Quelle est la vision de l’Europe sur l’IA ?

La vision européenne de l’intelligence artificielle s’inscrit dans une vision plus globale, celle d’une Europe numérique, qui fait de la technologie un allié, et non une menace. La proposition, qui a été introduite par la vice-présidente exécutive de la Commission pour le numérique, Margrethe Vestager, fait suite au livre blanc de la Commission sur l’intelligence artificielle publié en février 2020, qui jetait déjà les bases des nouvelles règles pour l’intelligence artificielle.

L’UE souhaite réglementer les secteurs clés de l’écosystème numérique, et met tout en œuvre pour y parvenir. L’année a été prolifique, en effet, avec le Digital Market Act et le Digital Services Act, révélés en décembre, puis un texte sur la cybersécurité, des essais sur la monnaie numérique de banque centrale… L’UE est sur tous les plans, et l’intelligence artificielle n’y échappe pas. “Qu'il soit question d'agriculture de précision, de diagnostics médicaux plus fiables ou de conduite autonome sécurisée, l'intelligence artificielle nous ouvrira de nouveaux mondes. Mais ces mondes ont aussi besoin de règles”, c’est ce que déclarait Ursula von der Leyen dans son discours sur l'état de l'Union. En résumé, l’approche européenne consiste à encadrer l’IA, afin d’éviter de sombrer dans une technologie menaçante pour les droits humains comme en Chine, tout en garantissant ses potentiels pour l’économie. Et “cela ne peut être réalisé que si la technologie est de haute qualité et développée et utilisée de manière à gagner la confiance des gens. (...) Un cadre stratégique de l'UE basé sur les valeurs de l'UE donnera aux citoyens la confiance nécessaire pour accepter des solutions basées sur l'IA, tout en encourageant les entreprises à les développer et à les déployer”, peut-on voir écrit sur la page officielle de la proposition européenne.

Margrethe Vestager, Vice-présidente exécutive de la Commission européenne lors de la présentation du Digital Services Act. Capture d'écran : Siècle Digital / Parlement Européen.

Qu’est-ce que le texte interdit ?

La Commission européenne trace des lignes entre l’inacceptable, le risque élevé, le risque limité et le risque minimal pour les systèmes utilisant l’intelligence artificielle. Le texte propose clairement d’interdire les systèmes de notation sociale de la population (qui permettent de juger de la fiabilité d'une personne en fonction du comportement social ou des traits de personnalité relevés), tels que ceux lancés en Chine et vivement critiqués. En plus des systèmes de crédit social, le texte interdirait les systèmes utilisant des “techniques subliminales”, tirant parti des personnes handicapées et déformant “matériellement le comportement d’une personne”.

En général, les technologies d’IA destinée à “une surveillance indiscriminée appliquée de manière généralisée à toutes les personnes physiques sans différenciation” seront interdites, dans la mesure où l’État ne les met pas en place pour garantir la sécurité publique, comme dans le cadre de la lutte contre le terrorisme. Cela veut dire qu’en principe, l’identification biométrique à distance dans des lieux publics est interdite, à moins que l’on ne se trouve dans les cas qualifiés “d’exceptions” : une utilisation par l’État, soumise à autorisation d’un organe judiciaire, pour un motif garantissant la sécurité publique (traque d’un terroriste, localisation d’une personne disparue), limitée dans le temps et dans la géographie.

Margrethe Vestager, lors de la conférence de presse qui a accompagné le dévoilement du texte, a insisté sur le fait qu’il n’y avait “pas de place pour la surveillance de masse en Europe”. La nuance est fine, donc, puisque l'utilisation de la technologie de reconnaissance faciale dans les lieux publics est autorisée pour des cas exceptionnels. Toute autre utilisation de systèmes qui ont le potentiel d’exploiter et cibler les personnes les plus vulnérables comme la surveillance de masse est bannie.

Globalement, la proposition veut aussi interdire les systèmes d'IA qui causent du tort aux personnes en manipulant leur comportement, leurs opinions ou leurs décisions. Sont ciblés, ici, les jouets pour enfants utilisant l'assistance vocale et encourageant un comportement dangereux.

Qu’est-ce que l’UE tolère bien ?

Parmi les systèmes utilisant l’IA que l’UE tolère bien dans le texte, on trouve les chatbots, des formes d’intelligence artificielle utilisées dans des services de messagerie, particulièrement utilisés dans la relation client-entreprise. Ces derniers seront soumis à des obligations de transparence minimales, et devront simplement informer les utilisateurs qu’ils ne sont pas de vraies personnes. La même exigence sera appliquée pour les deep fakes, qui devront étiqueter leurs services, indiquant produire de faux contenus. De même, les jeux vidéo compatibles avec l'IA ou les filtres anti-spam, qui ne présentent que des risques minimes pour la sécurité des citoyens européens sont tolérés.

Quels sont globalement les systèmes à hauts risques, et comment sont-ils régulés?

La proposition de loi instaure de nouvelles règles pour les fournisseurs de systèmes d’IA à haut risque, et les définit. L’IA considérée comme “à haut risque” englobe toutes les technologies qui, par leurs rôles clé en société, par leur potentiel d’utilisation et pour les risques associés, pourraient nuire gravement aux droits des citoyens.

