Octavus - Fotolia
L’Union européenne pose les bases d’un RGPD de l’IA
La Commission européenne a rendu publique sa proposition de règlement sur l’Intelligence Artificielle. Ce cadre législatif cible des usages critiques bien précis et se veut suffisamment large pour ne pas entraver l’innovation. Sa vocation est de devenir un modèle pour d’autres initiatives dans le monde, tout comme le RGPD.
Le 21 avril 2021 restera une date à part dans la petite Histoire de l’Intelligence Artificielle (IA). Non pas à cause de la sortie de nouveaux algorithmes révolutionnaires, mais parce qu’elle marque la première manifestation concrète d’une réglementation européenne pour encadrer le Machine Learning, le Deep Learning et autres NLP.
Ce mercredi, la Commission européenne a officiellement proposé des règles pour une IA qui soit à la fois « digne de confiance », « éthique », « centrée sur l’humain, durable, sûre [et] inclusive » (sic).
Ces propositions vont à présent être soumises au Parlement européen (les députés) et au Conseil de l’Union européenne (qui regroupe les ministres de chaque État membre). Les deux institutions pourront leur apporter chacune des modifications avant de se concerter autour d’un texte définitif.
Encadrer l’IA pour assurer la confiance
Le but affiché par la Commission est clairement d’encadrer en amont d’éventuelles dérives dans l’application de l’Intelligence Artificielle.
La logique sous-jacente est de créer de la « confiance » chez les utilisateurs – un terme martelé aussi bien par les commissaires que par les députés européens. Une confiance nécessaire, disent-ils, pour ne pas entraver le développement et l’adoption de ces technologies.
« En matière d’intelligence artificielle, la confiance n’est pas un luxe, mais une nécessité absolue », résume Margrethe Vestager, la vice-présidente exécutive pour une Europe adaptée à l’ère du numérique. « En adoptant ces règles qui feront date, l’UE prend l’initiative d’élaborer de nouvelles normes mondiales qui garantiront que l’IA soit digne de confiance ».
La vice-présidente affiche donc une ambition « mondiale » pour ce règlement, suivant en ce sens la même logique que le RGPD dans la protection des données personnelles.
« Notre proposition de règlement a une approche géographique globale », confirme du côté du Parlement le député européen Ibán García del Blanco, dans un entretien au MagIT. « Elle est applicable non seulement aux produits d’intelligence artificielle conçus en Europe, mais aussi à tout opérateur susceptible de traiter sur le marché unique européen », insiste-t-il.
Pour le coordinateur espagnol de la Commission spéciale sur l’intelligence artificielle à l’ère du numérique, l’Union européenne se positionne « en pionnier ». Car ce cadre légal en gestation devrait essaimer, tout comme l’a fait le RGPD avant lui. « Nous faisons ce premier pas, mais je suis sûr que le reste du monde va nous suivre et harmoniser [ses règles en s’inspirant], plus ou moins, de notre première approche. Nous avons beaucoup d’échanges avec d’autres régions du monde en ce moment », confie-t-il.
« Si nos citoyens doivent utiliser des systèmes d’intelligence artificielle, et bien, ils ont besoin de confiance », renchérit le député européen Axel Voss, rapporteur de cette même commission spéciale. « Nous essayons de créer cette confiance via la protection des consommateurs, la protection des droits des utilisateurs, la protection de la vie privée et la sécurité ». Et donc, avec ce projet de réglementation.
Qu’est-ce qu’une « commission spéciale » sur l’IA
Il ne faut pas confondre Commission et commissions.
La Commission européenne est composée de commissaires – un par État membre – et nommés par ces États. Elle est une des quatre grandes institutions politiques de l’Union européenne avec le Parlement européen (élu), le Conseil de l’Union européenne (composé des ministres des États membres) et le Conseil européen (sommet régulier des chefs d’État et des dirigeants des pays membres).
Le Parlement européen possède pour sa part des commissions. Ces groupes de travail abordent de grands sujets (agriculture, industrie, affaires étrangères, emploi, culture, etc.).
Ces commissions peuvent être permanentes – au nombre de 23 – ou provisoires ; ce sont alors des « commissions spéciales ». Il en existe actuellement 3, dont une sur l’IA, donc.
Quatre types d’IA
Les propositions de la Commission européenne sont le résultat d’un processus de consultations, de livre blanc et d’analyses, entamé en 2018. Ce processus a abouti en substance à la conclusion que la législation présentait un certain nombre de lacunes « qu’il convient de combler », assure la Commission dans son communiqué.
Concrètement, les propositions distinguent et hiérarchisent quatre types d’IA en fonction de leurs applications réelles : celles dont l’usage pose un risque inacceptable, celles qui présentent un risque élevé, celles qui ont un risque acceptable, et celles qui ne posent pas de problème (risque minime).
Dans chaque catégorie, on sent poindre des actualités récentes plus ou moins polémiques.
