CE QUE VOUS ALLEZ APPRENDRE DANS CET ARTICLE
L’Union européenne souhaite encadrer le développement de l’intelligence artificielle, tout en favorisant l’innovation technologique.
L’UE met en place les conditions pour que les données, moteurs de l’intelligence artificielle, circulent plus facilement dans l’UE et puissent être réutilisées sans porter atteinte à la vie privée des Européens.
Un règlement en cours d’adoption prévoit aussi de classer les systèmes d’IA selon les risques qu’ils font porter aux droits fondamentaux, de “minime” à “inacceptable”. Avec plus ou moins de contraintes, voire un bannissement pour les technologies les plus controversées considérées comme “inacceptables” (notation sociale, reconnaissance biométrique à distance en temps réel…).
Une intelligence artificielle qui bat un pilote humain lors d’une course de drones en Suisse, un programme informatique qui remporte un tournoi de mots croisés aux Etats-Unis ou encore un robot champion de poker… Depuis quelques années, les exploits de l’intelligence artificielle se multiplient. Le lancement en novembre 2022 du logiciel de conversation ChatGPT, capable de générer des textes à la demande, semble avoir accéléré le phénomène.
Au-delà de ces quelques exemples, l’IA prend une place de plus en plus importante dans l’économie et les sociétés. Mais ses applications diverses, balbutiantes ou bien installées dans des secteurs d’activités variés, rendent sa régulation difficile au regard des enjeux industriels et éthiques qui l’accompagnent.
Dans sa proposition de règlement d’avril 2021, la Commission européenne a choisi une définition large de l’intelligence artificielle. Elle qualifie de “système d’intelligence artificielle” un logiciel “développé au moyen d’une ou plusieurs des techniques et approches” telles que “l’apprentissage automatique” et “qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit”.
Le 13 mars 2024, les députés européens ont adopté ce règlement destiné à réguler l’IA, validant ainsi l’accord trouvé en décembre 2023 avec les Etats membres. L’enjeu central de la stratégie européenne en la matière pourrait être résumé ainsi : développer l’intelligence artificielle, ainsi que ses potentialités sociales et économiques, tout en encadrant les risques qu’elle fait peser sur les droits fondamentaux des êtres humains.
A côté des utilisations ludiques de l’IA, des pratiques plus controversées se sont en effet développées : reconnaissance biométrique de masse, développement des vidéos deepfake, notation des citoyens selon leurs comportements en Chine, ou encore traitement à grande échelle des données personnelles par les multinationales américaines du numérique, dans un but commercial ou politique.
Face aux modèles des deux autres grandes puissances mondiales, dans quelle mesure l’Europe peut-elle creuser son propre sillon en matière d’intelligence artificielle ?
Favoriser le développement de l’IA en Europe
Devant le constat d’un certain retard par rapport aux Américains et aux Chinois en matière d’intelligence artificielle, une des priorités des autorités européennes est de créer un marché unique des données. Celles-ci sont au cœur de l’IA : elles permettent à un programme informatique d’apprendre à discerner des images, des sons ou des comportements. Un bien rentable, qui explique en partie pourquoi nos données personnelles et l’activité en ligne des internautes sont devenues une marchandise dans les modèles économiques des géants du numérique.
Le 19 février 2020, la Commission européenne a publié une stratégie dédiée, dans laquelle l’ambition est clairement affichée : “l’objectif est de créer un espace européen unique des données, un véritable marché unique des données”. Celles-ci doivent ainsi mieux circuler entre les différents pays et secteurs d’activités de l’UE, tout en respectant les règles européennes de concurrence et de protection de la vie privée.
