AI Act : tout sur l’accord provisoire « historique »

Après 37 heures de débat en trois jours, dont une session de 22 heures d’affilée, le Parlement européen et le Conseil de l’Union européenne ont annoncé le vendredi 8 décembre, peu avant minuit, un accord politique provisoire concernant l’AI Act. Le Parlement a effectué quelques concessions, mais le texte conserve ses grands principes.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Applications & Données: Applications et données 23 – No-code : le ministère des Armées modernise ses processus

Pour rappel, la Commission européenne a lancé un projet de législation en 2021 sur l’exploitation de l’intelligence artificielle dans des produits ou systèmes. Les organes législatifs ont statué sur une classification des niveaux de risques (minimaux, limités, élevés et inacceptables) en vue de protéger les citoyens, les entreprises et les institutions.

Ainsi, les colégislateurs sont d’accord pour bannir certains cas d’usage, mais de manière circonstanciée.

« Les systèmes de catégorisation biométrique qui utilisent des caractéristiques sensibles (les convictions politiques, religieuses ou philosophiques, l’orientation sexuelle, la race, etc.) ; l’extraction non ciblée d’images de visages d’Internet ou de vidéosurveillance pour créer des bases de données de reconnaissance faciale ; la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement ; la notation sociale basée sur le comportement social ou les caractéristiques personnelles » et « les systèmes d’IA qui manipulent le comportement humain pour contourner son libre arbitre » seront prohibés.

La reconnaissance faciale policière ne sera pas interdite, mais soumise à autorisation judiciaire

Pour autant, le Parlement et le Conseil de l’UE ont prévu des exceptions. Les systèmes d’identification biométrique en temps réel à distance pourront être utilisés dans l’espace public par les forces de l’ordre des pays de l’UE après l’obtention d’une autorisation judiciaire. Les usages devront se limiter à « la recherche ciblée de victimes (enlèvement, traite, exploitation sexuelle), à la prévention d’une menace terroriste précise et actuelle et à la localisation ou l’identification d’une personne soupçonnée d’avoir commis l’un des crimes spécifiques mentionnés dans le règlement (terrorisme, traite, exploitation sexuelle, meurtre, enlèvement, viol, vol à main armée, participation à une organisation criminelle, crime contre l’environnement) ». Les systèmes d’IA militaires ou de défense devraient bénéficier de la même exemption.

Une exception qui fait déjà l’objet des critiques de la part des ONG et d’associations de protection des libertés.

« Il est décevant de voir le Parlement européen succomber à la pression des États membres et renoncer à sa position initiale, [...] notamment à l’interdiction inconditionnelle de la reconnaissance faciale en direct. »
Amnesty TechAmnesty International

« Il est décevant de voir le Parlement européen succomber à la pression des États membres et renoncer à sa position initiale, qui offrait de solides protections, notamment une interdiction inconditionnelle de la reconnaissance faciale en direct », écrit Amnesty Tech, une branche d’Amnesty International sur X (Twitter).

Les systèmes dits à haut risque seront soumis à « des obligations claires », défendent les colégislateurs européens. Leurs propriétaires devront mettre en place des systèmes d’atténuation des risques, justifier d’une « qualité élevée des jeux de données », d’une piste d’audit, produire une documentation détaillée et fournir des informations claires pour les usagers finaux, assurer une supervision humaine et « un niveau élevé de robustesse, de précision et de cybersécurité ».

Les négociateurs des deux institutions précisent que les outils d’IA d’accréditation des assurances et des banques, ainsi que les systèmes « utilisés pour influencer les résultats des élections » intègrent cette liste.

« Les citoyens auront le droit de déposer des plaintes concernant les systèmes d’IA et de recevoir des explications sur les décisions basées sur des systèmes d’IA à haut risque qui ont une incidence sur leurs droits », lit-on dans un communiqué de presse.

Huit catégories d’IA à haut risque

Le Parlement européen avait déjà listé huit catégories de cas d’usage à haut risque :

  • L’identification biométrique et la catégorisation des personnes physiques
  • La gestion et exploitation des infrastructures critiques (transports, lieux de production d’énergie, hôpitaux)
  • L’éducation et la formation professionnelle
  • L’emploi, gestion des travailleurs et accès au travail indépendant
  • L’accès et jouissance des services privés essentiels et des services et prestations publics
  • L’application de la loi
  • La gestion des migrations, de l’asile et des contrôles aux frontières
  • L’aide à l’interprétation et à l’application de la loi

 

Les plus gros LLM posent des risques « systémiques », selon les colégislateurs

Il restait à déterminer le sort des modèles d’IA à visée générale et d’IA générative. Si les législateurs ont envisagé de classer tous les LLM comme des systèmes à haut risque, l’accord est plus subtil.

