Les règles de l’Union européenne en matière d’intelligence artificielle basées sur les risques – alias la loi européenne sur l’IA – sont en préparation depuis des années. Mais attendez-vous à en savoir beaucoup plus sur la réglementation dans les mois (et les années) à venir, à mesure que les principales échéances de conformité entrent en vigueur. En attendant, lisez la suite pour un aperçu de la loi et de ses objectifs.
Qu’est-ce que l’UE essaie d’accomplir ? Revenons en avril 2021, lorsque la Commission a publié la proposition originale et que les législateurs l’ont présentée comme une loi visant à renforcer la capacité de l’UE à innover dans le domaine de l’IA en favorisant la confiance entre les citoyens. Le cadre garantirait que les technologies d’IA restent « centrées sur l’humain » tout en donnant aux entreprises des règles claires pour faire fonctionner leur magie d’apprentissage automatique, a suggéré l’UE.
L’adoption croissante de l’automatisation dans l’industrie et la société a certainement le potentiel d’augmenter la productivité dans divers domaines. Mais elle présente également des risques de préjudices à grande échelle si les résultats sont médiocres et/ou lorsque l’IA recoupe les droits individuels et ne les respecte pas.
L’objectif de l’UE pour la loi sur l’IA est donc de stimuler l’adoption de l’IA et de développer un écosystème local d’IA en établissant des conditions destinées à réduire les risques que les choses puissent mal tourner. Les législateurs pensent que la mise en place de garde-fous renforcera la confiance des citoyens dans l’IA et son adoption.
Cette idée de promotion de l’écosystème par la confiance était assez peu controversée au début de la décennie, lorsque la loi était discutée et rédigée. Cependant, des objections ont été soulevées dans certains milieux, affirmant qu’il était tout simplement trop tôt pour réglementer l’IA et que l’innovation et la compétitivité européennes pourraient en souffrir.
Peu de gens dis-les qu’il est trop tôt maintenant, bien sûr, étant donné que la technologie a explosé dans la conscience du grand public grâce à l’essor des outils d’IA générative. Mais il y a encore des objections selon lesquelles la loi réduit les perspectives des entrepreneurs locaux de l’IA, malgré l’inclusion de mesures de soutien telles que des bacs à sable réglementaires.
Malgré cela, le grand débat pour de nombreux législateurs est maintenant autour comment pour réglementer l’IA, et avec la loi sur l’IA, l’UE a fixé son cap. Au cours des prochaines années, le bloc mettra en œuvre le plan.
Qu’exige la loi sur l’IA ?
La plupart des utilisations de l’IA sont non réglementés par la loi sur l’IA, car ils ne relèvent pas du champ d’application des règles fondées sur les risques. (Il convient également de noter que les utilisations militaires de l’IA sont totalement hors de portée, car la Sécurité nationale est une compétence juridique de l’État membre, plutôt qu’au niveau de l’UE.)
Pour les utilisations de l’IA dans le champ d’application, l’approche fondée sur le risque de la Loi établit une hiérarchie où une poignée de cas d’utilisation potentiels (p. ex., « techniques subliminales, manipulatrices et trompeuses nuisibles » ou « notation sociale inacceptable ») sont présentés comme comportant un « risque inacceptable » et sont donc interdits. Cependant, la liste des utilisations interdites regorge d’exceptions, ce qui signifie que même le petit nombre d’interdictions de la loi comporte de nombreuses mises en garde.
Par exemple, l’interdiction faite aux forces de l’ordre d’utiliser l’identification biométrique à distance en temps réel dans les espaces accessibles au public n’est pas l’interdiction générale que certains parlementaires et de nombreux groupes de la société civile avaient préconisée, à l’exception de son utilisation pour certains crimes.
Le niveau suivant en termes de risque inacceptable/d’utilisation interdite est celui des cas d’utilisation « à haut risque », tels que les applications d’IA utilisées pour les infrastructures critiques ; l’application de la loi ; l’éducation et la formation professionnelle ; Santé; et plus encore, où les fabricants d’applications doivent effectuer des évaluations de conformité avant le déploiement sur le marché, et de manière continue (par exemple lorsqu’ils apportent des mises à jour substantielles aux modèles).
Cela signifie que le développeur doit être en mesure de démontrer qu’il répond aux exigences de la loi dans des domaines tels que la qualité des données, la documentation et la traçabilité, la transparence, la surveillance humaine, l’exactitude, la cybersécurité et la robustesse. Ils doivent mettre en place des systèmes de gestion de la qualité et des risques afin de pouvoir démontrer leur conformité si une autorité chargée de l’application de la loi vient frapper à la porte pour effectuer un audit.
Les systèmes à haut risque déployés par des organismes publics doivent également être enregistrés dans une base de données publique de l’UE.
