Vote des parlementaires européens sur l’AI Act : vers une réglementation accrue des IA, des modèles de fondation et des IA génératives, s’inspirant du DSA, du Data Act et du RGPD ?

Les amendements votés par les parlementaires européens sur l’AI Act (règlement sur l’intelligence artificielle) le 14 juin 2023 concernent quatre grands thèmes : - l’apparition de nouvelles définitions ou de précisions sur les concepts centraux ; - une gradation plus fine des obligations à la charge des développeurs et des usagers professionnels de système d’intelligence artificielle (SIA), renommés au passage « déployeurs » de SIA ; - une prise en compte accrue des humains affectés par les SIA et la consécration d’une réglementation contractuelle d’inspiration consumériste ; - une gouvernance renouvelée, avec l’apparition d’un bureau de l’IA (IA Office) aux compétences étendues, complétée par des compétences accrues au profit de la Commission.

Les parlementaires européens ont voté les amendements sur l’AI Act (règlement sur l’intelligence artificielle) le 14 juin 2023. Chaque institution européenne a dorénavant formulé sa version du futur règlement européen, la Commission européenne ayant publié la proposition initiale de règlement le 21 avril 2021, le Conseil ayant pris son orientation générale sur le texte le 6 décembre 2022 (Dalloz actualité, 1er févr. 2023, obs. J. Sénéchal), ce qui a permis de faire débuter le 14 juin même les trilogues, c’est-à-dire la dernière étape de négociation entre les trois institutions européennes en vue d’un accord final sur ce texte prévu pour la fin d’année 2023 sous présidence espagnole.

Assurément, la mise en ligne en décembre 2022 du service d’IA générative Chat GPT, suivie de débats extrêmement nourris sous l’angle de la protection des données à caractère personnel, mais également sous l’angle de la protection des droits de propriété intellectuelle et sous l’angle épistémologique du rapport de l’Homme à la connaissance (A. Bentolila, Intelligence artificielle : « C’est dans un rapport perverti aux connaissances que réside la menace de ChatGPT », Le Monde, 9 mai 2023 ; P. Meirieu, pédagogue : « Le danger de ChatGPT n’est pas dans la fraude qu’il permet mais dans le rapport aux connaissances qu’il promeut », Le Monde, 27 mars 2023), puis suivie d’appels aux accents apocalyptiques par de grands acteurs du numérique et des chercheurs renommés en IA, tendant, en autres choses, à mettre en œuvre un moratoire dans le développement des IA génératives ou à créer, à l’instar de l’Agence à l’énergie atomique (AIEA), une instance internationale chargée de lutter contre la prolifération des IA les plus dangereuses, a servi d’électrochoc : les amendements des parlementaires retiennent une approche substantiellement modifiée de la réglementation des systèmes d’intelligence artificielle (SIA), par rapport à celles présentes dans le texte initial de la Commission et dans l’approche générale du Conseil, qui avait principalement proposé des modifications à la marge du texte initial.

Ces différences importantes entre, d’un côté, les amendements parlementaires et, de l’autre côté, le texte initial de la Commission et l’approche générale du Conseil, s’expliquent, ce faisant, par le fait que seuls les amendements du Parlement, au regard de l’enchaînement des événements clés, ont pu prendre la mesure de la révolution actuellement en cours dans le domaine de l’IA. À cet égard, les parlementaires n’ont pas choisi la voie du moratoire, mais celle d’une réglementation accrue des SIA en général et des IA génératives en particulier qui prend pour source d’inspiration le Digital Services Act (DSA), le Data Act ou encore le RGPD. Précisément, l’approche initiale de la Commission, qui était de retenir une logique de prévention souple des risques liés à un produit spécifique qu’est le SIA, dans le but de favoriser tout à la fois, la confiance, l’innovation et l’émergence de nouveaux champions européens en matière d’IA, se complète au travers des amendements parlementaires, d’une logique de réglementation plus poussée de certains opérateurs du numérique, qui, au regard de l’effet de réseau attaché aux services qu’ils proposent, se voient soumis à des obligations plus contraignantes, se rapprochant, dans l’esprit, de celles s’imposant aux « très grandes plateformes en ligne », aux « très grands moteurs de recherche » de l’article 33 du DSA ou aux « contrôleurs d’accès » de l’article 3 du Digital Markets Act (DMA).

Ce dédoublement des approches, opéré par les amendements, se manifeste au travers de quatre grands thèmes :

  • l’apparition de nouvelles définitions ou de précisions sur les concepts centraux ;
  • une gradation plus fine des obligations à la charge des développeurs et des usagers professionnels de SIA, renommés au passage « déployeurs » de SIA ;
  • une prise en compte accrue des humains affectés par les SIA et la consécration d’une réglementation contractuelle d’inspiration consumériste ;
  • une gouvernance renouvelée, avec l’apparition d’un bureau de l’IA (IA Office) aux compétences étendues, complétée par des compétences accrues au profit de la Commission.

