Après de très âpres et longues négociations, l’Europe vient le 8 décembre 2023 de se doter de la première législation en matière d’Intelligence artificielle.
Le texte de l’accord politique provisoire ne sera pas disponible avant février 2024 en raison du travail technique nécessaire à sa finalisation. Cet accord historique intervient sous la présidence espagnole du Conseil de l’UE, qui s’achève le 31 décembre: parvenir à un compromis sur ce texte était une des grandes priorités de cette présidence et incontestablement un succès à mettre à son actif, à quelques jours de sa fin, après des mois de négociations sur des sujets aussi sensibles que nouveaux, aussi bien sous la très haute surveillance du Conseil que du Parlement européen.
L’accord, arraché dans une ultime réunion, après de longues heures de discussion et d’arbitrage entre la présidence, les délégations des États membres du Conseil et la délégation du Parlement européen, est encore dit « provisoire », le temps d’une dernière minutieuse revue par les services juridiques du Conseil et du Parlement européen et de sa traduction dans toutes les langues officielles de l’UE. Une fois celles-ci achevées, le texte consolidé, traduit et vérifié pourra être présenté pour adoption finale, d’abord par les représentants permanents des États membres (COREPER) du Conseil de l’UE, avant d’être ensuite soumis au vote des députés européens lors d’une session plénière à Strasbourg. Il sera alors soumis pour son adoption formelle et définitive au vote des 27 États membres au sein du Conseil (au niveau des ministres représentants chacun leur gouvernement) et officiellement signé par les deux institutions. Il entrera en vigueur 20 jours après sa publication au Journal Officiel de l’UE.
Le retard pris par les discussions interminables lors des réunions en trilogue entre les colégislateurs est essentiellement dû à l’apparition sur le marché fin 2022 de certains modèles avancés de l’IA à « usage général » : l’IA dite « générative ». Le ChatGPT d’OpenAI est un exemple d’IA générative : ce chatbot fonctionne sur la base d’un grand modèle de langage (LLM), entraîné sur de vastes quantités de données pour produire un texte semblable à celui que produirait un humain.
Le Parlement a souhaité inclure dans le texte, en cours de négociations et qui ne le prévoyait pas, des obligations spécifiques pour ces systémes d’IA, ce qui a conduit les députés à devoir organiser de nombreuses réunions supplémentaires de travail, sur un sujet en pleine actualité et très disputé entre partisans et opposants, pour obtenir sa prise en compte dans la proposition.
La majorité des États membres au Conseil, au contraire, souhaitait limiter les obligations à un niveau de transparence sur la technologie et son utilisation. La France, l’Allemagne et l’Italie étaient quant à elles encore plus mesurées, en proposant de les soumettre à l’application de codes de conduite volontaires, développés par les entreprises afin de ne pas nuire au potentiel de développement de technologies innovantes et loin d’avoir atteint leur seuil de maturité. A noter, que la Pologne, la Hongrie et la Finlande ont rejoint cette ligne et refusé d’approuver l’accord provisoire avant d’avoir le texte final traduit et vérifié par les services juridiques.
Et il faut reconnaître que ce sujet extrêmement sensible méritait que l’on prenne le temps de s’y attarder. Le potentiel de l’IA « générative », qui permet de créer des sons, des images, des textes ou encore d’opérer de manière simultanée des traductions, nous a propulsé dans un monde de bouleversements technologiques dont on maîtrise encore mal les défis, les développements fondamentaux et, surtout, dont on ne parvient pas encore à analyser les risques quant à l’automatisation des systèmes non humains dont les modèles pourraient être amenés à nous remplacer.
Et que dire de la protection de nos données personnelles puisque l’IA, pour égaler ou dépasser le cerveau humain dans ses capacités de tri, traitement, analyse et raisonnement qui lui permettent de réfléchir et produire une réponse, nécessite une collecte massive de données pour alimenter ses algorithmes, leur puissance de calcul et leurs multiples capacités à traiter ces données comme le cerveau humain, mais sans autre limite que le volume de ses données et leur qualité. La vitesse et la puissance de calcul sont des limites humaines dont l’IA s’affranchit grâce à des technologies dont les limites nous dépassent tant elles sont éloignées – sauf sans doute en matière d’éthique et de déontologie, pour maîtriser le fonctionnement de ces technologies, se prémunir de leur ingérence continue dans notre quotidien pour en aspirer toutes les données, via nos appareils connectés et autres services numériques et applications, et, in fine, éviter les risques et cas de violations de nos vies privées.
