Un parcours complexe
Ce n'était pas une mince affaire. Les travaux pour élaborer un projet de régulation de l'intelligence artificielle ont commencé doucement en 2021 mais l'essor et la démocratisation des IA généralistes et génératives, comme ChatGPT ou Midjourney pour le grand public, ont forcé la cadence à accélérer un peu.
Le 21 avril 2021, la Commission européenne — dont l'initiative législative est l'apanage — avait proposé un texte aux colégislateurs que sont le Parlement européen et le Conseil de l'Union européenne.
Le 14 juin 2023, le Parlement européen adoptait une version du texte largement durcie, notamment en ce qui concerne les IA génératives qui n'étaient pas vraiment envisagées par la Commission ou encore la sécurité intérieure, comme nous vous le présentions dans notre article.
Le 8 décembre dernier, au terme d'une session de 36 heures de négociations, le Conseil de l'Union européenne est parvenu à trouver un accord et arrêter un texte de principe. Ne restaient plus à finaliser que les détails techniques et cela aurait pu aller assez vite mais, dès le 10 décembre, la France revenait en opposition frontale. E. Macron fit notamment état de grandes réserves sur certains volets, en particulier ceux ayant trait aux obligations de transparence. Rendre publiques les URL ayant servi à entraîner les IA étant, par exemple, considéré par lui comme une obligation de livrer leurs secrets de fabrication aux entreprises concurrentes.
Le 21 janvier dernier, une version amendée fut élaborée mais il restait encore à ce qu'elle soit adoptée par les colégislateurs.
C'est désormais en partie chose faite et le périple de l'AI Act (pour Artificial Intelligence Act, soit Loi sur l'intelligence artificielle) touche à sa fin. Sur son fil twitter.com, la présidence du Conseil (Belge actuellement) indique que l'accord a finalement été signé par les représentants permanents des Etats membres ce vendredi 2 février :
📝 Signed!
— Belgian Presidency of the Council of the EU 2024 (@EU2024BE) February 2, 2024
Coreper I Ambassadors confirmed the final compromise text found on the proposal on harmonised rules on artificial intelligence (#AIAct).
The AI Act is a milestone, marking the 1st rules for AI in the 🌍, aiming to make it safe & in respect of 🇪🇺 fundamental rights. pic.twitter.com/QUe2Sr89A5
Le contenu du texte signé
D'après les mots du Commissaire européen au marché intérieur, Thierry Breton, toute la question de cet acte législatif est de parvenir à trouver un équilibre entre sécurité et innovation. Il s'agit, après tout, du premier projet au monde ayant la prétention de proposer une régulation mondiale sur l'IA et l'on comprend aisément que les négociations aient pu être âpres. D'autres parlementaires, plutôt que de sécurité, évoquent davantage le respect des droits fondamentaux de l'Union européenne.
Le niveau de régulation retenu est différencié selon 4 catégories définies de modèles, en fonction du risque que représente chaque outil :
- Pour les IA présentant un risque minimal, comme celles actuellement présentes dans les jeux vidéos ou les filtres anti-spam, il n'y a pas de règle particulière ;
- Pour celles présentant un risque limité, elles devront accepter certaines obligations de transparence pour leurs utilisateurs finaux, telle l'obligation de leur signaler qu'ils sont en train d'interagir avec une IA (par exemple pour les chat bots) ou le fait que le contenu a été généré par une IA (par exemple pour les deepfakes) ;
- Les IA critiques (celles utilisées pour la défense, le maintien de l'ordre, l'éducation...) elles devront établir un système de gestion de risque, une documentation technique et effectuer des contrôles humains réguliers. L'essentiel du règlement leur est dévolu ;
- Pour les IA dont le risque est jugé "inacceptable", qui sont celles ayant pour objectif la notation sociale, la manipulation comportementale, la surveillance de masse, la reconnaissance faciale ou l'identification biométrique en temps réel, elles sont, quant à elles, strictement interdites.
Les IA généralistes sont les IA capables de générer un contenu utilisable à différentes fins. Elles devront produire une documentation technique, un guide d'utilisation, se mettre en conformité avec la directive Copyright et publier un résumé suffisamment détaillé du contenu utilisé pour leur entraînement. Celles qui sont en open source, cependant, se verront dispensées des deux premières obligations.
