Pourquoi est-il nécessaire d’encadrer l’IA ?
Anne-Sophie Taillandier : Il est vrai que pour beaucoup de secteurs, cette nouvelle couche de régulation ne va changer pas grand-chose. Les domaines de la santé ou de la banque par exemple sont déjà règlementés, et soumis à des exigences très strictes en matière de pratiques numériques. Ce qui justifie vraiment la création de l’AI Act, c’est l’arrivée de l’IA générative, c’est-à-dire la démocratisation de l’IA, son accessibilité au grand public, et son utilisation à tout va.
Winston Maxwell : L’AI Act adopte une approche « sécurité des produits », s’inspirant notamment de la législation sur les dispositifs médicaux. Le règlement interdit ainsi les applications d’IA les plus extrêmes – comme la manipulation de personnes vulnérables – et dans la pratique, son impact se fera surtout sentir pour les applications « à haut risque ». Le produit IA devra pour ces cas-là être estampillé « CE », comme au dos d’une brosse à dent ou d’un jouet, pour indiquer qu’il est conforme aux exigences européennes.
L’AI Act prévoit toutefois certaines dérogations pour les applications à risque inacceptable. L’utilisation des outils de reconnaissance faciale par la police par exemple, est interdite en principe, mais assortie d’exceptions : pour la lutte anti-terrorisme, ou encore dans le cadre d’enquêtes pénales pour des crimes graves.
Quel a été le moteur de la création de ce projet législatif ?
WM : La « Big Tech » vit dans son propre monde, et avec l’évolution ultra rapide des technologies, la législation a parfois du mal à suivre. Pour l’IA, la Commission européenne a été très réactive, et a rapidement mis l’AI Act sur la table afin d’envoyer un message fort : cette technologie devra se conformer aux principes européens.
Ce faisant, elle a aussi voulu éviter un morcellement des réglementations nationales. Compte tenu de l’importance politique de l’IA, il serait en effet tentant pour chaque pays de l’UE d’adopter sa propre réglementation. En avançant assez tôt le projet de l’AI Act, la Commission européenne a fédéré dès le départ les initiatives nationales au sein d’un projet européen, unique et harmonisé.
Comment les mesures de l’AI Act se mettront-elles en place ?
WM : Chaque fournisseur d’un système IA à haut risque devra montrer que son produit est conforme aux exigences décrites dans l’AI Act. Ces dernières seront précisées par des normes harmonisées. Le Comité européen de normalisation (CEN), et le comité européen de normalisation électrotechnique (CENELEC) collaborent sur le développement de ces normes, qui seront ensuite soumises à la Commission européenne pour validation.
AST : L’établissement de normes est le fruit d’un processus parfois long de consultations et de réévaluations jusqu’à l’obtention d’un consensus qui satisfasse les exigences législatives et réglementaires de l’UE, comme cela a été le cas avec le règlement sur la gouvernance des données (DGA) par exemple.
WM : Il devra également y avoir une autorité coordinatrice ou de contrôle dans chaque pays qui, pour le moment, n’est pas encore définie, même si la Commission nationale de l’informatique et des libertés (CNIL) se positionne déjà comme l’institution experte de l’IA. Cette autorité de contrôle sera vraisemblablement différente entre les pays et pour chaque secteur, mais en France on peut imaginer une instance rattachée au Premier ministre, pour à la fois garantir un haut niveau de protection des droits fondamentaux, et protéger nos pépites sur le plan économique.
Comment les acteurs du numérique accueillent-ils cette règlementation ?
AST : Jusqu’ici, c’était le Far-West et cela profitait bien aux acteurs de la Tech. De prime abord, tous sont favorables à ce qu’il y ait de la régulation mais c’est toujours la mise en action qui est complexe, et aujourd’hui la plupart sont naturellement peu enclins aux restrictions. Le problème, c’est que ces acteurs sont également très puissants, et il est très compliqué d’établir un standard sans les embarquer.
WM : D’un autre côté, certains grands acteurs de la tech utilisent la réglementation à leur avantage. Ils y voient une opportunité de jouer la carte « conformité » et gagner des parts de marché. Un règlement complexe comme l’AI Act entraîne en effet des mécanismes de « mise aux normes » couteux, auxquels les grands acteurs de la tech sont habitués, notamment grâce au règlement général sur la protection des données (RGPD). On peut alors craindre que l’effet de la réglementation soient globalement bénéfique aux grands acteurs de la tech au détriment des PME, même si l’AI Act contient des dispositions qui leur sont favorables. En France, on pense notamment à Mistral AI [pépite française fondée en avril 2023, qui développe des grands modèles de langage comme ChatGPT] : il ne faudrait pas tuer dans l’œuf ce projet qui sort du lot !
Les restrictions liées à l’AI Act pourraient-elles constituer un frein à l’innovation ?
WM : Dans les faits, le RGPD régule déjà énormément de pratiques autour de l’IA car beaucoup d’applications reposent sur l’utilisation de données à caractère personnel. À son lancement, tout le monde prédisait que le RGPD serait un frein, mais personne n’a réussi à démontrer que c’était le cas, car le marché allait lui-même dans le sens d’une responsabilisation plus forte. Les États-Unis n’ont pas un RGPD mais ont déployé d’autres moyens juridiques pour condamner les pratiques abusives de certains acteurs de la tech. Les pratiques de Facebook qui sont épinglées en Europe le sont aussi outre-Atlantique, avec des amendes parfois encore plus fortes.
Aujourd’hui, le RGPD est devenu une telle référence mondiale que de nombreux pays en dehors de l’Europe ont cherché à mettre en place des réglementations similaires. Pour l’AI Act, il est encore trop tôt pour savoir si d’autres pays vont suivre l’exemple européen.
AST : L’AI Act n’est pas une régulation sur les algorithmes mais sur les usages et leurs différents niveaux de criticité. Or, on l’a dit, certains secteurs sont déjà très surveillés et régulés. Le DGA aura peut-être plus d’impact car il impose aux intermédiaires des données de respecter des normes strictes de protection des données et de confidentialité. Il y a aussi le Digital Markets Act (DMA), le Digital Services Act (DSA)… c’est donc tout un ensemble de règlements qu’il faut prendre en compte pour trouver des moyens de faire de l’IA responsable. Mais au final, sous des abords restrictifs, toutes ces régulations favorisent l’innovation car elles permettent d’investir sur un projet européen avec un cahier des charges uniques, et facilitent la coopération internationale.
Où en est aujourd’hui ?
WM : Actuellement nous essayons tous de comprendre les 144 pages de l’AI Act ! Mon collègue Thomas Le Goff a créé un outil pédagogique, l’AI Act Game, qui permet d’aborder le texte de manière ludique. Outre la compréhension du règlement, un gros travail reste à faire au sein des organismes de normalisation de la part de CEN-CENELEC car il va être très complexe de mettre d’accord toutes les parties prenantes sur des spécifications techniques autour de l’IA de confiance. L’Europe a choisi une approche de régulation fondée sur les normes harmonisées, mais il reste à démontrer que cette approche sera capable de traiter les problèmes liés aux droits fondamentaux. Ce sera une première !
AST : Ce qui compte, c’est surtout de montrer les processus démocratiques en marche, et que l’UE est vigilante sur ce sujet.