Dans la majorité des cas, les entreprises et leurs fournisseurs devront élaborer une documentation technique, justifier du respect de la législation européenne sur les droits d’auteur et produire un résumé détaillé concernant les jeux de données exploités lors de l’entraînement.

En revanche, les réseaux de neurones génériques et les grands modèles de langage (LLM) « à fort impact et à risque systémique » seront soumis à des évaluations, à des mécanismes d’atténuations (des filtres) des risques, à des tests d’attaques par exemple contradictoires. Les entreprises devront justifier d’une cybersécurité « renforcée » et effectuer un rapport sur leur efficience énergétique (un travail déjà effectué par Google, par exemple). Les fournisseurs et les entreprises qui les utilisent auront l’obligation de signaler à la Commission européenne les incidents « majeurs ».

Une méthode de classification des grands modèles à préciser

La méthode de classification pour juger si un modèle pose un risque systémique dépendra de l’avis d’un « panel de scientifiques indépendants ».

Dans un premier temps, il est établi qu’un algorithme ou un modèle entraîné avec une puissance de plus de 10^25 FLOPS entre automatiquement dans cette catégorie. Pour information, l’entraînement initial de GPT-3-175B d’OpenAI (175 millions de paramètres) a réclamé 3,14^23 FLOPS, tandis que celui de PaLM-540B de Google (540 milliards de paramètres) a nécessité 2527,2 Zettaflops, presque 3^24 FLOPS ou environ 2,52 Yottaflops. Selon l’institut de recherche Epoch, seul GPT-4 entre actuellement dans cette catégorie avec une puissance de calcul estimée (mais officieuse, contrairement aux autres valeurs exprimées dans cet article) à 2^25 FLOPS. Depuis l’émergence de ChatGPT, OpenAI, Google et Anthropic ne partagent plus officiellement leurs estimations de puissance de calcul pour des raisons commerciales.

« Nous savons que ce n’est pas une métrique forcément pertinente puisqu’elle est sujette à évolution et qu’elle pourrait n’être plus valable dans deux ans, au moment d’appliquer le texte », renseigne Carme Artigas Brugal, secrétaire d’État espagnole du numérique et de l’intelligence artificielle, lors d’une conférence de presse. « C’est pour cela que nous avons déjà un mécanisme adaptatif pour prendre en compte d’autres indicateurs clés […] ».

Ces critères d’évaluation, dont le nombre d’utilisateurs professionnels et le nombre de paramètres, seront précisés à la publication du texte de l’AI Act et évolueront suivant les retours du panel de scientifiques.

Ce panel interagira avec l’European AI Office, un nouveau bureau au sein de la Commission, dont le rôle sera de superviser l’implantation et l’application de la réglementation à l’échelle de l’Union européenne.

À l’inférence, les IA utilisées pour produire du contenu textuel, audio ou vidéo et interagir avec des utilisateurs seront soumises à des règles de transparence : les utilisateurs devront être informés s’ils interagissent avec un agent conversationnel, les contenus générés devront être labélisés, tandis que l’utilisation d’outils d’analyse des sentiments devra être signalée. « En outre, les fournisseurs devront concevoir des systèmes de manière que les contenus synthétiques audio, vidéo, textes et images soient marqués dans un format lisible par une machine et détectables comme étant générés ou manipulés artificiellement », informe la Commission européenne.

Les travaux de recherche et les modèles open source qui n’entrent pas dans la catégorie systémique ne seront pas soumis à ces obligations.  

En cas de non-respect de la réglementation, les législateurs ont prévu des amendes allant de 7,5 millions d’euros ou 1,5 % du chiffre d’affaires jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial d’une entreprise.

Innovation : le doute français

Les colégislateurs assurent qu’ils ne veulent pas freiner l’innovation et les projets des startups européennes. Dans le cadre de l’AI Act, cela se matérialise par l’accès à des bancs d’essais et des bacs à sable nationaux avant la commercialisation de leurs produits. En France, ContentSquare, Lifen et Hugging Face bénéficieront de ce système d’accompagnement en cours de mise en place par la CNIL.  

