L’AI Act dans sa version finale – provisoire –, une hydre à trois têtes

12.03.2024

Le règlement sur l’IA a vocation à être voté par le Parlement européen dans son ensemble le 13 mars 2024 et à faire l’objet d’une version finale définitive le 22 avril 2024, en vue d’une publication ultérieure au Journal officiel de l’Union européenne. Un texte tricéphale, hydre à trois têtes, d’une lecture complexe et suscitant, ce faisant, autant d’espoirs que de regrets.

Après d’âpres négociations initiées par une proposition de la Commission européenne le 21 avril 2021 (proposition de règl. du 21 avr. 2021 établissant des règles harmonisées concernant l’IA [législation sur l’IA], COM/2021/206 final), qui a été suivie d’une orientation générale du Conseil le 6 décembre 2022, soit une semaine après la mise sur le marché mondial du système d’IA générative à usage général ChatGPT (J. Sénéchal, L’IA Act déjà obsolète face aux IA de nouvelle génération ? L’exemple de ChatGPT, Dalloz actualité, 1^er févr. 2023), d’amendements parlementaires très éloignés des versions initiales de la Commission et du Conseil (J. Sénéchal, Vote des Parlementaires européens sur l’AI Act : vers une réglementation accrue des IA, des modèles de fondation et des IA génératives, s’inspirant du DSA, du Data Act et du RGPD ?, Dalloz actualité, 22 juin 2023), d’un accord politique en trilogue le 8 décembre 2023, d’une version finale provisoire (le caractère concerne en particulier la numérotation des articles de l’AI Act qui a encore vocation à évoluer) rendue publique le 2 février 2024, n’ayant pas entraîné de remise en cause de l’accord interinstitutionnel préalablement obtenu, ni par le Conseil, ni par le Parlement européen, le règlement sur l’IA a vocation à être voté par le Parlement européen dans son ensemble le 13 mars 2024 et à faire l’objet d’une version finale définitive le 22 avril 2024, en vue d’une publication ultérieure au Journal officiel de l’Union européenne (ce texte sera ensuite complété par de nombreux actes délégués, actes d’exécution, lignes directrices, normes standardisées, lois nationales d’adaptation, et désignations d’une pluralité d’autorités au niveau national et européen…).

La négociation de cet instrument a été ardue, car celle-ci portait au départ sur une nouvelle législation relative à la sécurité des produits, dans le prolongement du « nouveau cadre législatif » (les principaux aspects de ce « nouveau cadre législatif » sont présentés dans la communication de la Comm. UE du 29 juin 2022 concernant le « Guide bleu » relatif à la mise en œuvre de la réglementation de l’UE sur les produits 2022 [2022/C 247/01]) applicable à la commercialisation des produits sur le marché européen et spécifiquement applicable aux systèmes d’intelligence artificielle (SIA).

Cette optique initiale, envisageant le SIA comme un produit, à l’instar des jouets, des ascenseurs ou des dispositifs médicaux qui bénéficient d’ores et déjà d’une telle législation sur la prévention des atteintes à la sécurité, a été bousculée par la mise sur le marché mondial en novembre 2022 d’un système d’intelligence artificielle à usage général, générant du texte et du code, ChatGPT, lui-même développé sur la base d’un modèle de fondation à usage général (Center for Research on Foundation Models (CRFM) at the Stanford Institute for Human-Centered Artificial Intelligence (HAI), On the Opportunities and Risks of Foundation Models, arXiv:2108.07258 [cs.LG], 12 juill. 2022), fournis l’un et l’autre par l’entreprise Open AI, suivis de la mise sur le marché de plusieurs autres modèles d’IA à usage général, aux rangs desquels les Large Langage Models de la société Mistral et de plusieurs autres systèmes d’IA génératifs, aux rangs desquels le tout récent système de génération de vidéos, Sora.

