AI Act : vers une responsabilisation des éditeurs
Alors que l’AI Act est perçu comme un futur outil réglementaire pour encadrer les usages risqués de l’IA, certains parlementaires européens poussent pour que le texte serve de modèle à un standard international. Ils veulent aussi que la réglementation européenne engage la responsabilité des offreurs de solutions d’IA.
Table ronde, AI France Summit 2022 - En sus du Digital Service Act (DSA) et du Digital Market Act (DMA) – votés et approuvés le 5 juillet 2022 par le Parlement européen – les institutions européennes travaillent depuis l’année dernière sur l’AI Act.
Ce texte porte deux ambitions. Il doit poser les bases d’une réglementation de l’intelligence artificielle et favoriser le soutien aux entreprises européennes dans ce domaine.
Mais certains souhaiteraient que cette réglementation ait une portée internationale. C’est le cas d’Éva Maydell.
La députée européenne PPE (Démocrates-Chrétien, positionné à droite) a été rapporteur d'un avis de la commission "ITRE" (Industrie, Recherche et Énergie) sur le projet de loi – un avis demandé par les deux commissions chargées de l'IA Act au Parlement (la commission du marché intérieur et de la protection des consommateurs et la commission des libertés civiles, de la justice et des affaires intérieures). L'eurodéputée est une bonne connaisseuse de ces questions puisqu'elle a également une des coordinateurs de la commission spéciale AIDA (Artificial Intelligence on a Digital Age). Cette commission provisoire – qui a terminé sa mission en mars 2022 – a réalisé les travaux préparatoires (consultations, rapport, etc.) pour la prise de position du Parlement, actuellement en cours.
« Beaucoup à Bruxelles aiment à penser que les législations numériques que nous mettons en place sont des règles d’or, comme le RPGD, par exemple. Je pense que c’est une noble et digne quête, mais nous devons regarder au-delà pour pouvoir établir un standard international [consacré à l’IA] », déclare-t-elle dans un message vidéo diffusé lors de la troisième édition de la conférence AI France Summit 2022 était organisée le 5 juillet 2022 par Numeum.
En ce sens, l’une des priorités de l’eurodéputée est de « fournir une définition concise et internationalement reconnue d’un système d’intelligence artificielle ».
« Nous allons donc demander que cette définition soit conforme à celle de nos partenaires internationaux, comme l’OCDE », poursuit-elle. « À mon avis, il serait insensé d’avoir des régimes réglementaires temporaires auxquels les entreprises doivent chercher à se conformer ».
Cette volonté fait écho aux deux objectifs du projet de loi – projet qui souhaite réguler, mais sans pénaliser les entreprises européennes, bien moins établies sur le marché que leurs concurrentes américaines ou chinoises.
Eva MaydellDéputée européenne
« Il convient d’établir des normes exigeantes, mais réalistes pour les entreprises », affirme Éva Maydell. « Il n’existe pas d’ensembles de données parfaits ou de systèmes 100 % sécurisés. Nous devons donc définir des exigences en matière d’exactitude, de robustesse, de cybersécurité et de droits sur les données. Et ces exigences doivent être flexibles, sinon seuls les grands acteurs seront en mesure de les gérer ».
Un chevauchement des cadres réglementaires
Une telle « flexibilité » du cadre légal serait parfaitement atteignable si l’on considère les chevauchements de l’AI Act avec les réglementations existantes, européennes et locales.
« En France, il n’y a pas véritablement besoin d’un nouveau texte législatif », avance Bertrand Pailhès, directeur des technologies et des innovations à la CNIL, « la loi Informatique et Libertés et le RGPD en 2018 ont introduit une forme de réglementation, non pas des données, contrairement à ce que l’on pense souvent, mais des traitements de données ». Or, ajoute-t-il, « un traitement de données implique globalement l’utilisation d’un algorithme. L’IA représente la nouvelle génération des algorithmes ».
« Donc, en l’état, la loi, notamment le RPGD, permet d’encadrer un certain nombre de traitements d’intelligence artificielle », conclut-il lors d’une table ronde d’AI France Summit.
Dans ce cas, y a-t-il vraiment besoin d’une nouvelle réglementation pour encadrer l’IA ? Mathieu Weill, chef du service de l’économie numérique à la DGE, pense que oui. Et pas seulement pour des raisons légales.
Mathieu WeillChef de service de l'économie numérique, DGE
« Il y a déjà un cadre. Certains pourraient dire : “il est déjà assez lourd, merci !”. Je l’ai déjà entendu, mais je pense qu’il faut être clair entre nous : l’intelligence artificielle, c’est un sujet politique », déclare-t-il. « Ce n’est pas que de la technique [et] de la technologie. C’est un sujet qui soulève beaucoup de fantasmes et qui pose des questions de société ».
