Le Règlement sur l'Intelligence Artificielle (AI Act) introduit des règles rigoureuses pour réguler les systèmes d'IA en Europe. Il vise à établir un équilibre entre la conformité des entreprises aux règles étendues, les obligations contractuelles, la protection des tiers et leur responsabilité en cas de non-respect.
L'accord du 8 décembre 2023 ambitionne de sécuriser l'IA en Europe, en respectant les droits fondamentaux, l’Etat de droit, la durabilité environnementale et la démocratie, tout en offrant un terrain propice à la croissance des entreprises pour prospérer et se développer.
Le 21 avril 2021 marquait un tournant dans la régulation de l'IA avec la proposition de la Commission européenne du Règlement AI Act. Le Conseil de l'UE prenait son orientation générale le 6 décembre 2022, et le Parlement européen apportait des amendements significatifs le 14 juin 2023. Les discussions trilogues, débutées le 18 juillet 2023, ont abouti à un accord provisoire le 8 décembre 2023, prévoyant une adoption formelle en 2024.
Le règlement vise à « créer un cadre juridique de confiance favorisant l’innovation sur le territoire de l’Union européenne, par une application extraterritoriale » [1], tout en protégeant les données personnelles et la propriété intellectuelle. Cette initiative survient dans un contexte de croissance rapide des applications d'IA, notamment après l'émergence de technologies comme Chat GPT.
Le Parlement européen a insisté sur une réglementation accrue des systèmes d'IA, notamment les IA génératives, qui produisent du contenu varié avec différents niveaux d'autonomie. Cette régulation renforcée découle des préoccupations éthiques croissantes dans le domaine de l'IA, soulignées par l'effervescence autour de Chat GPT.
Les principaux axes du Parlement avant les discussions trilogues incluaient de nouvelles définitions de l'IA, une gradation des interdictions et obligations selon le niveau de risque, la protection des individus, des règles contractuelles plus strictes, et la création d'un bureau européen de l'IA.
Les discussions trilogues ont mis l'accent sur l'encadrement des IA génératives, demandant plus de transparence et un équilibre entre régulation et compétitivité des entreprises européennes. L'accord final intègre des mesures de protection des droits des citoyens tout en favorisant l'innovation.
Concernant les IA génératives, des règles strictes s'appliqueront pour garantir la qualité des données et le respect des droits d'auteur. Les systèmes d'IA à haut risque, utilisés dans des domaines sensibles, seront soumis à une liste de règles et devront réaliser une analyse d'impact sur les droits fondamentaux avant leur mise en service.
Dans l’objectif de garantir une définition suffisamment claire de l’IA, permettant de la distinguer de logiciels simples, l’accord aligne la définition sur l’approche proposée par l’OCDE : « un système basé sur une machine qui est conçue pour fonctionner avec différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations, ou des décisions, qui influencent des environnements physiques ou virtuels ».
L’accord provisoire précise que le Règlement ne s’appliquerait pas aux domaines en dehors du champ d’application du droit de l’UE, n’affecterait pas les compétences des Etats (ou autre entité) en matière de sécurité nationale, ne s’appliquerait pas aux systèmes utilisés à des fins militaires et de défense, ou à des fins de recherche et d’innovation et ne s’appliquerait pas aux personnes utilisant l’IA à des fins non professionnelles.
L’accord prévoit un niveau de protection horizontal et une classification dite « à haut risque » pour garantir que les systèmes d’IA non susceptibles de provoquer de graves violations des droits fondamentaux. Lorsque les systèmes d’IA ne présentent qu’un risque limité, les obligations de transparence seraient légères (ex : précision sur la génération des contenus par l’intelligence artificielle).
Les systèmes d’IA à haut risque seraient majoritairement admis avec des obligations plus importantes pour accéder au marché européen sans pour autant entraver la réalisation technique.