La construction de ce marché unique avait déjà commencé avec le Règlement général sur la protection des données (RGPD) de 2016, qui encadre l’utilisation des données personnelles, en conférant notamment aux utilisateurs un droit à l’information, à la portabilité ou à l’oubli de leurs données. Moins connu, un règlement de 2018 avait par ailleurs aboli les restrictions de circulation des données à caractère non personnel, c’est-à-dire celles qui ne portent pas sur des individus en particulier. C’est par exemple le cas des informations sur l’utilisation de l’eau ou des pesticides dans l’agriculture. Une directive de 2019 assure également la libre réutilisation et la libre consultation des données ouvertes des organismes publics des Etats membres, notamment celles relatives à l’observation de la terre et de l’environnement, aux statistiques ou encore aux mobilités.
Plus récemment, la loi européenne sur la gouvernance des données – ou Data Governance Act – est allée plus loin. Pleinement applicable depuis septembre 2023, elle définit les règles et les mécanismes permettant de réutiliser certaines données publiques ou détenues par le secteur public mais qui sont protégées, comme celles relevant de la propriété intellectuelle.
Des dispositions y sont également prévues afin de faciliter le traitement d’informations personnelles, recueillies avec le consentement des individus concernés, à des fins non commerciales, pour la recherche médicale, la lutte contre le changement climatique ou l’amélioration des services publics par exemple. C’est ce qui est appelé “l’altruisme des données”.
Toujours sur le plan réglementaire, la Commission a présenté dans sa proposition de règlement d’avril 2021 un cadre juridique pour les “bacs à sable réglementaires” en matière d’intelligence artificielle. Ces dispositifs permettent aux entreprises de tester ponctuellement leurs technologies sans avoir à respecter l’intégralité de la législation, au sujet notamment des données personnelles. Les autorités désignées par les Etats membres seraient alors chargées de surveiller ces initiatives, dont les données personnelles qu’elles utilisent et qui ne doivent pas être transmises ou utilisées par des tiers.
L’UE compte également investir. L’objectif affiché dans le plan d’avril 2021 sur l’intelligence artificielle est “d’augmenter progressivement les investissements publics et privés dans l’IA pour atteindre un total de 20 milliards d’euros par an” en Europe. Une utilisation efficace des données implique ainsi de financer à la fois des infrastructures, notamment de collecte puis de traitement des data, ainsi que l’accroissement des compétences numériques des Européens.
Les programmes de financement de l’UE sont donc mobilisés : la Commission a proposé qu’au moins 1 milliard d’euros issus des dispositifs Digital Europe et Horizon Europe soient consacrés chaque année à des projets d’intelligence artificielle. Sans compter le plan de relance européen, dont les déclinaisons nationales doivent contribuer pour 20 % à la transition numérique des Etats membres. L’UE a déjà financé plusieurs initiatives comme Fabulos, qui teste des mini-bus autonomes dans plusieurs villes, ou Nevermind, une chemise connectée à un smartphone qui promet aux personnes atteintes de dépression de prévenir une rechute en analysant leurs modes de vie.
Une communication intitulée “L’intelligence artificielle pour l’Europe” avait été publiée en avril 2018. La proposition de règlement d’avril 2021 s’appuie sur des travaux préparatoires menés avec un groupe d’experts sur l’IA, composé de 52 membres, qui a fait connaître ses lignes directrices au printemps 2019. Au début de l’année 2020, la Commission avait également dévoilé son Livre blanc pour une approche européenne en matière d’IA basée sur “l’excellence et la confiance”.
Nouveau règlement sur l’IA : une approche par les risques
L’Union européenne considère donc que les nouvelles technologies liées à l’IA sont une chance et qu’elles sont porteuses de nombreux bénéfices sociaux et économiques, en particulier dans des secteurs tels que l’agriculture, les mobilités et la santé. Toutefois, elle part également du principe que l’IA peut porter atteinte aux droits fondamentaux des citoyens comme le droit à la dignité humaine, le respect de la vie privée et le principe de non-discrimination. C’est pourquoi elle a fait le choix d’une approche par les risques pour une intelligence artificielle “digne de confiance”. Dans l’accord de décembre 2023 entre eurodéputés et Etats membres sur le nouveau règlement sur l’intelligence artificielle, plusieurs catégories sont distinguées.
