Nouveautés et ambitions en matière d’intelligence artificielle
Le 13 mars 2024, le Parlement européen a adopté le règlement sur l’intelligence artificielle (AI Act) instaurant un cadre juridique uniforme pour le développement, la mise sur le marché et l’utilisation des systèmes d’IA dans l’Union européenne (UE).
La définition large des systèmes d’IA, la graduation des règles et exigences applicables selon la nature et le niveau de risques garantissent la sécurité juridique, tout en offrant la souplesse nécessaire pour tenir compte des évolutions technologiques rapides dans ce domaine.
Le champ d’application du texte couvre tous les opérateurs, toute utilisation de systèmes d’IA et de ses résultats sur le territoire de l’UE ou ayant un impact au sein de l’UE, favorisant ainsi une convergence internationale.
L’AI Act a pour ambition de tirer le meilleur parti des systèmes d’IA tout en protégeant les droits fondamentaux, la santé et la sécurité et de permettre un contrôle démocratique, en imposant à tous les acteurs de la chaîne de valeur de maîtriser l’IA, au cours de la phase de développement du système d’IA, pendant son utilisation, dans l’interprétation des résultats, en garantissant une transparence sur les possibilités et risques.
Si l’entrée en vigueur de l’AI Act est imminente, celle de ses dispositions est graduée, tenant compte du niveau de risques mais aussi de l’émergence rapide de l’IA générative (GenAI).
Nouveautés sur l’IA générative et les déployeurs
L’apparition de la GenAI a fait naître de nouveaux usages et défis, ayant conduit le texte à distinguer le « modèle d’IA à usage général » qui « présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval » et le système d’IA « fondé sur un modèle d’IA à usage général qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA ».
S’agissant des modèles d’IA à usage général, ceux présentant un risque dit « systémique » sont soumis à une obligation d’information de la Commission, par le fournisseur, sous deux semaines ; et les autres à des obligations de transparence spécifiques ainsi qu’à la mise en place d’une politique afin d’assurer le respect de la réglementation en matière de droit d’auteur. S’agissant des systèmes d’IA à usage général qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, les fournisseurs doivent veiller à ce que leurs résultats soient marqués dans un format lisible par machine, identifiables comme ayant été générés ou manipulés par une IA. En outre, les fournisseurs sont soumis à des obligations d’efficacité, d’interopérabilité, de solidité et de fiabilité appropriées.
Ces obligations spécifiques répondant de manière souple aux besoins urgents nés des usages et risques sur les droits fondamentaux – notamment liés à l’« hypertrucage » – et les droits de propriété intellectuelle en particulier, s’appliquent sans préjudice d’autres exigences lorsque le système d’IA constitue un système à haut risque, comme c’est en particulier le cas dans le secteur de la santé.
La responsabilité du déployeur, c’est-à-dire « utilisant sous sa propre autorité un système d’IA à haut risque », consiste en particulier à prendre les mesures techniques et organisationnelles appropriées afin de garantir que les systèmes sont utilisés conformément à leurs notices, à s’assurer que les utilisateurs sont en capacité d’exercer leur contrôle humain, à veiller le cas échéant que les données d’entrée soient pertinentes et représentatives au regard de la destination du système, à surveiller son fonctionnement, informer de tout risque le fournisseur, et assurer la tenue des journaux générés automatiquement.
S’agissant du déployeur d’un système d’IA ne constituant pas un système à haut risque, la mise en place d’une charte d’utilisation de l’IA est encouragée pour veiller à l’utilisation de système d’IA digne de confiance et un usage approprié et transparent.
Ambitions françaises
Le jour même de l’adoption de l’IA Act par le Parlement européen, la commission française de l’intelligence artificielle a présenté 25 recommandations opérationnelles afin d’adapter la stratégie nationale sur l’IA, articulées autour de six grandes lignes d’actions afin de surmonter les défis de l’IA, notamment de réorienter structurellement l’épargne vers l’innovation, faciliter l’accès aux données et assumer le principe d’une « exception IA » dans la recherche publique.
En matière d’accès aux données, la commission de l’IA relève que les données, et plus précisément les données personnelles, constituent « un ingrédient indispensable aux développements de l’intelligence artificielle » et appelle à la modification des règles et pratiques françaises aujourd’hui plus contraignantes que le RGPD (notamment en santé), par la suppression des procédures d’autorisation, et l’évolution du mandat de la CNIL en faveur d’un objectif d’innovation.
Sur le plan juridique, l’adoption de l’IA Act soulève de nouveaux défis, tenant notamment à l’articulation de ses exigences avec celles du RGPD centrées sur la protection individuelle. En particulier, les exigences de finalités déterminées, de minimisation, de limitation de la conservation devront trouver de nouvelles conditions d’application à ce contexte d’utilisation de données massives. T