Les agents IA, prochain obstacle pour la législation européenne ?
L'essor de l'IA autonome soulève des questions quant à savoir si la réglementation européenne est déjà dépassée
Les agents IA sont en passe de se généraliser et, ce faisant, bouleversent les marchés. Mais, tout comme lors de l’essor soudain des chatbots IA il y a quelques années à peine, l’adoption rapide de cette technologie soulève des questions quant à la manière dont le droit européen va traiter un système qui fonctionne très différemment de ce que les législateurs avaient envisagé.
Alors que les chatbots IA comme ChatGPT attendent que les utilisateurs leur posent des questions ou interagissent avec eux, les agents IA sont conçus pour fonctionner de manière plus autonome. Ce type d’intelligence artificielle est conçu pour utiliser des outils numériques et des logiciels, y compris des outils d’IA, afin d’exécuter des tâches.
Par exemple, les assistants de codage sont des agents IA auxquels un programmeur peut donner des instructions de haut niveau – laissant à l’agent le soin de déterminer quelles bibliothèques et quels frameworks utiliser, quelles API appeler, de tester les erreurs et d’itérer sur le code – afin de créer le logiciel requis.
Un autre type d’agent, appelé « OpenClaw », a récemment fait la une de l’actualité. Ce type d’agent n’a même pas besoin d’attendre les instructions de l’utilisateur pour agir ; il fonctionne selon un « rythme cardiaque », se réveillant à des intervalles définis pour agir conformément à une personnalité ou à un objectif prédéfini.
Un agent OpenClaw a fait la une des journaux en février après s’être apparemment rebellé. La technologie avait tenté d’apporter des modifications à un projet de logiciel open source, modifications qui ont été rejetées ; l’IA a alors utilisé son autonomie pour rédiger et publier un article attaquant un bénévole travaillant sur ce projet, l’accusant d’avoir un parti pris contre l’IA.
À plus long terme, les observateurs du secteur s’attendent à ce que les agents IA soient adoptés par le grand public en tant qu’assistants personnels numériques.
Hébergés sur les appareils des consommateurs et intégrés à toutes sortes de services en ligne, l’idée est que ces agents soient capables d’exécuter de manière autonome des tâches pour leurs utilisateurs, comme prendre des rendez-vous, répondre à des e-mails, effectuer des tâches administratives, et même planifier et réserver des vacances.
Une intrusion profonde dans la vie privée
Mais une telle promesse de commodité repose sur le fait que les agents IA disposent à la fois d’un haut degré d’autonomie pour agir et d’un accès profond à la vie des gens. Une distinction clé entre les chatbots IA et les agents réside dans l’étendue de l’accès aux informations personnelles dont chacun a besoin pour être utile.
Si les chatbots reçoivent sans aucun doute de nombreuses informations privées, via les requêtes saisies par les utilisateurs, ils ne sont généralement pas profondément intégrés à la vie numérique de ces derniers.
Mais il est clair que les agents IA auront besoin d’un large accès à de nombreuses informations sur les utilisateurs, y compris des données personnelles, ainsi que des autorisations pour utiliser toutes sortes d’applications afin de prendre efficacement des décisions et d’effectuer des tâches pour le compte de leurs utilisateurs.
Le technologue Bill Gates a mis en évidence les défis qui se profilent dans un essai par ailleurs enthousiaste publié en novembre 2023, où il évoquait la vague de changements induits par l’IA à venir, se demandant à haute voix : « Comment garantir que [les données personnelles] sont utilisées de manière appropriée ? »
Une IA plus autonome semble appelée à exacerber les problèmes de protection des données qui ont déjà posé des difficultés à l’IA conversationnelle, les agents exigeant des réponses à des questions plus complexes, telles que la quantité d’informations personnelles à laquelle l’IA devrait pouvoir accéder pour accomplir une tâche.
La Commission européenne a déclaré que le Règlement général sur la protection des données (RGPD) de l’UE s’applique pleinement aux agents IA, tout comme à toute autre activité de traitement de données à caractère personnel. Cependant, les autorités nationales de contrôle surveillent de près cette technologie, notamment pour détecter les nouveaux risques que les agents IA pourraient créer.
Les règles de l’UE en matière d’IA ont été adaptées auparavant
L’UE dispose certes d’un cadre réglementaire dédié à l’IA, l’AI Act, mais les capacités des outils d’IA agentique semblent assez différentes de la plupart des systèmes que les législateurs avaient à l’esprit lorsqu’ils ont rédigé ces règles.
Ce constat a conduit au moins un législateur à demander à la Commission si le règlement devait déjà être mis à jour.
Ce ne serait pas une première : l’UE a en effet remanié la loi sur l’IA lors des dernières phases des négociations, les colégislateurs ayant réagi à l’émergence d’IA polyvalentes puissantes telles que ChatGPT.
