L'UE est parvenue à un accord sur la loi sur l'IA, qui entrera probablement en vigueur en 2024 ou 2025, comme prévu.
Cette décision historique est le fruit d'une intense session de négociation de 37 heures à laquelle ont participé le Parlement européen et les États membres de l'UE.
Thierry Breton, le commissaire européen principalement responsable de ce nouvel ensemble de lois, a qualifié l'accord d'"historique". Les négociations sont en cours depuis mardi, et certains jours, les négociateurs ont travaillé toute la nuit.
Historique !
L'UE devient le tout premier continent à fixer des règles claires pour l'utilisation de l'IA 🇪🇺
Les #AIAct est bien plus qu'un simple règlement : c'est une rampe de lancement pour les startups et les chercheurs de l'UE, qui pourront ainsi prendre la tête de la course mondiale à l'IA.
Le meilleur est à venir ! 👍 pic.twitter.com/W9rths31MU
- Thierry Breton (@ThierryBreton) 8 décembre 2023
Carme Artigas, secrétaire d'État espagnole à l'IA, a joué un rôle essentiel dans l'aboutissement de ces négociations.
M. Artigas a souligné le soutien important que le texte a reçu de la part des principaux pays européens, en déclarant notamment que "la France et l'Allemagne ont soutenu le texte". Ce soutien est notable, car la France et l'Allemagne, désireuses d'encourager leurs propres industries d'IA en pleine croissance, remettaient en question certains des éléments les plus stricts de la loi.
L'UE est désormais prête à ouvrir la voie en matière de réglementation de l'IA. Bien que le contenu et les implications spécifiques des nouvelles lois soient encore en cours d'élaboration, elles entreront probablement en vigueur en 2024/2025.
Principaux accords et aspects de la loi européenne sur l'IA
Les accord provisoire sur la loi AI représente une étape historique dans la réglementation de l'IA. Elle suit les traces d'autres réglementations technologiques de l'UE, telles que le GDPR, qui ont soumis les entreprises technologiques à des milliards d'amendes au fil des ans.
Carme Artigas, secrétaire d'État espagnole à la numérisation et à l'intelligence artificielle, a déclaré à propos de la loi : "Il s'agit d'une réalisation historique et d'un grand pas en avant vers l'avenir ! L'accord conclu aujourd'hui répond efficacement à un défi mondial dans un environnement technologique en évolution rapide, dans un domaine clé pour l'avenir de nos sociétés et de nos économies. Dans cette entreprise, nous sommes parvenus à maintenir un équilibre extrêmement délicat : stimuler l'innovation et l'adoption de l'intelligence artificielle en Europe tout en respectant pleinement les droits fondamentaux de nos citoyens."
Voici les noyau nouveaux aspects de la législation adoptée :
- Systèmes d'IA à fort impact et à haut risque: L'accord introduit des règles sur les modèles d'IA à usage général qui pourraient présenter des risques "systémiques". La signification exacte de ces règles reste ambiguë, mais elles sont largement conçues pour s'appliquer aux nouvelles générations de modèles de niveau GPT-4 et au-delà.
- Gouvernance et mise en œuvre: Un système de gouvernance révisé a été mis en place, comprenant certains pouvoirs d'exécution au niveau de l'UE. Cela garantit une approche centralisée de la réglementation de l'IA dans les États membres.
- Interdictions et exceptions liées à l'application de la loi: L'accord allonge la liste des pratiques interdites en matière d'IA, mais autorise l'utilisation de l'identification biométrique à distance par les forces de l'ordre dans les espaces publics, dans des conditions strictes. Il s'agit de trouver un équilibre entre la sécurité publique et le respect de la vie privée et des libertés civiles.
- Protection des droits: L'un des aspects clés de l'accord est l'obligation pour les utilisateurs de systèmes d'IA à haut risque d'évaluer l'impact sur les droits des personnes avant d'utiliser un système d'IA. Le mot clé est "déployeurs", car la loi impose des responsabilités tout au long de la chaîne de valeur de l'IA.