La rupture technologique découlant de la capacité d’« usage général » de ces nouveaux SIA et de l’engouement des utilisateurs qui en a immédiatement découlé, a, en premier lieu, éloigné ces « systèmes » de la notion classique de produit, envisagé comme un simple « outil » (J. Sénéchal, Les dynamiques actuelles de la future régulation de l’IA, aux niveaux européen et français, oscillant entre complexité et angle mort : l’IA générative, en tant que substitut au langage humain, peut-elle être régulée comme un simple « outil » ?, Dalloz actualité, 19 oct. 2023) technique doté d’un certain nombre de fonctions déterminées, pour se rapprocher de notions plus souples et polyvalentes, telles que celles de services numériques et de contenus illicites au sens du Digital Services Act (DSA) (Règl. [UE] 2022/2065 du 19 oct. 2022 relatif à un marché unique des services numériques et modifiant la dir. 2000/31/CE, JO L 277 du 27 oct. 2022, p. 1), et ce pour une double raison. D’un premier côté, ces systèmes d’IA à usage général ont immédiatement été proposés comme des services complémentaires par des fournisseurs de services numériques de moteur de recherche, de réseaux sociaux, ou de places de marché au sens du DSA (DSA, art. 3). D’un second côté, ces systèmes d’IA à usage général, en tant qu’IA génératives, peuvent produire, au titre de leurs résultats en sortie, des deep fakes (AI Act, art. 3 (numérotation provisoire), « deep fake means AI generated or manipulated image, audio or video content that resembles existing persons, objects, places or other entities or events and would falsely appear to a person to be authentic or truthful ») ou « hypertrucages » qui pourraient, pour certains, être qualifiés de contenus illicites (DSA, art. 3) et qui auront, en outre, potentiellement vocation à circuler massivement sur les services de plateformes en ligne. L’on pense par exemple aux deepfakes pornographiques de la chanteuse américaine Taylor Swift qui ont récemment fait l’objet de 47 millions de vues en quelques heures sur un service numérique de réseau social (Taylor Swift victime de fausses images pornographiques, l’intelligence artificielle en accusation, Le Monde, 26 janv. 2024.

En second lieu, cette capacité d’usage général des IA génératives, couplée à une capacité d’interaction avec l’humain, a créé des préoccupations accrues pour la protection des droits fondamentaux chez les parlementaires européens, qui se sont traduites par un accroissement, au sein de la version finale de l’AI Act, de leur prise en compte.

Cette approche initiale centrée sur la sécurité des produits, complétée par deux niveaux de préoccupation supplémentaires, a abouti à un texte tricéphale, hydre à trois têtes, d’une lecture complexe et suscitant, ce faisant, autant d’espoirs que de regrets (K. Zenner, Some personal reflections on the EU AI Act: a bittersweet ending, 14 févr. 2024), et reposant sur un premier socle stable et transversal, trouvé dans la généralité de la définition du système d’IA et de la protection des droits fondamentaux de l’humain confronté à ce système, suivi d’un second niveau de réglementation envisageant le SIA comme un produit (à l’instar d’un jouet, d’un ascenseur ou d’un dispositif médical), dans une logique de prévention des « hauts risques » d’atteinte à la sécurité, dans une longue lignée d’initiatives européennes sur ce thème, puis complétée d’un troisième niveau de réglementation, qui fut le plus débattu en trilogue, inspiré du Digital Services Act et consacré à la prévention de « risques systémiques », attachés au développement et au déploiement de modèles et systèmes d’IA génératifs à usage général, et découlant, non pas de la circulation et de la diffusion de données, mais de la production, de la génération de données nouvelles, qui pourront ensuite être diffusées au public.

Premier niveau de réglementation : généralité de la définition du système d’IA et de la protection des droits fondamentaux

Une définition large du système d’IA, ne faisant référence ni à la notion de produit, ni à celle de service

La définition des SIA trouvée dans la version finale du texte à l’article 3.1 (numérotation provisoire) : « "AI system" is a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments » est une définition très large, ne faisant référence ni à la notion de produit, ni à celle de service numérique, et qui n’est en réalité pas très éloignée de la définition que pourrait recevoir la notion de programme informatique.

