IA ACT : comprendre la loi sur l’intelligence artificielle

En avril 2021, la Commission européenne a rendu public son projet de réglementation sur l’intelligence artificielle, l’AI Act (Artificial Intelligence Act). La base d’une discussion qui devait durer plusieurs années, bousculée par l’irruption de nouvelles IA, comme le ChatGPT d’OpenAI. 

Ce projet a aboutit le 9 décembre à un accord sur l’encadrement de l’IA : l’IA Act a enfin pris forme et devrait entrer en vigueur en 2026. 

L’IA Act : pourquoi c’est important ?

L’IA Act est la première loi globale sur l’IA au monde : un accord qualifié d’historique par le Commissaire européen Thierry Breton.

La première loi globale sur l’IA au monde

Il existe des éléments de réglementation en Chine et aux États-Unis, mais il s’agit du premier règlement portant sur tous les aspects de l’IA.

Il constitue la première étape formelle d’une démarche qui va encore s’inscrire sur plusieurs années, jusqu’en 2026.

Une approche culturelle originale

L’IA Act est un texte marqué par la culture européenne, élaboré en fonction des valeurs européennes. Il identifie et encadre des risques, pour la démocratie et dignité humaine par exemple, qui ne seraient pas considérés de la même façon aux Etats-Unis… et encore moins en Chine.

Pourquoi l’Europe veut réglementer l’IA ?

Le texte de loi de l’IA Act explique que l’utilisation de l’intelligence artificielle peut être profitable sur les plans sociaux et environnementaux et donner des avantages concurrentiels aux entreprises européennes… mais aussi générer de nouveaux risques, aux conséquences négatives pour la société. 

Avec cette loi, l’UE veut s’assurer que les systèmes d’IA développés et utilisés en Europe soient sûrs, transparents, non discriminatoires et respectueux de l’environnement

L’IA Act répond à un double objectif : 

  • promouvoir le développement et l’utilisation de l’IA 
  • tenir compte des risques associés à certaines utilisations de cette technologie, les encadrer et les anticiper.

L’IA Act : gardien des droits fondamentaux

Ces mesures visent à remédier aux difficultés posées par l’opacité, la complexité, les biais, le degré relatif d’imprévisibilité et le comportement partiellement autonome de certains systèmes d’IA. La loi vise à faire en sorte que ceux-ci soient compatibles avec les droits fondamentaux et à faciliter l’application de l’ensemble des règles qu’elle édicte. 

Dans ce contexte politique, la Commission présente la proposition de cadre réglementaire relatif à l’IA dont les objectifs spécifiques sont les suivants :

  • veiller à ce que les systèmes d’IA mis sur le marché de l’Union et utilisés soient sûrs ;
  • garantir la sécurité juridique pour faciliter les investissements et l’innovation dans le domaine de l’IA;
  • renforcer l’application effective de la législation ;
  • favoriser le développement d’un marché unique des données et des applications d’IA.

La Commission prévoit la création d’un Comité européen de l’intelligence artificielle afin de coordonner toutes ces mesures.

IA ACT : l’évaluation des risques liés à l’IA

Le texte de loi concerne la mise sur le marché, la mise en service et l’utilisation des systèmes d’IA, en fonction des risques qu’elles représentent. 

Ce qui définit le risque : l’usage auquel le système d’IA est destiné. 

IA ACT : les 3 niveaux de risque

Par le mot “risque”, le dispositif entend : risques pour les droits humains, biais cognitifs et discrimination essentiellement. 

Le règlement distingue 3 niveaux de risque de l’utilisation de l’IA : 

  • risque inacceptable 
  • risque élevé 
  • risque faible ou minimal. 

En résumé : 

  • La loi interdit les systèmes aux risques inacceptables.
  • Elle impose des contraintes aux systèmes considérés comme “à risques élevés” 
  • Les systèmes à haut risque devront être audités par un tiers et avoir reçu un certificat de conformité avant leur mise sur le marché. 
  • La loi ne prévoit pas de contraintes pour les systèmes d’IA “à risques modérés ou faibles”. 

Systèmes d’IA “à risque inacceptable” : les pratiques interdites

Les systèmes d’IA considérés comme présentant des risques inacceptables pour les droits fondamentaux des citoyens sont les systèmes intrusifs, discriminatoires et représentant une menace pour les personnes. Ils sont interdits.

Elle compte par exemple les systèmes d’IA impliquant :

  • la manipulation cognitivo-comportementale de personnes vulnérables (enfants, handicapés) ;
  • un score social : système de notation des personnes (On pense à Black Mirror, saison 3 !) ;
  • les systèmes d’identification biométrique à distance « en temps réel » dans les espaces publiques ;
  • les systèmes d’identification biométrique à distance a posteriori (à la seule exception des services répressifs pour la poursuite d’infractions graves, après autorisation judiciaire, dans le cadre d’objectifs d’intérêt général dont l’importance est considérée comme supérieure aux risques encourus) ;
  • les systèmes de catégorisation biométrique utilisant des données sensibles (genre, religion, orientation politique, etc.) 
  • les systèmes de police prédictifs (basés sur le profilage, la localisation ou le comportement criminel antérieur) ;
  • les systèmes de reconnaissance des émotions ;
  • les systèmes de récupération de données biométriques destinées à créer des bases de données de reconnaissance faciale.