Le député européen vert Sergey Lagodinsky a posé la question à la commissaire européenne chargée des technologies, Henna Virkkunen, dans une lettre l’automne dernier, demandant si les agents relevaient des règles de la loi sur l’IA applicables aux systèmes qui produisent des éléments « tels que » du contenu ou des décisions influençant l’environnement.
Dans sa réponse, Virkkunen a laissé entendre qu’il était « probable » que les agents relèvent du champ d’application de la loi, soulignant que la liste d’exemples figurant dans la loi n’était pas exhaustive.
Subtilités juridiques
Pourtant, certains responsables se demandent si les agents IA nécessitent des règles spécifiques.
L’année dernière, la Commission a réuni des experts juridiques issus des capitales et de groupes d’intérêt lors d’une série de discussions sur l’orientation que devrait prendre la politique de l’UE en matière de justice. L’un des thèmes centraux : l’impact des agents IA.
Plus précisément, la Direction générale de la justice et des consommateurs (DG JUST) de la Commission a fait valoir que les nouvelles technologies avaient apporté une « nouvelle dimension » à la conclusion automatisée de contrats, car il était de plus en plus possible de conclure des accords sans intervention humaine.
Mais si une IA signe un contrat, celui-ci est-il juridiquement contraignant ? Un agent pourrait accepter un accord sur la base d’une instruction générale de son utilisateur, en adaptant à la volée le montant qu’il est prêt à payer pour quelque chose, voire ce qu’il juge approprié d’acheter pour mener à bien la tâche.
Cette autonomie rend « difficile » de savoir si les deux parties peuvent clairement comprendre ce à quoi elles s’engagent, a fait valoir la DG JUST dans un document publié en octobre.
Les agents ne peuvent être tenus pour responsables
Se pose également la question, loin d’être anodine, de savoir qui, juridiquement, doit assumer la responsabilité lorsqu’un agent commet une erreur ?
« Le cadre juridique de l’UE ne confère pas de personnalité juridique aux systèmes d’IA. Cela signifie que leurs actions doivent être attribuées à une personne physique ou morale », a fait valoir le document de la DG JUST. Mais la personne responsable devrait-elle être celle qui a utilisé l’agent, ou le développeur d’IA qui l’a créé ?
Cette question a déjà donné lieu à de véritables batailles juridiques dans le domaine des chatbots IA.
Au Canada, un client a obtenu gain de cause contre une compagnie aérienne dont le chatbot avait promis une réduction qui ne s’appliquait pas réellement. La compagnie aérienne a déclaré qu’elle ne pouvait être tenue pour responsable, mais un tribunal administratif en a jugé autrement.
Les systèmes d’IA sont souvent des boîtes noires, les utilisateurs étant incapables de comprendre ce qui a exactement poussé un système à se comporter comme il l’a fait. Ajoutez à cela l’autonomie numérique et les conséquences peuvent s’amplifier de manière exponentielle, comme l’a souligné la Commission en octobre dernier, citant un cas illustrant le risque de « conséquences économiques significatives » : un utilisateur avait payé plus de 250 fois le prix courant pour un produit que son agent IA avait acheté à l’aide d’une carte de crédit.
Faible appétit pour de nouvelles règles
Malgré les risques évidents liés à la liberté d’action accrue accordée aux agents IA dans nos vies numériques, un rapport de novembre sur les discussions axées sur la justice a indiqué que les capitales de l’UE s’opposaient à la nécessité de nouvelles règles, se plaignant d’une « fatigue réglementaire ».
L’UE devrait plutôt envisager des approches de « droit souple » fondées sur un cadre existant des Nations unies, ont suggéré les participants.
La réaction tiède des pays n’est guère surprenante à un moment où l’UE est poussée de toutes parts à abroger les lois existantes, et non à en accumuler de nouvelles.
Cela vaut tout particulièrement pour l’IA, qui est la pièce maîtresse du paquet « Digital Omnibus » de la Commission, alors que les législateurs européens cherchent à accélérer le développement et l’adoption de l’IA, notamment en assouplissant les règles de protection des données en vigueur depuis longtemps afin de faciliter l’entraînement des IA.
Il existe toutefois une exception notable : le Parlement et le Conseil envisagent actuellement une nouvelle règle interdisant les « nudificateurs » d’IA, à la suite d’un scandale au cours duquel le chatbot Grok d’Elon Musk a déshabillé publiquement les utilisateurs de sa plateforme sociale X.
Il est également vrai que les agents IA sont à l’origine d’incidents qui font la une des journaux semaine après semaine ; ainsi, si – ou quand – l’un d’entre eux provoque suffisamment de dégâts, les législateurs pourraient être contraints d’examiner cette technologie de plus près.
(nl, aw)