La largeur de cette définition n’est que très partiellement tempérée par le considérant 6 (numérotation provisoire) de l’AI Act, dont la valeur normative peut être interrogée, et qui vient restreindre la définition du SIA à deux approches d’intelligence artificielle, qui étaient initialement visées par l’annexe I de la proposition de la Commission européenne du 21 avril 2021 – supprimée dans la version finale –, à savoir l’approche connexionniste trouvée dans la référence au « machine learning » et l’approche symbolique trouvée dans la référence à la « logic-and knowledge-based approach ». Le choix d’une définition large trouve sa source non seulement dans la volonté des institutions européennes d’aligner la définition européenne de l’IA avec celle de l’OCDE (Recomm. OCDE sur l’IA, adoptée le 22 mai 2019 et amendée le 8 nov. 2023), mais également dans la volonté de ces mêmes Institutions de retenir, au moins partiellement, une approche par les risques de la réglementation de l’Intelligence artificielle. En effet, ainsi que nous le verrons, sont principalement saisis par ce règlement les systèmes d’IA à risque inacceptable, à haut risque, et à risque systémique, laissant, sauf au titre des obligations de transparence à l’égard de l’humain interagissant avec des SIA qui s’imposent à l’ensemble des systèmes d’IA, les systèmes d’IA à risque faible ou modéré en dehors de toute réglementation.

Les multiples facettes de la protection des droits fondamentaux

Une protection accrue et transversale des droits de l’humain

En premier lieu, à l’issue des négociations, la protection des droits fondamentaux, telle que consacrée dans la Charte des droits fondamentaux de l’Union européenne, est devenue l’objet central de l’AI Act, l’article 1.1 (numérotation provisoire) de cet instrument énonçant : « The purpose of this Regulation is to improve the functioning of the internal market and promoting the uptake of human centric and trustworthy artificial intelligence, while ensuring a high level of protection of health, safety, fundamental rights enshrined in the Charter, including democracy, rule of law and environmental protection against harmful effects of artificial intelligence systems in the Union and supporting innovation ».

Sur ce socle, la référence au respect des droits fondamentaux participe, tout d’abord, de la définition de plusieurs concepts clés, tels que la définition a contrario du « haut risque » ou la définition explicite du « risque systémique ». En outre, l’atteinte aux droits fondamentaux est un critère de la possibilité de modifier par acte délégué la définition du « haut risque » ou encore la liste des secteurs d’activité à « haut risque » de l’annexe III de l’AI Act.

Également, les risques d’atteinte prévisibles aux droits fondamentaux sont au cœur des obligations s’imposant aux opérateurs mettant sur le marché ou mettant en service un SIA à « haut risque », que ces obligations concernent la mise en œuvre d’un système de management des risques (art. 8, numérotation provisoire), la recherche de biais en matière de matière de gouvernance des données (art. 10, numérotation provisoire), les instructions d’usage du SIA (art. 13, numérotation provisoire) ou l’obligation de préserver un contrôle humain (art. 14, numérotation provisoire). Finalement, est consacrée par l’article 29 bis (numérotation provisoire), à la charge des déployeurs – utilisateurs professionnels – de certains systèmes d’IA à haut risque, une analyse d’impact en matière de droits fondamentaux, complétant potentiellement l’analyse d’impact en matière de protection des données prévue par le RGPD.

Les SIA à risque inacceptable prohibés

La prise en compte de la protection des droits fondamentaux repose, en second lieu, sur l’article 5 (numérotation provisoire) de l’AI Act qui comprend une liste qui s’est étendue aux cours des négociations, des pratiques d’IA interdites, car présentant des risques inacceptables de dommages pour les individus ou pour la société.

Pratiques manipulatoires sous le seuil de conscience, exploitation des vulnérabilités, scoring social font ainsi l’objet d’interdits, prévus dès la proposition initiale de la Commission européenne. De nouvelles pratiques interdites sont apparues dans la version finale de l’AI Act, aux rangs desquelles la catégorisation biométrique tendant à inférer un ensemble d’opinions (politiques, religieuses…) ou d’orientations (sexuelles…) de l’humain s’analysant en des données sensibles, des SIA tendant à inférer des risques de commission d’infractions pénales, tendant à inférer les émotions d’individus sur leur lieu de travail ou d’éducation, tendant à créer ou étendre des bases de données pour la reconnaissance faciale sur la base du moissonnage non ciblé d’images faciales.

L’interdiction de l’identification biométrique en temps réel à distance dans des espaces publiquement accessibles, qui a fait partie des pratiques visées par l’article 5 depuis la proposition initiale de la Commission, comprend néanmoins dorénavant, pour des raisons de préservation de la sécurité intérieure – les questions purement militaires étant hors champ d’application de l’AI Act –, de très nombreuses exceptions, qui permettent d’autoriser une telle pratique dans de nombreuses hypothèses, tout en la reversant dans la catégorie des SIA à haut risque.

