- Le Parlement européen a adopté un texte de compromis sur l’AI Act fin mai/début juin 2023 ; le vote en plénière aura lieu mi-juin et sera suivi de négociations en trilogue.
- Approche basée sur le risque : l’IA est catégorisée en fonction du risque (interdite, à haut risque, limitée/pas de risque) avec des obligations strictes pour les systèmes à haut risque.
- Conséquences étendues, y compris des pénalités jusqu’à 30 millions d’euros ou 6% de chiffre d’affaires annuel et effet extraterritorial sur les fournisseurs suisses.
Dans de l’UE, la procédure législative relative à l’ ”Artificial Intelligence Act” (“AI Act” ou “règlement sur l’IA”) se trouve dans la dernière ligne droite après des mois d’intenses négociations. Les deux commissions compétentes (IMCO et LIBE) du Parlement européen ont voté, lors du vote du 11 mai 2023, sur le Texte de compromis sont parvenus à un accord politique sur le premier ensemble de règles au monde en matière d’intelligence artificielle, après qu’un accord provisoire a déjà pu être trouvé fin avril 2023 au sein des deux commissions. Le projet actuel sera maintenant soumis au vote en séance plénière du Parlement européen à la mi-juin (14 juin). Les négociations en trilogue entre le Parlement, le Conseil et la Commission débuteront ensuite.
Situation de départ
L’AI Act est un projet de loi de la Commission européenne visant à réglementer l’intelligence artificielle (IA). Elle a adopté le Le Conseil européen des 20 et 21 avril 2021 sera le premier législateur à présenter une proposition complète de réglementation de l’IA.. Avec ce projet de loi, l’UE tente de trouver un équilibre. En effet, d’une part, l’AI Act doit garantir que les personnes concernées ne subissent aucun préjudice du fait de l’utilisation de systèmes d’IA, et d’autre part, le nouveau règlement doit continuer à encourager l’innovation et à donner le plus de place possible au développement et à l’utilisation de l’IA.
Depuis fin 2022, le processus législatif a pris du retard. La raison en était non seulement les 3000 amendements déposés, mais aussi l’émergence de l’IA générative (en particulier ChatGPT) et la discussion sur la manière dont l’AI Act doit s’en occuper. Dans le projet d’AI Act du 21 avril 2021, les modèles tels que ChatGPT ne jouaient encore aucun rôle.
L’AI Act s’applique aux fournisseurs et aux utilisateurs de systèmes d’IA. Par “fournisseurs”, on entend les acteurs qui développent et commercialisent un système, tandis que par “utilisateurs”, on entend les entités qui utilisent un système sous leur responsabilité, à l’exclusion de la sphère personnelle et non professionnelle. Les consommateurs, les utilisateurs finaux et les autres personnes physiques ou morales concernées par les résultats des systèmes ne sont pas couverts.
Approche du règlement basée sur les risques
L’élément central de l’AI Act est une approche basée sur les risques, qui implique différentes obligations et interdictions en fonction des capacités et des risques potentiels. Plus le risque d’un système d’IA pour la santé, la sécurité ou les droits fondamentaux des personnes est élevé, plus les exigences réglementaires sont strictes. Dans l’AI Act, les applications d’IA sont donc classées en différentes catégories de risques avec des conséquences différentes :
- Risque inacceptable(par ex. scoring social) – l’utilisation de systèmes d’IA correspondants est interdite
- Risque élevé (par exemple, les systèmes d’IA destinés à être utilisés pour l’identification biométrique des personnes physiques ou pour l’évaluation des examens)
- Risque limité ou absence de risque(par ex. filtre anti-spam)
Principaux changements
Les principaux changements par rapport au projet de la Commission du 21 avril 2021 sont les suivants :
- Définition des systèmes d’IA
- Systèmes d’IA à haut risque : niveau supplémentaire pour la classification en catégories à haut risque et obligations plus importantes pour les systèmes correspondants
- Systèmes d’IA interdits : liste élargie
- Des règles plus strictes pour les soi-disant Modèles de fond de teint et AI à usage général
- Création d’un bureau AI
- Six principes de l’IA
Définition des systèmes d’IA
Un grand point de discussion concernait la définition de l’IA ou des “systèmes d’IA”. L’économie et la science critiquent en particulier le manque de précision de la définition des systèmes d’IA, car la première définition du projet d’avril 2021 pouvait s’appliquer à presque toutes les formes de logiciels. C’est pourquoi les députés compétents se sont mis d’accord sur une nouvelle définition, qui a été alignée sur la future définition de l’OCDE :
Art. 3(1) : ” système d’intelligence artificielle ” (système IA) : un système basé sur une machine et conçu pour fonctionner avec différentes Degrés d’autonomie et qui peut produire, à des fins explicites ou implicites, des résultats tels que des prédictions, des recommandations ou des décisions qui affectent des environnements physiques ou virtuels.”
