Les législateurs européens approuvent la première réglementation sur l'IA au monde
La loi européenne sur l'IA (EU AI Act) a été proposée initialement en avril 2021 pour faire face à l'influence grandissante de l'IA dans notre vie quotidienne. Les règles régiraient les applications de l'IA en fonctions des risques perçus, et seraient effectivement les premières règles axées au monde sur l'IA introduites par un organisme de réglementation majeur. La Commission européenne, qui a proposé la législation, souhaite qu'elle garantisse que l'utilisation de l'IA respecte les droits de l'homme fondamentaux. L'UE a obtenu un consensus politique provisoire début décembre et la loi vient d'être approuvée par les législateurs.
Elle a été adoptée avec 523 voix pour, 46 contre et 49 votes non exprimés. « L'Europe est MAINTENANT une référence mondiale en matière d'IA », a écrit Thierry Breton, commissaire européen chargé du marché intérieur, sur compte X (ex-Twitter). La présidente du Parlement européen, Roberta Metsola, a qualifié la législation d'avant-gardiste, affirmant qu'elle permettrait l'innovation tout en sauvegardant les droits fondamentaux. « L'intelligence artificielle fait déjà partie intégrante de notre vie quotidienne. Désormais, elle fera également partie de notre législation », a-t-elle écrit dans un message sur les réseaux sociaux.
Cette loi, la première du genre, est sur le point de modifier la manière dont les entreprises et les organisations européennes utilisent l'IA dans tous les domaines, depuis les décisions en matière de soins de santés jusqu'au maintien de l'ordre. La nouvelle législation européenne classe les applications de l'IA en quatre catégories différentes, allant de "inacceptable" à "élevé", "moyen" et "faible". Ensuite, elle impose des interdictions générales pour les utilisations inacceptables de la technologie, tout en établissant des garde-fous rigoureux pour les applications incluses dans les autres catégories définies par les législateurs.
Entre autres, la loi interdit les systèmes de notation sociale pilotés par l'IA et tout outil biométrique utilisé pour deviner la race, les tendances politiques ou l'orientation sexuelle d'une personne. La législation interdit l'utilisation de l'IA pour interpréter les émotions des personnes dans les écoles et sur les lieux de travail, ainsi que certains types de profilage automatisé visant à prédire la probabilité qu'une personne commette des crimes à l'avenir. Elle impose des obligations, notamment en matière de transparence, pour les cas d'utilisation à haut risque dans les domaines tels que l'embauche et l'accès aux services publics.
Beaucoup ont salué l'adoption de la législation sur l'IA. Cependant, certains critiques de la loi, y compris le président français Emmanuel Macron, pensent que les dispositions de la loi sont trop strictes et qu'elles pourraient nuire à l'innovation. Comme l'explique un critique : « je ne sais pas trop quoi penser de cela. D'une part, les réglementations européennes ont fait des merveilles pour la protection des consommateurs ; d'autre part, c'est exactement ce qui étouffe l'innovation, en particulier pour les technologies naissantes comme l'IA ».
Les impacts potentiels de la réglementation européenne sur l'IA sur les entreprises
Les entreprises telles qu'OpenAI qui produisent des modèles d'IA puissants, complexes et largement utilisés seront également soumises à de nouvelles obligations de divulgations en vertu de la loi. Elle exige également que tous les deepfakes générés par l'IA soient clairement étiquetés, afin de répondre aux inquiétudes concernant la manipulation des médias qui pourrait conduire à la désinformation et à l'ingérence dans les élections. La loi, qui devrait entrer en vigueur d'ici à 2025, souligne la rapidité avec laquelle les décideurs politiques de l'UE ont réagi à l'explosion de la popularité d'outils comme ChatGPT d'OpenAI.
Toutefois, si l'annonce de ce jour signifie que la loi a presque franchi son dernier obstacle, il faudra encore des années pour que certaines règles soient appliquées. Le texte juridique doit encore être approuvé, soit par une annonce séparée, soit par un vote en session plénière les 10 et 11 avril. La loi sur l'IA entrera alors officiellement en vigueur 20 jours après sa publication au Journal officiel, ce qui devrait se produire en mai ou en juin de cette année. Les dispositions entreront alors en vigueur par étapes : les pays auront six mois pour bannir les systèmes d'IA interdits, dont les systèmes de notation sociale basés sur l'IA.
Ils auront 12 mois pour appliquer les règles contre les "systèmes d'IA à usage général" (general-purpose AI (GPAI) systems) tels que les chatbots, et jusqu'à 36 mois pour les systèmes d'IA que la loi a désignés comme étant à haut risque. « À très court terme, le compromis sur la loi européenne sur l'IA n'aura pas beaucoup d'effet direct sur les concepteurs de systèmes d'IA basés aux États-Unis, car il n'entrera probablement pas en vigueur avant 2025 », a déclaré Paul Barrett, directeur adjoint du NYU Stern Center for Business and Human Rights, en décembre 2023, lorsque l'UE a trouvé un accord provisoire sur la loi.
