Règlement européen sur l’intelligence artificielle : après la discorde sur la régulation des modèles de fondation, un accord provisoire conclu

10.01.2024

Après trente-six heures de négociations, les négociateurs du Conseil de l’Union européenne et du Parlement européen sont parvenus, le 9 décembre 2023, à un accord politique provisoire sur le règlement européen de l’intelligence artificielle, une tâche qui était loin d’être gagnée après les derniers débats sur la régulation des modèles de fondation. L’occasion de revenir sur les discussions suscitées par les modèles de fondation et l’accord provisoire conclu.

Il aura fallu d’intenses négociations d’une durée de près de trois jours pour qu’un accord politique provisoire entre les négociateurs du Conseil de l’Union européenne et le Parlement européen soit conclu le 9 décembre dernier concernant le règlement européen de l’intelligence artificielle (RIA). Un tel accord avant la fin de l’année 2023 semblait être un scénario optimiste, voire utopiste, après l’opposition féroce de certains États membres à la régulation des modèles de fondation. Ce règlement vise à assurer que les systèmes d’intelligence artificielle (IA) mis en circulation dans le marché européen soient sûrs et respectent les valeurs et droits fondamentaux européens. Avant d’évoquer l’accord et les débats survenus lors de cette négociation, revenons rapidement sur le processus d’élaboration.

Point sur le processus

La proposition de règlement sur l’intelligence artificielle a été déposée en avril 2021 par la Commission européenne (Comm. europ., 21 avr. 2021, COM(2021) 206 final, proposition de règlement établissant des règles harmonisées concernant l’IA et modifiant certains actes législatifs de l’Union). Puis, le Conseil de l’Union européenne a communiqué son orientation générale sur le texte le 6 décembre 2022 (Législation sur l’intelligence artificielle : le Conseil appelle à promouvoir une IA sûre et respectueuse des droits fondamentaux, Cons. UE, 6 déc. 2022). Le 14 juin 2023, le texte amendé par le Parlement européen a été voté en session plénière, marquant le début des trilogues (Règlement sur l’intelligence artificielle - Textes adoptés par le Parlement, Parl. UE).

Les trilogues correspondent à la phase de négociation interinstitutionnelle informelle qui réunit des représentants du Parlement européen, du Conseil de l’Union européenne et de la Commission européenne. Ils ont débuté le 14 juin pour se terminer le 9 décembre 2023, trilogue lors duquel un accord a été conclu. Il s’agissait donc de la dernière étape de négociation entre les trois institutions européennes en vue d’un accord final sur ce texte, sous présidence espagnole.

Les modèles de fondation, un sujet épineux

La conclusion de cet accord provisoire n’a pas été un long fleuve tranquille, de nombreux points de discussion ayant été débattus vivement. Un des sujets phares du règlement était la régulation des modèles de fondation, mis en lumière cette dernière année par les performances exceptionnelles de certains modèles tels que GPT-4 d’OpenAI.

Lors du trilogue du 24 octobre 2023, un consensus concernant les modèles de fondation semblait avoir été trouvé. Il s’agissait d’introduire une approche multiniveaux avec des règles plus strictes pour les modèles les plus puissants (v. à ce propos, L. Bertuzzi, EU policymakers enter the last mile for Artificial Intelligence rulebook, Euractiv, 25 oct. 2023). Cette approche multiniveaux recueillait un large soutien malgré certaines questions restées en suspens.

Début novembre, la présidence espagnole du Conseil de l’Union européenne a ainsi rédigé un premier projet faisant état de cette approche multiniveaux. Ce projet a circulé en interne pour obtenir des retours puis il a été communiqué aux co-rapporteurs du Parlement européen. Ces derniers ont apporté des modifications, mais la structure générale a été conservée (v. à ce sujet, L. Bertuzzi, Spanish presidency pitches obligations for foundation models in EU’s AI law, Euractiv, 7 nov. 2023 et AI Act : Leading MEPs propose initial criteria for classifying foundation models as « high-impact », Euractiv, 9 nov. 2023).

Les difficultés commencent à surgir le 9 novembre, annonçant les prémices d’un débat houleux sur le sort des modèles de fondation. En effet, lors d’une réunion du groupe de travail « Télécommunications » du Conseil de l’Union européenne, les représentants de plusieurs États membres, et plus particulièrement la France, l’Allemagne et l’Italie, se sont opposés à tout type de règlementation pour les modèles de fondation. (v. à ce sujet, L. Bertuzzi, AI Act : négociations bloquées à cause de divergences sur les modèles de fondation, Euractiv, 13 nov. 2023).

