AI Act: La loi européenne sur l'intelligence artificielle
Simon Schneiter
Simon Schneiter, M.A. HSG (Gestion de l'information, des médias et de la technologie), Head GRC & Information Security Consulting chez ensec AG.
Aides de travail appropriées
La nouvelle loi sur l'intelligence artificielle (Artificial Intelligence Act, en abrégé «AI Act») est assez vaste mais se résume assez facilement.
Idée de base & histoire de l'AI Act
Les prémices de l'«AI Act» se retrouvent dans le «White Paper on Artificial Intelligence», publié par la Commission européenne en février 2020. En 26 pages, il montrait à quoi pourrait ressembler une approche européenne coordonnée en matière d'intelligence artificielle (IA). Il était déjà question, à l'époque, de faire d'une pierre deux coups. D'une part, le développement et l'utilisation de l'IA devaient être encouragés par des investissements appropriés, d'autre part, les risques liés à certaines applications issues de cette technologie devaient être abordés de manière adéquate et réglementés en conséquence. L'équilibre entre la promotion et la régulation de l'innovation était en effet également l'un des principaux points de discussion autour de l'«AI Act», présenté pour la première fois en avril 2021 par la Commission européenne et adopté par le Parlement européen le 13 mars de cette année. Une approche réglementant les risques se devait notamment permettre de trouver ce juste milieu.
Régulation des systèmes d'IA
Au cœur de cette réglementation se trouve la classification des systèmes d'IA en fonction des dangers potentiels que leur utilisation peut entraîner.
Une première catégorie est constituée par les systèmes qui sont en principe interdits par l'«AI Act». En font notamment partie les applications interdites en raison de leurs effets réputés néfastes, comme les systèmes de notation sociale («social scoring») ou destinés à influencer le comportement des personnes. Les applications basées sur leur fonction sont elles aussi prohibées, par exemple les systèmes de catégorisation biométrique et de reconnaissance des émotions. Certaines de ces interdictions sont toutefois assorties d'exceptions permettant de les utiliser dans le cadre de l'application de la loi.
La deuxième catégorie est celle des systèmes à haut risque, dont la classification laisse plus de place à l'interprétation que celle des applications à proprement parler interdites. Dans deux cas seulement, la classification en tant que système à haut risque semble assez claire :
- chaque fois que l'intelligence artificielle sert de composant de sécurité à un produit (ou est elle-même le produit) soumis à certaines dispositions en dehors de l' «AI Act» et exigeant un contrôle de conformité selon des normes définies - par exemple dans le domaine des dispositifs médicaux ou de l'aviation civile.
- chaque fois qu'une application est utilisée dans les domaines énumérés à l'annexe III de l'«AI Act» (biométrie, infrastructure critique, éducation, etc.) et qu'une technique de profilage est utilisée.
Il y a là matière à débattre, comme de juste. Même si un système entre dans le champ d'application de l'annexe III, il ne doit pas nécessairement être réputé "à haut risque" s'il «ne présente pas de risque significatif d'atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes physiques». L'évaluation correspondante incombe au fournisseur, qui doit certes la documenter mais uniquement la présenter sur demande à l'autorité nationale compétente.
Si des systèmes à haut risque doivent être mis sur le marché, cela ne peut se faire que dans le respect des prescriptions correspondantes. Ils doivent par exemple disposer d'une précision appropriée, d'une certaine robustesse et d'une cybersécurité adéquate. En outre, ils doivent être conçus de telle sorte qu'ils «puissent être surveillés efficacement par des personnes physiques». Si ces prescriptions concernent les fournisseurs, d'autres acteurs du marché - notamment les exploitants, les importateurs et les commerçants - sont également tenus responsables en se voyant imposer les mêmes obligations.
Régulation des modèles d'IA
Outre les applications considérées en tant que systèmes d'IA, les modèles d'IA sont également réglementés. Les modèles sont, pour simplifier, le noyau des applications d'IA qui génère une sortie à partir d'une saisie donnée. En dehors de ce noyau, un système d'IA comprend d'autres composants, telle qu'une interface utilisateur, par exemple.