Les autres domaines convenus sont les suivants
- Définitions et champ d'application: La définition des systèmes d'intelligence artificielle a été alignée sur celle de l'Agence européenne pour la sécurité et la santé au travail (ESA). Définition de l'OCDELe règlement exclut les systèmes d'IA utilisés exclusivement à des fins militaires, de défense, de recherche et d'innovation ou par des particuliers pour des raisons non professionnelles.
- Classification des systèmes d'IA: Les systèmes d'IA seront classés en fonction du risque, les systèmes à haut risque étant soumis à des exigences strictes et les systèmes à risque limité à des obligations de transparence plus légères. C'est ce qui était prévu depuis le début.
- Modèles de fondation: L'accord porte sur les modèles de base, de grands systèmes d'intelligence artificielle capables d'effectuer diverses tâches comme ChatGPT/Bard/Claude 2. Des obligations de transparence spécifiques sont prévues pour ces modèles, avec des règles plus strictes pour les modèles de base à fort impact.
- Exigences relatives aux systèmes d'IA à haut risque: Les systèmes d'IA à haut risque seront autorisés sur le marché de l'UE mais devront répondre à des exigences spécifiques, notamment en matière de qualité des données et de documentation technique, en particulier pour les PME.
- Responsabilités dans les chaînes de valeur de l'IA: L'accord clarifie les rôles et les responsabilités des différents acteurs des chaînes de valeur des systèmes d'IA, y compris les fournisseurs et les utilisateurs, et la manière dont ces rôles et responsabilités sont liés à la législation européenne existante.
- Pratiques interdites en matière d'IA: La loi interdit certaines pratiques inacceptables en matière d'IA, telles que la manipulation du comportement cognitif, l'extraction non ciblée d'images faciales et la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement.
- Procédures d'urgence pour les forces de l'ordre: Une procédure d'urgence permet aux services répressifs de déployer des outils d'IA à haut risque qui n'ont pas passé l'évaluation de conformité dans des situations d'urgence.
- Identification biométrique en temps réel: L'utilisation par les forces de l'ordre de systèmes d'identification biométrique à distance et en temps réel dans les espaces publics est autorisée dans des conditions strictes, à des fins spécifiques telles que la prévention des attaques terroristes ou la recherche de personnes soupçonnées de crimes graves.
Gouvernance, sanctions et mise en œuvre :
- Gouvernance: Un bureau de l'IA au sein de la Commission supervisera les modèles d'IA avancés, avec le soutien d'un groupe scientifique d'experts indépendants et d'un conseil de l'IA composé de représentants des États membres.
- Sanctions: L'accord prévoit des amendes basées sur un pourcentage du chiffre d'affaires annuel global de l'entreprise pour diverses infractions, avec des plafonds plus proportionnés pour les PME et les jeunes entreprises.
- Amendes: Les amendes pour non-conformité ont été établies en fonction de la gravité de la violation. Les amendes sont calculées soit en pourcentage du chiffre d'affaires annuel global de l'entreprise pour l'exercice précédent, soit en montant fixe. Le montant le plus élevé des deux est retenu. Les amendes sont structurées comme suit : 35 millions d'euros ou 7% du chiffre d'affaires pour les violations impliquant des applications d'IA interdites, 15 millions d'euros ou 3% pour les violations des obligations de la loi, et 7,5 millions d'euros ou 1,5% pour la fourniture d'informations incorrectes.
- Soutien: L'accord prévoit des "bacs à sable" réglementaires pour tester des systèmes d'IA innovants dans des conditions réelles et apporte un soutien aux petites entreprises.
Cet accord provisoire doit encore être approuvé par le Parlement européen et les 27 États membres de l'UE.
Quel sera l'impact de la législation sur les "modèles pionniers" ?