Cette position de ces trois États membres a été réaffirmée par un joint non-paper, obtenu par Politico (v. à ce sujet, G. Volpicelli, Power grab by France, Germany and Italy threatens to kill EU’s AI bill, Politico, 20 nov. 2023). Dans ce document, les trois États membres s’opposaient à une régulation des modèles de fondation. Ils suggéraient une distinction entre les modèles et les systèmes d’IA à usage général (General Purpose Artificial Intelligence, GPAI) qui peuvent être disponibles pour des applications spécifiques. Ils expliquaient qu’une réglementation fondée sur les risques est plus appropriée pour les systèmes d’IA à usage général, les GPAI.

Concernant les modèles de fondation, le papier proposait une autorégulation obligatoire par la mise en place de codes de conduite, s’opposant à une approche à multiniveaux et, de facto, à une régulation réellement contraignante des modèles de fondation. Pour compléter cela, des model cards (fiches sur les modèles) étaient prévues afin de garantir un certain niveau de transparence et de sécurité.

Cependant, et c’était là l’un des problèmes majeurs de cette proposition, aucune sanction n’était prévue « dans un premier temps » en cas de violation des codes de conduite. La possibilité d’un système de sanction était évoquée en cas de violations répétées des codes de conduite concernant les exigences de transparence.

Toutefois, le conditionnel était employé, soulignant qu’il s’agissait d’une éventualité et non d’une certitude.

La position de la France et de l’Allemagne s’expliquait par la présence de champions nationaux, plus particulièrement de start-up prometteuses qui fournissent des efforts de lobbying importants sur les gouvernements pour une règlementation souple comme par exemple MistralAI en France (v. à ce sujet, M. Poitiers, Le CEO de Mistral AI s’oppose à la régulation des modèles fondamentaux d’IA, L’usine digitale, 17 nov. 2023) ou d’Aleph Alpha en Allemagne.

Cette opposition à la régulation des modèles de fondation a suscité des incompréhensions auprès de certains acteurs nationaux, comme la SACEM qui a publié un communiqué de presse le 17 novembre appelant à plus de transparence pour garantir les droits des créateurs. Cette tribune, signée par 80 organismes culturels français, souligne que la position de la France au niveau européen est étonnante « tant elle est contraire aux propos du président de la République à Villers-Cotterêts rappelant que « nous avons raison de défendre le droit d’auteur dans l’intelligence artificielle » (Intelligence artificielle : la transparence, condition fondamentale d’un modèle européen éthique, SACEM, 17 nov. 2023).

Après cet épisode, la Commission européenne a fait circuler le dimanche 19 novembre un compromis possible sur le règlement sur l’IA afin de sortir de l’impasse sur les modèles de fondation, en appliquant l’approche multiniveaux aux systèmes d’IA à usage général et en introduisant des codes de pratique pour les modèles présentant des risques systémiques (v. à ce sujet, L. Bertuzzi, AI Act : EU Commission attempts to revive tiered approach shifting to General Purpose AI, Euractiv, 20 nov. 2023). Si ce compromis semblait acceptable par les États membres, sous certaines réserves, il séduisait moins le Parlement européen qui souhaitait des obligations plus contraignantes (v. à ce sujet, les déclarations de B. Benifei à l’ANSA le 22 nov. 2023 ou encore le tweet d’A. Voss sur X, le 21 nov. 2023).

Termes de l’accord provisoire

Finalement, et contre de nombreuses attentes, un accord provisoire a été conclu entre les différentes parties le 9 décembre 2023. Il convient de revenir sur certains points importants de cet accord.

Tout d’abord, concernant la définition d’un système d’IA, l’accord s’appuie sur la définition proposée par l’Organisation de coopération et de développement économiques (OECD), sans la reprendre littéralement (v. à propos, S. Russell, K. Perset et M. Grobelnik, Updates to the OECD’s definition of an AI system explained, OECD, 28 nov. 2023). Il est également précisé le champ d’application du RIA et ses exclusions. Le RIA exclut de son application la sécurité nationale, les systèmes d’IA utilisés uniquement à des fins militaires, de défense, pour le seul but de la recherche et de l’innovation ou pour des raisons non professionnelles ainsi que les modèles « free and open source » (sous réserve de certains cas pour ce dernier point, par ex. s’il s’agit d’un système à haut risque ou d’applications interdites, v. à ce propos, L. Bertuzzi, AI Act : EU policymakers nail down rules on AI models, butt heads on law enforcement, Euractiv, 7 déc.2023).

Le compromis adopte une approche horizontale de protection, avec une classification des risques imposant des obligations plus légères, par exemple en termes de transparence, pour les systèmes présentant des risques limités et des obligations strictes pour les systèmes à haut risque. De plus, l’accord contient des clarifications quant à l’attribution des responsabilités et des rôles des différents acteurs des chaînes de valeur complexes des systèmes d’IA, en particulier des fournisseurs et des utilisateurs de systèmes d’IA. Le RIA éclaircit également l’interaction entre les différentes responsabilités prévues par d’autres législations européennes, telle que le règlement général sur la protection des données.