La Commission propose d’interdire purement et simplement l’IA à risque inacceptable, celle par exemple pour « la notation sociale » par des États (on pense évidemment à la Chine).
Dans les risques élevés, l’ébauche de réglementation place la notation d’épreuves d’examens, la médecine assistée (par des robots par exemple), les tris automatiques de CV, le scoring pour l’attribution d’un crédit, ou les champs d’application dans la justice (liste non exhaustive).
Dans tous ces cas, l’IA devra être soumise à des obligations strictes sans quoi elle ne pourra être mise sur le marché. Parmi ces obligations, on retrouve la supervision par un humain – déjà soulignée par le Parlement européen. S’y ajoutent : l’obligation d’avoir « un système adéquat » pour atténuer les risques, l’exigence d’avoir des jeux de données « de qualité élevée », des résultats traçables, fournir une documentation détaillée (ce qui se rapproche de l’IA explicable), assurer un fort niveau de « robustesse, de sécurité et d’exactitude », et enfin donner une information claire à l’utilisateur.
À noter qu’en fonction des cas, une même IA pourrait passer de la première catégorie à la seconde. Par exemple, la reconnaissance biométrique dans l’espace public sera de facto interdite (« risque inacceptable »). Mais elle deviendra à « risque élevé », et donc possible, « pour des exceptions restreintes […] qui sont strictement définies et réglementées », limitées dans le temps, et qui imposeront le passage par un juge ou un organisme indépendant (par exemple, pour la recherche d’un enfant disparu).
Pour les autres types d’IA, la réglementation prévoit des contraintes beaucoup plus légères, voire inexistantes. Pour l’IA à « risque limité », comme les chatbots, il est prévu d’imposer d’en informer l’interlocuteur humain (cf. la polémique de la démonstration de Google Duplex qui appelait des commerçants et qui était capable de tenir des conversations téléphoniques, mais qui n’avertissait pas qu’il était un bot).
Pour l’IA à « risque limité », le projet ne prévoit pas d’intervention « car ces systèmes ne représentent qu’un risque minime, voire nul, pour les droits ou la sécurité des citoyens ».
Une réglementation sur les exceptions
La réglementation ne vise pas les usages les plus communs de l’IA. La Commission souligne elle-même que « la grande majorité des systèmes d’IA relèvent de cette catégorie [des risques limités] ».
« À l’épreuve du temps [N.D.R. comprendre “suffisamment générales”] et propices à l’innovation, nos règles s’appliqueront lorsque c’est strictement nécessaire : quand la sécurité et les droits fondamentaux des citoyens de l’Union sont en jeu », insiste bien Margrethe Vestager.
En faisant des distinguos, ces règles se veulent « proportionnées et souples » et ne sont prévues que pour faire face aux « risques spécifiques ».
Mais bien que « souples et proportionnées », ces normes se revendiquent aussi comme « les plus strictes au monde ».
En parallèle de sa proposition sur l’IA, la Commission a complété son « paquet législatif » par un second projet de règlement, très lié, mais séparé, sur les machines et les équipements.
L’IA étant de plus en plus embarquée dans les appareils – aussi bien grand public qu’industriels – la Commission propose de remplacer l’ancienne directive « Machines » qui date de 2009 par un nouveau règlement qui « garantira une intégration sûre des systèmes d’IA dans ces machines ». Mais avant d’être effectif, ce second règlement devra, lui aussi, suivre la procédure législative classique.
Une stratégie sur deux jambes
La Commission ne veut cependant pas que son (double) cadre légal soit un frein au développement de ces technologies en Europe. D’autant plus que l’IA est au cœur du « Programme pour une Europe numérique », validé par le Conseil en décembre 2020, avec deux milliards d’euros d’investissements prévus à la clef.
La Commission rappelle au passage que les institutions du Vieux Continent financent également quarante projets au travers du plan Horizon Europe – dont le plus doté (20 millions €) est AI4EU, un consortium créé pour construire la « European Artificial Intelligence On-Demand Platform » dont le but est de faciliter la collaboration entre tous les acteurs européens de l’IA (scientifiques, entrepreneurs, PME, industries, financement, citoyens).
« Les propositions présentées visent [aussi] à conforter la position de l’Europe en tant que pôle mondial d’excellence dans le domaine de l’IA, du laboratoire au marché, à faire en sorte que, en Europe, l’IA respecte nos valeurs et nos règles et à exploiter son potentiel à des fins industrielles », souligne le commissaire chargé du marché intérieur, Thierry Breton.
Le deuxième pilier du projet global – en parallèle des réglementations – passe par la refonte du « Plan coordonné avec les États membres » de 2018. Ce plan en faveur du développement de ces technologies décrit les (ré)orientations et les investissements, au niveau des États, nécessaires « pour renforcer la position de premier plan de l’Europe » dans l’IA.