L’information de l’humain et de la machine interagissant avec le SIA

La prise en compte de la protection des droits fondamentaux se traduit en troisième lieu par la consécration d’un devoir de transparence transversal, dès qu’un humain est confronté à un SIA, quel que soit l’ampleur des risques propres à celui-ci. Ce devoir de transparence a été étendu dans la version finale de l’AI Act, en lien avec le constat d’une présentation toujours plus « humanisée » des résultats produits par les systèmes d’IA génératifs. Dans sa version finale, l’article 52 (numérotation provisoire) du futur AI Act prévoit que « 1. Les fournisseurs veillent à ce que les systèmes d’IA destinés à interagir directement avec des personnes physiques soient conçus et développés de manière à ce que les personnes physiques concernées soient informées qu’elles interagissent avec un système d’IA, à moins que cela ne soit évident du point de vue d’une personne physique raisonnablement bien informée, observatrice et circonspecte, compte tenu des circonstances et du contexte d’utilisation (…) », que « 1a. Les fournisseurs de systèmes d’IA, y compris les systèmes d’IA à usage général, générant des contenus synthétiques audio, image, vidéo ou texte, veillent à ce que les sorties du système d’IA soient marquées dans un format lisible par machine et détectables comme étant générées ou manipulées artificiellement. Les fournisseurs veillent à ce que leurs solutions techniques soient efficaces, interopérables, robustes et fiables dans la mesure où cela est techniquement réalisable, compte tenu des spécificités et des limites des différents types de contenu, des coûts de mise en œuvre et de l’état de l’art généralement reconnu, tel qu’il peut être reflété dans les normes techniques pertinentes (…) », que : « 3. Les personnes qui déploient un système d’IA qui génère ou manipule un contenu image, audio ou vidéo constituant un hypertrucage (deep fake) doivent indiquer que le contenu a été généré ou manipulé artificiellement (…). Les utilisateurs d’un système d’IA qui génère ou manipule un texte publié dans le but d’informer le public sur des questions d’intérêt public doivent indiquer que le texte a été généré ou manipulé artificiellement » (il convient enfin de relever que la version finale de l’art. 52 [numérotation provisoire] du futur AI Act précise que ces obligations de transparence s’imposent, sans préjudice des autres obligations de transparence posées par le droit de l’Union [DSA, RGPD] ou le droit national).

Outre une obligation générale de prévenir l’humain qu’il interagit avec un système d’IA, il convient ainsi de relever que les IA génératives sont assorties de deux types bien distincts d’obligations de transparence, des obligations techniques, tout d’abord, de marquer d’un filigrane (EPRS, Generative AI and watermarking, dec. 2023) les contenus générés par l’IA et qui semblent davantage destinés aux diffuseurs desdits contenus générés et des obligations plus classiques d’information sur la génération artificielle du contenu lorsque celui-ci s’analyse, soit en un hyper-trucage ou deep fake, soit lorsque celui-ci s’analyse en un texte d’information sur des questions d’intérêt public, à destination du public.

Cette dernière obligation de transparence semblant avoir été consacrée pour être mise en œuvre lorsque ce contenu est destiné à circuler via les réseaux sociaux, et éventuellement à être amplifié sur ceux-ci (C. Cuvelliez, J.-J. Quisquater et S. Van Roy, Le projet de régulation de l’intelligence artificielle de l’UE ne semble pas être à la hauteur des risques que représente la percée d’outils comme ChatGPT, Le Monde, 19 janv. 2023).

La gouvernance de ce premier niveau de réglementation

Ce premier niveau de réglementation, de par sa nature transversale, a vocation à être soumis aux méthodes de gouvernance des IA à haut risque et des modèles d’IA à usage général. Néanmoins, deux types d’entités seront tout particulièrement en charge de veiller au respect des exigences en matière de droits fondamentaux.