Pour certaines utilisations, le risque est jugé inacceptable et, par conséquent, ces systèmes seront interdits dans l’Union européenne. Une liste d’utilisations interdites a donc été dressée. On peut citer par exemple les systèmes exploitant des vulnérabilités ou encore la notation sociale.

Sur le sujet délicat des modèles de fondation et des systèmes d’IA à usage général, une approche multiniveaux a été conservée. Ainsi, des dispositions « ont été ajoutées pour tenir compte des situations dans lesquelles les systèmes d’IA peuvent être utilisés à des fins très diverses (systèmes d’IA à usage général – GPAI) et où la technologie d’IA à usage général est ensuite intégrée dans un autre système à haut risque. L’accord provisoire aborde aussi les cas spécifiques des systèmes d’IA à usage général (GPAI) » (traduction libre, v. à ce sujet, Artificial intelligence act : Council and Parliament strike a deal on the first rules for AI in the world, Cons. UE, 9 déc. 2023).

Des règles spécifiques ont également été convenues pour les modèles de fondation. Tout d’abord, l’accord provisoire prévoit que tous les modèles de fondation doivent se conformer à des obligations de transparence spécifiques avant d’être mis sur le marché.

Puis, un régime plus strict a été introduit pour les modèles de fondation à « fort impact » présentant un risque systémique. Il s’agit de modèles de fondation entraînés à partir d’un « grand nombre de données et dotés d’une complexité, de capacités et de performances bien supérieures à la moyenne, qui peuvent entraîner des risques systémiques tout au long de la chaîne de valeur » (traduction libre, v. à ce sujet, Artificial intelligence act : Council and Parliament strike a deal on the first rules for AI in the world, préc.). Une catégorisation automatique est prévue pour ces modèles lorsqu’ils dépassent le seuil de 10^25 FLOPs (opérations en virgule flottante par seconde, cela désigne une mesure commune de la vitesse d’un système informatique qui permet d’évaluer une partie de sa performance). Pour ces modèles de fondation présentant un risque systémique, les obligations impliquent l’évaluation du modèle, l’évaluation et le suivi des risques systémiques, le maintien d’un niveau adéquat de cybersécurité et le suivi de la consommation énergétique du modèle.

À noter également, le RIA ne s’appliquera pas aux modèles free and open-source dont les paramètres sont rendus publics, sauf pour ce qui concerne les dispositions visant à respecter le droit d’auteur, la publication du résumé détaillé des données d’entraînement, les obligations pour les modèles systémiques et les responsabilités prévues le long de la chaîne de valeur de l’IA (v. à ce sujet L. Bertuzzi, AI Act : EU policymakers nail down rules on AI models, butt heads on law enforcement, préc.).

On peut retrouver la notion de codes de conduite évoquée précédemment sous la forme de codes de pratique dans l’accord final. Cependant, ces derniers ne sont destinés qu’à compléter les obligations contraignantes jusqu’à ce que des normes techniques harmonisées soient mises en place.

Concernant les sanctions prévues en cas de violation du RIA, elles prennent la forme d’un pourcentage du chiffre d’affaires annuel global de l’entreprise incriminée au cours de l’exercice précédent ou d’un montant prédéterminé, le plus élevé des deux étant retenu. Ces montants pourront s’élever de 7,5 millions ou 1,5 % du chiffre d’affaires à 35 millions d’euros ou 7 % du chiffre d’affaires, en fonction de la violation observée et modulant des plafonds plus proportionnés pour les PME et jeunes entreprises (v. à ce propos, Artificial intelligence act: Council and Parliament strike a deal on the first rules for AI in the world, préc. ou encore Artificial Intelligence Act: deal on comprehensive rules for trustworthy AI, Parl. UE, 9 déc. 2023).

Du côté de la propriété intellectuelle, les dispositions de l’accord provisoire sont similaires aux amendements du Parlement européen du 14 juin dernier, plus particulièrement à l’article 28, b, paragraphe 3 (c) (v. à ce propos, Règlement sur l’intelligence artificielle - Textes adoptés par le Parlement, Parl. UE, préc.). Les fournisseurs devront respecter certaines règles de transparence, notamment d’établir une documentation technique, de respecter la législation européenne sur les droits d’auteur et de diffuser des résumés détaillés sur le contenu utilisé pour l’entraînement.

L’accord provisoire prévoit que le RIA devrait s’appliquer deux ans après son entrée en vigueur, avec des exceptions pour certaines dispositions. Cet accord politique suscite déjà de nombreuses réactions, tant en Europe qu’à l’international, jusqu’à être qualifiée de « loi la plus ambitieuse au monde visant à réglementer l’intelligence artificielle » (traduction libre, v. à ce propos, A. Faiola, C. Zakrzewski et B. Ríos, E.U. reaches deal on landmark AI bill, racing ahead of U.S., The Washington Post, 9 déc. 2023).