ou comportementale des personnes ou des groupes vulnérables. Systèmes d'identification biométrique* en temps réel et à distance. Classification des individu en fonction de leur comportement (scoring bancaire)**

* En ce qui concerne l'identification biométrique en temps réel et à distance, il existe des exceptions pour la préservation de l'intérêt général dans trois domaines spécifiques :

La recherche de victimes potentielles d’actes criminels, y compris des enfants disparus.
Les menaces pour la vie des personnes physiques, y compris en cas d'attaques terroristes.
La détection et la poursuite d'auteurs d'infractions pénales visées par la décision-cadre 2002/584/JAI (mandat d'arrêt européen).

** Le scoring bancaire ou "credit score" est un système de notation utilisé par les banques et les institutions financières pour évaluer le risque de crédit d’un emprunteur potentiel. Il peut être calculé à partir d'éléments comme la situation financière actuelle, le comportement (découvert, fréquence de remboursements...).

Cette approche par le risque permet de mettre en place des obligations accrues pour les acteurs établis exerçant sur le marché européen.

Des obligations renforcées pour les acteurs

Cette réglementation fait la distinction entre différents acteurs du secteur de l'intelligence artificielle. Ces obligations concernent principalement les acteurs des systèmes d'IA à haut risque. Parmi eux : les fournisseurs, les importateurs, les distributeurs et les utilisateurs.

Le fournisseur

Il s'agit de toute entité ou personne qui développe ou fait développer un système d'IA, en vue de le mettre sur le marché ou de le mettre en service, sous son propre nom ou sa propre marque. Ceci, que ce soit à titre onéreux ou gratuit. Ou encore, toute entité ou personne qui adapte des systèmes d'IA d'usage général à une finalité spécifique.

Le fournisseur est tenu de :

Veiller à la conformité du système d'IA à haut risque avec les exigences règlementaires à sa conception et tout au long de sa durée de vie. Et apposer le marquage CE pour démontrer cette conformité.
Établir une documentation technique.
Mettre en place des mesures correctives (si nécessaire) et en informer les autorités nationales compétentes.
Rapporter la preuve de la conformité de ces systèmes à la demande des autorités compétentes.

L'importateur

Toute personne physique ou morale, établie dans l'UE, qui met sur le marché ou met en service un système d'IA portant le nom ou la marque d'une personne physique ou morale établie en dehors de l'Union.

L'importateur est en ce sens tenu de s'assurer que le fournisseur a respecté ses obligations.

Il est aussi tenu, à la demande des autorités compétentes, de rapporter la preuve de la conformité des systèmes.

Le distributeur

Toute personne physique ou morale de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met à disposition un système d'IA sur le marché de l'Union.

Le distributeur s’assure que toutes les obligations précédentes ont été satisfaites avant la mise sur le marché des systèmes à haut risque, notamment le marquage CE. Il mène des actions correctives si nécessaire, et rapporte la preuve de la conformité à la demande des autorités.

L'utilisateur

L'utilisateur désigne toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant un système d'IA sous son autorité - sauf si le système d'IA est utilisé dans le cadre d'une activité personnelle (non professionnelle).

À son tour, l'utilisateur·rice est tenu·e d'utiliser les systèmes d'IA à haut risque conformément aux instructions. Il doit informer le fournisseur ou le distributeur et interrompre l'utilisation de ces systèmes en cas de risques supplémentaire pour les individus.

Pour les systèmes autres que ceux à haut risque, il est par exemple encouragé de créer un code de conduite pour favoriser l'application volontaire de cette réglementation.

Assurer le respect par la contrainte

Afin de s'assurer que les différents acteurs respectent leurs obligations et les droits des individus, des sanctions financières sont prévues par ce règlement :

Jusqu’à 30 millions d'euros ou 6% du chiffre d'affaires (CA) annuel mondial pour pratiques interdites.
Jusqu’à 10 millions d'euros ou 2% du CA annuel mondial pour refus d’obtempérer avec les autorités.
Jusqu’à 20 millions d'euros ou 4% du CA annuel mondial pour d’autres pratiques en violation du règlement.

Le respect effectif de cette régulation passera par la désignation d'autorités compétentes au niveau étatique. Ces autorités nationales seront chargées de

mettre en place et d'accomplir les procédures nécessaires à l'évaluation, à la désignation et à la notification des organismes d'évaluation de la conformité et à leur contrôle.
Texte de loi officiel sur l'IA

Aussi, un Comité Européen de l'Intelligence Artificielle sera créé afin de faciliter la coopération entre les différentes autorités nationales, ainsi que l'application cohérente de ce règlement.

En France, la CNIL a été désignée comme autorité compétente. Elle a de ce fait créé un Service de l'Intelligence Artificielle (SIA). Ce service aura pour mission de comprendre le fonctionnement des systèmes d'IA, de prévenir les risques liés à la vie privée et de préparer l'entrée en vigueur de ce règlement.

Il est indéniable que la sortie de ce règlement va perturber la croissance du secteur de l'intelligence artificielle, et provoquer la grogne des acteurs dans ce domaine. Ainsi, le règlement prévoit également des mesures de soutien en leur faveur.

Sanctionner, OUI. Encourager, c'est bien aussi.

Outre les sanctions, ce règlement vise par ailleurs à soutenir l'innovation. En effet, des bacs à sable réglementaires seront mis en place afin d'offrir

un environnement contrôlé qui facilite le développement, la mise à l’essai et la validation de systèmes d’IA innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service.
Texte de loi officiel sur l'IA

Cela passera par la possibilité d'utiliser des données légalement collectées à des fins de développement et de test, sous certaines conditions.

Le but de cette entreprise sera de mettre à disposition ces données légalement collectées dans le cadre de ce bac à sable, afin de :

Développer des systèmes d'IA innovants utilisés pour la préservation des intérêts publics (sécurité publique, prévention d'infractions).
Permettre aux petits fournisseurs et utilisateurs d'avoir un accès prioritaire à ces bacs à sable réglementaires (et aux données contenues), sous conditions d'éligibilité.

Ces mesures permettront ainsi de garantir une utilisation éthique des systèmes d'IA tout en incitant à l'innovation.

L'application de ce règlement passe nécessairement par la prise en compte des principes de protection des données. Comme l'a rappelé Marie-Laure Denis (présidente de la CNIL), le 11 septembre dernier, lors de son audition au Sénat :

Il est en effet essentiel de permettre une articulation harmonieuse du règlement IA avec le RGPD, d’autant plus que le Parlement européen propose de conditionner l’obtention du marquage CE au respect du droit de l’Union en matière de protection des données.
Marie-Laure Denis, Présidente de la Commission Nationale de l'Informatique et des Libertés

En France, la CNIL aura un rôle essentiel à jouer dans ce domaine.

Les pourparlers sont toujours en cours entre les Etats membres sur la forme finale que prendra ce texte. L'idée étant de parvenir à un accord d'ici la fin de l'année.