Connexion

L’Europe entend prendre l’avantage sur la réglementation de l’IA

Par LA LETTRE DES JURISTES D'AFFAIRES

Soucieuse de sa souveraineté numérique, l’Union européenne peaufine un cadre réglementaire afin d’encadrer l’intelligence artificielle (IA), en suivant un processus itératif et complexe, à l’issue encore incertaine. Mieux vaut s’y préparer dès à présent, considèrent Benoît Barré, associé du cabinet d’avocats Le 16 Law, et Miguel Viedma, directeur juridique adjoint de Capgemini.

Voilà plusieurs années que l’Union européenne peaufine sa réglementation sur l’IA. En quoi les discussions actuelles ont-elles une portée stratégique ?

Benoît Barré : Dès 2020, l’Union européenne a dévoilé une stratégie ambitieuse pour accélérer sa transformation numérique. Consciente des opportunités économiques créées par l’IA, mais aussi des risques sociétaux, techniques et systémiques qu’elle peut engendrer, l’UE a souhaité faire de l’IA Act l’un des piliers importants de son dispositif réglementaire (au même titre que la stratégie pour les données, la cybersécurité ou la réglementation des marchés et services numériques). Après une proposition initiale de la Commission européenne, présentée en avril 2021, il aura fallu attendre décembre 2022 pour que le Conseil de l’UE finalise sa relecture du projet et donne mandat de négociation, et juin 2023 pour que le Parlement en fasse de même. La raison de ce délai : le lancement par OpenAI, en novembre 2022, de ChatGPT, qui a fait surgir des réalités techniques et sociologiques qui n’étaient pas prises en compte par le cadre de réflexion initial. Par conséquent, pour établir son projet de règlement – à l’instar de l’approche retenue pour le RGPD ou pour le Digital Services Act (DSA) –, l’UE a opté pour la réglementation de certains systèmes en fonction des risques qu’ils recèlent. L’enjeu pour l’Europe est double : s’assurer de pouvoir jouer un rôle de premier plan, tout en se focalisant sur la protection des droits fondamentaux.

Miguel Viedma : C’est aussi parce qu’il y a un décalage entre la technologie disponible et les cadres réglementaires disponibles que l’UE a souhaité se positionner, en adoptant des principes fondamentaux énoncés par le groupe d’experts mis en place en 2018 : avoir une surveillance humaine, s’assurer de la robustesse technique et de la sécurité, garantir la confidentialité des données, permettre la transparence, préserver la non-discrimination ainsi que le bien-être sociétal et environnemental. Ces principes, inclus dès la proposition initiale, ont offert une base de discussion.

Les discussions donnent-elles satisfaction ?

Miguel Viedma : La difficulté vient du fait que l’UE doit proposer un cadre réglementaire stable, pour réguler le marché, sans que celui-ci ne soit trop complexe, de sorte à s’ajuster aux avancées technologiques. Pour relever ce défi, la réglementation en préparation repose sur une analyse des user cases risks, et non sur une approche purement technologique.

Benoît Barré : Tout cela s’inscrit dans un processus itératif. En avril 2021, la Commission européenne a retenu une approche fondée sur les risques des systèmes d’IA. Puis, en décembre 2022, le Conseil a relevé qu’il ne fallait pas se limiter aux systèmes d’IA spécifiques, mais également prendre en compte les systèmes d’IA à usage général par le biais de futurs règlements d’application de la Commission. Mais en juin 2023, le Parlement a souhaité réglementer en outre certaines briques permettant de faire fonctionner ces systèmes – qu’ils soient à haut risque ou non. C’est ce que l’on appelle les « modèles de fondation », parmi lesquels on trouve ceux utilisés pour l’IA générative. Contrairement au Conseil, le Parlement souhaite intégrer l’ensemble de la réglementation dans l’IA Act, sans faire appel à des règlements ultérieurs. La discussion a débuté sur cette base-là en juin dernier, mais les trilogues (entre le Parlement, le Conseil et la Commission) n’ont pas encore permis d’aboutir à un compromis sur l’approche réglementaire à retenir pour les modèles de fondation et l’IA à usage général.

Pourquoi cela piétine-t-il ?

