Le nouveau règlement européen sur l’IA en six questions

La France et l’Europe ne veulent pas voir passer devant elles, sans y participer, la nouvelle révolution numérique que constitue l’intelligence artificielle (IA), mais elles s’inquiètent des risques potentiels que l’IA fait peser, notamment sur la liberté des individus. Après avoir longtemps entravé la rédaction d’un texte européen, la France, soucieuse de faire grandir ses start-up travaillant dans l’IA, a finalement donné son accord. L’avocat Xavier Près (associé du cabinet Varet Près Killy) répond à six questions que pose ce texte.

Il s’agit de la proposition de règlement de l’Union européenne (UE) sur l’intelligence artificielle. C’est un texte transverse qui ne se réduit pas au droit d’auteur, mais qui embrasse largement tous les secteurs. Le texte a pour ambition de doter l’UE d’un dispositif général, inédit au niveau mondial, pour permettre aux systèmes d’IA de se développer dans un cadre de confiance et dans le respect des droits fondamentaux et des valeurs de l’UE.

Le texte a été adopté le 2 février 2024 à l’unanimité par les 27 États membres de l’UE. Il a été voté par le Parlement européen le 13 mars 2024. Il sera applicable progressivement, dès la fin de l’année, afin de permettre aux opérateurs économiques, privés et publics, de prendre les mesures nécessaires à une mise en conformité de leurs systèmes d’IA.

Le règlement de l’UE sur l’IA est un texte transverse. Il a vocation à s’appliquer largement, à tout opérateur de systèmes d’IA (fournisseur, déployeur, distributeur, fabricant, importateur) dont le siège social se situe dans l’UE, ou, sous certaines conditions, dans un pays tiers lorsque les systèmes d’IA sont commercialisés dans l’UE. Il a également vocation à s’appliquer tout secteur confondu, à l’exclusion toutefois des finalités exclusivement militaires, de défense ou de sécurité nationale ou encore à des fins exclusives de recherche et de développement scientifique.

En substance, ce règlement tend à favoriser l’innovation, tout en protégeant la société, en procédant à une approche de régulation graduée selon les risques : les systèmes d’IA sont classés selon leur niveau de risque ; les contraintes juridiques variant à proportion du risque.

Les plus dangereuses sont celles qui sont considérées comme présentant un « risque inacceptable ». Elles sont interdites. En substance, il s’agit des systèmes d’IA qui utilisent des techniques permettant d’altérer le pouvoir décisionnel d’une personne (techniques subliminales, par exemple), qui évaluent ou classent les personnes (score social) ou qui utilisent des systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins de maintien de l’ordre, sauf cas particuliers.

Une catégorie intermédiaire vise les systèmes d’IA « à haut risque ». Il s’agit, d’une part, des systèmes d’IA qui, sous certaines conditions, sont utilisés en lien avec un produit relevant de la législation de l’UE sur la sécurité des produits, selon une liste définie en annexe 2 (près d’une vingtaine de règlements et de directives de l’UE sont ainsi concernés, pour des produits aussi divers que les jouets, les ascenseurs, les câbles, les dispositifs médicaux, le transport, etc.). Il s’agit, d’autre part, des systèmes d’IA relevant des huit domaines cruciaux suivants : les données biométriques ; les infrastructures critiques ; l’éducation et la formation professionnelle ; l’emploi ; l’accès et la jouissance des services privés essentiels et des services et prestations des publics essentiels ; les services répressifs ; la gestion des migrations, de l’asile et des contrôles aux frontières ; et l’administration de la justice et des processus démocratiques.

Les contraintes applicables sont multiples et portent notamment sur le respect de normes harmonisées, de déclaration de conformité, d’enregistrement dans une base de données de l’UE, d’un marquage de conformité, ainsi que sur la mise en place d’une documentation technique permettant notamment de s’assurer du respect des différentes contraintes applicables.

Les moins dangereuses sont celles qui sont considérées comme présentant un « risque limité ». Il s’agit d’une catégorie résiduelle, comprenant l’ensemble des autres systèmes d’IA qui ne sont ni interdits (risque inacceptable), ni fortement régulés (à haut risque). Parmi ces derniers sont notamment visés les systèmes d’IA génératives, telles que ChatGPT, DALL-E, Midjourney [voir ill.], Stable Diffusion ou encore Gemini. Ils sont soumis à des obligations de transparence diverses. L’une de celles-ci concerne le droit d’auteur et devrait permettre de contraindre ceux qui exploitent les IA génératives d’identifier les contenus utilisés pour alimenter les IA dont, au premier chef, les créations protégées au titre du droit d’auteur dont on sait qu’elles sont largement utilisées comme données d’entraînement des algorithmes et ce, souvent sans l’autorisation des auteurs. Jusqu’à présent du moins…