Pour qu’un système d’IA entre dans le champ d’application de l’AI Act, une certaine autonomie doit donc être reconnue au système. Cela exprime une certaine indépendance vis-à-vis de l’opérateur humain ou de l’influence humaine.
Systèmes à haut risque (“High-risk AI systems”)
Un domaine qui a fait l’objet d’un débat au sein des deux commissions parlementaires et qui continuera probablement à faire l’objet de discussions lors des négociations du trilogue est la longue liste des applications à haut risque (annexe III du règlement). Le projet initial considérait toujours les systèmes d’IA relevant des cas d’utilisation critiques énumérés à l’annexe III comme étant à haut risque. Les députés ont maintenant ajouté une condition supplémentaire : un système d’IA à haut risque ne doit être considéré comme tel que s’il comporte également une risque important (“risque significatif”) pour la santé, la sécurité ou les droits fondamentaux implique. Un risque est considéré comme important lorsqu’il est significatif en raison de la combinaison de sa gravité, de son intensité, de sa probabilité d’occurrence et de la durée de ses effets et qu’il peut affecter un individu, un grand nombre de personnes ou un groupe particulier de personnes (cf. art. 1b).
Si les systèmes d’IA relèvent de l’annexe III, mais que les fournisseurs estiment qu’il n’y a pas de risque significatif, ils doivent en informer l’autorité compétente, qui dispose de trois mois pour s’y opposer. Dans l’intervalle, les fournisseurs peuvent mettre leur système sur le marché – mais en cas d’évaluation erronée, le fournisseur peut être sanctionné.
Désormais, les systèmes d’IA utilisés pour gérer des infrastructures critiques telles que les réseaux d’énergie ou les systèmes de gestion de l’eau seront également considérés comme à haut risque si ces applications peuvent entraîner des risques environnementaux graves. Les systèmes de recommandation des “très grandes plateformes en ligne” (plus de 45 millions d’utilisateurs), telles que définies dans la loi sur les services numériques (DSN), sont également considérés comme à haut risque. En outre, des mesures de sécurité supplémentaires (par ex. obligation de documentation) ont été incluses pour la procédure permettant aux fournisseurs de systèmes d’IA à haut risque de traiter des données sensibles telles que l’orientation sexuelle ou les convictions religieuses afin de détecter les biais négatifs. Les systèmes d’IA à haut risque doivent, selon le dernier projet, enregistrer leur empreinte écologique.
Les fournisseurs et les utilisateurs de systèmes d’IA à haut risque se voient imposer des obligations étendues, par exemple en matière d’évaluation de la conformité, de systèmes de gestion des risques, de documentation technique, d’obligations de tenue de registres, de transparence et de fourniture d’informations aux utilisateurs, de supervision humaine, de précision, de robustesse et de cybersécurité, de systèmes de gestion de la qualité, de notification des incidents et dysfonctionnements graves, etc. Des critères de qualité définis doivent également être respectés pour les ensembles de données de formation, de validation et de test.