- Risque inacceptable : une interdiction s’applique pour les pratiques qui exploitent la vulnérabilité des enfants ou des personnes en situation de handicap, comme un jouet qui inciterait un bébé à avoir un comportement susceptible de le blesser. C’est également le cas de la notation sociale, ce principe d’attribuer une note aux “bons citoyens” ou aux “bons clients”, leur permettant d’accéder à des avantages sociaux. Entre aussi dans cette catégorie l’utilisation de systèmes d’identification biométrique à distance en temps réel, tels que des caméras à reconnaissance faciale directement connectées à des bases de données. Cette dernière entend toutefois plusieurs exceptions, comme la recherche d’un enfant disparu et la localisation d’un auteur ou d’un suspect dans des affaires de terrorisme, de trafic des êtres humains ou encore de pédopornographie.
- Risque élevé : des règles de traçabilité, de transparence et de robustesse s’appliquent lorsqu’un préjudice pour la sécurité ou les droits des personnes est possible. Cela concerne l’identification biométrique, la gestion des infrastructures critiques (eau, électricité…), les systèmes d’IA destinés à l’affectation dans les établissements d’enseignement ou pour la gestion des ressources humaines, les applications de l’IA pour l’accès aux services essentiels (crédits bancaires, services publics, prestations sociales, justice…), son utilisation pour les missions de police ainsi que la gestion des migrations et des contrôles aux frontières.
- Risque faible : lorsque les risques sont limités, le règlement oblige à une certaine transparence de la part du fournisseur. Par exemple, si les usagers utilisent un chatbot en ligne, ils doivent être tenus au courant qu’ils s’adressent à un robot.
- Risque minimal : toutes les utilisations qui ne présentent pas de risque pour les droits des citoyens selon l’UE, comme les filtres anti-spams dans les courriels, ne font pas l’objet d’un encadrement spécifique.
Les systèmes à risque élevé sont les plus concernés par ce nouveau règlement. Des normes de qualité et de sécurité s’appliqueront, telles que la traçabilité de l’utilisation de la technologie, la transparence vis-à-vis des utilisateurs, ainsi que la nécessité d’un contrôle humain. Ils doivent par ailleurs “atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité”. Des contrôles ex ante et ex post sont également prévus. Le fournisseur devra enregistrer officiellement son système d’intelligence artificielle dans une base de données de l’UE après une évaluation de sa conformité aux exigences décrites ici.
Une catégorie spécifique concerne les “modèles d’IA à usage général”, ces systèmes entraînés avec une grande quantité de données et capables d’effectuer un large éventail de tâches, comme ChatGPT. Tous les fournisseurs de ces modèles doivent notamment mettre à disposition une documentation technique et des instructions d’utilisation, se conformer à la directive sur les droits d’auteur et publier un résumé du contenu utilisé pour l’entraînement de leurs algorithmes.
Concernant les applications comportant un risque faible ou minimal d’atteinte aux droits fondamentaux, les fournisseurs sont encouragés à appliquer, sur la base du volontariat, des codes de conduite facultatifs. La Commission prévoit la création d’un Comité européen de l’intelligence artificielle afin de coordonner toutes ces mesures. Il sera composé d’un représentant par Etat membre.
Les sanctions pourront aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires en cas de non-respect des règles relatives aux pratiques prohibées. L’amende sera moins salée concernant les plus petites infractions, avec une sanction jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires.
Le règlement s’appuie sur l’article 114 du TFUE concernant les mesures destinées à renforcer le marché intérieur européen. La Commission fonde également ces dispositions en droit sur l’article 16 du TFUE qui dispose que “toute personne a droit à la protection des données à caractère personnel la concernant”.