L’accord trouvé devrait garantir les droits fondamentaux, la démocratie et protéger l’environnement contre les risques liés à l’A.
Ce que l’on sait de l’accord du 8 décembre :
Une classification des différents systèmes d’IA, selon leur niveau de risque
1. Certaines applications dites « inacceptables » présentant une menace pour le respect des droits fondamentaux et la sécurité sont interdites, comme celles de l’identification biométrique à distance des personnes dans les lieux publics ou celles permettant la reconnaissance des émotions sur le lieu de travail ou les établissements scolaires, ou encore celles qui seraient susceptibles de manipuler le comportement humain pour contrôler son libre arbitre.
Cependant, le Conseil a obtenu des exemptions en ce qui concerne l’utilisation de systèmes d’identification biométrique dans le cadre de certaines missions exercées par les forces de l’ordre ou la lutte contre le terrorisme. Ces catégories d’exemptions, rattachées au pouvoir régalien de l’État et à la sécurité publique, sont fréquentes et posent principalement la question du régime juridique de leur autorisation, selon que celle-ci soit administrative, ce qu’invoquent généralement les États, ou judiciaire, ce qu’invoquent massivement les citoyens et les ONG. Les deux voies offrent de solides moyens de faire valoir ses droits et d’encadrer un régime d’exemption mais ne suivent pas une même direction en matière de responsabilité, contrôle ou sanction puisque leurs procédures et leviers sont différents en matière de contentieux, de la plainte à la saisine en passant par les recours. En tout cas, dans l’IA Act, ces autorisations devront répondre à des conditions strictes et elles seront limitées dans le temps.
2. les IA présentant un système « à haut risque » utilisés dans des domaines sensibles (emploi, éducation, maintien de l’ordre, services de santé, de la justice) devront prendre des mesures renforcées relevant de la vigilance et de l’information, comme celles de prévoir un contrôle humain sur la machine et produire des notices techniques de leurs applications. Selon leur secteur d’activité, certaines devront également réaliser une analyse d’impact obligatoire sur le respect des droits fondamentaux, préalablement à leur mise sur le marché. Cette mesure s’étend au secteur bancaire et à celui des assurances notamment. De plus :
- Les systèmes d’IA utilisés dans la sphère publique devront s’enregistrer dans une base de données de l’UE,
- Les citoyens pourront déposer des plaintes concernant les systèmes d’IA et recevoir des informations sur les systèmes à « haut risque » qui auront une incidence sur leurs droits.
3. Les IA présentant un risque spécifique (robots conversationnels et les systèmes de synthèses multimédias « deepfakes » par exemple) devront garantir la transparence de leurs algorithmes mais aussi permettre aux consommateurs bénéficiaires du service d’identifier l’utilisation d’une IA lors de la diffusion d’images, de sons ou de textes.
4. Les IA à risque minimal, qui représentent la majorité des systèmes de l’IA (systèmes de recommandation ou anti-spam par exemple), sont reconnus dans l’IA Act comme n’ayant aucune incidence sur les droits et la sécurité des citoyens ou des consommateurs. Elles ne seront donc soumises à aucune obligation spécifique au titre de ce règlement. La Commission précise simplement que « sur base volontaire, elles pourront s’engager à respecter des codes de conduite ».
5. Les IA génératives, se devront d’appliquer des règles pour s’assurer que la qualité des bases de données réponde aux dispositions en vigueur dans le RGPD et garantisse la transparence des algorithmes, via la mise à jour d’une documentation technique permettant de vérifier que ces IA ne portent pas atteinte aux droits et protections en vigueur, notamment des droits d’auteur.
Les IA génératives devront également mettre à jour des dispositifs permettant de diffuser des résumés détaillés du contenu utilisé pour les données d’entraînement : cette obligation est une excellente nouvelle qui conforte l’application de l’article 4§3 de la directive droit d’auteur de 2019, qui prévoit que les ayants droit ont la possibilité d’indiquer aux applications qui collectent des données qu’ils ne souhaitent pas que leurs œuvres soient utilisées. Ce droit de véto a déjà été exercé en France par des organisations professionnelles qui s’opposaient à la collecte et à l’exploitation de masse de leurs données pour alimenter une IA générative.