Il est encore un cas particulier pour les IA généralistes dont les modèles d'entraînement dépassent les 1025 FLOPS. Elles seront tenues, en plus des quatre obligations ci-dessus énumérées, de procéder à des modèles d'évaluation, d'estimer et de mitiger les possibles risques systémiques, y compris concernant leurs sources, d'opérer un suivi et un signalement des incidents sérieux, ainsi que de disposer d'un niveau de cybersécurité adapté. Voilà qui ne devrait pas beaucoup plaire à certaines entreprises peu scrupuleuses ayant pillé du contenu accessible publiquement et qui sont aujourd'hui largement utilisées par le grand public.
Il reste désormais à ce que le texte soit définitivement adopté par le Parlement, ce qui devrait théoriquement n'être plus qu'une formalité, probablement en avril ou en mai. L'entrée en vigueur devrait se faire dans l'année, avec un délai de mise en conformité dépendant de la catégorie retenue :
- 6 mois pour les IA interdites ;
- 12 mois pour les IA généralistes ;
- 24 à 36 mois pour les IA à haut risque, en fonction de leur sous-catégorie.
Le rôle que l'Union entend jouer au niveau mondial
Le marché intérieur de l'Union européenne est, de très loin, la première puissance commerciale au monde. Aucune entreprise technologique d'envergure ne peut envisager d'en être absente.
Pour certains, les efforts européens visant encadrer la tech mondiale et tenter de rendre le marché plus vertueux sont un apport inestimable. Le respect du RGPD, l'utilisation imposée du port USB type-C comme port de recharge universel ou encore la législation sur les batteries ont un impact global sur les entreprises et permettent à l'innovation et la libre concurrence de ne pas devenir des jungles de non-droit, en imposant quelques contraintes pour le bien des citoyens.
Pour d'autres, peut-être un peu plus cyniques, ces efforts viseraient au contraire à ralentir la croissance d'entreprises américaines que les entrepreneurs du Vieux Continent n'ont pas réussi à égaler ni à rattraper et ils n'auraient pour seul objectif que de leur mettre des bâtons dans les roues :
America: Let's have a party. I'll bring the software!
— Paul Graham (@paulg) February 23, 2020
China: I'll bring the hardware!
EU: I'll bring the regulation!
America, China:
Les plus pragmatiques penseront sans doute qu'il doit bien y avoir un peu des deux. Au même titre que les lois de bioéthique, encadrer l'usage des nouvelles technologies pour protéger les droits et libertés fondamentaux ou l'environnement est très certainement une bonne chose. Cela étant dit, il est parfaitement possible que le zèle du législateur européen tienne en partie au fait qu'il n'est vraiment pas leader sur le marché de ces technologies (ASML mis à part, bien entendu).
Version texte officiel, mais on sait bien que la réalité sera tout autre derrière les caméra.Donc peut importe ce qui a dans ce texte, il y aura des passe droit possible au nom de ce qu'ils veulent, les États et plus grosses entreprises de la tech, les armés au nom de la sécurité nationale, etc...Ce sera pareil partout dans le monde.Nous, nous sommes que des pions au final.Cher gouvernement, ou renseignement, ni voyez pas une attaque personnelle, merci.🤭😶
Ça semble plutôt bien fichue, mais quand je vois
interdite, je rigole fortement. Il y a déjà des systèmes de vidéosurveillance (ou FaceID) qui utilisent des technologies "typé IA" (faudra m'expliquer où est l'intelligence là-dedans quand même) pour traquer qui rentre / sort et qui utilise l'appareil. Je ne pense pas que ça soit la cible directe du texte... ni qu'elles soient interdites à court ou moyen terme.
Et la limitation spécifique à 1025 TFLOPS, heuuuu ok. Bon courage pour prouver que ça a été le cas ; surtout quand une partie de la recherche actuelle est justement sur la limitation de la puissance de calcul nécessaire et de la taille des réseaux. Quant à la description des dataset, c'est une très bonne chose, j'espère qu'il y aura surtout mention de la provenance (quelle boite a labellisé ? ou quel site a été utilisé). Après il faudra voir si notre système juridique est assez développé pour pouvoir traquer les manquements et punir en conséquence.
Il y a aussi la concurrence ; la France a longtemps retardé la signature de ce texte, car elle voulait préserver les start-up françaises de la concurrence. Que nenni, la France a fini par céder, cela veut dire que les Google ou autre OpenAI seront les mieux servit. Je ne parle même pas de la surveillance des foules, au nom de la "sécurité".