La loi européenne sur l’IA est proche !
La commission du marché intérieur et de la protection des consommateurs du Parlement européen a adopté la loi sur l’IA le 13 février 2024. Elle sera soumise à un vote en plénière, qui est, pour l’instant, prévu au début du mois d’avril 2024.
Le projet initial a été proposé en 2021 par la Commission européenne. Cependant, l’avènement des LLMs et, surtout, de Chat GPT, a considérablement retardé et modifié le projet initial. Néanmoins, il s’agit du premier règlement visant à réglementer l’IA en tant que sujet distinct. Il façonnera sans aucun doute le développement futur des IA ainsi que leurs utilisations professionnelles.
L’objectif de cet article est de donner aux lecteurs un aperçu très bref et général de cette nouvelle réglementation. Contrairement à ce que l’on pourrait penser, la loi sur l’IA n’a pas seulement un impact sur les développeurs d’IA. De plus, comme le RGPD avant elle, elle est également pertinente pour les professionnels en dehors de l’UE. A l’heure d’écrire ces lignes, la version française du nouveau règlement n’existe pas, la terminologie utilisée est donc librement traduite de l’anglais.
Qu’est-ce qu’une IA, selon cette loi?
Selon la loi sur l’IA : « Un système d’IA est un système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie, qui peut faire preuve d’adaptabilité après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ».
La première caractéristique frappante de cette définition est sa formulation très large. Ce n’est pas une surprise, car la définition doit être à l’épreuve du temps. Elle est également technologiquement neutre et se concentre sur l’autonomie et la capacité du système à appliquer un raisonnement déductif.
Qui doit veiller au respect de la loi sur l’IA ?
La loi sur l’IA crée des obligations pour les fournisseurs (c’est-à-dire les développeurs), les importateurs, les distributeurs et les « deployers » (c’est-à-dire les utilisateurs). Ces obligations sont assez étendues, car elles touchent également les utilisateurs finaux de l’IA, avec une exception pour l’utilisation personnelle non professionnelle.
Nos lecteurs suisses doivent également faire attention, car leur comportement tombe sous le coup de la loi sur l’IA tant que le résultat produit par le système d’IA se produit au sein de l’UE (loi sur l’IA, article 2, al. 1, let. C).
Enfin, toute personne utilisant une IA à usage général (« GPAI » , par exemple Chat GPT ou Google Gemini) en tant qu’API pour sa solution pourrait être affectée, du moins en pratique. Si cette GPAI devait faire l’objet d’une interdiction ou d’une restriction, sa solution pourrait soudainement devenir inutilisable.
Quels sont les types d’IA distingués par la loi sur l’IA ?
La loi sur l’IA classe les systèmes d’IA comme suit :
- les systèmes d’IA interdits,
- les systèmes d’IA à haut risque,
- les systèmes d’IA à risque limité,
- les systèmes d’IA à risque minimal (qui ne peuvent être définis que par opposition aux systèmes d’IA précités et les GPAI), et
- Les modèles GPAI (avec ou sans risque systémique).
Quels sont les types de systèmes d’IA interdits ?
La liste des pratiques interdites en matière d’intelligence artificielle figure à l’article 5 de la loi sur l’IA. Elle peut être résumée comme suit :
- Utilisation des techniques subliminales ou des techniques délibérément manipulatrices ;
- Exploitation des vulnérabilités d’une personne causant un préjudice important ;
- Catégorisation biométrique des individus sur la base d’informations sensibles ;
- Utilisation des données afin de fournir un score social ;
- Utilisation de systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives ;
- Politique prédictive basée uniquement sur le profilage ;
- Bases de données de reconnaissance faciale constituées grâce au scraping non ciblé ;
- Déduction des émotions dans un environnement de travail ou d’éducation.
Ces systèmes d’IA sont interdits, mais il convient de noter que les interdictions susmentionnées sont très résumées et soumises à une série d’exceptions. Par conséquent, avant de conclure qu’une utilisation projetée est interdite, vous devriez lire en détail le texte de l’article 5.
Quels sont les systèmes d’IA à haut risque ?
Les systèmes d’IA destinés à être utilisés en tant que produits ou qui servent de dispositifs de sécurité pour des produits couverts par la législation d’harmonisation de l’UE énumérée à l’annexe II de la loi sur l’IA sont considérés comme des systèmes d’IA à haut risque.