Parmi ces technologies, on trouve les algorithmes utilisés pour scanner les CV, des applications qui composent des réseaux d’infrastructures publiques, qui sont utilisées pour évaluer la solvabilité d’un client dans le secteur bancaire, distribuer des prestations de sécurité sociale, des demandes d'asile et de visa, ou bien pour aider les avocats et les juges à prendre des décisions cruciales pour la justice. Ce sont également les systèmes utilisés lors du parcours scolaire, comme Parcoursup, qui peut déterminer l'accès à l'éducation et le cours professionnel de la vie d'une personne.

Tous ces systèmes seront strictement encadrés pendant leur cycle de vie, nous dit le texte. Ils devront subir une évaluation de conformité avant mise sur le marché, par des organismes tiers. De plus, leurs systèmes seront enregistrés dans une base de données de l'UE qui assurera la traçabilité, et délivrera ou non la déclaration de conformité et le marquage CE. Ce marquage CE sera nécessaire pour pouvoir accéder au marché du continent. Pour chaque changement apporté au système, le texte indique que le système d’IA devra repasser un test de conformité. Tous ces systèmes seront tenus de montrer un niveau approprié de surveillance humaine sur le fonctionnement de leurs produits, et de respecter les exigences de qualité concernant les données utilisées pour construire les logiciels.

Que dit le texte sur les données, vecteurs de biais algorithmiques ?

L'UE souhaite soumettre les systèmes à haut risque à des exigences maximales en termes de qualité des données utilisées pour développer un produit utilisant l’intelligence artificielle. Les données qui alimentent un programme d’intelligence artificielle peuvent en effet être la source de problèmes de préjugés raciaux et sexistes, qui entravent le développement de la technologie. L'une des exigences de la Commission dans le projet est que les ensembles de données “n'intègrent aucun biais intentionnel ou involontaire” qui peut conduire à une discrimination. Pour cette raison, le test de conformité sera primordial : cela permettra d’inspecter les systèmes d’IA jugés à haut risque devraient être inspectés, obligeant ses créateurs à démontrer qu’il a été formé sur des ensembles de données non biaisés.

Quelles sanctions, en cas de non-respect des règles ?

Les entreprises qui ne se conforment pas aux nouvelles règles pourraient être condamnées à une amende pouvant aller jusqu'à 20 millions d'euros, ou 6% de leur chiffre d'affaires.

Afin de contrôler et superviser les États dans l’adoption des nouvelles règles, le texte propose également de créer un comité européen de l'intelligence artificielle, comprenant un représentant par pays de l'UE, l'autorité de protection des données de l'UE et un représentant de la Commission européenne. Le conseil supervisera l'application de la loi, et sera chargé “d’émettre des recommandations et des avis pertinents à la Commission, en ce qui concerne la liste des pratiques d’intelligence artificielle interdites et la liste des systèmes d’IA à haut risque”. Ces règles ne sont donc pas immuables, mais bien soumises au changement et au dynamisme d’un secteur aussi innovant que l’IA.

Quels sont les défauts du texte pointés par les associations et experts ?

Avant toute chose, la partie du texte ayant fait polémique est nettement celle qui autorise la surveillance biométrique de masse par les autorités publiques et dans des contextes particuliers. “La liste des exemptions est incroyablement large", cela “va en quelque sorte à l'encontre du but de prétendre que quelque chose est une interdiction”, a commenté Sarah Chander, conseillère politique principale à European Digital Rights, rapporté par le Wall Street Journal.

Certains militants des droits numériques, tout en accueillant positivement de nombreuses parties du projet de loi, ont déclaré que certains éléments semblaient trop vagues et offraient trop d'échappatoires aux entreprises utilisant l’IA, et notamment aux Big Tech. D'autres associations ont fait valoir que les règles proposées par l'UE donneraient un avantage aux entreprises en Chine ou en Russie, qui ne leur feraient pas face. On craint notamment un effet négatif sur le marché de l’IA en Europe, dont une législation trop complexe pourrait décourager les innovations et les entreprises.

Par ailleurs, les associations pointent le manque de rôle des citoyens au sein du texte. L’association EDRi (European Digital Rights) note l’absence d’évocation de possibilité pour les citoyens ou les consommateurs de déposer une plainte auprès de l'autorité de contrôle, ou de demander réparation s'ils ont été victimes d’un non-respect du règlement.

Quand est-ce que le texte pourrait entrer en application ?

Comme toute nouvelle proposition de loi, et comme les très récents Digital Services Act (DSA) et Digital Market Act (DMA), cette nouvelle réglementation a encore un bout de chemin à parcourir avant de devenir effective, et ne pourrait l’être que dans quelques années.

Ce texte sur l’IA passera d’abord par le Parlement européen, où il sera débattu et possiblement amendé, puis par le Conseil, qui pourra en faire de même. Il peut ainsi y avoir des va-et-vient entre les deux institutions (jusqu’à trois lectures) qui peuvent faire durer le processus, et retarder sa mise en application.

Gardons à l’esprit que les débats pour le règlement général sur la protection des données (RGPD), autre pierre angulaire de l’Europe numérique, avaient pris 4 ans. Une fois adopté, le règlement sera directement applicable dans toute l'UE. Aux entreprises de se tenir prêtes.