Le Parlement européen adopte la loi sur l’intelligence artificielle

L’Europe aiguise ses armes pour encadrer strictement les usages autour de l’intelligence artificielle. La très importante loi sur l'intelligence artificielle vient d'être votée par le Parlement européen, par 493 voix (22 contre, 96 abstentions). Des discussions vont maintenant commencer avec le Conseil et les pays membres sur la forme finale de la loi.

On sait que l’Europe travaille depuis un moment sur une législation forte pour fournir un premier cadre clair aux usages de l’intelligence artificielle. Nous nous étions déjà penchés sur la question, mais la proposition a évolué pendant l’année écoulée, notamment pour prendre en compte le développement rapide des IA génératives.

L’objectif principal de la proposition, telle qu'adoptée par le Parlement européen, est d’établir un classement des intelligences artificielles et d’affecter des exigences et limites à chaque palier. Données sélectionnées, transparence, responsabilité ou encore supervision humaine sont autant de critères. Il s'agit du tout premier cadre réglementaire sur l'intelligence artificielle dans le monde.

L’Europe estime qu’une législation claire et uniforme concourra à la promotion de l’IA, pour laquelle la confiance est un facteur décisif. Elle souhaite ainsi « que les systèmes d’IA utilisés dans l’Union européenne soient sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement. Les systèmes d’IA devraient être supervisés par des personnes plutôt que par l’automatisation, afin d’éviter des résultats néfastes ».

Risque inacceptable : les usages strictement interdits

Ces paliers correspondent au niveau de risque d’une intelligence artificielle. Si la proposition est votée en l’état et appliquée par les pays membres, toutes les entreprises situées en Europe devront déterminer ce niveau de risque, les obligations – voire interdictions – évoluant fortement.

Le « risque inacceptable » concerne tout système d’intelligence artificielle (SIA) considéré comme une menace et regroupe les cas de figure qui seront tout simplement proscrits : score social (classement des personnes en fonction d’un comportement, d’un statut socio-économique ou de caractéristiques personnelles), manipulation cognitivo-comportementale (exemple donné, un jouet piloté par la voix qui encouragerait un comportement dangereux pour l’enfant), ou encore – et le point est crucial, surtout en France – tout système d’identification biométrique en temps réel comme la reconnaissance faciale.

Plus spécifiquement, toute identification biométrique ciblant des caractéristiques sensibles (genre, origine ethnique, statut de citoyen, religion, orientation politique...) sera interdite, de même que les systèmes de police prédictive ou encore la récupération « d’images faciales provenant d’internet ou de séquences de vidéosurveillance en vue de créer des bases de données de reconnaissance faciale ».

Quelques exceptions seront autorisées, par exemple l’identification biométrique a posteriori pour des crimes graves et après autorisation du tribunal.

Risque élevé : il y aura foule

Vient ensuite le « risque élevé », qui imposera une forte régulation aux acteurs concernés, et ils sont nombreux.

Le palier vise deux grands groupes de SIA. D’une part, tout ce qui relève de la législation sur la sécurité des produits. L’éventail est vaste, puisque l’on y trouve aussi bien les jouets que l’aviation, en passant par les ascenseurs et les dispositifs médicaux.

D’autre part, huit catégories y seront soumises avec obligation d’enregistrement dans une base de données européenne. On y trouve l’identification biométrique et la catégorisation des personnes physiques, les infrastructures critiques, l’éducation et la formation professionnelle, tout ce qui touche à l’emploi, les services privés essentiels et publics, les forces de l’ordre, la migration et le contrôle des frontières, ainsi que l’administration de la justice.

Tous les SIA entrant dans ces domaines devront passer par une évaluation avant leur mise sur le marché, puis tout au long de leur cycle de vie. Il s’agira d’auto-évaluations qui feront l’objet de contrôles et soumises à un cadre de référence. Une exception toutefois pour tout ce qui concerne l’identification biométrique, dont l’évaluation fera intervenir une autre entité, qui n’a pas encore été nommée.