Est ainsi tout d’abord consacré à l’article 58 bis (numérotation provisoire) un advisory forum en charge de fournir une expertise technique aux autorités en charge du contrôle des systèmes d’ IA à haut risque (European Artificial Intelligence Board) et des modèles d’IA à usage général à risque systémique (la Commission européenne au travers du Artificial Intelligence Office). Au sein de ce forum, participera la Fondamental Rights Agency, dont la mission sera de mettre en lumière les risques d’atteinte à la protection des droits fondamentaux. En outre, l’article 64 (numérotation provisoire) de l’AI Act oblige chaque État membre à désigner une autorité nationale de protection des droits fondamentaux, en charge de veiller au respect des obligations européennes de protection des droits fondamentaux, incluant en particulier le droit à la non-discrimination, et autorisées pour ce faire, à solliciter accès à toute documentation permettant de vérifier l’absence de violation desdits droits et à informer l’autorité de surveillance des marchés nationale de toute requête.

Deuxième niveau de réglementation : notion de système d’IA à haut risque et consécration d’une nouvelle législation relative à la sécurité des produits

La détermination des IA à haut risque et la définition des nombreux opérateurs économiques soumis à un ensemble d’obligations par l’AI Act

Les SIA à haut risque, contrairement aux pratiques de l’article 5 (numérotation provisoire) de l’AI Act, sont autorisés, mais assortis de très nombreuses obligations de diligence à la charge des opérateurs économiques qui les mettent sur le marché européen ou les mettent en service dans l’Union.

L’enjeu initial de l’AI Act, qui perdure dans sa version finale, est donc de déterminer quels sont ces SIA à haut risque. Cette détermination s’opère non seulement au travers des critères de l’article 6 (numérotation provisoire), potentiellement modifiables dans les conditions de l’article 7 (numérotation provisoire), mais également au travers du renvoi aux annexes II et III de l’AI Act.

L’annexe II (numérotation provisoire) comprend une liste de vingt produits (machines, ascenseurs, jouets, dispositifs médicaux…) qui ont d’ores et déjà fait l’objet d’une réglementation spécifique au titre du « nouveau cadre législatif » en matière de sécurité des produits pour douze d’entre eux, ou d’autres législations européennes pour huit d’entre eux, et qui, lorsqu’ils intègreront un SIA, imposeront non seulement de respecter leur réglementation propre, mais également l’ensemble des obligations de diligence s’imposant aux opérateurs mettant sur le marché ou en service un SIA à haut risque au titre de l’AI Act.

L’annexe III (numérotation provisoire) comprend une liste de huit secteurs d’activité à haut risque (biométrie, éducation, emploi, justice…), qui lorsque un SIA y sera développé, déclenchera également l’ensemble des obligations de diligence s’imposant aux opérateurs mettant sur le marché ou en service un SIA à haut risque au titre de l’AI Act.

Cette détermination des SIA à haut risque permet de déclencher à la charge de nombre d’opérateurs du numérique, impliqués dans la chaîne de valeur de l’IA, des obligations, dès lors qu’ils contribuent d’une manière ou d’une autre à la mise sur le marché européen ou à la mise en service d’un système d’IA, aux rangs desquels, entre autres, le développeur du SIA, dénommé fournisseur ou provider, l’utilisateur professionnel d’un SIA, dénommé deployer, mais également l’importateur, le distributeur…et justement regroupés sous une dénomination commune d’opérateur : « "operator" means the provider, the product manufacturer, the deployer, the authorised representative, the importer or the distributor ». La définition et la liste de ces différents opérateurs sont inspirées de celles présentes de manière récurrente dans les différents instruments relevant du « nouveau cadre législatif » en matière de sécurité des produits (v. Communication de la Comm. UE du 29 juin 2022, préc.).

Mise en œuvre des méthodes classiques du « nouveau cadre législatif » en matière de sécurité des produits : obligations de conformité, normalisation technique, certification éventuelle, marquage CE, surveillance du marché…

Les différents opérateurs présents dans la chaîne de valeur des SIA à haut risque, sont soumis à un ensemble d’obligations par les articles 8 à 15 (numérotation provisoire), relevant du chapitre II du titre III du règlement, aux rangs desquels un système de management et d’évaluation des risques, une gouvernance des données d’apprentissage, un devoir de transparence à l’égard des utilisateurs professionnels du SIA ou encore des obligations en matière de robustesse et de cybersécurité, qui ont été précisées dans la version finale du texte. Ces premières obligations sont complétées par des obligations à la charge de chaque sous-catégorie d’opérateurs aux articles 16 et suivants (numérotation provisoire), relevant du chapitre III du titre III du règlement.