L’apparition de nouvelles définitions ou de précisions sur les concepts centraux

La définition retenue pour l’IA par les amendements du Parlement modifiant l’article 3 et supprimant l’annexe I du RIA se rapproche toujours un peu plus de celle retenue le 22 mai 2019 par l’OCDE (v. Recommandation du Conseil sur l’intelligence artificielle). Elle est relativement large et englobante (un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations ou des décisions, qui influencent des environnements physiques ou virtuels). Néanmoins, les considérants 6 et 6 bis, tels qu’amendés, précisent que la référence anthropomorphique à la notion d’autonomie devrait permettre d’exclure les systèmes automatisés les plus simples. La définition retenue n’est, en outre, technologiquement neutre qu’en apparence, car la disparition des références aux approches techniques en matière d’IA dans l’article 3 et dans l’annexe I, que sont le machine learning et les réseaux de neurones (IA connexionniste), l’approche fondée sur la connaissance et la logique (IA symbolique) ou encore l’approche statistique, est compensée par leur réapparition dans les considérants 6 et 6 bis.

Cette définition centrale est complétée d’une définition des modèles de fondation (un modèle de système d’IA qui est entraîné sur de vastes données à grande échelle, qui est conçu pour la généralité des résultats et qui peut être adapté à un large éventail de tâches distinctes) et des IA à usage général (un système d’IA qui peut être utilisé et adapté à un large éventail d’applications pour lesquelles il n’a pas été conçu intentionnellement et spécifiquement) qui vont servir de socle à la réglementation spécifique des IA génératives au sein de l’AI Act. Les IA génératives sont, pour leur part, évoquées à l’article 28 ter nouveau, et sont envisagées comme des IA, issues de modèles de fondation, spécifiquement destinées à générer, avec différents niveaux d’autonomie, du contenu tel que du texte complexe, des images, du son ou de la vidéo.

Le concept de modèle de fondation est inspiré d’un rapport récemment rendu par le Centre de recherche sur les modèles de fondation (Center for Research on Foundation Models (CRFM) at the Stanford Institute for Human-Centered Artificial Intelligence (HAI), On the Opportunities and Risks of Foundation Models,
arXiv:2108.07258 [cs.LG], 12 juill. 2022) tendant à établir les caractéristiques de modèles tels que BERT, DALL-E ou GPT-3.

Finalement, les amendements parlementaires ont précisé à l’article 6, ce qu’il convient d’entendre par un système d’IA à haut risque au sens de la liste de l’annexe III, en retenant que seules devaient être considérées à haut risque les activités critiques et cas d’usage présentant un risque significatif d’atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes physiques et ont ajouté parmi la liste des activités à haut risque de l’annexe III les systèmes de recommandation des réseaux sociaux, qualifiés de très grandes plateformes au sens de l’article 33 du DSA, mais également les systèmes ayant vocation à influencer les résultats d’élection ou encore des systèmes d’inférence fondés sur la catégorisation biométrique.

Ces nouvelles définitions et précisions ont pour finalité de permettre l’affinement de la gradation des dispositions à la charge des développeurs et usagers professionnels (devenus des déployeurs) de SIA.

Une gradation plus fine des interdictions et obligations à la charge des développeurs et des usagers professionnels/déployeurs de SIA

Cette gradation des interdictions et obligations, issue des amendements parlementaires, est fondée tout à la fois sur le niveau de risque, mais également, et sur la nature du SIA concerné. Demeurent en haut de la pyramide des risques, les risques inacceptables et les pratiques interdites, au rang desquelles vient s’ajouter, aux côtés de nouvelles prohibitions, l’interdiction, de manière inconditionnelle, de l’utilisation de systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives.

Les systèmes d’IA à haut risque, pour leur part, continuent de faire naître à la charge de leurs développeurs et usagers professionnels/déployeurs, mais également des autres acteurs de la chaîne de valeur des SIA, un ensemble d’obligations de diligence. Parmi ces acteurs, les fournisseurs de modèles de fondation se voient imposer, avec la création d’un article 28 ter, des obligations de diligence complémentaires à celles applicables à tous les SIA à haut risque, au regard des risques additionnels attachés à ces modèles, qui s’inspirent des obligations d’identification et d’atténuation des risques pour la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’État de droit, mises à la charge des très grandes plateformes au sein des articles 34 et 35 du DSA. Une seconde couche d’obligations complémentaires est, en outre, consacrée à la charge des seuls fournisseurs de modèle de fondation utilisé sous la forme d’une IA générative et fournisseurs d’IA générative ayant spécialisé, pour ce faire, un modèle de fondation (art. 28 bis, § 4), en vue de prendre en compte des risques spécifiques d’atteinte à la liberté d’expression et à la protection des droits de propriété intellectuelle.