L’obligation de transparence est celle que réclamait depuis de très longs mois l’ensemble du secteur culturel. Elle est en effet une condition essentielle à la connaissance et compréhension par les titulaires de droits et propriétaires de données des nouveaux projets et développements liés à l’IA générative et à ses algorithmes : sans transparence, il leur serait impossible d’évaluer les risques ou l’intérêt de participer ou contribuer à ces nouveaux projets ou, à l’inverse, d’anticiper les risques ou menaces qui nécessiteront (et justifieront) l’exercice de leur droit de véto. La transparence est ainsi le corolaire précieux d’une capacité de choisir et d’agir en connaissance de cause, qui permettra notamment aux titulaires de droits d’exercer un certain contrôle sur la destination, l’utilisation ou l’exploitation de leurs données – lesquelles, jusqu’ici, avaient plutôt tendance à être pillé dans le plus grand secret, au nom de la préservation de l’innovation…
Ce retour à un équilibre entre contrôle et protection d’une part et innovation et création d’autre part est donc prometteur à plus d’un titre, même s’il dépendra pour beaucoup de la bonne volonté de toutes les parties prenantes et de l’esprit de coopération qui les animera pour veiller au respect de cette obligation de transparence des algorithmes, alors que le potentiel de développement de l’IA semble aussi illimité et prometteur qu’il est encore inconnu et incontrôlable.
L’Institut IDFrights sera particulièrement vigilant sur l’application et le respect des obligations de transparence et de l’information aux citoyens et consommateurs qui doit en découler. L’Institut entend également être force de proposition pour accompagner les titulaires de droits et les développeurs de projets d’IA générative et, au-delà, tous ceux qui voient dans la transparence des algorithmes un enjeu qui dépasse ce seul cas d’espèce – on voit par exemple l’importance de cet enjeu dans les travaux sur la proposition de directive sur les travailleurs des plateformes. L’Institut IDFrights a engagé des premiers travaux sur un protocole et une méthodologie à suivre pour permettre aux parties-prenantes de construire ensemble des solutions suffisamment partagées pour devenir robustes et éloigner de l’IA le spectre des débuts catastrophiques du développement des applications du net, comme les moteurs de recherche par exemple, qui ont fait autant de mal aux titulaires de droits qu’aux utilisateurs de ces services et à leur perception du numérique, entre piratage et flicage par exemple, tandis que commençait une longue et pénible période de litiges, contentieux et polémiques. Au final, beaucoup d’énergie et de temps consacrés à de la destruction de valeur quand il aurait été possible, dès les commencements du Web 2.0., de poser des jalons pour partager intelligemment cette valeur et la faire croître de manière exponentielle au lieu de la vandaliser !
Nous sommes convaincus que les droits fondamentaux offrent le socle inébranlable sur lequel le numérique doit continuer à croître et à révolutionner ce que l’on connait, comme c’est aujourd’hui le cas avec l’IA. Il n’est aucune situation que les droits fondamentaux ne permettent d’aborder pour la rendre intelligible et aucun problème – qu’il s’agisse de risques, menaces, inquiétudes ou faits graves – qu’ils ne permettent de résoudre dans l’intérêt général, le seul qui compte, celui qui protège l’environnement et l’humain. C’est pour cela que ces droits fondamentaux sont à l’épreuve du temps et des technologies et que l’Institut a décidé de se consacrer à les penser à l’ère numérique, en les étudiant, analysant et réinterprétant dans ses opinions et propositions, pour qu’ils s’appliquent au numérique avec la même force et vigueur qu’ailleurs, autour du sens et des valeurs qui en ont fait des points cardinaux de nos sociétés.
Une vraie interrogation subsiste quand même par rapport à l’avancée que nous saluons en matière d’obligation de transparence des IA génératives: de l’avis de l’Institut iDFrights, cette catégorie d’IA sera soumise à une approche à deux vitesses, puisque les IA génératives en « open source » bénéficieront d’une exception à l’obligation de transparence à moins qu’elles soient considérées comme systémiques ou qu’elles commercialisent un système identifié comme à «haut risque ». C’était une demande, voir une exigence à minima, de plusieurs États membres, dont la France (où Mistral AI par exemple développe ses projets en « open source ») et l’Allemagne.
L’exception qui en découle est présentée comme un soutien indispensable aux jeunes pousses européennes pour ne pas freiner leur essor face aux big techs et aux géants de l’Industrie (essentiellement américains et chinois), qui contrôlent aujourd’hui les parts les plus importantes de ce marché.
C’est une noble motivation et une raison parfaitement compréhensible mais cette exemption ainsi formulée fera perdre au texte un peu de son intérêt, un développement en « open source » pouvant contribuer à la recherche d’un équilibre entre protection et innovation, tout autant qu’il pourrait au contraire le perturber, selon la manière dont l’exception sera appliquée, respectée, évaluée, contrôlée et, le cas échéant, sanctionnée.