Comme son nom l’indique, le plan contient des mesures de « coordination ». Il repose sur des recommandations, mais n’a pas de force juridique contraignante.
Un plan coordonné de développement de l’IA « totalement actualisé »
Le premier plan coordonné avait été publié en 2018 avec une mise à jour prévue chaque année. Mais ce 21 avril, ce n’est pas une mise à jour qui a été présentée. Le plan a été « totalement actualisé ».
Un des points clefs de cette actualisation est la mise à disposition d’« installations d’essai » (des sandboxes) pour les PME et les administrations publiques.
« Nous encourageons les bacs à sable qui permettent aux petites entreprises de développer leurs produits », se félicite la députée européenne Deirdre Clune du côté du Parlement. « Il y a un thème fort dans notre rapport [qui a été transmis à la Commission qui en a repris de nombreux points] pour soutenir les PME. C’est très important. Cela doit être fait à un niveau européen, parce que c’est de là que viendra la croissance. C’est de là que viendront les grandes entreprises », explique-t-elle au MagIT.
L’élue irlandaise insiste sur ce point en réponse à une question du MagIT sur un éventuel frein que les futures réglementations pourraient créer pour les entreprises locales, face aux géants américains ou chinois. « Vous mentionnez les États-Unis… Il y a beaucoup d’argent là-bas pour soutenir les PME. Il existe une véritable culture qui sait que si vous ne faites pas de place aux start-ups, aux PME et aux petites entreprises [pour exister], elles ne se développeront pas », constate-t-elle. « Nous voulons donc aussi créer cet écosystème ici. Et je pense qu’une approche [légale et de soutien] à l’échelle européenne est très importante à cet égard », conclut la députée.
Le nouveau plan coordonné, millésime 2021, recentre également ses priorités sur les échanges de données, les capacités de calcul critiques et sur des domaines jugés stratégiques (environnement, santé, secteur public, mobilité, affaires intérieures, agriculture et robotique).
Trouver le juste équilibre
« Nous ne voulons pas bannir l’IA, nous voulons la réguler », résume, en une formule, le député européen Axel Voss.
« Nous ne devons pas tout sur-réglementer. Nous devons trouver un juste équilibre pour préserver d’une part l’innovation et le développement, et d’autre part pour garantir certaines valeurs que nous avons toujours à l’esprit », explique-t-il au MagIT.
Ceci étant, le rapporteur allemand de la commission spéciale sur l’IA invite les entrepreneurs et les entreprises à ne pas attendre les réglementations. Et pour cause. La finalisation d’une procédure après une proposition de la Commission prend en moyenne deux ans.
« Si vous avez une idée dans l’IA : faites-la ! […] La compétition est intense. Si vous attendez la réglementation, votre idée sera prise et vos concurrents gagneront », conseille Axel Voss. « Il faut juste savoir que nous nous pencherons toujours sur des aspects de sécurité, de protection des utilisateurs et de respect de la vie privée […] Cela doit juste être clair pour tous ceux qui développent l’IA dans l’optique d’un État démocratique […] Ajoutez ces aspects à votre idée dès à présent – même si nous n’avons pas encore de réglementation spécifique – mais développez-la et allez de l’avant », invite-t-il.
De fait, l’équilibre entre limites et soutien semble plutôt bien trouvé dans l’ébauche de la réglementation sur l’IA. C’est en tout cas la position en France de Syntec Numérique. Le syndicat professionnel des acteurs du secteur se félicite, dans un communiqué officiel, « que la Commission adopte une approche fondée sur le risque et reste attentive à ce que les nouvelles exigences soient suffisamment simples et claires ; et que la mise en œuvre de l’initiative soit suffisamment ambitieuse pour accompagner l’Europe à devenir un pôle mondial de l’IA ».
Vers un Small Business Act européen ?
Ibán García del BlancoDéputé européen
« Nous devons trouver le bon équilibre entre la promotion d’une IA bienveillante (welfare AI) et le soutien à l’innovation en Europe. C’est notre défi », confirme le député européen Ibán García del Blanco. « Mais c’est notre défi dans tous les domaines. Nous sommes l’Union européenne. Nous avons des règles. Nous avons des principes. Peu importe que vous soyez petit ou grand. Mais, oui, dans le même temps, nous devons disposer d’outils clairs afin de soutenir ces petits ».
Quels outils, justement ? « Je pense que nous devons répondre à la nécessité pour les PME et les start-up de bénéficier d’une forme de soutien de la part du secteur public européen et des secteurs publics nationaux », répond-il au MagIT.
« À cet égard. Je suis très favorable à la création d’une sorte d’agence européenne pour obtenir ces soutiens. Nous devons respecter des principes fondamentaux, mais nous ne devons pas étouffer l’innovation et les investissements. C’est très clair ». Ou comment le RGPD de l’IA pourrait être complété par un vrai « Small Business Act » à l’Européenne ?