AI Act Européen : un cadre nécessaire, mais insuffisant dans la course mondiale à l’IA ?

Proposition de décryptage par Adrien Hug Korda, Directeur Privacy & Compliance, Data Protection Officer, du cabinet, sur l’IA ACT débattu au Parlement européen au cours de la session plénière du 13 mars 2024

A retenir 

• L’AI Act entrera vraisemblablement en vigueur dans quelques semaines, et viendra réguler la mise sur le marché et en service des systèmes d’IA au travers d’une approche par les risques.
• Le règlement bannit les systèmes d’IA incompatibles avec les valeurs fondamentales de l’Union, et prévoit un cadre plus souple pour les technologies jugées peu risquées.
• Entre ces deux extrêmes, le texte impose des obligations significatives aux entreprises impliquées dans la distribution et l’utilisation de systèmes d’IA considérés “à haut risque”.
• Cette législation marque un tournant stratégique pour l’UE, qui affirme son rôle de précurseur dans la définition de standards internationaux pour un développement responsable du numérique malgré un retard technologique considérable en matière d’IA.
• Toutefois, le texte souffre d’ambiguïtés et sa mise en application par les entreprises pourrait s’avérer difficile.

Le dénouement du processus législatif initié en 2021 est proche : l’AI act entrera vraisemblablement en vigueur dans quelques semaines. Le texte, qui reflète l’ambition de l’Union Européenne de créer le premier cadre réglementaire international pour le développement et l’usage de l’intelligence artificielle, a pour objectif principal de réguler la mise sur le marché européen de systèmes d’IA au travers de l’appréciation des risques associés : protection des personnes et des données, transparence, sécurité et traçabilité. Ainsi, les systèmes d’IA dont la finalité est profondément incompatible avec les valeurs fondamentales de l’Union seront tout simplement interdits, tandis que ceux répondant à un objectif légitime mais susceptibles de présenter un risque significatif pour la santé, la sécurité et les droits fondamentaux des personnes physiques nécessiteront la mise en place de garde-fous importants de la part de leurs éditeurs et, dans une moindre mesure, des entreprises utilisatrices.

En parallèle, les systèmes d’IA ne présentant qu’un « risque limité » tels que les chatbots, deep fakes, ou “gen AI”  – ces technologies capables de générer du texte, des images, vidéos et sons, particulièrement réalistes – se verront soumis à des obligations de transparence pour limiter le risque de confusion de la part des utilisateurs.

Ce texte est-il adapté à la situation actuelle du marché ? Contient-il des failles ? Représente-t-il un frein ?  

Juste à temps pour l’AI Act… 

L’adoption de l’AI Act intervient à un moment stratégique. Confrontée à l’avance technologique considérable des États-Unis en matière d’IA, l’UE a pour impératif d’instaurer rapidement un cadre réglementaire robuste, à portée extraterritoriale, afin d’affirmer sa position de cheffe de file dans l’établissement de standards internationaux pour un développement responsable du numérique. L’approche par les risques de l’AI Act, associée à diverses dispositions prévoyant sa possible mise à jour – notamment au travers de l’extension de la liste des systèmes d’IA considérés à “haut risque” -, rendent le règlement particulièrement pérenne. Par ailleurs, le texte évite certains écueils ; en particulier, il prévoit l’autorisation d’utiliser – dans le respect du RGPD – des données “sensibles” afin d’identifier et de contrer d’éventuels biais algorithmiques.

Le fait que le texte se concentre sur la mise sur le marché et la mise en service des systèmes d’IA, et prévoit une relative exemption des phases de recherche et de développement – doublée d’amendes réduites pour les plus petites structures en cas de manquement – permettra en outre aux entreprises de continuer à innover sans leur imposer une charge administrative démesurée. De plus, les obligations de l’AI Act sont formulées de manière relativement générique, ce qui offre aux entreprises une certaine latitude dans leur mise en conformité pratique, permettant notamment la mise à profit de processus existants tels que ceux liés à la protection des données personnelles.

…à condition d’anticiper les failles

Toutefois, le texte approuvé par le Conseil de l’UE est loin d’être parfait ; et bien qu’il ne s’agisse techniquement encore que d’un projet de règlement, il est peu probable que la version finale subisse d’importantes modifications avant sa parution au Journal officiel dans quelques semaines.  En particulier, plusieurs définitions clés manquent de précision et sont sujettes à interprétation, telles que celle d’un « système d’intelligence artificielle » qui repose principalement sur la notion ambiguë de « niveau d’autonomie » , ou, plus floue encore, celle d’un « modèle d’IA à finalité générale », ajout tardif à l’initiative du Parlement,  qui correspond à tout « modèle d’IA » présentant une « généralité significative » et capable d’exécuter « de manière compétente » un « large éventail » de tâches, sans que le règlement ne précise la signification du moindre de ces termes.

De la même manière, les critères de classification ne permettent pas systématiquement de déterminer avec certitude si un système d’IA devrait être considéré comme “à haut risque”. Certaines études ont d’ailleurs démontré que près de 40 % des applications d’IA couramment utilisées par les entreprises risqueraient de se retrouver dans une “zone grise”. Par ailleurs, la rédaction parfois maladroite du règlement introduit des incohérences et des failles potentielles, permettant à des acteurs, notamment établis dans des pays tiers, d’éviter l’application de l’AI Act d’une manière vraisemblablement contraire à l’esprit du texte.

Il reste à espérer que certaines de ces imperfections seront gommées avant la publication de la version finale du règlement. Dans le cas contraire, il sera essentiel d’attendre que les autorités nationales compétentes – ou le Comité européen de l’intelligence artificielle – adoptent des lignes directrices claires pour pallier les lacunes du texte… Néanmoins, l’AI Act permettant aux États membres de désigner des autorités aux profils hétérogènes – et par conséquent, aux perspectives potentiellement divergentes -, une approche uniforme au niveau de l’Union est loin d’être garantie.

Enfin, d’un point de vue politique, bien que l’AI Act soit le reflet évident d’une volonté de la part de l’UE d’asseoir son statut de leader dans la réglementation des usages numériques, le calendrier prévisionnel du texte, qui ne sera entièrement applicable que trente-six mois après son entrée en application, soit en 2027 au plus tôt, laisse amplement le temps aux autres grandes puissances de se mettre en ordre de marche. En particulier, les Etats-Unis ont envoyé un signal fort avec la publication le 30 octobre dernier de l’Executive Order 14110 “Safe, Secure, and Trustworthy Development and Use of Artificial Intelligence” qui, certes, est loin d’apporter un cadre aussi complet que l’AI Act Européen, mais dont les obligations s’imposent aux agences américaines dès cette année.