À cette première nouveauté s’ajoute à la base de la pyramide des risques la consécration, à l’article 4 bis, de principes généraux applicables à l’ensemble des SIA, quel que soit leur niveau de risque, qui s’inspirent des lignes directrices en matière d’éthique pour une IA digne de confiance établie en 2019 par un groupe d’experts de haut niveau auprès de la Commission européenne et se composant des principes d’autonomie humaine et de contrôle humain ; de robustesse technique et sécurité ; de respect de la vie privée et de gouvernance des données ; de transparence ; de préservation de la diversité, la non-discrimination et l’équité et de bien-être sociétal et environnemental.

À cette gradation plus fine des obligations s’ajoute une prise en compte accrue des humains affectés par les SIA et la consécration d’une réglementation contractuelle d’inspiration consumériste.

Prise en compte accrue des humains affectés par les SIA et consécration d’une réglementation contractuelle d’inspiration consumériste.

Il convient de noter un renforcement à l’article 52 des obligations d’information à la charge des personnes physiques affectées par un SIA ou exposées à un SIA, quel que soit le niveau de risque, leur permettant d’identifier s’il existe un contrôle humain sur le système, et qui est responsable en cas de prise de décision automatisée ou encore leur permettant d’identifier plus clairement l’auteur et l’existence d’un hypertrucage (deep fake), au moyen d’une labellisation renforcée. Ce renforcement est doublé d’une consécration à l’article 29 d’obligations d’information sur les objectifs et la nature de la décision prise, accompagnant une prise de décision automatisée opérée par un SIA à haut risque et complétant, ce faisant, les dispositions de l’article 22 du RGPD.
Est, en outre, consacré un article 29 bis nouveau instaurant une étude d’impact spécifique préalable à la mise en service d’une IA à haut risque, afin d’évaluer et d’atténuer les risques d’atteinte aux droits fondamentaux.

À ce premier ensemble s’ajoute un ensemble de règles en matière contractuelle d’inspiration consumériste, bien qu’ayant vocation à s’appliquer dans des contrats entre professionnels. L’article 28, paragraphe 2 bis, tend, à cet égard, à imposer un contrat écrit entre les fournisseurs d’IA à haut risque et les tiers qui fournissent des outils, des services, des composants ou des processus utilisés ou intégrés dans le système d’IA à haut risque, précisant les informations, les capacités, l’accès technique et/ou toute autre assistance, que le tiers est tenu de fournir pour permettre au fournisseur du système d’IA à haut risque de se conformer pleinement aux obligations de l’AI Act, en se fondant potentiellement sur les clauses contractuelles type qui auront vocation à être établies par la Commission européenne. Dans le prolongement, l’article 28 bis, tend, pour sa part, à instaurer une lutte contre les clauses abusives concernant la fourniture d’outils, de services, de composants ou de processus utilisés ou intégrés dans un système d’IA à haut risque ou les mesures correctives en cas de violation ou de résiliation des obligations connexes qui ont été imposées unilatéralement par une entreprise à une PME ou à une start-up, dans la veine de dispositions similaires présentes dans le Data Act.

Il conviendra finalement de noter au sein des amendements parlementaires une gouvernance de l’IA renouvelée.

Une gouvernance renouvelée

À défaut de créer une agence internationale sur le modèle de l’Agence internationale à l’énergie atomique (AIEA), les amendements parlementaires proposent une gouvernance renouvelée de l’IA, s’inspirant tout à la fois du DSA et du RGPD, avec la consécration d’un bureau européen de l’IA (IA Office), remplaçant le comité envisagé au sein de la version initiale du texte, aux compétences étendues et assorti de la personnalité juridique, complétée par des compétences de la Commission européenne elles-mêmes accrues. Les tâches de ce bureau sont nettement développées à l’article 56 ter nouveau, celles-ci consistant en particulier à assurer une mise en œuvre effective de l’AI Act et une coopération effective avec et entre les autorités de régulation nationales dans cette mise en œuvre.

À cet égard, il sera noté qu’en cas d’implication de plusieurs autorités de régulation nationales, l’article 59 bis, issu des amendements parlementaires, prévoit que l’autorité de régulation chef de file sera celle du pays où la violation de l’AI Act est intervenue.

 

© Lefebvre Dalloz