Barrett estime que les principaux acteurs du domaine de l'IA, tels qu’OpenAI, Microsoft, Google et Meta, continueront probablement à se battre pour dominer le marché, notamment en raison de l'incertitude réglementaire qui règne aux États-Unis. Dragos Tudorache, un législateur européen qui a supervisé les négociations de l'accord avec l'UE, a salué l'accord, mais a déclaré que le plus grand obstacle restait la mise en œuvre. Il a déclaré dans un communiqué sur le site du Parlement : « l'UE a tenu ses promesses. Nous avons lié le concept d'IA aux valeurs fondamentales qui forment la base de nos sociétés […] ».
« Mais il reste encore beaucoup à faire, au-delà de la loi européenne sur l'IA elle-même. L'IA nous poussera à repenser le contrat social au cœur de nos démocraties, nos modèles éducatifs, nos marchés du travail et la manière dont nous menons les guerres. Cette législation est le point de départ d'un nouveau modèle de gouvernance fondé sur la technologie. Nous devons maintenant nous concentrer sur la mise en pratique de cette loi », a-t-il ajouté. La loi ne réglemente pas rétroactivement les modèles existants, mais les futurs modèles devront tenir compte des nouvelles exigences de transparence fixées par l'UE.
La nouvelle législation pourrait rendre le marché européen moins attrayant pour l'IA
La loi européenne sur l'IA se veut très stricte dans la réglementation du développement et des applications de l'IA. Dans le même temps, certains États membres ont commencé à craindre que cette rigueur ne fasse de l'UE un marché peu attrayant pour l'IA. Pour cette raison, la France, l'Allemagne et l'Italie ont fait pression pour atténuer les restrictions imposées aux systèmes d'IA à usage général au cours des négociations. Ces pays ont obtenu des compromis, notamment en limitant ce qui peut être considéré comme des systèmes "à haut risque", qui seraient alors soumis à certaines des dispositions les plus strictes.
Au lieu de classer tous les systèmes GPAI comme étant à haut risque, il y aura un système à deux niveaux et des exceptions pour l'application de la loi en ce qui concerne les utilisations de l'IA totalement interdites, comme l'identification biométrique à distance. Cela n'a pas encore satisfait toutes les critiques. Le président français Emmanuel Macron a attaqué les règles, affirmant que la loi sur l'IA crée un environnement réglementaire strict qui entrave l'innovation. L'ancien ministre français de l'Économie numérique, Cédric O, qui est cofondateur et actionnaire de la startup française Mistral, s'est prononcé contre la loi.
De l’autre côté de l’Atlantique, les Big Tech ont fait pression sur l’UE pour qu’elle affaiblisse et supprime de la loi sur l'IA les règles en rapport avec les modèles de base. L'association bruxelloise Corporate Europe Observatory a classé OpenAI, Microsoft et Google parmi les cinq grands lobbyistes qui ont fait pression contre la loi de l'UE. Les Big Tech recherchent en fait un environnement juridique leur permettant une liberté totale pour développer et déployer leurs applications d'IA sans surveillance stricte. Cela se fait en coulisse, mais en public, ces entreprises chantent à qui veut bien l'entendre qu'ils souhaitent être réglementés.
Barrett a déclaré que certaines startups d'IA européennes pourraient avoir du mal à lever des capitaux avec les règles actuelles, ce qui donne un avantage aux entreprises américaines. En outre, certaines entreprises non européennes pourraient même choisir d'éviter de s'installer dans la région ou de bloquer l'accès à leurs plateformes pour ne pas se voir infliger des amendes pour avoir enfreint les règles. L'UE a déjà été confrontée à un tel risque à la suite de l'entrée en vigueur des réglementations telles que la loi sur les marchés numériques (Digital Markets Act) et la loi sur les services numériques (Digital Services Act).
Toutefois, l'UE n'est pas la seule sur cette voie. Les projets de règles évoluent de l'autre côté de la Manche, mais également outre-Atlantique. L'administration Biden a signé en octobre un décret exigeant que tout laboratoire développant un grand modèle de base effectue des tests de sécurité et informe le gouvernement des résultats. Et les discussions lors du sommet britannique sur la sécurité de l'IA se sont fortement concentrées sur les risques liés aux modèles de base les plus avancés. Les participants ont également signé un document "non contraignant" qui reconnaît la nécessité d'atténuer les risques liés à l'IA.