La conformité à ces obligations repose sur une logique d’auto-évaluation des risques et d’auto-régulation, néanmoins simplement partielle, par l’opérateur. En effet, au titre du chapitre V du titre III du règlement, l’appréciation de la conformité au règlement des SIA à haut risque – ou des modèles d’IA à usage général – s’opère, tout d’abord, par le respect des normes techniques établies dans le cadre d’une procédure de normalisation impliquant les différentes parties prenantes du secteur de l’IA, dont les conditions ont été précisées dans la version finale de l’article 40 (numérotation provisoire) ce respect des normes techniques déclenchant une présomption de conformité aux obligations du chapitre II sus-cité.

Le Comité européen de standardisation de l’IA a d’ores et déjà été mandaté par la Commission européenne pour développer ces standards et normes techniques. En outre, en l’absence de normes techniques harmonisées, la Commission peut adopter des spécifications communes dans les conditions également précisées de l’article 41 (numérotation provisoire). L’appréciation de la conformité peut, en complément, pour certains SIA à haut risque dans le domaine de la biométrie, être mise en œuvre au titre d’une procédure d’évaluation de la conformité, soit opérée en interne par l’opérateur, soit, de manière alternative, opérée en externe par un organisme habilité au niveau national – organisme notifié – qui pourra délivrer un certificat de conformité. Les fournisseurs de SIA à haut risque doivent finalement établir une déclaration européenne de conformité, réaliser un marquage CE et procéder à un enregistrement de leur SIA sur une base de données européenne prévue à l’article 60 (numérotation provisoire).

La gouvernance de ce deuxième niveau de réglementation

Les organismes chargés de la gouvernance de ce deuxième niveau de réglementation ont beaucoup varié au gré des versions des trois Institutions européennes.

Dans la version finale, les organismes et autorités sont en nombre conséquent.

Tout d’abord, par application du chapitre IV du titre III, chaque État membre doit désigner une autorité notifiante chargée de désigner et de notifier les organismes d’évaluation de la conformité au titre de ce règlement, c’est-à-dire, les « organismes notifiés » qui effectuent les tâches relevant des procédures d’évaluation de la conformité technique visées par le règlement, dans les rares hypothèses dans lesquelles une tierce partie est requise (secteur d’activité à haut risque de la biométrie visé à l’art. 43).

En outre, par application du titre VI, de nombreux organismes de gouvernance de niveau européen sont consacrés, aux rangs desquels, en premier lieu, un Comité européen de l’intelligence artificielle – European Artificial Intelligence Board – composé d’un représentant par État membre doté d’un droit de vote et de plusieurs observateurs, tels que le Contrôleur européen à la protection des données – European Data Protection Supervisor – ou le Bureau européen de l’IA – European AI Office –, émanation de la Commission européenne. Ce Comité est doté de nombreuses attributions tendant à faciliter la mise en œuvre du règlement. À côté de ce Comité, sont consacrés un Advisory Forum et un Panel scientifique d’experts indépendants. Ces organismes de niveau européen sont complétés par des autorités nationales qui ont également vocation à mettre en œuvre ce règlement.

Les États Membres sont à cet égard habilités par l’article 71 (numérotation provisoire) à prévoir les sanctions découlant des violations de ce règlement.

Certains montants d’amendes administratives sont néanmoins d’ores et déjà précisés dans ledit article de l’AI Act, en cas de violation des obligations attachées aux SIA à haut risque, mais également en cas de violation de l’interdiction des pratiques de l’article 5 (numérotation provisoire) et de violation du devoir de transparence de l’article 52 (numérotation provisoire).

À côté de ce premier groupe d’autorités et d’organismes, le Titre VIII consacre, toujours dans une logique de « nouveau cadre législatif » en matière de sécurité des produits, des autorités de surveillance du marché, qui accomplissent leur action dans le respect des dispositions du règlement (UE) 2019/1120 et qui doivent surveiller les violations formelles et non formelles de l’AI Act.

