IA Act : enjeux et impacts  de la loi européenne

L’approche de l’IA act

Julia Apostle : L’IA Act est un texte dense et très innovant. Il cherche à créer un cadre juridique pour la protection des valeurs fondamentales dans le domaine de la technologie. Dans cet objectif, le texte prévoit l’utilisation de normes techniques car finalement, dans sa structure, le règlement ressemble à une loi relative à la sécurité des produits, plus qu’il ne ressemble au RGPD. La loi va inévitablement conduire à des changements techniques au sein des entreprises. C’est un projet ambitieux et qui aura sans aucun doute un impact au plan mondial. Dans les mois et années à venir, on pourra constater une évolution des normes à l’échelle nationale, européenne et internationale.

Agata Hidalgo : La Chine a été le premier pays à réglementer l’IA, mais en se contentant de quelques articles visant l’IA générative et n’assurant un standard de protection qu’à l’égard des citoyens chinois. L’IA Act est extraterritorial. Il s’applique aux entreprises qui vendent des produits sur le marché européen.

Vanessa Hespel : Il s’applique également lorsque les résultats produits par un système d’IA sont utilisés dans l’UE, ce qui augmente la portée extraterritoriale de l’IA Act

Agata Hidalgo : Absolument. Si une entreprise australienne vend des produits en Europe, elle sera soumise à cette réglementation. Si elle veut l’éviter, elle devra se priver d’un marché de 450 millions de personnes.

Julia Apostle : L’IA Act réglemente des systèmes d’intelligence artificielle mais aussi des modèles d’IA. Au départ, on parlait d’une approche basée sur les risques. Mais selon moi, ce n’est plus tellement le cas.

Vanessa Hespel : Je suis d’accord. Il y a un aspect sécurité des produits qui est essentiel.

Julia Apostle : Le texte réglemente surtout les modèles d’IA à usage général (GPAIM) sans leur imposer les niveaux de risque, donc l’approche n’est clairement plus la même qu’au début. Mais il demeure certain qu’en fonction du niveau de risques, le système d’IA devra répondre ou non à plus d’obligations. Plus un système est classifié à haut risque, plus il aura d’obligations. Certains systèmes sont même interdits, ce qui est nouveau.

Vanessa Hespel : Ces interdictions sont le reflet des valeurs éthiques européennes puisque les pratiques interdites visent les notations sociales, l’exploitation des vulnérabilités de certaines personnes en fonction de leur âge, de leur handicap et de leurs situations sociale et économique. Sont également prohibées toutes les pratiques favorisant la catégorisation fondée sur des données biométriques.

Julia Apostle : Il demeure cependant un certain nombre d’exemptions qui complexifient la lecture du texte et qui sont d’ailleurs controversées.

Vanessa Hespel : Le règlement prévoit en effet des exclusions de ce qui serait développé à des fins militaires ou dans le cadre de travaux de recherche.

Agata Hidalgo : Des exclusions majeures s’appliquent également aux forces de l’ordre. La surveillance biométrique à distance en temps réel, qui a fait l’objet d’un important débat au niveau européen, est l’une des pratiques interdites par le règlement, mais avec des exceptions. L’accord final donne en effet le pouvoir aux forces de l’ordre, et pas uniquement aux services militaires, de l’utiliser dans des cas tels que la disparition d’une personne ou le risque d’une attaque terroriste. Au final, certaines pratiques sont interdites mais il existe, en contrepartie, des possibilités pour en être exempté.

France Digitale a travaillé durant trois ans sur le dossier de l’IA Act, entre Paris et Bruxelles, pour porter la voix des start-up. Notre bilan de ce règlement est mitigé. S’agissant des hauts risques, l’approche par le risque nous semble respectée sur des systèmes qui ont des applications spécifiques. Nous avons même obtenu des exceptions pour ceux qui arrivent à démontrer que leur usage de l’IA n’est pas à haut risque et ainsi bénéficier d’obligations réglementaires allégées. C’est une belle victoire car auparavant toutes les applications dans l’éducation, le legal, le recrutement étaient logées dans la catégorie des usages à haut risque, ce qui n’est bien évidemment pas systématique en réalité.