En vertu de la nouvelle réglementation, tous les développeurs de systèmes d'IA à usage général, en particulier ceux qui ont un large éventail d'applications potentielles comme ChatGPT et Bard, doivent tenir à jour des informations sur la manière dont leurs modèles sont entraînés, fournir un résumé détaillé des données utilisées pour l'entraînement et mettre en place des politiques qui respectent les lois sur les droits d'auteur et garantissent une utilisation acceptable.
La loi classe également certains modèles comme présentant un "risque systémique". Cette évaluation est principalement basée sur la puissance de calcul de ces modèles. L'UE a fixé un seuil pour cette catégorie à des modèles qui emploient plus de 10 billions de milliards d'opérations par seconde.
Actuellement, le modèle GPT-4 d'OpenAI est le seul à atteindre automatiquement ce seuil. Cependant, l'UE pourrait étiqueter d'autres modèles selon cette définition.
Les modèles considérés comme présentant un risque systémique seront soumis à des règles supplémentaires plus strictes. Il s'agit notamment de
- Rapport obligatoire sur la consommation d'énergie.
- Effectuer des tests en équipe restreinte ou des tests contradictoires.
- Évaluer et atténuer les risques systémiques potentiels.
- Garantir des contrôles solides en matière de cybersécurité.
- Ils communiquent à la fois les informations utilisées pour affiner le modèle et les détails de l'architecture de leur système.
Comment l'accord a-t-il été accueilli ?
La loi sur l'IA a suscité une myriade de réactions sur son innovation, sa réglementation et son impact sociétal.
Fritz-Ulli Pieper, spécialiste en droit des technologies de l'information chez Taylor Wessing, souligne que si la fin est en vue, la loi est encore susceptible d'être modifiée.
Il a fait remarquer que "de nombreux points doivent encore être approfondis dans le cadre du trilogue technique. Personne ne sait à quoi ressemblera la formulation finale et si, ou comment, il est possible de faire passer l'accord actuel dans un texte législatif final".
Les réflexions de M. Pieper révèlent la complexité et l'incertitude qui entourent la loi sur l'IA, et suggèrent qu'il reste encore beaucoup à faire pour que la législation finale soit efficace et pratique.
L'un des thèmes clés de ces réunions a été l'équilibre entre les risques et les opportunités de l'IA, d'autant plus que les modèles peuvent être "à double nature", c'est-à-dire qu'ils peuvent apporter des avantages et infliger des dommages. Alexandra van Huffelen, ministre néerlandaise de la numérisation, a déclaré : "Faire face à l'IA signifie répartir équitablement les opportunités et les risques."
La loi ne semble pas non plus protéger les citoyens de l'UE contre la surveillance à grande échelle, ce qui a attiré l'attention de la Commission européenne. des groupes de pression comme Amnesty International.
Mher Hakobyan, conseiller en intelligence artificielle, a déclaré sur ce point controversé : "Ne pas garantir une interdiction totale de la reconnaissance faciale est donc une occasion extrêmement manquée d'arrêter et de prévenir des dommages colossaux aux droits de l'homme, à l'espace civique et à l'État de droit qui sont déjà menacés dans l'ensemble de l'UE."
À la suite de cet accord provisoire, la loi sur l'IA devrait entrer en vigueur deux ans après sa promulgation officielle, ce qui permettra aux gouvernements et aux entreprises de l'UE de se préparer à se conformer à ses dispositions.
Dans l'intervalle, les fonctionnaires négocieront les détails techniques du règlement. Une fois les améliorations techniques apportées, le texte de compromis sera soumis aux représentants des États membres pour approbation.
La dernière étape consiste en une révision juridico-linguistique pour garantir la clarté et l'exactitude juridique, suivie de l'adoption formelle. La loi sur l'IA ne manquera pas de modifier le secteur, tant dans l'UE qu'à l'échelle mondiale, mais il est difficile d'en prédire l'ampleur.