Dans un monde où les frontières entre l’homme et la machine s’estompent progressivement, l’avènement de l’IA suscite à la fois fascination et inquiétude. Alors que les systèmes d’IA continuent de révolutionner nos modes de vie et nos métiers, il devient impératif de mettre en place des garanties assorties d’obligations claires, pour faire en sorte que ce développement de l’IA soit aussi sécurisé que novateur. 

C’est bien là l’objet de la proposition de règlement visant à réguler l’intelligence artificielle, sur laquelle le Parlement européen, la Commission et le Conseil sont parvenus à un accord le vendredi 8 décembre dernier. 

Les enjeux : distinguer selon les niveaux de risques 

Le texte tend à mettre en place une réglementation articulée autour de trois niveaux de risques inhérents aux systèmes d’IA. Ces niveaux sont le risque faible, le risque élevé (ou haut risque), et enfin, le risque inacceptable. 

S’agissant du risque faible, aucune exigence réglementaire n’est imposée. En revanche, le risque inacceptable, représentant le niveau le plus élevé de menace, entraîne l’interdiction du dispositif. Cela inclut notamment l’utilisation de systèmes d’identification biométrique à distance en temps réel dans un espace accessible au public, à des fins répressives. Les systèmes d’IA présentant un risque élevé sont quant à eux autorisés mais fortement réglementés. Deux situations sont distinguées. 

Tout d’abord, une IA est catégorisée à haut risque si elle est destinée à servir de composant de sécurité dans un produit déjà couvert par les actes législatifs d’harmonisation de l’Union européenne. C’est le cas notamment de l’IA intégrée en tant que composant de sécurité dans les véhicules autonomes, un domaine où la sécurité justifie une réglementation européenne spécifique. Toute défaillance de l’IA mettrait en danger la sécurité des passagers et des autres usagers de la route, ce qui justifie des contraintes strictes en matière de conception, de test et de conformité. 

Ensuite, une IA peut également être classée à haut risque si le produit ou dispositif auquel elle est associée est soumis à une évaluation quant aux risques. Par exemple, dans le domaine médical, les techniques de soins et dispositifs de santé sont soumis à évaluation par des autorités indépendantes ou de surveillance (autorités telles que, en France, la Haute autorité de santé ou l’Agence nationale de sécurité des produits de santé). Donc l’IA intégrée à des techniques et dispositifs est soumise également à contrainte, en particulier le respect des normes de sécurité sanitaire : précision et fiabilité des diagnostics, fiabilité dans différentes situations cliniques, intégration sécurisée dans les pratiques médicales. 

La maîtrise du risque et son coût

La réglementation appliquée aux systèmes d’IA à haut risque s’étend à l’ensemble du cycle de la vie des dispositifs concernés. Et d’abord avant la commercialisation.

Pour rendre cette approche plus concrète, reprenons l’exemple des logiciels d’aide au diagnostic médical, désormais très courants. Dès la conception de ces logiciels, il faut identifier les risques sanitaires : les développeurs du logiciel doivent alors scrupuleusement évaluer les dangers potentiels liés à l’utilisation d’une IA. Cela inclut des risques tels que des diagnostics incorrects bien entendu, mais aussi les risques de dépendance excessive des praticiens à l’égard de l’outil, qui entraverait leur indépendance professionnelle et donc leur capacité à apprécier par eux-mêmes les symptômes et à en déduire le traitement approprié.  Un autre risque est celui des impacts inattendus sur la prise en charge des patients, conduisant à des accidents médicaux. Une fois ces risques identifiés, une estimation minutieuse de leur probabilité et de leur gravité est nécessaire. Les développeurs d’IA mettent alors en place des mesures qui se veulent à la fois efficaces et éthiques (afin de respecter la déontologie médicale). Dans le cas d’un logiciel médical, cela pourrait se traduire par l’intégration de mécanismes de vérification humaine obligatoire pour les cas complexes ou la mise en place de notifications claires sur les marges d’erreur du logiciel. 

Une fois la commercialisation faite, l’IA intégrée reste sous surveillance, par la collecte en continu des données sur l’efficacité du logiciel, la détection et le signalement de tout impact négatif sur les résultats cliniques, afin d’ajuster les fonctionnalités en fonction des retours d’expérience des praticiens, voire de suspendre la commercialisation en cas d’accident.