« L’IA Act oscille entre deux choses », observe pour sa part Renaud Vedel, coordinateur de la stratégie nationale française en intelligence artificielle. « D’une part, traiter par une surcouche de réglementations les problèmes spécifiques à ce nouveau courant qu’est le deep learning. [Et d’autre part], englober de manière très large toutes les questions de gouvernance algorithmique pour ne pas se retrouver dépossédé et conserver la maîtrise malgré les évolutions permanentes des technologies ».
Prendre en compte la responsabilité des fournisseurs de solutions d’IA
Selon Bertrand Pailhès, la CNIL a pu prendre par le passé « des positions de doctrine » et statuer sur des mesures précises à prendre dans le cadre de projets d’IA menés par, ou pour des instances publiques françaises ainsi que dans des secteurs régulés (finance, santé, par exemple).
Quant aux entreprises, elles sont sous le régime de « l’accountability ». « Chaque entreprise est responsable de sa conformité, nous n’allons pas forcément regarder tous les détails de la mise en œuvre », rappelle-t-il.
Et c’est sans doute sur ce volet que l’AI Act peut combler un manque, continue le CTO de la CNIL. « Le cadre actuel du RGPD s’adresse à des responsables de traitement et à des sous-traitants, à des gens qui mettent en place des algorithmes. Mais ils ne s’adressent pas directement aux fournisseurs de solutions », explique-t-il. « Je pense que c’est l’un des axes intéressants du nouveau règlement : la possibilité d’avoir des discussions avec les acteurs qui mettent des produits sur le marché ». Évidemment, les éditeurs ne sont pas tous européens.
Bertrand PaihlèsDirecteur des technologies et de l'innovation, CNIL
De son côté, le responsable à la DGE estime que la régulation de l’IA n’est pas seulement une affaire de protection des données personnelles ou sensibles. Il faut réguler les usages critiques, par exemple le guidage des véhicules autonomes. C’est justement pour cela que la notion de responsabilité partagée entre clients et éditeurs prend tout son sens à ses yeux.
« Il y a des sujets sur la capacité à faire porter une partie des responsabilités, pas seulement sur l’utilisateur du système d’IA, mais aussi sur les offreurs de solutions, surtout quand elles sont génériques », remarque Mathieu Weill. « Il ne faut pas que ce soit encore une fois les industries européennes qui subissent le poids de la régulation ».
Ces solutions de traitement génériques sont plus nombreuses dans les catalogues des fournisseurs américains que celles des éditeurs européens.
Rétablir l’équilibre des forces
En filigrane, c’est un bras de fer qui se prépare. Le fait que cette intention de réguler l’IA provient des instances de l’Union européenne n’a rien d’anodin, d’après Mathieu Weill. « Sans capacités d’innovation, sans acteurs impliqués à la fois dans l’utilisation et la fourniture de solutions, on se fera imposer ces règles par d’autres régions du monde », prévient le chef de service à la DGE.
Mathieu WeillDGE
Ses propos semblent faire écho aux problématiques posées par l’extraterritorialité du droit américain appliqué aux services cloud des fournisseurs américains. Des fournisseurs qui dominent allégrement le marché de l’IA.
« Si l’on veut peser dans la balance, c’est évidemment au plan européen que l’on a une chance de le faire, parce que le marché européen – 470 à 500 millions de consommateurs – est incontournable, y compris pour les acteurs américains qui se présentent comme les géants, les vainqueurs. Sans marché européen, ils n’existent pas. Ils perdent », tranche Mathieu Weill.
Encore un long chemin législatif
Encore faut-il que le Parlement (les députés) s'accorde en interne puis avec le Conseil de l’Union européenne (les ministres des États membres).
L’intrication et l’articulation des enjeux techniques, légaux, éthiques et commerciaux engendreraient des débats houleux.
« [Éva Maydell] n’est pas la seule au Parlement – elle est rapporteur pour la commission Industrie, qui est très tournée vers l’offre. La Commission n’est pas exactement sur le même point de départ de discussion… c’est un euphémisme », commente Mathieu Weill. « Nous allons avoir un débat assez dur au sein du Parlement. Pour avoir mené les travaux de la présidence française, je peux vous dire que les débats sont complexes. Et dans chaque État membre, il y a [aussi] des discussions entre les ministères de l’Intérieur, de la Justice et d’autres ».
Selon Éva Maydell, les deux commissions parlementaires chargées de l'AI Act – IMCO (Commission du marché intérieur et de la protection des consommateurs) et LIBE (Commission des libertés civiles, de la justice et des affaires intérieures) – devraient publier leur rapport en octobre. Le texte parlementaire devrait ensuite être soumis au vote de tous les parlementaires en novembre.
« Après quoi, le dialogue entre les trois principales institutions européennes débutera », rappelle-t-elle. De quoi laisser le temps aux entreprises et aux éditeurs de faire part de leurs retours aux différentes parties prenantes.