Adoption de l’IA Act par le Parlement européen : les 7 points à retenir

Le Parlement européen a adopté le mercredi 14 juin sa position sur le règlement sur l’IA à une large majorité (499 pour, 28 contre, 93 abstentions). Que doit-on en retenir ?

Est-ce l’adoption finale du texte ? Quand entrera-t-il en vigueur ?

L’adoption du texte par les eurodéputés mi-juin 2023 déclenche une dernière étape : les négociations avec les États membres au sein du Conseil pour finaliser le texte d’ici la fin de l’année.

Les projections les plus optimistes : adoption du texte final d’ici fin 2023, pour une application pleine du texte en 2026.

L’approche basée sur le risque

Le texte adopté par le Parlement garde l’approche initiale proposée par la Commission européenne, la classification par niveau de risque :

• Systèmes d’IA « à très haut risque» : en principe interdits. Ils restent rares (applications contraires aux valeurs européennes telles que les systèmes de notation citoyenne ou de surveillance de masse utilisés en Chine).
• Système d’IA « à Haut risque », qui présentent « un préjudice significatif pour la santé, la sécurité, les droits fondamentaux des personnes ou l’environnement » : ils sont soumis à certaines obligations (prévoir un contrôle humain, documentation technique, mise en place d’un système de gestion du risque, étude d’impact, certification, information des utilisateurs qu’ils sont en relation avec une machine, information à l’utilisateur que l’image a été générée ou est fausse…).
  • L’enjeu pour les entreprises se joue en grande partie sur cette catégorie et a cristallisé les discussions au Parlement.
  • Cette liste s’est rallongée et prend en compte les Systèmes d’IA impactant la santé, la sécurité et les droits fondamentaux des personnes et de l’environnement, les systèmes d’IA utilisés pour influencer les électeurs et le résultat des élections, et les IA utilisées dans les systèmes de recommandation exploités par les plateformes de médias sociaux comptant plus de 45 millions d’utilisateurs.
• Système d’IA à risque limité (simple information à l’utilisateur qu’il converse avec un robot…)
• Système d’IA à risques faibles

Quel est l’impact de l’émergence des IA Génératives et de leur « révélation » au grand public avec ChatGPT ?

En avril 2021, la Commission européenne avait proposé ce projet ambitieux qui a suivi le chemin d’adoption « classique » jusqu’à l’adoption de la position des eurodéputés mi-juin 2023. Mais avec la mise à jour au grand public des IA génératives, en particulier ChatGPT en novembre 2022, le calendrier d’adoption du texte a été chamboulé.

Les eurodéputés ont ajouté des obligations pour mieux prendre en compte les risques que pourraient poser les IA génératives comme ChatGPT ou Midjourney : mise en place d’un système d’identification des contenus qu’ils génèrent (pour distinguer les fausses images), mener une étude d’impact si le système est considéré comme « à haut risque », mettre en place des mesures contre les contenus illégaux…

Et au-delà des IA génératives, il est précisé par ailleurs une série d’obligations de supervision humaine et d’évaluation pour les applications considérées à « haut risque ».

Restriction sur les systèmes d’identification biométriques

Comme initialement prévu par la Commission, les eurodéputés prévoient un principe d’interdiction des « usages intrusifs et discriminatoires » de l’Intelligence Artificielle, et notamment des systèmes d’identification biométrique en temps réel dans les lieux publics. Le Parlement va même plus loin en n’autorisant aucune exception (la Commission prévoyait des exceptions en cas d’enlèvement ou de menace terroriste).

Le Parlement restreint également leur utilisation a posteriori par les forces de police aux seuls « crimes graves » et seulement après l’autorisation d’un juge.

Le Parlement dresse dans cette liste des technologies à proscrire :

• les systèmes d’identification biométrique utilisant des caractéristiques sensibles (telles que le genre, la race, l’origine ethnique, le statut de citoyen, la religion…)
• les systèmes de police prédictive (c’est-à-dire fondés sur le profilage, la localisation ou le comportement criminel passé)
• les systèmes de reconnaissance des émotions utilisés dans les services répressifs, le lieu de travail et les établissements d’enseignement, la gestion des frontières.

Le sujet de l’identification biométrique sera probablement un fort point de tension entre le Parlement lors des discussions à venir avec la Commission et le Conseil.

Droits d’auteur, propriété intellectuelle…

Ciblant les IA Génératives, le texte précise une obligation de déclarer si les données d’entrainement du modèle (textes, images, musiques) sont protégées par le droit d’auteur (pouvant permettre aux détenteurs de ce droit de saisir la justice pour une rémunération de ce contenu utilisé sans leur consentement). Ces modèles devront être enregistrés au sein d’une base de données européenne.

Quelles sont les limites d’une règlementation basée sur les risques des Systèmes d’IA ?

D’ici son application (au plus tôt en 2026), se pose la question du devenir et de l’évolution de ce texte : la classification basée sur les risques montrerait déjà ses limites avec la refonte de la catégorie des Systèmes d’IA à « Haut risque », suite notamment au manque d’anticipation des problématiques posées par les IA génératives.

Cette catégorie, à l’origine telle que proposée par la Commission européenne comme une liste exhaustive, est devenue après passage chez les eurodéputés, une liste non exhaustive, le texte prévoyant la publication de lignes directrices seulement 6 mois avant l’entrée en vigueur du règlement.

Équilibre entre la régulation, la protection de nos libertés et de la démocratie, et la sécurisation de l’innovation

D’un côté, la contestation de ces nouvelles règles se fait entendre par les entreprises américaines (le PDG Sam Altman, annonçait après avoir discuté avec les régulateurs de l’UE concernant l’IA Act, qu’OpenAI pourrait cesser d’opérer dans l’UE / Google écartant l’UE lors du lancement de son IA Bard).

De l’autre, cette fameuse lettre ouverte d’avril 2023 appelant à la pause des recherches, signée par les concepteurs de ces technologies parmi lesquels Elon Musk et Sam Altman.

Face aux critiques sur le frein à l’innovation que constituerait ce texte, les eurodéputés ont multiplié les amendements ajoutant notamment l’obligation pour chaque pays de l’Union uropéenne de mettre en place au moins un bac à sable réglementaire consacré au développement de l’IA (pour sécuriser la R&D).

Une étude a d’ores et déjà été menée par le Center for Research on Foundation Models – Stanford University (Stanford University) pour montrer le niveau de conformité des principaux modèles aux exigences de l’IA Act : le modèle Bloom, développé par la startup Hugging Face (basée à New York mais fondée par trois entrepreneurs français,) en tête de liste.

Richi Bommasani, Kevin Klyman, Daniel Zhang et Percy Liang

@ Center for Research on Foundation Models Stanford CRFM

Vote de l’IA Act : l’essentiel à retenir

Le vote par les eurodéputés le 14 juin 2023 est donc une nouvelle étape vers l’adoption du texte final du règlement sur l’IA prévu en fin d’année. Reste à voir dans quelle mesure les amendements adoptés par les eurodéputés seront gardés ou non après négociations au sein du Conseil. Rendez-vous en fin d’année !