Comment le règlement européen impacte les utilisateurs de l’IA ? – Damien Buchet
En 2024, l’Intelligence Artificielle (IA) n’est plus une nouveauté pour aucun grand groupe, aucun étudiant, ni aucun jeune fondateur de start-up. C’est pourtant très récemment, en novembre 2022, qu’un outil d’IA a été mis à disposition du grand public, il s’agit bien sûr de la version 3.5 de ChatGPT. Depuis, son développeur OpenAI partage ce jeune marché avec des concurrents développant des IAs applicables à de très nombreux cas d’usage à destination des particuliers comme des entreprises.
Le spectre des applications de cette technologie à long terme reste encore flou, mais plusieurs d’entre elles inquiètent d’ores et déjà la société civile comme le législateur.
L’utilisation massive des données, en premier lieu par les GAFAM, soulevait déjà des interrogations récurrentes d’ordre éthique. Le traitement automatisé de ces données par une IA amplifie davantage ces craintes, avec des risques d’utilisation dans la surveillance de masse (système de crédit social en Chine et de reconnaissance faciale dans l’espace public) ou dans la production facilitée de « deepfakes » d’images ou de vidéos. Bien que ces déviances soient encore loin des projections dystopiques ancrées dans l’imaginaire collectif de machines humanoïdes menaçant l’Homme en lui singeant une conscience électronique à la « Terminator », ou de systèmes de contrôle des populations comme dans l’œuvre « 1984 » de Georges Orwell, la crainte de perte de la maîtrise des modèles utilisés persiste : c’est le fameux risque de la sibylline « boite noire ».
Force est de constater que si elle n’est pas donnée favorite dans le développement de l’IA, c’est bien l’Europe qui s’est saisie en première de la question de sa régulation et de la protection de ses utilisateurs. Ainsi, trois ans après la proposition de la Commission Européenne de réglementer l’IA, l’Union européenne introduit l’AI Act le 12 juillet 2024, un cadre législatif ambitieux visant à assurer que les technologies d’IA soient déployées de manière sécurisée et éthique, en respectant les droits fondamentaux des individus.
Pour cela, il classifie en premier lieu les systèmes d’IA par niveau de risques, et impose en fonction de ceux-ci des règles plus ou moins contraignantes aux fournisseurs d’IA (OpenAI, Google DeepMind, IBM…) et dans une moindre mesure aux utilisateurs déployant un système d’IA (entreprises, états…). Ces derniers sont concernés uniquement s’ils sont situés dans l’UE ou si les résultats du système d’IA sont utilisés dans l’UE.
Quelles sont ces catégories de risques ?
Le règlement distingue les systèmes d’IA en plusieurs catégories de risque. Une grande partie des obligations du règlement porte sur les systèmes à haut risque et sur les systèmes présentant un risque dit « inacceptable » qui sont interdits.
- Les systèmes interdits (Article 5) :
Certains systèmes d’IA sont jugés inacceptables en raison de leurs effets négatifs sur les droits humains. Le règlement interdit les systèmes d’IA qui manipulent le comportement des individus de manière subliminale ou exploitent des vulnérabilités spécifiques (l’âge, le handicap physique ou mental), qui permettent la notation sociale et l’utilisation de systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives[1]. Cette interdiction s’applique à la mise sur le marché, la mise en service ou l’utilisation d’un système d’IA correspondant. Elle s’impose donc tant au fournisseur qu’à l’utilisateur déployant cette technologie.
- Les systèmes à haut risque (Articles 6 à 27) :
Le règlement impose des obligations supplémentaires pour certains systèmes d’IA. C’est notamment le cas pour ceux qui incluent l’IA dans la biométrie, la sécurité des infrastructures critiques (dans le numérique, le trafic routier, la fourniture d’eau, de gaz, de chauffage ou d’électricité), l’éducation, l’emploi, les services privés et publics essentiels, les services répressifs, la gestion migratoire et l’administration de la justice et des processus démocratiques.
Concernant ces systèmes d’IA, les utilisateurs doivent alors se conformer à un certain nombre d’obligations, parmi lesquelles de :
-
- Veiller à ce que les données d’entrée soient pertinentes au regard de la destination du système utilisé ;
- Surveiller le fonctionnement du système d’IA à haut risque sur la base de la notice d’utilisation, et en cas de risque relevé informer le fournisseur ou le distributeur et suspendre l’utilisation du système utilisé ;
- Se conformer aux notices d’utilisation accompagnant les systèmes ;
- Garantir une surveillance humaine adéquate, permettant de superviser les décisions prises par le système d’IA et, si nécessaire, corriger ou interrompre ses actions ;
- Assurer la tenue des journaux générés automatiquement par le système d’IA, dans la mesure où ces journaux se trouvent sous leur contrôle ;
- Déployer un système de gestion des risques tout au long du cycle de vie de l’IA, régulièrement révisé et mis à jour, permettant d’identifier, d’estimer et d’évaluer ces risques et adopter des mesures pour les gérer ;
- Utiliser les informations transmises par le fournisseur pour procéder à une analyse d’impact relative à la protection des données en vertu, entre autres, du RGPD.
Quels apports complémentaires pour les utilisateurs ?
- L’obligation de transparence (Article 50) :
Les utilisateurs sont ciblés par une obligation de transparence dans leur utilisation des systèmes d’IA :
-
- Les utilisateurs d’un système de reconnaissance des émotions ou d’un système de catégorisation biométrique doivent informer les personnes physiques exposées du fonctionnement du système d’IA et du traitement de leurs données ;
- Les utilisateurs d’un système d’IA qui génère ou manipule un contenu image, audio ou vidéo constituant une contrefaçon profonde doivent indiquer que le contenu a été généré ou manipulé artificiellement.
Ces informations doivent être fournies aux personnes physiques concernées de manière claire et distincte au plus tard au moment de la première interaction ou exposition.
- Des mesures en faveur des petits fournisseurs et utilisateurs (Article 55) :
Les petits fournisseurs et utilisateurs auront un accès prioritaire aux bacs à sable réglementaires de l’IA, il s’agit d’un environnement contrôlé qui facilite le développement, la mise à l’essai et la validation de systèmes d’IA innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service conformément à un plan spécifique. Ces derniers auront aussi à disposition des moyens de communication et de sensibilisation spécifiques à l’application de l’IA Act afin d’obtenir des orientations et des réponses aux questions relatives à la mise en œuvre du règlement.
Pour conclure ?
Si cette nouvelle norme est largement orientée vers l’encadrement des activités des fournisseurs de logiciel d’IA, elle crée aussi des obligations pour les entreprises qui cherchent à l’utiliser pour améliorer leurs processus.
En conséquence, les utilisateurs d’un système d’IA seront aussi impactés par le coût et la complexité de leur mise en conformité, un point important mais faiblement abordé par l’IA Act. Que ce soit pour répondre aux obligations de transparence de l’utilisation des systèmes ou pour respecter les exigences en matière de documentation, de gestion des données, et de surveillance des systèmes à haut risque, nul doute que ces derniers devront s’armer de courage pour enfin jouer leur rôle « d’adoptants précoces » selon l’expression consacrée par Malcolm Gladwell dans son ouvrage « Le Point de Bascule ».
[1] Des exclusions et précisions sont consultables à l’article 5