Un sujet politique.
La prise de conscience est internationale, quant à l’encadrement de l’IA. Le sujet n’est pas seulement technologique mais également politique.
En mars 2023, une lettre ouverte [1] émanant de plus de 1 000 chercheurs, et autres personnalités du monde de la tech, appelle les labos du monde entier à mettre en pause le développement de l’IA. Selon eux, ces logiciels introduisent de « profonds risques pour la société et l’humanité ».
Rishi Sunak, Premier ministre britannique, annonce dès juin 2023 sa volonté d’organiser le premier sommet mondial consacré à l’IA au Royaume-Uni, qui se tiendra en juin 2024. Londres exprime le souhait d’héberger un régulateur mondial de l’IA.
Les États-Unis manifestent aussi leur volonté d’encadrer l’IA. A la demande de Washington, en juillet 2023, les géants de la tech acceptent de mettre en place des régulations de l’IA. « Nous devons actionner tous les leviers du gouvernement fédéral afin d’encadrer ce secteur », a déclaré le chef de cabinet de la Maison-Blanche. Il a ajouté qu’une loi était nécessaire pour disposer d’expertise au sein du gouvernement fédéral. La Maison-Blanche a également assuré qu’elle travaillait avec des alliés à l’étranger pour trouver « un cadre international solide pour régir le développement et l’utilisation de l’IA » dans le monde. Un cadre non-contraignant a été proposé en octobre 2022, avec un blueprint dédié à l’IA [2].
Du côté de la Chine, si le pays n’a pas adopté de régulation globale [3], certains aspects du développement, de la fourniture et de l’usage des systèmes d’IA sont déjà abordés dans d’autres lois, notamment la loi sur la sécurité des données [4]. De plus, les zones économiques de Shenzhen et Shanghai ont adopté leurs propres politiques de promotion et régulation de l’industrie de l’IA.
Le 21 mars 2024, l’Assemblée générale des Nations unies a adopté un texte1 visant à établir des règles internationales encadrant les usages de l’IA. Ses objectifs sont de combler le fossé numérique entre les Etats et limiter les risques, sans freiner l’innovation.
Outre ces initiatives, les travaux menés par les organisations internationales prônent le développement de l’éthique de l’IA, comme l’OCDE [5], l’UNESCO [6] ou l’OMS [7]. L’éthique propose des principes de gouvernance non obligatoires mais inspirants pour la pratique et la réglementation à venir.
Par ailleurs, l’évolution des normes volontaires (AFNOR, ISO, etc.) visent la fiabilité, l’auditabilité et la sécurisation des technologies et s’articulent utilement aux règles juridiques.
Pour favoriser le développement de l’IA tout en encadrant son usage, le droit semble être l’instrument privilégié. Les réponses fondamentales seront juridiques.
Le cadre juridique existant est-il suffisant ?
Au-delà des accidents causés par les véhicules autonomes, d’autres risques sont moins visibles. Il s’agit par exemple des biais contenus dans les algorithmes, des atteintes à la vie privée, de la difficile explicabilité des décisions, des discriminations et de la concurrence avec la main d’œuvre humaine.
La grève des scénaristes américains [8], de mai à septembre 2023, portait en particulier sur l’encadrement de l’IA, capable d’écrire des scénarios ou de cloner la voix et l’image des acteurs.
Les règles de droit classiques peuvent traiter un ensemble de questions liées aux technologies de l’IA, mais elles ne permettent pas de répondre à tous les nouveaux défis.
Par exemple, en matière de propriété intellectuelle, les règles existantes protègent le développement d’algorithmes intégrés dans le système d’IA. Mais les résultats produits par une IA générative (texte, graphisme, etc.) ne peuvent pas bénéficier de la protection par le droit d’auteur. En effet, le Code de la propriété intellectuelle français ne s’applique qu’aux œuvres créés par les êtres humains. Aux États-Unis, en février 2023, l’Office du Copyright [9] a considéré également que les images de bande dessinée générées par l’IA Midjourney ne pouvaient pas être protégées par le droit d’auteur.
L’application de la responsabilité soulève une autre problématique. En théorie, les règles traditionnelles sont applicables, mais la nécessité de relier le dommage à une faute humaine est complexe avec l’IA, voire impossible. En raison, d’une part, de la multiplicité des acteurs (fournisseur, importateur, utilisateur, etc.). Et d’autre part, de l’auto-adaptation des systèmes d’IA, selon les données disponibles, qui rend la traçabilité difficile.
La protection des données personnelles s’appuie sur le RGPD, mais leur caractère intrusif des systèmes d’IA développe de nouveaux risques pour les personnes. En raison de la complexité et de l’évolutivité de l’IA, le principe de transparence semble difficile à mettre en œuvre. Le développement de l’IA devra se conformer aux principes majeurs de licéité, de loyauté et de proportionnalité.
Ainsi, des pans entiers du droit classique sont remis en question par l’IA dont la propriété intellectuelle, la responsabilité et la protection de la vie privée.
Une évolution juridique nécessaire.
L’Union européenne a crééle tout premier cadre légal au niveau mondial. Le 12 juillet 2024, le Règlement établissant des règles harmonisées concernant l’intelligence artificielle, ou AI Act, a été adopté par le Parlement.
L’entrée en vigueur du texte est prévue en 2026, soit 2 ans et 20 jours après la date de publication. Il y aura des exceptions à ce calendrier, notamment les interdictions d’usage seront applicables 6 mois après cette publication.
L’Europe veut développer les potentialités de l’IA tout en encadrant les risques pesant sur les droits fondamentaux. Face à des technologies d’IA évolutives, l’AI Act est conçu pour être adaptable avec sa large définition de l’IA elle-même et un mécanisme de mise à jour simplifié.
Pour les fournisseurs de systèmes d’IA, l’approche de l’AI Act est fondée sur une identification de 3 niveaux de risques et un encadrement adapté :
- le risque inacceptable rend l’usage du système d’IA interdit (ex : exploitation de la vulnérabilité d’un groupe de personnes pour causer un dommage) ;
- le risque élevé nécessite des mesures de mise en conformité by design, notamment une politique contraignante de gouvernance des données, l’information des utilisateurs (ex : gestion des salariés, dispositifs médicaux) ;
- le risque limité engendre des mesures simplifiées, dont une obligation de transparence vis-à-vis des utilisateurs (ex : filtre anti-spam).
Pour les organisations qui déploient l’IA, des obligations sont prévues également, comme le contrôle des données d’entrée, la conservation des journaux et la suspension de l’utilisation en cas de non-conformité.
Cette réglementation sera applicable non seulement aux organisations qui conçoivent ou utilisent des technologies d’IA au sein de l’Union Européenne mais aussi à tout opérateur traitant sur le marché unique européen. Les sanctions financières s’élèveront jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires annuel consolidé.
Pour l’Europe, l’ambition de régulation de l’IA s’étend au-delà de l’AI Act. D’autres projets de textes sont susceptibles de s’appliquer à l’IA. Notamment les propositions de Règlement du 21 avril 2021 relatif aux machines, y compris les robots, et de Directive sur la responsabilité civile extra-contractuelle en matière d’IA du 28 septembre 2022.
Aujourd’hui dans les entreprises, il est nécessaire d’anticiper l’application de ces futures réglementations. Afin de maîtriser les risques de non-conformité, il faut s’intéresser aux questions juridiques dès l’acquisition de solutions ou la conception interne des systèmes d’IA. Des règles de gouvernance doivent être définies par les organisations, afin de sensibiliser administrateurs, dirigeants et utilisateurs et garantir la responsabilité associée au déploiement de l’IA.