Comme on peut le voir sur ce schéma publié par la Commission européenne, les modifications « substantielles » dans le système d’IA relanceront automatiquement le cycle de vérification à partir de l’étape de contrôle de la conformité. Il faudra donc refaire la demande d’entrée dans la base européenne de référencement. Le garde-fou existe pour que chaque mise à jour majeure d’un SIA ait le même niveau de contrôle que la version d’origine, afin d’en valider le fonctionnement avant arrivée sur le marché.

Risque limité : des règles pour les IA génératives

Les systèmes à risque limité comprennent ce qui relève de l’interaction avec les humains, comme les chatbots, la reconnaissance des émotions, la catégorisation biométrique, ainsi que tous les systèmes générant ou manipulant des images, de l’audio ou de la vidéo, y compris les deepfakes.

Les acteurs concernés auront l’obligation de spécifier que le contenu a été généré par une IA. Ils devront également s’assurer que les modèles utilisés ont été conçus pour empêcher toute génération de contenu illégal, et publier des « résumés des données protégées par le droit d’auteur utilisées pour la formation ».

Ces éléments sont qualifiés de « transparence minimale » et doivent permettre aux utilisateurs de « prendre des décisions éclairées ». Le point crucial est donc l’information : toute personne faisant face à un contenu généré par un SIA doit en être avertie.

Risque faible ou minimal : pas d’obligations

Tout ce qui n’appartient pas aux catégories précédentes tombe dans le « risque faible ou minimal » et ne fera l’objet d’aucune obligation particulière.

Le Parlement européen ajoute cependant qu’il envisage la création de plusieurs codes de conduite pour encourager les fournisseurs de SIA concernés à appliquer quand même les obligations réservées aux IA à haut risque.

Un conseil européen de l’intelligence artificielle

La loi établit également un European Artificial Intelligence Board (EAIB) qui sera composé des représentants de tous les États membres et de la Commission européenne. Elle aura à charge d’harmoniser l’implémentation des règles et de renforcer la coopération entre les pays.

Ces derniers devront désigner une ou plusieurs autorités chargées de vérifier la bonne application des règles, en premier lieu le classement de tous les systèmes d’IA. En France, rien d’officiel pour l’instant, même si la CNIL est fortement pressentie pour remplir cette mission. C’était notamment l’avis du Conseil d’État en septembre dernier. Depuis, la CNIL a ouvert un service dédié à l'IA, qui prendrait donc une tout autre ampleur avec la confirmation à venir.

Ces autorités devront en particulier contrôler la conformité des systèmes d’IA à haut risque. Elles auront accès à des informations confidentielles, comprenant jusqu’au code source des SIA – ce qui ne sera pas forcément d’une grande aide, d'autant que rien n'est précisé dans le texte sur les jeux de données utilisés pour l'entrainement –, avec des règles strictes de confidentialité pour protéger la propriété industrielle quand nécessaire. Elles seraient en outre chargées d’imposer les mesures correctives et retraits du marché en cas de manquement.

En cas de non-conformité avec la nouvelle loi, des amendes administratives pourront être prononcées, jusqu’à 30 millions d’euros ou 6 % du chiffre d’affaires mondial. Les modalités de paiement et de contrôle des corrections devront être définies par chaque État membre.

Il faudra attendre pour l’application

Si le Parlement européen vient de donner son feu vert, ce n’est que la première étape décisive du parcours législatif de cette loi sur l’intelligence artificielle. Dès aujourd’hui commence un dialogue avec le Conseil et les États membres pour définir les modalités d’application. Thierry Breton et Margrethe Vestager, les deux commissaires ayant porté le texte, ont indiqué vouloir plier cette étape en quelques mois si possible.

Cela ne signifiera cependant pas l’application du texte dans ces pays. Ce dialogue visera à définir la manière dont le texte pourra être intégré dans le cadre réglementaire de chaque pays et donc transposé en loi. Chaque État devra dès lors préparer sa propre loi, qui suivra alors le chemin législatif classique. Le processus prendra du temps, et il se pourrait que cette réglementation sur l’intelligence artificielle ne soit en définitive appliquée qu’à partir de 2026.