L’efficacité du texte

Agata Hidalgo : Un doute pourrait venir de la partie IA générative et des modèles de fondation : on est sorti d’une approche par les risques pour partir sur un modèle avec des obligations de transparence conséquentes et des critères flous pour être définis comme « IA à usage général à risque systémique ». Actuellement les critères sont basés sur des seuils mathématiques liés à la puissance de calcul, ce qui n’est pas durable. Et la Commission européenne garde la main pour ajouter, demain, d’autres critères. C’est inquiétant car les entreprises n’ont aucune visibilité juridique sur ce point.

Julia Apostle : Il y a peut-être moins de visibilité sur le processus d’élaboration des normes que nous pourrions souhaiter, même si les organisations responsables font des efforts de transparence dans leurs démarches. Un certain nombre de travaux en cours ont été ouverts à la consultation publique et il y a un engagement public important. Plusieurs possibilités de participer au processus existent - il suffit de les activer.

Cependant, la complexité de la loi, les exceptions, et tous ces critères soulèvent la question de l’efficacité finale du texte. Il semble raisonnable de s’attendre à ce que les entreprises contestent la classification de risque attribuée à leurs systèmes et modèles, compte tenu des conséquences. L’exemple du DMA (Digital Market Act) est instructif : certaines entreprises ont déjà contesté leur désignation comme gatekeeper par la Commission européenne.

Renaud Dupupet : En même temps, on pourrait avoir une approche un peu différente car, d’un point de vue marketing, un label européen pourrait être intéressant.

Siemens Energy est actuellement en cours de cartographie des IA que l’entreprise utilise, et va ensuite classer ces risques en fonction des critères élaborés. Le groupe n’est heureusement pas concerné par les systèmes d’IA interdits. Mais une fois que l’on aura terminé ce travail et qu’on sera « labellisé » par la Commission, cela pourrait être un outil marketing intéressant de démarcher des clients en leur montrant le sérieux de notre approche des nouvelles technologies.

Vanessa Hespel : Ce processus de certification a pour objectif d’élever la qualité des produits en termes de sécurité. Il se concrétise par un marquage CE. Or il convient d’observer le marché actuel des produits soumis à un tel label, comme les appareils médicaux, les jouets ou les ascenseurs. Pour un citoyen européen c’est un gage de confiance.

Renaud Dupupet : C’est l’un des objectifs de cette loi. Les citoyens européens ont peur de l’IA. Mais cette réglementation constitue un facteur d’acceptabilité de la technologie.

Vanessa Hespel : Le marquage CE permettra d’avoir des garanties sur la qualité des données qui auront été utilisées pour entraîner ces systèmes d’IA à haut risque. Il y aura aussi la garantie d’effectuer l’enregistrement des activités pour mieux surveiller le comportement de l’algorithme et l’obligation de supervision humaine. Et enfin cette documentation technique, l’obligation d’informer les utilisateurs pour instaurer davantage de transparence et des audits de conformité.

Ces garanties apportées seront faites en lien avec des organismes certificateurs, sur la base de normes de certification qui sont aujourd’hui en cours de rédaction. On peut d’ailleurs se demander si le temps de rédaction ne sera pas un peu court par rapport à l’entrée en vigueur du texte.

Julia Apostle : Plusieurs normes ont déjà été publiées. Ils doivent être maintenant adoptés, ou non, par le Cen Cenelec (Comité européen de normalisation en électronique et en électrotechnique).

Renaud Dupupet : Vous parlez des normes éthiques ?

Julia Apostle : Des normes techniques.

Vanessa Hespel : Mais elles incluent aussi des valeurs éthiques, quand elles traitent de biais ou d’équité.