Benoît Barré : Début novembre, la proposition du Parlement permettant de catégoriser les modèles de fondation en fonction de leur niveau « d’impact » n’a pu faire l’objet d’une discussion avec les négociateurs du Conseil, faute pour ce dernier d’avoir pu obtenir un nouveau mandat de négociation. Plusieurs États membres – dont la France et l’Allemagne – s’opposent en effet à une « réglementation contraignante » des modèles, qui briderait l’innovation au sein de l’UE. Cela étant, de tels « rebondissements » font partie de la recherche d’un équilibre global et les discussions sont toujours en cours.

Miguel Viedma : À mon sens, deux des sujets qui pourraient prêter le plus à controverse concernent les modèles de fondation et les questions liées à l’identification biométrique en temps réel – que certains États désireraient pouvoir autoriser pour l’utilisation par les forces de l’ordre, alors que le Parlement européen semble plus réticent.

Benoît Barré : Les systèmes interdits – comme les systèmes biométriques utilisés à distance en temps réel – constituent l’un des quatre niveaux de la pyramide de répartition des systèmes, aux côtés de ceux considérés comme à haut risque, à risque mesuré (tels les chatbots) et à risque faible. Et chacun d’eux fait l’objet de discussions pour établir le périmètre et les critères propres à chaque catégorie.

Comment tout cela fonctionnera-t-il ?

Benoît Barré : Une des particularités de l’IA Act est qu’il s’agit d’une réglementation horizontale, s’appliquant indépendamment des systèmes d’IA et des acteurs concernés. Par conséquent, les obligations concerneront les fournisseurs des systèmes d’IA ou des modèles de fondation, s’ils sont réglementés, mais aussi les déployeurs, qui feront le lien entre le fournisseur du système et son utilisateur. À tous les niveaux de la chaîne de valeur de l’IA correspondront des obligations, selon une matrice assez complexe, que le législateur souhaite répartir de façon équitable.

Miguel Viedma : La question de l’extraterritorialité est également importante car, de façon similaire à ce que prévoit le RGPD, la réglementation s’appliquera tant aux fournisseurs basés à l’intérieur de l’UE qu’à ceux qui ne le sont pas, mais dont les résultats produits par l’IA sont utilisés dans l’UE.

Le calendrier sera-t-il tenu ?

Benoît Barré : Il convient de suivre l’évolution des trilogues de façon quasi quotidienne, car tout peut bouger très vite. Ainsi, malgré les efforts déployés par l’Espagne (actuellement à la présidence tournante de l’UE), celle-ci ne disposait pas, le 10 novembre, d’un mandat de négociation de la part des États membres pour mener les discussions avec les représentants du Parlement. Cela jette un doute sur l’obtention d’un compromis définitif pour le 6 décembre, date du cinquième trilogue. Y aura-t-il néanmoins un résultat avant la fin de l’année ? Le calendrier dérapera-t-il jusqu’aux élections européennes de 2024 ? Nul ne saurait le dire même s’il existe une pression importante pour finaliser le texte rapidement… Et s’il aura probablement fallu quelque 30 à 36 mois pour finaliser l’IA Act, sa mise en application, au premier semestre 2026, doit être anticipée dès à présent. Les entreprises doivent travailler à une stratégie de gouvernance de leurs systèmes d’IA et notamment en dresser la cartographie selon le degré de risque. Il leur faut surtout appréhender la question de façon systémique, à la lumière des autres règles européennes régissant le numérique (RGPD et Data Act, notamment), mais aussi de façon mondiale, car les systèmes d’IA sont par nature transfrontaliers.

Miguel Viedma : Même si les critères des différents systèmes ne sont pas définitifs, on ne peut pas se permettre d’attendre étant donné que les clients demandent déjà des solutions d’IA. Il faut établir des processus, des structures de risk assessment, etc., en s’appuyant sur ce dont on dispose – tel le code of conduct adopté récemment par le G7 ou tous les instruments de soft law (comme les industry standards).

Benoît Barré : Certains pays anticipent volontairement l’entrée en application de certains aspects de l’IA Act (comme la France, avec la loi sur les JO 2024 qui autorise à titre expérimental l’usage de l’IA pour la vidéosurveillance). Du côté des États-Unis, l’administration Biden vient d’adopter un Executive Order consacré à l’IA, pour ne pas subir un standard réglementaire généré en Europe (comme ce fut le cas avec le RGPD). Cela démontre, si besoin était, que le marché européen, bien que fragmenté, tirera avantage d’un texte unique permettant d’harmoniser l’approche réglementaire au sein de l’UE et d’offrir une meilleure sécurité juridique aux acteurs.