En outre, les systèmes d’IA utilisés dans les domaines énumérés à l’annexe III de la loi sur l’IA sont également considérés comme des systèmes d’IA à haut risque. Il s’agit notamment des systèmes d’identification biométrique et des systèmes d’IA servant de dispositifs de sécurité pour les infrastructures critiques. L’utilisation de certains types d’IA est également considérée comme des systèmes d’IA à haut risque lorsque ces systèmes sont utilisés dans le cadre i) des environnements de travail et d’éducation, ii) de la solvabilité, iii) de l’éligibilité aux prestations et services d’assistance publique, iv) de l’application de la loi, v) de l’immigration et de l’asile, vi) de l’administration de la justice et des processus démocratiques.
Toutefois, les systèmes d’IA ne sont pas considérés comme présentant un risque élevé s’ils n’entraînent pas un risque significatif d’atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes physiques.
Quelles sont les conséquences d’être considéré comme un système d’IA à haut risque ?
Tout d’abord, les fournisseurs de systèmes d’IA à haut risque doivent respecter une série d’obligations. Ils doivent notamment veiller à ce que leurs produits respectent les principes de fiabilité, de transparence et de responsabilité. Les obligations spécifiques comprennent la gestion des risques, la gouvernance des données, la documentation technique, la tenue de registres, la transparence, la surveillance humaine, la précision, la robustesse et les exigences en matière de cybersécurité.
Veuillez noter que la loi sur l’IA prévoit également des obligations pour l’importateur, le distributeur et le « deployer » (c’est-à-dire l’utilisateur) de systèmes d’IA à haut risque. Par souci de concision, nous n’entrerons pas dans les détails ici. Toutefois, il faut retenir que les utilisateurs doivent suivre les instructions du fournisseur afin d’éviter toute responsabilité.
Qu’est-ce que les GPAI ?
Une GPAI peut être définie comme une IA capable d’exécuter efficacement un large éventail de tâches et qui peut être intégrée dans divers systèmes ou applications, par exemple grâce à une API.
Les GPAI peuvent également être considérées comme des GPAI « présentant un risque systémique » (cf. article 52a). Le risque systémique au niveau de l’Union décrit une menace importante posée par des modèles d’IA à usage général. Cette menace affecte le marché intérieur dans son ensemble et peut avoir une incidence négative sur la santé publique, la sûreté, la sécurité, les droits fondamentaux ou la société, en se propageant potentiellement rapidement tout au long de la chaîne de valeur.
Les GPAI dont la quantité cumulée de calcul utilisée pour leur entraînement, mesurée en opérations à virgule flottante (FLOP), est supérieure à 10^25 sont présumées présenter un risque systémique. Le seuil général de 10^25 FLOPs d’entraînement a été spécifiquement choisi en pensant au Chat GPT4 et à Google Gemini qui dépassent cette valeur.
Quelles sont les obligations pour les GPAIS et GPAI présentant un risque systémique ?
Les fournisseurs de GPAI ont une obligation de transparence. Ils doivent également veiller à ce que les résultats soient marqués comme étant générés par l’IA, en particulier lorsqu’ils conduisent à des « deep fakes« , afin d’informer clairement les utilisateurs. Pour les textes générés par l’IA dans des domaines d’intérêt public, la divulgation est exemptée s’il y a une révision humaine et une responsabilité éditoriale. Les fournisseurs de GPAI doivent également conserver une documentation technique détaillée du modèle, y compris les processus de formation et de test.
En outre, les fournisseurs de modèles GPAI présentant des risques systémiques doivent également i) effectuer des évaluations de modèles, ii) évaluer et prévenir les risques systémiques au niveau de l’Union, iii) suivre, documenter et signaler les incidents graves à l’office de l’IA et iv) assurer un niveau adéquat de protection de la cybersécurité.
Principaux enseignements :
La loi sur l’IA est une réglementation longue et complexe. Après sa publication au Journal officiel de l’UE, elle sera progressivement mise en œuvre (cf. article 85). Certaines de ses dispositions pourraient être appliquées dès la fin de l’année 2024 ou le début de l’année 2025 (articles relatifs aux systèmes d’IA interdits). La plupart de ses obligations seront mises en œuvre 24 mois après l’entrée en vigueur du règlement.
Si vous êtes un fournisseur d’IA, il est essentiel que tous vos développements futurs tiennent compte de la loi sur l’IA. Si vous intégrez une IA dans votre produit, il est également primordial que vous la sélectionniez avec soin, à la lumière de la réglementation à venir. Enfin, si vous utilisez des IA génératives, en particulier dans un contexte professionnel, vous devez garder à l’esprit que certaines bonnes pratiques émergent déjà aujourd’hui, notamment en ce qui concerne la transparence de votre utilisation.
Si vous avez besoin de conseils sur ce sujet, notre équipe de spécialistes en droit des technologies est là pour vous aider.