Julia Apostle : Effectivement, la loi prévoit que si une norme existante est jugée comme ne reflétant pas suffisamment des valeurs européennes, le Cen Cenelec pourrait refuser de l’adopter et la Commission européenne optera alors pour un Implementing Act qui définirait des spécifications communes répondant aux mêmes objectifs.

Agata Hidalgo : Ceci ne concerne que les sociétés utilisant l’IA à haut risque et pas toutes les entreprises. Il faut rappeler que ces procédures de certification sont très onéreuses. Nombre d’entreprises ne savent pas comment obtenir un marquage CE ! Bien sûr les groupes qui travaillent dans le secteur de la santé ont l’habitude de ces dispositifs. Mais les legaltech ou même les HRtech ne connaissent pas forcément ces systèmes. En outre, les certifications ISO peuvent être un véritable parcours du combattant et imposent de mobiliser un, voire plusieurs, salariés à temps plein, notamment dans les équipes juridiques et techniques.

Il faut également s’interroger sur qui développe ces normes. France Digitale a eu pendant deux ans un collaborateur impliqué côté Afnor, le groupe responsable de la normalisation en France, mais aussi au niveau du Cen-Cenelec. Pour la plupart des petites entreprises, c’est inimaginable ! Comment peuvent-elles faire entendre leur voix dans ce genre d’instances qui sont auto-régulées et au sein desquelles les groupes les mieux représentés sont Microsoft et Huawei ? Au final, ces normes sont surtout rédigées par des grands acteurs. Reflètent-elles réellement la capacité des start-up et des PME de se mettre en conformité ?

Julia Apostle : La loi prévoit tout de même des obligations visant à faire en sorte que ces processus de rédaction soient transparents et je constate une volonté de clarté et de pédagogie.

L’impact du texte
sur les entreprises

Julia Apostle : Il ne faut pas exagérer l’impact du texte car, pour le moment, la majorité des sociétés ne développent pas leurs propres systèmes d’IA. Elles passent surtout par un modèle de licence et la catégorie de haut risque demeure assez restreinte. J’ajoute que le texte prévoit relativement peu d’obligations pour les utilisateurs sauf en ce qui concerne des systèmes d’IA à haut risque. C’est sans doute la prochaine étape, on le voit déjà dans le projet de loi italienne qui a été déposée. Cela ne veut pas dire que les entreprises ne devraient pas mettre en place des stratégies de gouvernance de l’IA, car l’utilisation de ces systèmes est déjà soumise à un certain nombre de lois existantes, dont le RGPD n’est pas le moindre, et les risques économiques et de réputation sont réels.

Vanessa Hespel : Toutes ces obligations de certification pèsent essentiellement sur les fournisseurs. Mais certaines pèseront également sur les entreprises utilisatrices, qui vont éveiller sans doute beaucoup de souvenirs pour ceux qui ont mis en œuvre le RGPD. Dans le cadre du respect des droits fondamentaux, pour assurer un minimum d’impact dans l’usage de ces IA, on va devoir mener des analyses d’impact qui pourraient être comparables à celles qui ont dû être menées en matière de données personnelles. On ne connaît pas encore tout à fait la méthodologie retenue, elle sera précisée dans les mois à venir. Il va falloir évaluer les impacts sur les droits fondamentaux, c’est-à-dire la Charte adoptée en 2012, mais nous ne savons pas encore comment mesurer ces impacts et de quels droits il s’agira selon les cas d’usage retenus… Les bacs à sable qui sont prévus vont sans doute aider les entreprises à identifier les droits fondamentaux impactés par un système d’IA à haut risque.

Il est certain que pour les entreprises qui sont RGPD compliant, la marche sera moins haute. La gouvernance est en place, la méthodologie de travail en mode projet est devenue familière, on sait à peu près quelles sont les compétences requises pour l’application du règlement. Le travail de registre et d’analyse d’impact préalablement mené pourra également être exploité.