Il existe également une troisième catégorie, « à risque moyen », qui applique des obligations de transparence aux systèmes d’IA, tels que les chatbots ou d’autres outils pouvant être utilisés pour produire des médias de synthèse. Ici, le problème est qu’ils pourraient être utilisés pour manipuler les gens, de sorte que ce type de technologie exige que les utilisateurs soient informés qu’ils interagissent avec ou regardent du contenu produit par l’IA.
Toutes les autres utilisations de l’IA sont automatiquement considérées comme présentant un risque faible/minimal et ne sont pas réglementées. Cela signifie, par exemple, que l’utilisation de l’IA pour trier et recommander du contenu de médias sociaux ou de la publicité ciblée n’a aucune obligation en vertu de ces règles. Mais le bloc encourage tous les développeurs d’IA à Suivre volontairement les meilleures pratiques pour renforcer la confiance des utilisateurs.
Cet ensemble de règles à plusieurs niveaux basées sur les risques constitue l’essentiel de la loi sur l’IA. Mais il existe également des exigences spécifiques pour les modèles à multiples facettes qui sous-tendent les technologies d’IA générative – que la loi sur l’IA qualifie de modèles d’« IA à usage général » (ou GPAI).
Ce sous-ensemble de technologies d’IA, que l’industrie appelle parfois « modèles fondamentaux », se trouve généralement en amont de nombreuses applications qui mettent en œuvre l’intelligence artificielle. Les développeurs exploitent les API des GPAI pour déployer les capacités de ces modèles dans leurs propres logiciels, souvent adaptés à un cas d’utilisation spécifique afin d’ajouter de la valeur. Tout cela pour dire que les GPAI ont rapidement acquis une position puissante sur le marché, avec le potentiel d’influencer les résultats de l’IA à grande échelle.
GenAI est entré dans le chat …
L’essor de GenAI a remodelé plus que le débat autour de la loi européenne sur l’IA ; cela a conduit à des modifications du règlement lui-même, car le long processus législatif du bloc a coïncidé avec le battage médiatique autour des outils GenAI comme ChatGPT. Les législateurs du Parlement européen ont saisi l’occasion de répondre.
Les députés ont proposé d’ajouter des règles supplémentaires pour les PMIA, c’est-à-dire les modèles qui sous-tendent les outils GenAI. Ceux-ci, à leur tour, ont attiré l’attention de l’industrie technologique sur ce que l’UE faisait de la loi, ce qui a conduit à un lobbying féroce en faveur d’une exception pour les IAM.
La société française d’IA Mistral a été l’une des voix les plus fortes, affirmant que les règles sur les fabricants de modèles freineraient la capacité de l’Europe à rivaliser avec les géants de l’IA des États-Unis et de la Chine. Sam Altman, d’OpenAI, est également intervenu, suggérant, dans une remarque aux journalistes, qu’il pourrait retirer sa technologie de l’Europe si les lois s’avéraient trop onéreuses, avant de retomber précipitamment dans le traditionnel lobbying des puissances régionales après que l’UE l’ait interpellé sur cette menace maladroite.
Le fait qu’Altman ait suivi un cours accéléré sur la diplomatie européenne a été l’un des effets secondaires les plus visibles de la loi sur l’IA.
Le résultat de tout ce bruit a été une manœuvre acharnée pour que le processus législatif soit terminé. Il a fallu des mois et une session finale de négociation marathon entre le Parlement européen, le Conseil et la Commission pour faire avancer le dossier l’année dernière. L’accord politique a été conclu en décembre 2023, ouvrant la voie à l’adoption du texte final en mai 2024.
L’UE a claironné que la loi sur l’IA était une « première mondiale ». Mais être le premier dans ce contexte technologique de pointe signifie qu’il reste encore beaucoup de détails à régler, comme l’établissement des normes spécifiques auxquelles la loi s’appliquera et la production de directives de conformité détaillées (codes de pratique) afin que le régime de surveillance et de construction d’écosystèmes que la loi envisage de fonctionner.
Ainsi, en ce qui concerne l’évaluation de son succès, la loi reste un travail en cours – et le sera pendant longtemps.
Pour les IAM, la loi sur l’IA poursuit l’approche basée sur les risques, avec des exigences (seulement) allégées pour la plupart de ces modèles.
Pour les IAM commerciaux, cela signifie des règles de transparence (y compris des exigences en matière de documentation technique et des divulgations concernant l’utilisation de matériel protégé par le droit d’auteur utilisé pour entraîner des modèles). Ces dispositions visent à aider les développeurs en aval à se conformer à la loi sur l’IA.
Il existe également un deuxième niveau – pour les IAM les plus puissantes (et potentiellement risquées) – où la loi impose des obligations aux fabricants de modèles en exigeant une évaluation proactive des risques et une atténuation des risques pour les IAM présentant un « risque systémique ».