Toutefois, l'«AI Act» ne réglemente que les modèles d'IA à usage général (General purpose AI models). Certaines dispositions supplémentaires sont en outre prévues pour les modèles présentant un «risque systémique». Un modèle est considéré comme tel sur la base de ses capacités techniques. Si celles-ci sont égales ou supérieures à celles des modèles d'IA à usage général les plus avancés, il doit être considéré comme présentant un risque systémique. Cela ne signifie pas que le modèle en question sera interdit, mais que ses fournisseurs devront respecter quelques règles supplémentaires. Il s'agit notamment de l'évaluation et de l'atténuation des risques, de la surveillance des incidents graves et de la garantie d'un niveau de cybersécurité approprié.
Sanctions prévues
Des amendes élevées peuvent être infligées en cas d'infraction. En cas d'infraction à une réglementation relative aux systèmes d'IA interdits, les amendes peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel total (donc mondial) d'une entreprise. D'autres infractions peuvent être sanctionnées jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires annuel.
Recommandations de produits
Promotion
Outre certaines restrictions et obligations de mise, l'«AI Act» prévoit également certaines mesures visant à encourager les innovations dans le domaine de l'IA. Ainsi, les PME et les start-ups doivent pouvoir se conformer plus facilement au règlement grâce à une information ciblée et en encourant des frais réduits. Elles doivent en outre bénéficier d'un accès prioritaire aux laboratoires de recherche en matière d’IA. La mise en place de ces laboratoires d'IA constitue également une mesure d'encouragement et doit permettre aux fournisseurs de tester leurs systèmes dans des conditions réelles avant de les utiliser. Cette mesure devrait être en mesure de renforcer la sécurité juridique en l’espèce, de favoriser les échanges entre les fournisseurs et les autorités ainsi que de promouvoir la compétitivité et l'innovation et ainsi faciliter le développement d'un écosystème IA.
Critique
La principale critique formulée par de nombreux commentateurs est celle d'une entrave potentielle à l'innovation. L' «AI Act» est considéré comme un obstacle réglementaire propre à freiner toutes nouvelles avancées. Ce sont surtout les petites entreprises européennes qui se voient menacées. La création de nouvelles autorités de surveillance fait également l’objet de nombreuses critiques justifiées, de ce point de vue. Par ailleurs, la définition de base de la notion d'«intelligence artificielle», dans ce même règlement, est considérée comme trop large et trop ambiguë, ce qui pourrait entraîner moultes difficultés d'interprétation et d'application de la réglementation. Enfin, on craint également une application et une mise en œuvre non uniformes de ce texte au sein de l'UE.
Et la Suisse, dans tout cela?
Les entreprises suisses actives sur le marché de l'UE sont déjà concernées par l'«AI Act» dans la mesure où elles utilisent ou proposent une IA dans ce contexte. Le Conseil fédéral a, pour cette raison, demandé en novembre 2023 au DETEC d'établir une vue d'ensemble des différentes approches possibles en matière de régulation, qui devrait être disponible d'ici fin 2024. Les approches envisageables devront être explicitement compatibles avec l'«AI Act» de l'UE.
Que faire en tant que PME suisse?
Les entreprises suisses qui proposent des systèmes d'IA sur le marché de l'UE, ou qui y utilisent leurs systèmes ou leur output sont concernées par cette nouvelle réglementation. Alors que les fournisseurs doivent se pencher de manière intensive et précoce sur la nouvelle loi afin de pouvoir mettre en œuvre à temps les mesures nécessaires, les entreprises utilisatrices seraient bien avisées de procéder, dans un premier temps, à un état des lieux. Il s'agit de clarifier quels systèmes d'IA sont utilisés dans quel contexte et quel rôle l'entreprise y joue. Il convient ensuite d'analyser les obligations qui en découlent conformément à l'AI Act et de prendre, le cas échéant, les mesures qui s'imposent.
En bref
En promulguant l'«AI Act», l'UE présente une approche réglementaire globale tentant d'endiguer les risques tout en encourageant l'innovation. L'efficacité de cette approche reste à démontrer et dépend en grande partie de la mise en œuvre concrète et de l'application du règlement en question par les États membres. Il serait également judicieux d'attendre de voir quelle voie choisira la Suisse pour réglementer l'intelligence artificielle.