Renaud Dupupet : Il faudra aussi considérer un éventuel impact contractuel. À la fois nos clients voudront introduire dans les contrats de nouvelles clauses sur l’IA, à l’image de celles que l’on a vu se développer en termes de RGPD, et, nous-mêmes, nous voudrons sans doute imposer des clauses à nos fournisseurs. Il va donc y avoir un travail sur les modèles contractuels à venir.

Julia Apostle : Nous conseillons déjà nos clients sur ce sujet, notamment pour les contrats-types qui ont des durées de vie de 5 ans. Ce qui complexifie cet exercice, c’est que l’IA Act ne peut être appréhendé de façon isolée. Il faut également prendre en compte le Digital Service Act (DSA), la loi sur la cyber-résilience, le droit social… L’exercice est complexe et ne suppose pas uniquement les conseils d’un spécialiste de la protection des données. Les entreprises doivent également garder à l’esprit qu’elles peuvent être à la fois développeurs et utilisateurs, ou que leurs filiales sont des utilisateurs, ce qui nécessite donc potentiellement l’adoption d’accords intragroupes.

Renaud Dupupet : Le contrôle de l’exportation est également concerné.

Julia Apostle : Tout comme l’antitrust. Si une entreprise est en train de contracter avec des fournisseurs, elle doit faire attention à des clauses d’exclusivité, de durée.

Quelle méthodologie ?

Agata Hidalgo : Notre priorité est de sensibiliser les entreprises pour faire le plus tôt possible un audit interne des systèmes IA pour savoir si elles sont concernées par le règlement. C’est vraiment le moment d’agir. France Digitale, avec Wavestone et Gide, a publié un guide de mise en conformité qui est gratuitement accessible sur notre site visant à guider toutes les entreprises sur les étapes à suivre de mise en conformité de leurs systèmes d’IA, comment procéder, qui solliciter, dans quelle temporalité ?

Renaud Dupupet : Il est vrai que les deux ans vont passer très vite.

Agata Hidalgo : Pour faciliter ces démarches, le règlement prévoit des bacs à sable réglementaires, inspiré des bacs à sable fintech existantes dans plusieurs pays tels que la Grande Bretagne et l’Italie. Il s’agit d’espaces sécurisés, surveillés par les autorités, où il est possible de faire des expériences sans forcément respecter la loi dès le début. L’entreprise fait ainsi développer une technologie, puis vérifie comment elle interagit avec la loi, avant de la mettre sur le marché. Sur le papier, c’est formidable. Mais quelle est la vraie valeur ajoutée si l’on permet déjà des exceptions pour faire de la R&D ? Nous échangeons donc avec Bercy sur le dispositif d’accompagnement juridique et de compliance que l’on pourrait offrir aux entreprises dans ce cadre-là.

Pour le moment, aucun bac à sable pour IA n’est véritablement actif. Une initiative est en train de se mettre en place en Espagne, alors qu’en France nous attendons encore des annonces.

Renaud Dupupet : Quelle sera l’autorité de contrôle en France ? J’ai l’impression que perdure un flou sur ce sujet. Est-ce que ce sera l’ARCOM, la CNIL… ?

Julia Apostle : Le système de surveillance est complexe. La Commission européenne est compétente pour tous les modèles fondations. Les autorités de contrôle de certains marchés sont déjà désignées, je pense par exemple aux jouets, à l’automobile, etc.

Renaud Dupupet : Cela risque de créer une problématique d’alignement.

Vanessa Hespel : Il faudrait en effet un organe qui vienne harmoniser.

Julia Apostle : C’est prévu. L’IA Act incorpore une réglementation de 2021 qui structure la coordination de ces autorités. Il y aura donc une autorité de contrôle, puis une coordination au sein de l’Europe organisée par une autre réglementation. Le défi est que cette coordination n’a pas été beaucoup testée sur les sujets de sécurité des produits, et certainement pas s’agissant d’IA.