Systèmes d’IA “à haut risque”

La loi vise ici deux grandes catégories de systèmes d’IA à haut risque :

  • les systèmes d’IA qui présentent un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, dans les domaines de la santé, de la sécurité, de l’éducation, de l’emploi en particulier.  
  • les systèmes d’IA qui manipulent le comportement humain pour contourner le libre arbitre.

Sont concernés notamment :

  • les systèmes d’IA destinés à être utilisés comme composants de sécurité de produits (applications d’IA en chirurgie assistée par robot par exemple).
  • les systèmes d’IA autonomes qui soulèvent des questions quant au respect des droits fondamentaux. Par exemple ceux utilisés dans la santé, l’éducation, la sécurité, l’emploi (logiciels de tri des CV dans les procédures de recrutement par exemple). 

Quelles exceptions pour la catégorie “à haut risque” ?

Le paragraphe 67 du texte de loi explique que les systèmes “à haut risque” doivent faire l’objet d’une autorisation avant leur mise sur le marché et pour pouvoir afficher le marquage CE. 

Une certaine ambiguïté du dispositif survient cependant au paragraphe suivant : 

Dans certaines conditions, la disponibilité rapide de technologies innovantes peut être cruciale pour la santé et la sécurité des personnes et pour la société dans son ensemble. Il convient donc que, pour des motifs exceptionnels liés à la sécurité publique, à la protection de la vie et de la santé des personnes physiques et à la protection de la propriété industrielle et commerciale, les États membres puissent autoriser la mise sur le marché ou la mise en service de systèmes d’IA qui n’ont pas fait l’objet d’une évaluation de la conformité.

La loi prévoit donc des exceptions, dont les contours et conditions sont encore mal définis.

Les contraintes en résumé

Les exigences pour les systèmes d’IA à haut risque

La loi évoque différents types d’exigences : 

  • mise en place d’un système d’analyse et gestion des risques 
  • journaux d’enregistrement pour garantir la traçabilité du fonctionnement du système
  • documentation technique démontrant que le système répond aux exigences de la loi 
  • transparence de l’information pour les utilisateurs 
  • contrôle humain 
  • exactitude, robustesse, et cybersécurité

Système d’IA à risque minimal

Cette catégorie comprend les systèmes d’IA qui présentent un risque minime ou nul pour les droits ou la sécurité des citoyens. Ils sont exonérés de toute obligation. Les entreprises peuvent néanmoins s’engager à respecter un code de bonne conduite pour les encadrer. Ces codes de conduite sont facultatifs. 

Dans cette catégorie : des filtres anti-spam, jeux vidéos…

Quelques questions que pose l’IA Act

Peut-on concilier réglementation et innovation en matière d’IA ?

Deux courants de pensée se distinguent sur la question : 

Ceux qui pensent que trop réglementer risque de freiner l’innovation et d’empêcher l’émergence et le déploiement de “champions de l’IA” comme Mistral en France ou Aleph Alpha en Allemagne. 

Ceux qui estiment à l’inverse que la loi favorise le développement d’innovations plus vertueuses, sans freiner l’innovation elle-même.

Le dispositif prévoit tout de même des bacs à sable réglementaires : des espaces d’expérimentation. 

“… un environnement contrôlé qui facilite le développement, la mise à l’essai et la validation de systèmes d’IA innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service conformément à un plan spécifique.”

L’IA Act sera-t-il encore d’actualité en 2026 ?

La proposition initiale de règlement sur l’intelligence artificielle (RIA) a été publiée le 21 avril 2021. Or les systèmes d’IA génératives “générales”, comme ChatGPT n’existaient pas à l’époque. Les applications qui en découlent sont donc déjà passées entre les mailles du filet du projet de loi initial… Où en sera le développement de l’IA dans 2 ans ?

À qui revient le poids réglementaire dans le cas de l’utilisation de modèles d’IA ?

Une IA peut être développée à partir d’un modèle conçu hors Union Européenne : le GPT d’OpenAI par exemple. Qui sera concerné par la loi : celui qui développe un nouveau système d’IA se basant sur un modèle conçu ailleurs ? Celui qui développe le modèle sera-t-il aussi forcé de s’y plier ? Quelles conséquences en cas de décalage éventuel ? 

La transparence est-elle possible ?

Un algorithme comme celui de ChatGPT intègre 100 milliards de paramètres : difficile de garantir la transparence dans ces conditions

Encadrer les usages de l’IA plutôt que les systèmes

L’IA Act tente de donner une définition de l’IA unique et à l’épreuve du temps : une grande ambition étant donné son rythme de développement actuel. 

Tout comme le DSA et le DMA, l’adaptation à l’’IA Act aura sans doute aussi un coût pour les éditeurs de solution… Plus facile à supporter pour les très gros acteurs que pour les petits acteurs du secteur.Les experts s’accordent à dire qu’il va surtout falloir encadrer les usages de l’IA, même à risque modéré… L’IA Act invite à remettre plus que jamais l’intelligence humaine au cœur de l’intelligence artificielle.