À cet égard, l’UE s’inquiète des modèles d’IA très puissants qui pourraient présenter des risques pour la vie humaine, par exemple, ou même des risques que les fabricants de technologies perdent le contrôle du développement continu d’IA qui s’auto-améliorent.
Les législateurs ont choisi de s’appuyer sur le seuil de calcul pour l’entraînement du modèle en tant que classificateur pour ce niveau de risque systémique. Les GPAI entreront dans cette fourchette en fonction de la quantité cumulée de calcul utilisée pour leur entraînement mesurée en opérations en virgule flottante (FLOP) supérieure à 1025.
Jusqu’à présent, on pense qu’aucun modèle n’est dans le champ d’application, mais bien sûr, cela pourrait changer à mesure que GenAI continue de se développer.
Les experts en sécurité de l’IA impliqués dans la surveillance de la loi sur l’IA disposent également d’une certaine marge de manœuvre pour signaler les préoccupations concernant les risques systémiques qui peuvent survenir ailleurs. (Pour en savoir plus sur la structure de gouvernance que le bloc a conçue pour la loi sur l’IA – y compris les différents rôles du Bureau de l’IA – voir notre rapport précédent.)
Le lobbying de Mistral et al. a abouti à un assouplissement des règles pour les GPAI, avec des exigences plus légères pour les fournisseurs d’open source par exemple (chanceux Mistral !). La R&D a également fait l’objet d’une exception, ce qui signifie que les IAM qui n’ont pas encore été commercialisées échappent entièrement au champ d’application de la loi, sans même que des exigences de transparence ne s’appliquent.
Une longue marche vers la conformité
La loi sur l’IA est officiellement entrée en vigueur dans l’ensemble de l’UE le 1er août 2024. Cette date a essentiellement donné le coup d’envoi, car les dates limites pour se conformer aux différents composants devraient tomber à des intervalles différents du début de l’année prochaine jusqu’au milieu de 2027 environ.
Certains des principaux délais de mise en conformité sont de six mois à compter de l’entrée en vigueur, lorsque les règles sur les cas d’utilisation interdite entrent en vigueur ; neuf mois après le début de l’application des codes de pratiques ; 12 mois pour les exigences de transparence et de gouvernance ; 24 mois pour d’autres exigences en matière d’IA, y compris des obligations pour certains systèmes à haut risque ; et 36 mois pour les autres systèmes à haut risque.
Cette approche échelonnée des dispositions juridiques s’explique en partie par le fait de donner aux entreprises suffisamment de temps pour mettre de l’ordre dans leurs activités. Mais plus encore, il est clair que les régulateurs ont besoin de temps pour déterminer à quoi ressemble la conformité dans ce contexte de pointe.
Au moment de la rédaction de cet article, le bloc est occupé à formuler des orientations pour divers aspects de la loi avant ces échéances, telles que des codes de pratique pour les fabricants d’IAM. L’UE mène également des consultations sur la définition des « systèmes d’IA » dans la loi (c’est-à-dire quels logiciels seront concernés ou non) et sur les clarifications liées aux utilisations interdites de l’IA.
L’image complète de ce que la loi sur l’IA signifiera pour les entreprises concernées est encore en cours d’ombrage et d’étoffement. Mais les détails clés devraient être verrouillés dans les mois à venir et au cours du premier semestre de l’année prochaine.
Une autre chose à considérer : en raison du rythme de développement dans le domaine de l’IA, ce qui est nécessaire pour rester du bon côté de la loi continuera probablement à changer à mesure que ces technologies (et leurs risques associés) continueront d’évoluer également. Il s’agit donc d’un règlement qui pourrait bien devoir rester un document vivant.
Application des règles de l’IA
La surveillance des IAM est centralisée au niveau de l’UE, le Bureau de l’IA jouant un rôle clé. Les sanctions que la Commission peut encourir pour faire respecter ces règles peuvent atteindre jusqu’à 3 % du chiffre d’affaires mondial des maquettistes.
Ailleurs, l’application des règles de la loi pour les systèmes d’IA est décentralisée, ce qui signifie qu’il incombera aux autorités au niveau des États membres (au pluriel, car il peut y avoir plus d’un organisme de surveillance désigné) d’évaluer et d’enquêter sur les problèmes de conformité pour la plupart des applications d’IA. Il reste à voir dans quelle mesure cette structure sera réalisable.
Sur le papier, les sanctions peuvent atteindre jusqu’à 7 % du chiffre d’affaires mondial (ou 35 millions d’euros, le montant le plus élevé) en cas de violation d’utilisations interdites. Les violations d’autres obligations en matière d’IA peuvent être sanctionnées par des amendes pouvant aller jusqu’à 3 % du chiffre d’affaires mondial, ou jusqu’à 1,5 % pour avoir fourni des informations incorrectes aux régulateurs. Il y a donc une échelle mobile de sanctions que les autorités chargées de l’application de la loi peuvent atteindre.
