Règlementation de l’IA : l’UE franchit une nouvelle étape après un vote clé au Parlement européen

Les commissions des Libertés civiles (LIBE) et du Marché intérieur (IMCO) du Parlement européen ont donné leur feu vert à la législation sur l’intelligence artificielle (AI Act) lors d’un vote ce jeudi (11 mai), ouvrant ainsi la voie à une adoption en séance plénière à la mi-juin.

La législation sur l’IA est un projet phare visant à règlementer l’intelligence artificielle par rapport à son potentiel de nuisance. Jeudi, les commissions LIBE et IMCO du Parlement ont adopté le texte à une large majorité.

La prochaine étape est l’adoption en séance plénière du Parlement européen, dont la date provisoire est fixée au 14 juin. Une fois que les eurodéputés auront formalisé leur position, la proposition entrera dans la dernière phase de son processus législatif : les négociations avec le Conseil de l’UE et la Commission européenne, appelées « trilogues ».

« Nous sommes sur le point de concevoir une législation historique dans le paysage numérique, non seulement pour l’Europe mais aussi pour le monde entier », a déclaré, avant le vote, Brando Benifei (Socialistes et Démocrates, S&D), l’un des co-rapporteurs de ce dossier, à ses pairs.

Définition de l’IA

La définition de l’intelligence artificielle est un aspect essentiel de la législation, car elle cadre le champ d’application. Les députés conservateurs ont obtenu que la définition soit alignée sur celle de l’Organisation de coopération et de développement économiques (OCDE), un groupe de 38 pays développés.

Ainsi, « un système d’intelligence artificielle est un système automatisé qui, pour un ensemble donné d’objectifs définis par l’homme, est en mesure d’établir des prévisions, de formuler des recommandations, ou de prendre des décisions influant sur des environnements réels ou virtuels ».

L’OCDE envisage toutefois de modifier sa définition de l’IA. C’est pourquoi les législateurs de l’UE ont ajusté la formulation afin d’anticiper la future formulation de l’organisation.

Pratiques interdites

La législation sur l’IA interdit des applications spécifiques telles que les techniques de manipulation ou la notation des citoyens, qui sont considérées comme présentant un risque inacceptable.

Il est à noter que la liste des pratiques interdites a été considérablement allongée sous la pression d’eurodéputés centristes et de gauche.

L’interdiction a été étendue aux modèles d’IA de catégorisation biométrique, à la police prédictive et à la récupération d’images faciales pour la constitution de bases de données. Les logiciels de reconnaissance des émotions sont interdits dans les domaines du maintien de l’ordre, de la gestion des frontières, du travail et de l’éducation.

Les systèmes d’identification biométrique, autorisés jusqu’à présent dans des situations spécifiques telles que les enlèvements ou les attaques terroristes, étaient un point plus controversé. Le Parlement s’est prononcé en faveur d’une interdiction totale de ces systèmes, bien que le Parti populaire européen (PPE), pourtant majoritaire, s’y soit opposé jusqu’à la dernière minute.

L’IA à usage général

La version originale de la loi sur l’IA n’incluait pas dans son champ d’application les systèmes n’ayant pas d’objectif spécifique. Le succès fulgurant de ChatGPT et d’autres grands modèles de langage a poussé les législateurs européens à se demander comment règlementer au mieux ce type d’IA. Une approche à plusieurs niveaux a alors été mise en place.

Par défaut, le règlement sur l’IA ne couvrira pas les systèmes d’IA à usage général (General Purpose Artificial Intelligence, GPAI). L’essentiel des obligations incombera aux opérateurs économiques qui intègrent ces systèmes dans une application considérée comme « à haut risque ».

Toutefois, les fournisseurs de GPAI devront aider les opérateurs en aval à se mettre en conformité en leur fournissant toutes les informations et la documentation nécessaires sur le modèle d’IA utilisé.

Des exigences plus strictes sont proposées pour les modèles de fondation, qui sont de puissants systèmes d’IA à usage général tels que Stable Diffusion pouvant alimenter d’autres applications d’IA. Les obligations couvrent la gestion des risques, la gouvernance des données et le niveau de robustesse du modèle de base, qui doit être vérifié par des experts indépendants.

Les modèles d’IA générative tels que ChatGPT devraient quant à eux signaler chaque fois qu’un texte est généré par l’IA et fournir un résumé détaillé des données d’entraînement couvertes par la loi sur le droit d’auteur.

Catégorisation des applications à haut risque

Le règlement introduit un régime plus strict pour les applications d’IA à haut risque. Initialement, le risque élevé était déterminé sur la base d’une liste de domaines critiques et de cas d’utilisation figurant dans l’annexe III.

Cependant, les eurodéputés ont supprimé cette catégorisation automatique et ont ajouté une couche supplémentaire : pour être classé comme présentant un risque élevé, un système d’IA devrait également présenter un risque significatif d’atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes.

Si les systèmes d’IA relèvent de l’annexe III mais que les fournisseurs estiment qu’il n’y a pas de risque significatif, ils devront en avertir l’autorité compétente, qui disposera de trois mois pour s’y opposer. Dans l’intervalle, les fournisseurs pourront lancer leur IA, mais les erreurs de classification seront sanctionnées.

L’annexe III a également été modifiée de manière significative, rendant la formulation plus précise dans les domaines des infrastructures critiques, de l’éducation, de l’emploi et de l’accès aux services essentiels. Les domaines de l’application de la loi, du contrôle des migrations et de l’administration de la justice ont été élargis.

Les systèmes de recommandation des plateformes de médias sociaux désignées comme très grandes plateformes en ligne en vertu du règlement sur les services numériques (DSA) ont été ajoutés.

Obligations à haut risque

Le texte du Parlement européen a rendu les obligations des fournisseurs d’IA à haut risque beaucoup plus prescriptives, notamment en matière de gestion des risques, de gouvernance des données, de documentation technique et de tenue de registres.

Une nouvelle obligation a été introduite pour les utilisateurs de systèmes d’IA à haut risque. En effet, une évaluation de l’impact sur les droits fondamentaux en tenant compte d’aspects tels que l’impact négatif potentiel sur les groupes marginalisés et sur l’environnement doit à présent être effectuée.

Gouvernance et application

Les législateurs de l’UE se sont mis d’accord pour assurer un élément de centralisation dans l’architecture de mise en œuvre du texte, en particulier pour les cas transfrontaliers. Le co-rapporteur du dossier, Dragoș Tudorache (Renew Europe), a proposé la création d’un Bureau de l’IA, un nouvel organisme dont le rôle ressemblait à celle d’une agence européenne.

Au cours des négociations, les tâches de ce nouveau Bureau ont été considérablement réduites en raison de l’absence de marge de manœuvre sur le budget de l’UE. Finalement, le Bureau n’aura qu’un rôle de soutien, puisqu’il pourra fournir des orientations et coordonner les enquêtes conjointes.

La Commission a quant à elle été chargée de régler les différends entre les autorités nationales concernant les systèmes d’IA dangereux.

[Édité par Anne-Sophie Gayet]