Un règlement européen pour l’IA
Le 21 avril 2021, la Commission européenne (CE) a dévoilé une proposition de règlement pour l’usage de l’intelligence artificielle (IA).
Arnaud Latil, enseignant-chercheur en droit à Sorbonne Université, spécialiste de la propriété intellectuelle et du droit numérique, s’est penché sur le texte. Il en décrypte les grandes avancées et les lacunes.
Pourquoi faut-il réglementer l’IA ?
Arnaud Latil : Jusqu’au 21 avril, date de la présentation par la CE de la proposition de Règlement sur l’IA, il n’y avait pas de réglementation propre à ce sujet bien que certaines dispositions pouvaient s’y appliquer, comme en matière de droit à la vie privée avec le RGPD1. Sauf que l’IA pose de nombreuses autres questions. Qui est responsable en cas de dommages causés par une IA ? Peut-on tout faire avec l’IA ? Les usages controversés sont nombreux : reconnaissance biométrique, scoring social2, agents conversationnels, détection des émotions… Depuis sa naissance dans les années 1950 jusqu’à sa réémergence en 2011-2012, ce n’était pas une technologie réellement opérationnelle. De fait, personne ne s’est donné la peine de la réglementer. Avec la montée en puissance des processeurs et l’avènement du big data, c’est devenue une technologie d’avenir. De 2015 à 2020, la plupart des États ont adopté des « plans IA », des politiques publiques pour débloquer de l’argent pour la recherche. Une fois celle-ci financée et la technologie à peu près mature, car déjà partiellement commercialisée, le moment était venu de proposer un droit applicable pour donner confiance aux utilisateurs et encourager les entreprises à investir dans l’IA et en commercialiser des outils. Jusque-là, les entreprises les proposaient sans cadre légal déterminé.
Comment vous êtes-vous emparé du texte de la proposition ?
A. L. : Avant cette proposition, l’IA n’était pas un sujet juridique. Cela faisait quelques années que la CE travaillait à un texte. L’arrivée d’Ursula von der Leyen à sa tête et de Thierry Breton comme commissaire chargé du numérique ont accéléré les choses. Avant le 21 avril, plus de 300 textes d’éthique de l’IA avaient été proposés par des organisations internationales, des think tanks ou des entreprises. Quand la proposition de réglementation est parue, SU étant un des grands pôles européens de recherche en IA, il était normal de s’y intéresser. J’ai donc alerté les instances dirigeantes de l’université en indiquant qu’il était important que sa communauté de chercheurs en IA soit au courant des projets de la CE. Mon travail a consisté à dégager les avantages de cette proposition, les inconvénients, les risques, les dangers, les potentialités. Bref, d’avoir une approche critique sur ce texte juridique qui, s’il est adopté, sera le premier à porter sur l’IA et aura un impact fort sur la communauté des chercheurs.
Cette réglementation n’est-elle pas en retard face à l’essor des géants du numérique ?A. L. : C’est vrai mais, par définition, une réglementation ne peut précéder une technologie émergente, dont les enjeux sont inconnus.
Arnaud LatilCe règlement ne fait que décrire les conditions pour que les produits d’IA puissent être commercialisés sur le marché unique européen.
Créer une règle de droit, au niveau national ou européen, implique un processus démocratique nécessairement long. Le RGPD date de 2016, les enjeux de vie privée liés aux cookies et aux moteurs de recherche de bien avant. Il y a toujours un décalage. D’autant plus qu’avant l’adoption d’une réglementation juridique, il existe toujours des règles éthiques, des usages et des coutumes. Mais tant qu’il n’y en avait pas de commune, chacun se dotait de ses propres règles.
Qu’en attendez-vous ?
A. L. : L’approche retenue par la CE repose sur une pyramide des risques, consistant à distinguer les usages interdits de ceux autorisés mais encadrés, plus ou moins strictement suivant leur dangerosité. Certains cas d’usage de l’IA seront ainsi interdits car jugés trop attentatoires aux droits fondamentaux, à la dignité, à la liberté et à la sécurité, comme le scoring social ou la reconnaissance faciale dans un but commercial. D’autres, dits à haut risque, seront strictement encadrés, via des certifications garantissant la sécurité des produits et l’information des consommateurs. D’autres encore seront autorisés sans obligation particulière. Cela orientera les entreprises dans leurs choix et créera de nouveaux métiers, y compris dans les universités, notamment pour maîtriser l’encadrement juridique de l’IA et s’assurer de l’application de la réglementation, un peu à la manière des Délégués à la protection des données.
Répond-elle à toutes les questions liées à l’IA ?
A. L. : De nombreux points sont lacunaires. D’abord, il n’y a rien sur la recherche, juste un paragraphe dans l’introduction qui indique que l’encadrement des usages à haut risque ne porte pas atteinte aux activités de recherche. Mais rien sur les usages interdits. La santé et l’environnement en sont aussi totalement absents. Pas un mot non plus sur la propriété intellectuelle ou les droits d’auteur sur des créations issues d’IA. Ensuite, des difficultés d’articulation avec des règles juridiques existantes, comme en matière de vie privée, sont à prévoir. En réalité, ce règlement ne fait que décrire les conditions pour que les produits d’IA puissent être commercialisés sur le marché unique européen.
À quelle échéance verra-t-elle le jour ?
A. L. : Cela peut être rapide… ou ne jamais voir le jour ! L’UE veut se positionner comme leader de l’IA éthique et respectueuse des droits fondamentaux face aux GAFAM et à la Chine. Les entreprises qui veulent continuer à commercer sur le marché européen devront s’adapter. Cela aura peut-être un effet d’entraînement sur les autres pays.
1 Le Règlement général sur la protection des données à caractère personnel est un texte encadrant le traitement des données personnelles dans l’Union européenne.
2 Technique de marketing qui consiste à attribuer un score à un client pour en définir la typologie.