Troisième niveau de réglementation : notion de modèle d’IA à « risque systémique » et consécration d’un complément au Digital Services Act

La définition des modèles d’IA à usage général et la détermination des modèles engendrant des risques systémiques

Le troisième niveau de réglementation de l’AI Act a découlé de la mise sur le marché mondial de l’IA générative ChatGPT en novembre 2022 et de la nécessité de réglementer les modèles de fondation et les systèmes d’IA fondés sur ces modèles de fondations. C’est ainsi que l’article 4 (numérotation provisoire) de l’AI Act consacre les definitions du modèle d’AI à usage general : « general purpose AI model means an AI model, including when trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable to competently perform a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications. This does not cover AI models that are used before release on the market for research, development and prototyping activities », du système d’IA à usage général : « general purpose AI system means an AI system which is based on a general purpose AI model, that has the capability to serve a variety of purposes, both for direct use as well as for integration in other AI systems » et du risque systèmique : « systemic risk at Union level means a risk that is specific to the high-impact capabilities of general-purpose AI models, having a significant impact on the internal market due to its reach, and with actual or reasonably foreseeable negative effects on public health, safety, public security, fundamental rights, or the society as a whole, that can be propagated at scale across the value chain ». Les articles 52 bis et ter (numérotation provisoire) de l’AI Act précisent ensuite les critères permettant de déterminer avec précision selon quels critères un modèle d’IA à usage général doit être considéré à risque systémique au sens de la définition sus-évoquée.

La réglementation à deux étages des modèles d’IA à usage général

La réglementation des modèles d’IA à usage général est fortement inspirée du Digital Service Act. En particulier, les obligations mises à la charge des fournisseurs des modèles d’IA à usage général, indépendamment des risques systémiques qu’ils pourraient occasionner (art. 52 quater s., numérotation provisoire) et des fournisseurs des modèles d’IA à usage général engendrant des risques systémiques (art. 52 quinquies et s., numérotation provisoire) sont fortement inspirées des obligations de diligence imposées aux opérateurs de plateforme en ligne en général (DSA, art. 16 s.) et aux opérateurs de très grandes plateformes en ligne (VLOPS) en particulier (DSA, art. 33 s.), au titre du DSA. Les fournisseurs de modèles d’IA, en général, se voient ainsi imposer des obligations de transparence (sauf lorsque ces modèles sont en licence libre et ouverte), de respect du droit de l’Union européenne de la propriété intellectuelle, et de mise à disposition du public d’un résumé de la base d’apprentissage. Les fournisseurs de modèles d’IA, engendrant en particulier des risques systémiques, se voient en outre imposer l’obligation d’évaluer et de limiter les risques systémiques attachés à leur modèle.

La logique de ces obligations de diligence à la charge des fournisseurs de modèle d’IA est une logique de corégulation et de coopération, avec les autorités de régulation, importée du DSA.

La gouvernance de ce troisième niveau de réglementation

À cet égard, outre avec les autorités nationales de régulation d’ores et déjà évoquées, les fournisseurs de modèles d’IA devront coopérer avec le Bureau européen de l’IA, émanation de la DG Connect de la Commission européenne, consacré à l’article 55 ter (numérotation provisoire) du titre VI de l’IA Act dédié à la gouvernance. Une décision de la Commission européenne en date du 24 janvier 2024, entrée en vigueur le 21 février 2024 (Comm. UE, décis. du 24 janv. 2024, établissant le Bureau européen de l’IA, C(2024) 390 final), a d’ores et déjà créé cette instance chargé de veiller au respect de leurs obligations par les fournisseurs de modèles d’IA à usage général. Le bureau pourra, en outre, « collaborer avec des experts et des organisations individuelles » et créer des lieux d’échanges pour les fournisseurs d’IA générative et pour la communauté open source.

Ces trois strates de réglementation, mais plus encore les trois niveaux de gouvernance qui accompagnent chacune de celles-ci, seront-ils en mesure d’appréhender harmonieusement les évolutions techniques ou économiques qui sont d’ores et déjà apparues postérieurement à la version finale de l’AI Act, tels que de nouvelles IA génératives ou de nouveaux modèles de langage (v. CRFM at the Stanford Institute for HAI, On the Opportunities and Risks of Foundation Models, préc.), ou qui apparaîtront encore dans un futur proche ?

Seul l’avenir permettra de déterminer si la complexité de la gouvernance retenue est la marque d’une organisation pragmatique, articulant harmonieusement pluralité des méthodes de régulation des défis technologiques et économiques découlant de l’essor de l’IA générative, ou s’analyse en une organisation trop complexe, source de conflits et de situations de blocage potentiels, rendant moins aisée la mise en œuvre d’une régulation efficiente et à la hauteur des enjeux actuels et futurs.