Parlement européen, Etats, entreprises… la recherche de l’équilibre
Le règlement sur l’IA a fait l’objet de longues négociations. Avant de discuter avec les Etats membres, le Parlement européen avait adopté sa position concernant le règlement sur l’IA le 14 juin 2023. En mai, les eurodéputés des commissions des Libertés civiles et du Marché intérieur avaient déjà voté des amendements afin d’enrichir le règlement… et le durcir.
Ceux-ci avaient élargi la liste des technologies entrant dans la catégorie des “risques inacceptables”, afin de bannir de l’UE une utilisation “intrusive et discriminatoire de l’IA”. Cela comprend notamment les systèmes de police prédictifs fondés sur le profilage, la localisation ou les antécédents judiciaires, les systèmes de reconnaissance des émotions (dans les domaines de la justice, des frontières, sur le lieu de travail et dans l’enseignement), ou encore la reconnaissance biométrique à distance en temps réel dans l’espace public.
Les élus ont par ailleurs ajouté à la liste des technologies à risque élevé celles utilisées pour influencer les électeurs lors de campagnes politiques. Tout comme les systèmes de recommandations des réseaux sociaux, afin de compléter le Digital Services Act (DSA) déjà entré en application. “Alors que les grandes entreprises technologiques tirent la sonnette d’alarme au sujet de leurs propres créations, l’Europe est allée de l’avant et a proposé une réponse concrète aux risques que l’IA commence à poser”, déclarait à l’issue du vote le rapporteur italien Brando Benifei (S&D).
Les Etats membres, réunis au Conseil, avaient quant à eux adopté leur position le 6 décembre 2022. Les ministres avaient restreint la définition de l’IA “à des systèmes développés au moyen d’apprentissage automatique et d’approches fondées sur la logique et les connaissances”. Le Conseil a aussi étendu aux acteurs privés l’interdiction d’utiliser l’IA à des fins de notation sociale, là où la Commission l’appliquait aux seules autorités publiques.
Plusieurs associations et ONG, dont Amnesty international, avaient appelé les législateurs à interdire complètement le recours à la “reconnaissance faciale et à la reconnaissance biométrique à distance permettant une surveillance de masse”. Un sujet sur lequel Etats membres et députés européens n’étaient pas d’accord : ces derniers souhaitaient bannir les technologies utilisant la reconnaissance en temps réel, là où le Conseil invoquait la lutte contre le terrorisme pour introduire des exceptions dans cette interdiction. Ces exceptions sont finalement présentes dans la version finale de l’accord. Par ailleurs, le règlement ne s’appliquera pas à l’IA utilisée “exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités”.
Après la publication de la proposition de règlement en 2021, certains organismes du secteur de la tech avaient critiqué le document, soulignant un mauvais équilibre entre, d’un côté, la régulation des pratiques risquées et, de l’autre, l’encouragement à l’innovation. D’aucuns pointaient du doigt en particulier les coûts de mise en conformité, potentiellement élevés pour les entreprises, concernant les systèmes d’intelligence artificielle considérés comme à haut risque. Certains Etats membres sont vigilants sur la question. La France comme l’Allemagne ne souhaitent pas tuer dans l’œuf les espoirs de leurs champions nationaux en devenir. La première abrite par exemple la start-up Mistral AI, tandis que la seconde a vu naître le traducteur automatique DeepL.
Règlement européen sur l’intelligence artificielle : prochaines étapes
Début février, les Etats membres ont validé l’accord trouvé avec les eurodéputés en décembre 2023, puis ces derniers l’ont adopté en session plénière le 13 mars. Le règlement, qui doit faire l’objet d’une vérification finale par un juriste-linguiste, devrait être formellement adopté avant la fin de la législature (2019-2024), selon les services du Parlement européen.
Il entrera en vigueur 20 jours après sa publication au Journal officiel de l’Union européenne. Six mois après, les systèmes d’IA concernés seront interdits puis les autres mesures entreront progressivement en application.