Vanessa Hespel : Mais en dehors de ces réglementations spécifiques, quelle serait l’autorité de contrôle française ?

Julia Apostle : Les autorités chargées de la protection des données ont déjà été désignées comme responsables de trois catégories de systèmes à haut risque. Pour les autres, on ne sait pas encore.

Agata Hidalgo : Un projet de loi de transposition désignera les autorités. Il est vrai que la CNIL se positionne. Elle serait bien sûr compétente s’agissant du traitement par les IA des données personnelles. Mais pour le reste, aura-t-elle les compétences prioritaires ? Le Conseil d’État doit publier un avis sur l’extension des compétences de la CNIL à l’innovation, donc rien n’est encore certain.

Julia Apostle : L’ARCOM est responsable du contrôle du DSA. Or dans ce règlement, il y a des règles spécifiques qui traitent de l’IA sur les systèmes de recommandations et sur tout ce qui relève de la publicité ciblée. L’ARCOM est donc compétente alors même que la CNIL a des responsabilités en lien avec le DSA, sans oublier la DGCCRF. On voit déjà se mettre en place un modèle tripartite, placé sous la coordination de l’ARCOM.

Je pressens donc un modèle similaire pour l’IA Act.

Mais il conviendra tout de même de conserver une certaine cohérence à l’échelle européenne.

Vanessa Hespel : Nous discutons d’un texte adopté en avril dernier. À partir du moment où il sera signé, les délais commenceront à courir. Or l’entrée en vigueur de la majorité des dispositions est prévue dans les 24 mois. Précisons néanmoins qu’un certain nombre d’entre elles doivent entrer en vigueur bien plus tôt. Par exemple pour les pratiques interdites, on parle de 6 mois. Pour les modèles de fondation, c’est 12 mois. Il y a tout de même une pression forte sur les législateurs pour désigner rapidement les autorités en charge de l’application. Les délais seront serrés et les entreprises devront être réactives et mettre en œuvre le règlement au fur et à mesure de la publication des textes complémentaires. La direction juridique devra donc travailler en lien avec la DSI, la RSSI, et la direction compliance.

Julia Apostle : L’un des aspects complexes de ce texte est de savoir comment gérer les systèmes préexistants. L’article 111 de l’IA Act, supposé final, prévoit un délai d’application plus long pour les modèles à usage général qui sont déjà existants à compter d’une certaine date. C’est pourquoi l’audit est si important pour identifier les conséquences pour l’entreprise.

Agata Hidalgo : L’IA Act est encore abstrait pour les entreprises qui ne savent pas à quel type de formulaire elles vont devoir répondre. Qui va d’ailleurs les rédiger ? Une nouvelle entité au sein de la Commission européenne a été créée, qui s’appelle AI Office, pour laquelle les recrutements sont d’ailleurs en cours. Il serait intéressant de savoir comment l’on peut contribuer à la rédaction de ces templates de déclarations de mise en conformité pour pouvoir anticiper et permettre à nos membres de se projeter. France Digitale s’est par exemple impliquée dans le Pacte IA, une initiative du commissaire européen Thierry Breton, visant à proposer des bonnes pratiques aux entreprises. Si un groupe ou une entreprise met en place un modèle de mise en conformité qu’il juge pertinent, il peut le partager avec 500 autres parties prenantes (associations et entreprises de toutes tailles).

L’influence étrangère sur la régulation

Julia Apostle : Au Colorado, une proposition de loi a été publiée permettant de savoir quel type de documentation devrait être utilisé par les fournisseurs pour démontrer leur conformité avec leurs obligations. C’est un indice étranger intéressant qui pourrait inspirer les entreprises européennes.

Renaud Dupupet : Aux États-Unis, j’avais compris que l’IA était encadrée par de la soft law.

