La loi, appelée AI Act, établit une nouvelle référence mondiale pour les pays cherchant à exploiter les avantages potentiels de la technologie, tout en essayant de se protéger contre ses risques possibles, comme l'automatisation des emplois, la diffusion de fausses informations en ligne et la mise en danger de la sécurité nationale. La loi doit encore franchir quelques étapes finales avant d'être approuvée, mais l'accord politique signifie que ses grandes lignes ont été fixées.
Les décideurs politiques européens se sont concentrés sur les utilisations les plus risquées de l’IA par les entreprises et les gouvernements, notamment celles destinées à l’application des lois et à l’exploitation de services cruciaux comme l’eau et l’énergie. Les fabricants des plus grandes technologies d’IA à usage général les systèmes, comme ceux qui alimentent le chatbot ChatGPT, seraient confrontés à de nouvelles exigences de transparence. Les chatbots et les logiciels créant des images manipulées telles que les « deepfakes » devraient indiquer clairement que ce que les gens voient a été généré par l’IA, selon les fonctionnaires de l’UE et les versions antérieures de la loi.
L'utilisation de logiciels de reconnaissance faciale par la police et les gouvernements serait restreinte en dehors de certaines exemptions en matière de sûreté et de sécurité nationale. Les entreprises qui enfreignent la réglementation pourraient se voir infliger des amendes pouvant atteindre 7 % de leurs ventes mondiales.
Une loi potentiellement efficace ?Deal!#AIAct pic.twitter.com/UwNoqmEHt5
— Thierry Breton (@ThierryBreton) December 8, 2023
« L'Europe s'est positionnée comme un pionnier, comprenant l'importance de son rôle de normalisateur mondial », a déclaré dans un communiqué Thierry Breton, le commissaire européen qui a aidé à négocier l'accord.
Pourtant, même si la loi a été saluée comme une avancée réglementaire, des questions subsistaient quant à son efficacité. De nombreux aspects de cette politique ne devraient pas entrer en vigueur avant 12 à 24 mois, un délai considérable pour le développement de l'IA. Et jusqu'à la dernière minute des négociations, les décideurs politiques et les pays se sont battus sur le texte et sur la manière de trouver un équilibre entre la promotion de l'innovation et la nécessité de se prémunir contre d'éventuels dommages.
L'accord conclu à Bruxelles a nécessité trois jours de négociations, dont une première session de 22 heures qui a débuté mercredi. L'accord final n'a pas été immédiatement rendu public car les discussions devraient se poursuivre en coulisses pour finaliser les détails techniques, ce qui pourrait retarder l'adoption finale. Les votes doivent avoir lieu au Parlement et au Conseil européen, qui comprennent des représentants des 27 pays de l'Union.
L'urgence déclenchée par la sortie de ChatGPT
Réguler l’IA est devenu urgent après la sortie l’année dernière de ChatGPT, qui est devenu une sensation mondiale en démontrant les capacités avancées de l’IA. Aux États-Unis, l’administration Biden a récemment publié un décret axé en partie sur les effets de l’IA sur la sécurité nationale. La Grande-Bretagne, le Japon et d’autres pays ont adopté une approche beaucoup moins interventionniste, tandis que la Chine a imposé certaines restrictions sur l’utilisation des données et les algorithmes de recommandation.
L’enjeu est de plusieurs milliards de dollars en valeur estimée, alors que l’IA devrait remodeler l’économie mondiale. « La domination technologique précède la domination économique et la domination politique », a déclaré cette semaine Jean-Noël Barrot, ministre français du Numérique.
L'Europe a été l'une des régions les plus avancées en matière de réglementation de l'IA, ayant commencé à travailler sur ce qui allait devenir le système de réglementation de l'AI Act en 2018. Ces dernières années, les fonctionnaires de l’UE ont tenté d’introduire un nouveau niveau de surveillance de la technologie, semblable à la réglementation des secteurs de la santé ou du secteur bancaire. Le bloc a déjà promulgué des lois de grande envergure liées à la confidentialité des données, à la concurrence et à la modération des contenus.
