Le 21 avril 2021, la Commission européenne a fait une proposition de Règlement établissant des règles harmonisées concernant l'IA - aussi appelé IA Act ou AI Act. Après avoir proposé divers amendements le 22 mai 2023, les députés du Parlement européen ont adopté leur version de l'IA Act le 14 juin dernier avec une majorité écrasante de 499 voix pour, 28 contre et 93 abstentions (1).
Dans cette course internationale à la régulation de l'intelligence artificielle, l'Union Européenne semble proposer la première loi globale sur l'IA au monde grâce à un Règlement se présentant comme un « instrument législatif horizontal de l’UE suivant une approche proportionnée fondée sur les risques + des codes de conduite pour les systèmes d’IA qui ne sont pas à haut risque » (2). En effet, l'IA Act met en exergue quatre différents niveaux de risques liés à l'utilisation de l'intelligence artificielle.
Les différents niveaux de risque
Le Règlement distingue les systèmes d'intelligence artificielle selon quatre niveaux de risque :
Risque inacceptable
Risque élevé
Risque limité
Risque minime
Source du schéma : Briefing, EU Legislation in Progress, Artificial intelligence act
Risque inacceptable : des pratiques interdites
Après avoir délimité son objet et son champ d'application, puis défini des notions clés telles celle de « système d’intelligence artificielle » (4), l'IA Act dresse la liste des pratiques interdites en matière d'IA. On peut en effet lire dans l'exposé des motifs que « la liste des pratiques interdites figurant au titre II comprend tous les systèmes d’IA dont l’utilisation est considérée comme inacceptable car contraire aux valeurs de l’Union, par exemple en raison de violations des droits fondamentaux. »
« Il n’y aura pas de compromis possible : dès que la technologie avance, il faut que cela aille de pair avec le respect des droits fondamentaux et des valeurs démocratiques. » Roberta Mestola, présidente du Parlement européen, touteleurope.eu
Le Règlement tel qu'amendé prévoit qu'il est par exemple interdit :
de recourir a des techniques délibérément manipulatrices ou trompeuses au-dessous du seuil de conscience d'une personne (techniques subliminales) ;
d'exploiter la vulnérabilité d'un groupe (caractéristiques des traits de personnalité connue ou prévisible, situation sociale ou économique, âge, capacité physique ou mentale) ;
d'utiliser des systèmes de catégorisation biométriques en fonction d’attributs ou de caractéristiques sensibles ou protégés ;
que les pouvoirs publics réalisent des classements sociaux ;
d'utiliser des systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public ;
de réaliser des évaluations de risques visant à déterminer la probabilité qu’une personne commette une infraction ou récidive ;
de créer des bases de données de reconnaissance faciale via des images provenant d'internet ou de la vidéosurveillance ;
de déduire les émotions d'une personne dans les domaines des activités répressives et de la gestion des frontières, sur le lieu de travail et dans les établissements d’enseignement ;
d'analyser des images enregistrées provenant d’espaces accessibles au public au moyen de systèmes d’identification biométrique ;
(...)
Risque élevé : deux catégories à distinguer
Le Règlement tel qu'amendé distingue deux grandes catégories de systèmes d'IA à haut risque : d'une part les systèmes d'IA utilisés comme composant de sécurité d'un produit ou comme produit relevant de la législation de l'UE en matière de santé et de sécurité ; et d'autre part les systèmes d'IA répertoriés notamment dans l'un des domaines suivants s’ils présentent un risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques (liste figurant en Annexe III) :
les systèmes biométriques et fondés sur la biométrie ;
la sécurité dans la gestion et exploitation du trafic routier, ferroviaire, aérien, ou de la fourniture d’eau, de gaz, de chauffage, d’électricité et des infrastructures numériques critiques ;
l'enseignement, la formation professionnelle, l'évaluation, le niveau d'enseignement, les comportements chez les étudiants ;
les relations professionnelles ;
l'accès aux services privés essentiels, aux services publics et aux prestations sociales ;
la solvabilité des personnes physiques ;
l’éligibilité des personnes physiques à l’assurance-maladie et à l’assurance-vie ;
les services d’intervention d’urgence ;
les élections, référendum ou le comportement électoral ;
(...)
Les systèmes d'IA présentant un risque élevé doivent alors respecter les exigences du Règlement sur l'IA, comme par exemple : la mise en place d'un système de gestion des risques, des règles concernant les données et la gouvernance des données, l'établissement d'une documentation technique, la transparence et la fourniture d'informations aux utilisateurs, le contrôle effectif par des personnes physiques, ou encore l'atteinte d'un niveau approprié d'exactitude, de robustesse et de cybersécurité.
Risque limité : des obligations de transparence
L'article 52 tel qu'amendé prévoit des obligations de transparence concernant les systèmes d'IA :
destinés à interagir avec des personnes physiques ;
de reconnaissance des émotions ou de catégorisation biométrique ;
qui génèrent ou manipulent du texte, des contenus audio ou visuels pouvant être perçus comme authentiques ou véridiques.
Les informations liées à cette obligation de transparence devront être fournies « de manière claire, intelligible et en temps utile ». Le Règlement précise également que ces obligations n'empêchent pas l'éventuelle application des règles applicables aux systèmes d'IA à haut risque.
Risque minime : élaboration de codes de conduite
Les systèmes d'IA qui ne présentent pas un niveau de risque inacceptable (pratiques interdites) ou élevé, ou qui ne sont pas soumises à des obligations de transparence, peuvent alors être développées et utilisées librement. L'article 69 du Règlement tel qu'amendé encourage néanmoins à l'élaboration de codes de conduite « destinés à favoriser l’application volontaire aux systèmes d’IA autres que les systèmes d’IA à haut risque des exigences énoncées au titre III, chapitre 2, sur la base de spécifications et solutions techniques appropriées pour garantir le respect de ces exigences à la lumière de la destination des systèmes ».
IA et droits d'auteur
Un nouvel article 28 b a été proposé parmi les divers amendements qui viennent d'être adoptés par le Parlement européen. Cet article prévoit alors que les fournisseurs de systèmes d'IA génératives « documentent et mettent à la disposition du public un résumé suffisamment détaillé de l’utilisation des données d’entraînement protégées par la législation sur le droit d’auteur, sans préjudice de la législation de l’Union ou nationale en matière de droit d’auteur ».
À suivre
L'examen du Règlement en trilogue a ainsi commencé et se prolongera encore pendant plusieurs mois. On peut également lire sur le site internet du Parlement européen que « les pourparlers vont maintenant commencer avec les pays de l'UE au sein du Conseil sur la forme finale de la loi. L'objectif est de parvenir à un accord d'ici la fin de l'année. » En tout état de cause, l'application effective du Règlement sur l'intelligence artificielle ne devrait pas avoir lieu avant 2026 au plus tôt.
-
(2) Exposé des motifs de la proposition de Règlement sur l'IA
(4) Article 3 du Règlement sur l'IA tel qu'amendé : « système d’intelligence artificielle» (système d’IA), un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels »
(5) L'article 7 précise que la Commission est habilitée à adopter des actes délégués afin de mettre à jour la liste de l'Annexe III en y ajoutant des systèmes d'IA à haut risque - sous certaines conditions.
Photo de Alexandre Lallemand sur Unsplash