Les impacts potentiels de la législation européenne sur l'IA sur la collecte de données
Les modèles d'IA sont formés à partir de données accessibles au public, mais sensibles et potentiellement protégées par des droits d'auteur. Cette collecte de données est à l'origine de tensions importantes entre les entreprises d'IA et les créateurs de contenu, les artistes, les écrivains, les médias, etc. La loi de sur l'IA ne crée toutefois pas de nouvelles lois sur la collecte de données. Alors que l'UE a été la première à adopter des règles sur la protection des données avec le RGPD, la loi sur l'IA n'interdit pas aux entreprises de collecter des informations, mais exige qu'elles respectent les lignes directrices du RGPD.
« En vertu de ces règles, les entreprises devront peut-être fournir un résumé de transparence ou des étiquettes de nutrition des données. Mais cela ne changera pas vraiment le comportement des entreprises en ce qui concerne les données », a déclaré Susan Ariel Aaronson, directrice du "Digital Trade and Data Governance Hub" et professeur de recherche en affaires internationales à l'université George Washington. Aaronson souligne que la loi sur l'IA n'a toujours pas clarifié la manière dont les entreprises doivent traiter le matériel protégé par le droit d'auteur qui fait partie des données d'entraînement des modèles.
Aaronson estime que la loi sur l'IA se contente d'indiquer que les développeurs doivent suivre les lois existantes sur le droit d'auteur (ce qui laisse beaucoup de zones grises autour de l'IA). La législation n'incite donc pas les développeurs de modèles à éviter d'utiliser des données protégées par le droit d'auteur. Elle n'appliquera pas non plus ses amendes potentiellement sévères aux développeurs de logiciels libres, aux chercheurs et aux petites entreprises travaillant en aval de la chaîne de valeur. Cette décision a été saluée par les entreprises et les développeurs de logiciels et d'applications libres dans le domaine.
Shelley McKinley, responsable juridique de GitHub, filiale de Microsoft, affirme qu'il s'agit d'un "développement positif pour l'innovation ouverte et les développeurs qui travaillent à la résolution de certains des problèmes les plus urgents de la société". Blake Brannon, directeur de la stratégie de la plateforme de confidentialité des données OneTrust, a déclaré que les entreprises d'IA les plus matures établissaient des lignes directrices en matière de protection de la vie privée en conformité avec des lois telles que le RGPD et en prévision de politiques plus strictes. Selon lui, la loi n'apporte pas de changement significatif.
Il a ajouté qu'en fonction de l'entreprise, la loi sur l'IA est "une goutte d'eau supplémentaire" par rapport aux stratégies déjà en place. Toutefois, et comme souligné plus haut, la mise en œuvre de loi pourrait s'avérer compliquée pour les entreprises. Mark Ferguson, expert en politiques publiques au sein du cabinet d'avocats Pinsent Masons, a déclaré que l'adoption de la loi sur l'IA n'était qu'un début. Ferguson a ajouté que les entreprises devront travailler en étroite collaboration avec les législateurs pour comprendre comment elle sera mise en œuvre à mesure que la technologie, qui évolue rapidement, continue d'évoluer.
Les États-Unis n'ont pas réussi à faire décoller la réglementation sur l'IA. La principale mesure prise jusqu'à présent a été le décret de l'administration Biden. Les quelques projets de loi déposés au Sénat ont essentiellement porté sur les contrefaçons profondes et le filigrane, et les forums sur l'IA organisés à huis clos par le sénateur Chuck Schumer (D-NY) n'ont guère apporté d'éclaircissements sur l'orientation du gouvernement en ce qui concerne la gestion de la technologie. En juillet de l'année dernière, la Chine a adopté des lignes directrices pour les entreprises qui souhaitent vendre des services d'IA au public.
Source : le Parlement européen
Et vous ?
Quel est votre avis sur le sujet ?
Que pensez-vous de l'adoption par l'UE de la législation sur l'IA ?
La loi va-t-elle produire des changements importants sur le marché de l'IA ?
Que pensez-vous des critiques selon lesquels les dispositions de la loi sont trop strictes ?
La nouvelle loi risque-t-elle de nuire à l'innovation ? Rend-elle l'UE moins attractive pour l'IA ?
Quels pourraient être les impacts de cette législation sur les entreprises telles que Google et OpenAI ?
Que pensez-vous des exemptions prévues par loi pour les entreprises et les développeurs de logiciels libres ?
Voir aussi
La nouvelle loi européenne sur l'IA est menacée par le lobbying intense des grandes entreprises technologiques, elles font pression pour retirer "les modèles de base" de la réglementation
Les Big Tech (GAFAM) veulent réglementer l'IA, mais les autres entrepreneurs sont sceptiques, selon eux leur réelle volonté serait juste de geler le marché de l'IA pour conserver leur monopole
IA générative : la CNIL recommandée pour la réguler par une commission de l'Assemblée nationale, « seule la CNIL dispose de l'expérience et de l'expertise pour évaluer le respect du RGPD sur l'IAG »