Une première ébauche de l’AI Act a été publiée en 2021. Mais les décideurs politiques se sont retrouvés à réécrire la loi à mesure que des avancées technologiques apparaissaient. La version initiale ne faisait aucune mention de l'IA à usage général, des modèles comme ceux qui alimentent ChatGPT.
Les décideurs politiques ont convenu de ce qu’ils ont appelé une « approche basée sur les risques » pour réglementer l’IA, dans laquelle un ensemble défini d’applications est soumis au plus grand nombre de surveillances et de restrictions. Les entreprises qui font de l’IA les outils qui posent le plus de préjudice potentiel aux individus et à la société, comme en matière d'embauche et d'éducation, devraient fournir aux régulateurs des preuves d'évaluations des risques, des détails sur les données utilisées pour former les systèmes et des assurances que le logiciel n'a pas causé de préjudice comme perpétuer les préjugés raciaux. Une surveillance humaine serait également nécessaire lors de la création et du déploiement des systèmes.
Certaines pratiques, comme la récupération aveugle d’images sur Internet pour créer une base de données de reconnaissance faciale, seraient purement et simplement interdites.
Les grandes lignes de l'AI Act
Des applications interdites
Reconnaissant la menace potentielle pour les droits des citoyens et la démocratie que représentent certaines applications de l’IA, les colégislateurs sont convenus d’interdire :
- systèmes de catégorisation biométrique utilisant des caractéristiques sensibles (par exemple: opinions politiques, religieuses, philosophiques, orientation sexuelle, race));
- extraction non ciblée d’images faciales sur Internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale
- reconnaissance des émotions sur le lieu de travail et les établissements d’enseignement;
- la notation sociale basée sur le comportement social ou les caractéristiques personnelles ;
- les systèmes d'IA qui manipulent le comportement humain pour contourner le libre arbitre ;
- l'IA utilisée pour exploiter les vulnérabilités des personnes (en raison de leur âge, de leur handicap, de leur situation sociale ou économique).
Exemptions pour les services répressifs
Les négociateurs sont convenus d'une série de garanties et d'exceptions limitées pour l'utilisation des systèmes d'identification biométrique dans les espaces accessibles au public à des fins répressives, sous réserve d'une autorisation judiciaire préalable et pour des listes d'infractions strictement définies. Les systèmes d'identification biométrique "à distance" seront utilisés strictement dans le cadre de la recherche ciblée d'une personne condamnée ou soupçonnée d'avoir commis un crime grave.
Les systèmes d’identification biométrique "en temps réel" répondront à des conditions strictes et leur utilisation sera limitée dans le temps et dans l'espace :
- recherche ciblée de victimes (enlèvement, traite, exploitation sexuelle),
- la prévention d'une menace terroriste précise et actuelle, ou
- la localisation ou l'identification d'une personne soupçonnée d'avoir commis l'un des crimes spécifiques mentionnés dans le règlement (terrorisme, traite, exploitation sexuelle, meurtre, enlèvement, viol, vol à main armée, participation à une organisation criminelle, crime contre l'environnement).
Des obligations pour les systèmes à haut risque
Pour les systèmes d’IA classés comme présentant un risque élevé (en raison de leur préjudice potentiel important pour la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’État de droit), des obligations strictes ont été convenues. Les députés ont réussi à inclure une analyse d’impact obligatoire sur les droits fondamentaux, entre autres exigences, également applicable au secteur bancaire et des assurances. Les systèmes d’IA utilisés pour influencer le résultat des élections et le comportement des électeurs sont également classés comme étant à haut risque.
Les citoyens auront le droit de déposer des plaintes concernant les systèmes d'IA et de recevoir des explications sur les décisions basées sur des systèmes d'IA à haut risque qui ont une incidence sur leurs droits.
Des garde-fous pour les systèmes généraux d’intelligence artificielle
Pour tenir compte du large éventail de tâches que les systèmes d’IA peuvent accomplir et de l’expansion rapide de leurs capacités, il a été convenu que les systèmes d’IA à usage général, et les modèles sur lesquels ils sont basés, devront respecter des exigences de transparence, comme initialement proposé par le Parlement. Il s’agit notamment de mettre à jour la documentation technique, de se conformer à la législation de l’UE sur les droits d’auteurs et de diffuser des résumés détaillés sur le contenu utilisé pour leur formation.