Julia Apostle : Au niveau fédéral, il n’y a pas de loi globale concernant l’IA, bien qu’il existe des textes qui traitent de domaines spécifiques, et de nombreuses lois et projets de lois au niveau de l’État.

Agata Hidalgo : Le président Joe Biden a donné mandat à tous les départements du gouvernement fédéral de publier des guidelines qui s’appliqueront après aux entreprises. C’est un peu contraignant, mais pas aussi fort que la loi européenne.

Vanessa Hespel : Effectivement le modèle européen est bien plus contraignant, il est même obligatoire. Tandis qu’aux US, les guidelines ne constituent que des recommandations.

Julia Apostle : C’est un mouvement qu’il ne faut tout de même pas ignorer. Le National Institute of Standards and Technology (NIST) a publié récemment quatre propositions de standards intéressants. Les Américains auraient d’ailleurs envie de les voir adopter en Europe aussi. Cela fait partie du processus par lequel les normes deviennent des normes juridiques.

Renaud Dupupet : Cette situation est intéressante. L’Europe a réglementé et adopté un texte contraignant tandis que les US pourraient adopter une position différente à travers un texte, par principe, à portée extraterritoriale.

Julia Apostle : Ils vont tenter de converger sur les standards. Ils travaillent déjà ensemble.

Vanessa Hespel : Beaucoup d’avance a été prise du côté des organismes existants ISO/IEC et NIST qui ont déjà adopté des standards. Au contraire, côté Européen, nous avons pris un peu de retard sur la normalisation. Cen Cenelec, mais également l’ETSI ont déjà mené des travaux. Certes, les organismes peuvent adopter les normes internationales mais la matière touche à l’éthique qui relève de la culture propre à chaque pays. Il n’empêche qu’au niveau européen, en termes de détermination de normes, on est en retard par rapport à ce qui se fait au niveau international et américain. D’où la crainte de conséquences sur l’innovation européenne.

Renaud Dupupet : Il y a des critiques sur l’IA Act sur ce point.

Agata Hidalgo : Pour l’instant, l’innovation en matière d’IA en Europe continue de prospérer, mais il est vrai qu’il pourrait y avoir un ralentissement avec l’entrée en vigueur du IA Act. À terme, toutefois, nous devrons apprendre à y vivre avec, comme nous l’avons fait avec le RGPD.

J’ajoute que la coordination internationale passe également par le Trade and Technology Council, une des réunions trimensuelles entre les commissaires européens et leurs homologues américains, durant lesquelles ils discutent des technologies. Il y a donc une volonté de dialogue.

Je doute néanmoins que le monde entier cherchera à s’inspirer de la loi européenne. Le RGPD a démontré ses limites. Bien sûr la Californie a fait preuve d’enthousiasme, mais il n’y a jamais eu de loi fédérale américaine ressemblant au RGPD.

Il demeure possible que les grandes entreprises internationales se conforment à la loi européenne pour leurs activités sur le continent, mais continuent à respecter le standard américain pour le reste de leurs activités.

Vanessa Hespel : N’oublions pas d’évoquer la Chine qui a une grande avance technologique en matière d’intelligence artificielle.

Julia Apostle : Il y a une régulation de l’IA générative en Chine qui reflète une approche spécifique au contexte chinois, bien que je comprenne qu’il y a un certain chevauchement en ce qui concerne, par exemple, la transparence vis-à-vis des utilisateurs afin qu’ils sachent quand ils interagissent avec un système d’IA.

Vanessa Hespel : Il y a des efforts d’harmonisation. Je fais notamment référence à la rencontre récente d’Emmanuel Macron et Xi Jinping où il a été question d’IA avec une volonté commune de parvenir à une régulation plus internationale. Les États-Unis, la Chine, l’Europe et la Grande-Bretagne cherchent à converger.

Agata Hidalgo : Après celui de Londres en novembre dernier, c’est la France qui va organiser le prochain sommet mondial sur l’IA. Il aura lieu début 2025.