Il s’agit de systèmes utilisés dans les domaines sensibles comme l’éducation, les ressources humaines, la sécurité, les infrastructures, les élections, etc. Il s’agit des systèmes à risque en raison de leurs dommages potentiels sur la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’Etat de droit.
Ces obligations concernent la qualité des données, la réalisation d’une documentation technique, la clarification de la répartition des responsabilités et des rôles des différents acteurs des chaînes de valeur (fournisseurs et utilisateurs) et de la relation entre les responsabilités en matière d’IA et celles qui existent déjà en matière RGPD, DMA, DSA, etc.
L’accord provisoire prévoit une évaluation d’impact sur les droits fondamentaux avant la mise sur le marché d’une IA à haut risque, prévoit que les entités publiques devront s’inscrire dans la base de données de l’UE. En cas d’interaction avec l’humain, l’intelligence artificielle devra s’identifier comme telle. Les citoyens auront le droit de déposer des plaintes concernant les systèmes d’IA et de recevoir des explications sur les décisions basées sur des systèmes d’IA à haut risque.
Si les interdictions demeurent assez rares, les discussions ont pour autant abouti à la prohibition de six pratiques contraires aux valeurs européennes :
L’accord met en évidence des modifications à des fins répressives. Sous réserve de garanties appropriées, ces changements visent à refléter la nécessité de respecter la confidentialité des données opérationnelles sensibles. Les services répressifs peuvent déployer, en cas d’urgence, un outil d’IA à haut risque qui n’aurait pas passé avec succès la procédure d’évaluation de la conformité, sous réserve du respect des droits fondamentaux.
Les discussions ont permis d’établir des garanties et exceptions pour l’utilisation des systèmes d’identification biométrique dans les espaces accessibles au public à des fins répressives, sous réserve d’une autorisation judiciaire préalable et pour une liste d’infractions définies. Est posée une distinction entre :
Certaines IA peuvent être utilisées à de nombreuses fins différentes et des règles spécifiques ont été convenues pour les modèles de base capables d’effectuer de nombreuses tâches comme Chat GPT (vidéos, textes, images, conversation, code, etc.). Ces modèles doivent respecter des obligations spécifiques de transparence et lorsqu’ils sont à fort impact (formés par un grand nombre de données, complexe et avec des capacités et des performances avancées), le régime est plus strict.
Ce règlement européen permettrait la création d’un office européen de l’IA au sein de la Commission européenne. Il superviserait les modèles d’IA les plus avancés, contribuerait à promouvoir les normes et les pratiques, et ferait appliquer les règles communes.
Un groupe scientifique d’experts indépendants conseillerait l’AI Office sur les modèles à usage général en contribuant au développement de méthodologies d'évaluation des capacités des modèles de fondations, en donnant des conseils sur la désignation et l'émergence de modèles de fondations à fort impact, et en surveillant les éventuels risques de sécurité des matériaux liés. aux modèles de fondation.
Ce nouveau bureau de l’IA pourra infliger des amendes fixées en pourcentage du chiffre d’affaires annuel global. Elles pourraient aller jusqu’à :
Des amendes plus proportionnées pourraient être prononcées à l’encontre des PME et jeunes entreprises.
L'accord de compromis précise également qu'une personne physique ou morale peut déposer une plainte auprès de l'autorité de surveillance du marché compétente concernant le non-respect de la loi sur l'IA et peut s'attendre à ce qu'une telle plainte soit traitée conformément aux procédures dédiées de cette autorité.
La réaction du secteur de la tech est partagée. Si certains voient dans ce règlement une avancée vers une IA plus sûre, d'autres s'inquiètent de ses effets sur la recherche et l'innovation en Europe. Le défi réside dans la mise en œuvre d'une réglementation qui protège sans entraver le progrès technologique.
[1] L’articulation du projet de règlement sur l’intelligence artificielle avec le droit du numérique européen, Chloé PLEDEL, Diane GALBOIS-LEHALLE, Bertrand CASSAR, 17 juillet 2023, DALLOZ