Reprendre d’une main, ce que l’on donne de l’autre enlèvera au règlement une partie de sa portée et de son efficacité, à travers un traitement parfaitement inégal entre deux systèmes d’IA générative, au risque éventuel de mettre en porte à faux des projets open source sur la transparence des algorithmes. Cette différence de traitement pourrait également s’avérer très préjudiciable à l’ensemble des secteurs concernés par la propriété intellectuelle.
Rien n’est officiel encore concernant la portée de cette exemption mais il faudra suivre avec une très grande attention ce que comportera précisément le règlement car ce serait un non-sens absolu que les obligations de transparence des données d’entraînement et les dispositions de la directive droit d’auteur concernant « l’opt out » ne s’appliquent pas aux IA « open source ». Ce serait alors un camouflet, notamment pour le secteur de la culture, qui verrait ses droits considérablement amputés.
Notons que l’accord prévoit la création d’un Office européen de l’IA, chargé de superviser la mise en œuvre du texte et de faire appliquer les règles communes dans tous les Etats membres. Il ne devrait pas être opérationnel avant 2025, ce qui laisse planer un doute sur son rôle et son utilité, tant l’innovation dans ces nouvelles technologies progresse de façon exponentielle.
Enfin, l’accord reprend le principe de sanctions en cas d’infraction au futur règlement, l’objectif étant ici clairement dissuasif puisque si des entreprises ne respectent pas les obligations prévues par le règlement, elles’exposeront à des condamnations assorties d’amendes pouvant aller jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires mondial annuel. En cas de violation des dispositions qui interdisent explicitement certaines applications d’IA, le régime de sanction est logiquement plus sévère, l’amende pouvant monter jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires mondial annuel.
L’annonce de l’accord, rapidement qualifié d’historique, a tout aussi rapidement drainé les premiers flots de critiques, principalement dirigées contre le principe même de la recherche d’un compromis, reprochant aux colégislateurs européens d’avoir poussé à l’adoption d’un compromis au détriment de sa qualité. Les autres principales réactions hostiles à l’accord considèrent qu’il est trop contraignant pour un écosystème d’entreprises et startups souvent nées de récents travaux de R&D et qui sont les moteurs de l’innovation et de la croissance d’un secteur qui n’est pas mature. Cette inquiétude sur la compétitivité d’entreprises engagées dans la course mondiale du développement de l’IA rejoint celles sur l’attractivité d’un modèle européen de développement de l’IA qui, comme souvent, privilégie la croissance règlementaire à la croissance du marché à règlementer.
Un grand nombre de points de l’accord provisoire restent encore à rédiger dans le détail et parfois même à clarifier. Le 15 décembre dernier, les ambassadeurs des États membres, réunis en vue de l’examen du texte, n’ont pas approuvé l’accord provisoire, puisqu’un nombre suffisant d’États membres, dont la France, formant une minorité de blocage, ont refusé de se prononcer – dans l’attente de la publication du texte consolidé et vérifié dans la langue de leur pays.
Des réunions techniques seront donc nécessaires et auront lieu dans les deux prochains mois, d’abord pour s’accorder sur le texte des considérants du règlement, qui n’ont pas été (ou très peu) abordés dans le cadre des discussions. La rédaction de ces considérants n’est pas à négliger car ils contiennent les motivations des articles et permettent de les expliciter.
Les réunions auront ensuite pour objectif de permettre aux États membres de finaliser le texte, autant pour vérifier sa cohérence d’ensemble que la concordance des différentes versions linguistiques ou la justesse des mots, en particulier le vocabulaire juridique et les faits ou situations auxquels il est appliqué.
Il semble vraisemblable que le vote final au niveau du Parlement européen et du Conseil puisse avoir lieu dans le courant du mois d’Avril 2024. C’est à partir de ce moment qu’il sera possible de faire une analyse complète et fiable du texte et de ses conséquences.
Les dispositions concernant les interdictions entreront en vigueur six mois après la parution du règlement au Journal Officiel de l’Union Européenne. Les règles relatives aux modèles de fondations et aux organismes d’évaluation de conformités seront mises en œuvre 6 mois plus tard et il faudra attendre encore un an pour une application complète du règlement.
Jean-Marie Cavada
Président iDFrights
Thomas Kieffer
Vice-président iDFrights
Colette Bouckaert
Secrétaire Générale iDFrights