Pour les systèmes d’IA à usage général présentant un risque systémique, les négociateurs du PE ont obtenu des obligations plus strictes. Si ces modèles répondent à certains critères, ils devront effectuer des évaluations de modèles, évaluer et atténuer les risques systémiques, effectuer des tests contradictoires, rendre compte à la Commission des incidents graves, assurer la cybersécurité et rendre compte de leur efficacité énergétique. Les députés ont également insisté sur le fait que, jusqu'à ce que des normes européennes harmonisées soient publiées, les systèmes d’IA à usage général présentant un risque systémique peuvent s'appuyer sur des codes de pratique pour se conformer à la réglementation.
Mesures de soutien à l’innovation et aux PME
Les députés voulaient veiller à ce que les entreprises, en particulier les PME, puissent développer des solutions d’IA sans pression excessive de la part des géants de l’industrie qui contrôlent la chaîne de valeur. À cette fin, l’accord promeut des "bacs à sable réglementaires", et des environnements réels, mis en place par les autorités nationales pour développer et tester une IA innovante avant sa mise sur le marché.
Sanctions
Le non-respect des règles peut entraîner des amendes allant de 7,5 millions d’euros ou 1,5 % du chiffre d’affaires à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, en fonction de l’infraction et de la taille de l’entreprise.
ConclusionHistoric!
— Thierry Breton (@ThierryBreton) December 8, 2023
The EU becomes the very first continent to set clear rules for the use of AI 🇪🇺
The #AIAct is much more than a rulebook — it's a launchpad for EU startups and researchers to lead the global AI race.
The best is yet to come! 👍 pic.twitter.com/W9rths31MU
Le débat sur l’Union européenne a été controversé, signe de la façon dont l'IA a déconcerté les législateurs. Les responsables étaient divisés sur l’ampleur de la réglementation du nouveau système d’IA, de peur de handicaper les start-up européennes qui tentent de rattraper les entreprises américaines comme Google et OpenAI.
Les nouvelles réglementations seront surveillées de près à l’échelle mondiale. Elles affecteront non seulement les principaux acteurs de l’IA, notamment Google, Meta, Microsoft et OpenAI, mais aussi d'autres entreprises qui devraient utiliser la technologie dans des domaines tels que l'éducation, les soins de santé et la banque. Les gouvernements se tournent également davantage vers l’IA en matière de justice pénale et d'attribution des avantages publics.
L’application reste floue. L'AI Act impliquera les régulateurs de 27 pays et nécessitera le recrutement de nouveaux experts à un moment où les budgets gouvernementaux sont serrés. « Les prouesses réglementaires de l’UE sont remises en question », a déclaré Kris Shrishak, chercheur principal au Conseil irlandais pour les libertés civiles, qui a conseillé les législateurs européens sur l’IA Act. « Sans une application stricte, cet accord n’aura aucun sens. »
Quoiqu'il en soit, le texte approuvé devra désormais être formellement adopté par le Parlement et le Conseil pour être intégré à la législation de l’UE. La commission du marché intérieur et des libertés civiles du Parlement votera sur l’accord lors d’une prochaine session.
Source : Parlement européen
Et vous ?
Quels sont les avantages et les inconvénients de l’AI Act pour les entreprises technologiques européennes ?
Comment l’interdiction de l’utilisation de l’IA dans la surveillance biométrique pourrait-elle affecter la sécurité publique et la vie privée ?
La divulgation du contenu généré par l’IA est-elle suffisante pour garantir la transparence et la confiance dans les systèmes d’IA ?
Les exigences de divulgation du matériel protégé par le droit d’auteur utilisé pour former les systèmes d’IA sont-elles réalisables ? Dans quelle mesure ?
Comment l’UE peut-elle équilibrer la protection des droits fondamentaux avec la promotion de l’innovation dans le domaine de l’IA ?
Les règles proposées par l’UE pourraient-elles devenir un modèle mondial pour la réglementation de l’IA ? Pourquoi ou pourquoi pas ?
Quel impact l’évaluation de l’impact environnemental des applications à « haut risque » pourrait-elle avoir sur le développement durable de l’IA ?