Problème toutefois, les jeunes pousses, ou star-up, ne disposent pas des ressources nécessaires pour satisfaire à toutes ces contraintes, comme l’ont souligné l’Allemagne et la France lors de la négociation du texte. Une contrainte trop lourde risque donc, selon ces États, de freiner les investissements dans la recherche et le développement dans l’IA au sein de l’Union européenne, et même de faire fuir les créateurs européens vers des cieux plus cléments sur le plan juridique. Cela pourrait aussi favoriser les produits non européens en réduisant la compétitivité des entreprises européennes face à leurs rivales étrangères, qui pourront innover avec moins de contraintes et donc à moindre coût. 

L’accord final des 27 

C’est donc le vendredi 8 décembre 2023 que se sont tenues les négociations, qui furent des plus laborieuses. Au terme de ces négociations, les 27 membres de l’UE se sont entendus sur un projet de réglementation permettant d’encadrer les modèles d’IA. Cet accord maintient une réglementation articulée autour des trois niveaux de risque, avec toutefois une nouveauté pour les systèmes d’IA dits de “grande échelle”. 

Un système d’IA qualifié de “grande échelle” se réfère à une infrastructure ou une plateforme d’IA qui opère avec une envergure considérable, impactant un grand nombre d’utilisateurs ou de clients. Il s’agit notamment des plateformes d’IA dont l’impact sur la société est substantiel, avec un seuil de 45 millions d’utilisateurs ou de plus de 10 000 clients.

Par exemple, une plateforme de médias sociaux comme Facebook qui compte presque trois milliards d’utilisateurs à l’échelle mondiale, peut être qualifiée de système d’IA de grande échelle, de même qu’Instagram avec ses 1.4 milliards d’utilisateurs. De même, les services d’IA fournis par les géants technologiques comme Google et Amazon, ou des plateformes de commerce électronique comme Alibaba, peuvent être considérés comme opérant à une échelle importante en raison du nombre massif d’utilisateurs et de clients qu’ils touchent. 

Les fabricants et prestataires de ces systèmes devront réaliser des études d’impact sur leurs risques, et préciser les mécanismes mis en place pour les limiter. 

L’accord impose également une liste de règles pour les IA à haut risque utilisées dans des secteurs sensibles tels que l’éducation, les ressources humaines ou le maintien de l’ordre. 

Ces domaines ont été ciblés en raison des risques pour les libertés des individus, en particulier ceux liés à la discrimination algorithmique dans le domaine de l’éducation. Des biais discriminatoires sont à craindre, y compris pour les décisions liées aux ressources humaines. Enfin, les implications éthiques et sécuritaires sont évidentes en matière de maintien de l’ordre. 

Pour terminer, l’accord prévoit la création d’un nouvel organisme européen dédié à l’IA, qui sera chargé de faire appliquer la réglementation. Doté d’un pouvoir de police, il pourra ainsi interdire un système d’IA si ce dernier est jugé trop dangereux. 

Reste que cette nouvelle réglementation continue d’être fortement critiquée par la France. Emmanuel Macron a estimé que “ce n’était pas une bonne idée de vouloir beaucoup plus réguler que les autres pays. Je demande à ce qu’on évalue de manière régulière cette réglementation. Et si on perd des leaders ou des pionniers à cause de ça, il faudra y revenir”. Il a à ce titre déploré que les Britanniques, les Chinois et les Américains ne soient pas assujettis à cette régulation, ce qui leur permettra d’en retirer un avantage compétitif à même de tuer dans l’œuf l’industrie européenne de l’IA. À suivre donc. 

Cet article a été rédigé dans le cadre d’un partenariat avec le Master 2 Droit des médias électroniques de l’Université d’Aix-Marseille, entre octobre 2023 et janvier 2024. Plus d’articles peuvent être consultés sur le site internet de l’Institut de recherches et d’études en droit de l’information et de la culture (IREDIC)

Une erreur dans ce contenu ? Vous souhaitez soumettre une information à vérifier ? Faites-le nous savoir en utilisant notre formulaire en ligne. Retrouvez notre politique de correction et de soumission d'informations sur la page Notre méthode.