« C’est cette vision qui nous a guidés lorsque nous avons présenté pour la première fois la loi sur l’IA en avril 2021, et à nouveau il y a quelques semaines, lorsque nous avons décidé d’ouvrir nos supercalculateurs de classe mondiale aux startups et aux PME européennes spécialisées dans l’IA », assure Ursula von der Leyen, présidente de la Commission européenne. « En accélérant l’entraînement et les essais en matière d’IA […], nous aiderons la communauté de l’IA de l’UE à se développer de manière responsable. Parallèlement, nous investissons plus d’un milliard d’euros par an dans la recherche et l’innovation en matière d’IA, grâce aux programmes Horizon Europe et Digital Europe », ajoute-t-elle.

« Nous allons examiner très attentivement l’accord qui a été trouvé, et [...] faire en sorte que la capacité d’innovation soit préservée en Europe ».
Jean-Noël BarrotMinistre délégué chargé de la transition numérique et des télécommunications

Une approche qui ne semble pas suffisante pour le gouvernement français, qui, comme ses homologues italiens et allemands, veut favoriser l’émergence de champions européens de l’IA générative. En ce sens, Jean-Noël Barrot, ministre délégué chargé de la transition numérique et des télécommunications, l’accord politique « est une étape ».

« Nous allons examiner très attentivement l’accord qui a été trouvé, et, dans les discussions qui vont nécessairement se poursuivre, notamment pour régler un certain nombre de détails – le diable se cache souvent dans les détails – faire en sorte que la capacité d’innovation soit préservée en Europe », a-t-il déclaré sur le plateau de France Inter.

Les négociateurs du Parlement européen et du Conseil de l’UE, eux, se sont félicités de l’obtention de l’accord provisoire, après d’âpres négociations. « Historique ! », s’est exclamé Thierry Breton, commissaire européen au Marché intérieur, sur X.

Un avis partagé par Enza Iannapollo, analyste principale chez Forrester.

« L'accord conclu marque un moment historique et renforce l'avance de l'Europe sur la question de politique technologique la plus urgente pour notre génération ».
Enza IannapolloAnalyste principale, Forrester

« L’accord conclu marque un moment historique et renforce l’avance de l’Europe sur la question de politique technologique la plus urgente pour notre génération », juge-t-elle dans un message envoyé aux rédactions. « Il nous donne une plus grande certitude quant à l’arrivée d’une réglementation de l’IA complète, basée sur les risques et fondée sur des principes. Malgré les critiques, il s’agit d’une bonne nouvelle pour les entreprises et la société ».

Les entreprises invitées à appliquer l’AI Act en avance

Pour autant, le texte doit encore être formellement adopté par le Parlement européen et le Conseil de l’UE. Selon Luca Bertuzzi, un journaliste à Euractiv qui suit de très près l’évolution de l’AI Act depuis l’annonce de la Commission européenne en 2021, cela « prendra du temps ».

« Quatre réunions techniques sont prévues cette semaine, et il pourrait y en avoir autant, voire plus, en janvier. L’approbation du COREPER [Comité des représentants permanents] n’est attendue que pour la fin du mois de janvier », indique-t-il sur X.

« Bien entendu, il reste encore beaucoup de travail à accomplir. Il y a l’adoption de la loi finale au printemps, la création d’un code de conduite et de normes techniques, et la mise en place de réseaux d’application », liste Enza Iannapollo. « Les entreprises doivent commencer à planifier leur feuille de route en matière de conformité et organiser leurs équipes pour la mettre en œuvre dès aujourd’hui », conseille-t-elle.

De son côté, la Commission européenne encourage les entreprises à signer le Pacte sur l’IA, une initiative pour permettre aux entreprises de s’engager volontairement à appliquer les obligations de l’AI Act avant son entrée en vigueur et de partager de bonnes pratiques. « Une centaine d’entreprises ont déjà manifesté leur intérêt pour notre pacte sur l’IA », vante Usurla von der Layen. Une stratégie alignée avec celle de plusieurs entreprises françaises, dont les membres de Positive AI.

Pour approfondir sur Réglementations et Souveraineté