Pratiques interdites (“Prohibited practices”)
Un débat politiquement sensible a porté sur le type de systèmes d’IA à interdire parce qu’ils présentent un risque inacceptable. Malgré tout, cette catégorie a été élargie : L’utilisation de logiciels d’identification biométrique serait désormais totalement interdite. Selon le texte de compromis, un logiciel de reconnaissance correspondant ne peut être utilisé qu’en cas d’infraction pénale grave et avec l’autorisation préalable d’un tribunal. De même, l’utilisation de logiciels basés sur l’IA pour la reconnaissance des émotions serait interdite dans les domaines de l’application de la loi, de la gestion des frontières, du lieu de travail et de l’éducation.
Ensuite, les “techniques délibérément manipulatrices ou trompeuses” sont désormais interdites (bien que la preuve de l’intention puisse être difficile à apporter). Cette interdiction ne s’applique pas aux systèmes d’IA destinés à être utilisés à des fins thérapeutiques autorisées, sur la base d’un consentement éclairé et explicite. Par ailleurs, l’interdiction des députés européens pour la “police prédictive” a également été étendue des délits aux contraventions.
“General Purpose AI” et “Foundation models” (modèles de fondation)
Remarques préliminaires:
- Apprentissage automatique (ML) est un sous-domaine de l’IA.
- AI à usage général (GPAI ; en allemand : generative KI) est à son tour un sous-domaine de la ML, qui peut générer de nouveaux contenus tels que du texte, des images, de la vidéo, du code, etc. comme résultat d’une invite de commande.
- Modèles de fond de teint (FMs ; en français : modèles de base). Il s’agit d’une application d’apprentissage en profondeur qui a généralement été entraînée sur un large éventail de sources de données et sur de grandes quantités de données afin d’accomplir un large éventail de tâches, y compris celles pour lesquelles elles n’ont pas été spécifiquement développées et entraînées. Les FM sont une variante des IGP.
- Un Modèle linguistique large (LLM) est une sous-variante des FM. LLM est un modèle de langage qui reproduit un réseau neuronal.
- GPT est une série de LLM d’OpenAI développée depuis 2018. La dernière version est GPT‑4.
Dans le projet d’AI Act du 21 avril 2021, il manquait des références aux systèmes d’IA sans objectif spécifique (AI à usage général). Cela change avec le texte de compromis actuel. L’essor de ChatGPT et d’autres systèmes d’IA génératifs a incité les députés à inclure des “Systèmes d’IA à usage général” (GPAI) et “Modèles de fond de teint“de vouloir réglementer.
Initialement, les demandes d’interdiction ou de classification permanente de ChatGPT et des systèmes d’IA similaires dans la catégorie à haut risque ont été discutées. Cependant, le texte de compromis actuel ne classe pas les IGP comme étant à haut risque en soi. Ce n’est que lorsque les fournisseurs intègrent des IGP dans leurs systèmes d’IA considérés comme à haut risque que les exigences strictes de la catégorie à haut risque s’appliquent également aux IGP. Dans ce cas, les fournisseurs d’IGP doivent aider les fournisseurs en aval à se conformer en fournissant des informations et de la documentation sur le modèle d’IA.
Des exigences plus strictes sont également proposées pour les Foundation Models. Celles-ci concernent par exemple la gestion des risques, la gestion de la qualité, la gestion des données, la sécurité et la cybersécurité ainsi que le degré de robustesse d’un modèle de base. L’article 28b du texte de compromis régit les obligations des fournisseurs d’un modèle de base, que celui-ci soit autonome ou intégré dans un système ou un produit d’IA, qu’il soit mis à disposition sous des licences gratuites et open source, en tant que service ou via d’autres canaux de distribution. Outre une série d’obligations de transparence détaillées (référence à l’art. 52 ; par exemple, divulgation aux personnes physiques qu’elles interagissent avec un système d’IA), les fournisseurs de modèles de fondation seront également tenus de fournir un résumé “suffisamment détaillé” de l’utilisation des données d’entraînement protégées par le droit d’auteur (art. 28b, al. 4, let. c). La manière dont cela doit être mis en œuvre pour des entreprises comme OpenAI n’est pas claire, car ChatGPT, par exemple, a été entraîné sur un ensemble de données de plus de 570 Go de données textuelles.
Nouveaux principes de l’IA
Enfin, l’article 4a du texte de compromis contient des “principes généraux applicables à tous les systèmes d’IA”. Tous les acteurs concernés par l’AI Act doivent développer et utiliser des systèmes d’IA et des modèles de fondation en accord avec les six “principes d’IA” suivants :
- Action et contrôle humainsLes systèmes d’IA doivent être au service de l’homme, respecter la dignité humaine et l’autonomie personnelle, et fonctionner de manière à pouvoir être contrôlés et surveillés par l’homme.
- Robustesse technique et sécurité: Les dommages involontaires et inattendus doivent être réduits au minimum et les systèmes d’IA doivent être robustes en cas de problèmes involontaires.
- Protection des données et gouvernance des donnéesLes systèmes d’intelligence artificielle doivent être développés et utilisés dans le respect de la législation sur la protection des données.
- TransparenceLa traçabilité et l’explicabilité doivent être possibles et les personnes doivent être conscientes qu’elles interagissent avec un système d’IA.
- Diversité, non-discrimination et équitéLes systèmes d’IA doivent impliquer différents acteurs et promouvoir l’égalité d’accès, l’égalité des sexes et la diversité culturelle, et inversement, éviter les effets discriminatoires.
- Bien-être social et environnementalLes systèmes d’IA doivent être durables et respectueux de l’environnement, et être développés et utilisés au profit de tous les êtres humains.
Création d’un bureau européen de l’IA
Les deux commissions parlementaires se sont accordées sur le fait que l’architecture de mise en œuvre devrait comporter un élément central, notamment pour soutenir l’application harmonisée de l’AI Act et pour les enquêtes transfrontalières. C’est pourquoi la création d’un AI Office a été proposée. Le nouveau texte de compromis (art. 56 et suivants) explique en détail les tâches de ce bureau.
Sanctions
En cas de violation de l’AI Act, de lourdes amendes peuvent être infligées, comme pour le RGPD. En cas de violation des interdictions ou des exigences des systèmes à haut risque en matière de gouvernance des données, des amendes pouvant atteindre 30 millions d’euros ou 6% du chiffre d’affaires annuel mondial – le montant le plus élevé étant retenu – sont prévues.
Champ d’application international : conséquences pour la Suisse
Les fournisseurs suisses qui commercialisent ou mettent en service des systèmes d’IA dans l’UE sont également couverts par le champ d’application géographique de l’AI Act. Ensuite, l’AI Act s’applique aux fournisseurs et utilisateurs suisses de systèmes d’IA lorsque le résultat produit par le système d’IA est utilisé dans l’UE.
Ensuite, il devrait y avoir en Suisse ce que l’on appelle “l’effet Bruxelles”. De nombreux fournisseurs suisses d’IA ne développeront pas leurs produits uniquement pour la Suisse, ce qui devrait permettre aux nouvelles normes européennes de l’AI Act de s’imposer en Suisse également.
Procédure ultérieure et entrée en vigueur
Le vote en séance plénière du Parlement à la mi-juin pourrait bien réserver des surprises, mais la position du Parlement est largement consolidée. Une fois que le Parlement aura formellement adopté sa position, le projet entrera dans la dernière phase de la procédure législative : les négociations dites en trilogue, au cours desquelles les représentants du Conseil de l’UE, du Parlement européen et de la Commission européenne se mettront d’accord sur un texte final. Toutefois, l’AI Act ne devrait pas être adopté avant la fin de l’année 2023, ce qui signifie qu’il ne pourra pas être mis en œuvre avant cette date. en vigueur au plus tôt à la mi-2024 de la loi. Il y aura ensuite une période de mise en œuvre de deux ans. Toutefois, les dispositions relatives aux autorités et organismes notifiants ainsi que les dispositions relatives au Comité européen de l’intelligence artificielle et aux autorités nationales compétentes doivent déjà produire leur plein effet trois mois après l’entrée en vigueur. L’art. 71 (Sanctions) est déjà applicable 12 mois après son entrée en vigueur.
Même s’il faudra encore attendre avant que le règlement ne soit pertinent pour les entreprises (suisses), celles-ci devraient se familiariser avec le projet actuel.