Tweet
À défaut d’être un acteur majeur de l’intelligence artificielle, l’Union européenne vient d’adopter la première législation au monde réglementant les IA génératives de type ChatGPT, explique “The Economist”. Sa mise en œuvre reste hasardeuse et lointaine.
Force est de reconnaître que les législateurs européens ont non seulement de l’endurance, mais aussi une extraordinaire résistance à la malbouffe. Les représentants du Parlement européen, des États membres et de la Commission européenne, l’instance dirigeante de l’Union européenne (UE), ont passé près de quarante heures jusqu’à l’aube du 9 décembre dans une salle de réunion mal éclairée à Bruxelles. Le tout pour parvenir à un accord sur la première réglementation de l’intelligence artificielle (IA). Les observateurs ont partagé en ligne des photos de sandwichs à moitié mangés et autres reliefs de fast-food s’accumulant dans les corbeilles de la salle, comme autant d’évaluations de l’avancée des pourparlers.
Cet hypermarathon de négociations était la dernière étape de l’un des processus législatifs les plus rapides qu’on ait jamais connus. Il a démarré au début de 2018 par de très longues consultations publiques et la mise en place d’un groupe de 52 “experts de haut niveau”. Lequel, en 2020, a abouti à la publication d’un livre blanc que l’on pouvait commenter en ligne (1 250 organismes et individus l’ont fait). La législation doit encore être ratifiée, car il reste quelques problèmes à résoudre, mais la version préliminaire du texte court sur 100 pages et comporte presque autant d’articles.
Un long processus juridique
Cela en valait-il vraiment la peine ? Ce processus approfondi a abouti à un cadre juridique cohérent, qui n’est pas sans évoquer une bonne partie de la législation sur la sécurité des produits. Afin de donner à cette technologie un espace où évoluer, la première mouture de la loi sur l’IA, présentée par la Commission en avril 2021, avait principalement pour but de réglementer diverses applications des systèmes d’IA, et non la manière dont ils étaient conçus. Plus la finalité d’un système d’IA était risquée, plus les règles qu’il allait falloir appliquer seraient strictes. Ainsi, une aide à la rédaction fondée sur l’IA n’a pas besoin de réglementation, tandis qu’un service qui aide les radiologues ne peut s’en passer. Et la reconnaissance faciale dans les lieux publics pourrait être purement et simplement interdite.
Mais l’idée de se concentrer sur les applications des systèmes d’IA partait du principe que les algorithmes sont principalement entraînés à des fins spécifiques. Le législateur s’est ensuite intéressé aux “grands modèles de langage” (LLM) sur lesquels s’appuient des services d’IA comme ChatGPT, qui peuvent avoir toutes sortes d’applications, de l’analyse de textes jusqu’au codage informatique.
Les freins de la France et de l’Allemagne
Dans la mesure où les LLM peuvent eux-mêmes être une source de nuisances, par exemple en diffusant des préjugés et de la désinformation, le Parlement européen entendait les réglementer eux aussi. Par exemple en obligeant leurs concepteurs à révéler sur quelles données ils les ont entraînés et comment ils évaluent les risques. En revanche, certains États, notamment la France et l’Allemagne, craignaient que de telles dispositions ne brident les petits concepteurs européens de modèles de langage face à leurs gigantesques concurrents américains.
L’issue du marathon européen a conduit à un compromis complexe, qui limite les règles les plus strictes aux LLM les plus puissants, tout en prévoyant des exceptions pour les modèles plus petits (surnommés “bacs à sable”) et en exemptant les modèles open source [dont le code est ouvert], que les utilisateurs peuvent adapter à leurs besoins.
Exceptions sécuritaires
Le deuxième grand sujet de friction consistait à décider dans quelle mesure les forces de l’ordre auraient le droit de recourir à la reconnaissance faciale, laquelle est essentiellement fondée sur l’IA. Le Parlement européen était favorable à une interdiction pure et simple, afin de protéger la vie privée. Les gouvernements, en revanche, insistaient sur le fait qu’ils avaient besoin de cette technologie pour assurer la sécurité publique, en particulier lors de grands événements comme les Jeux olympiques, qui se dérouleront l’année prochaine en France. Là encore, le compromis trouvé multiplie les exceptions. La police aura besoin d’un mandat pour utiliser la reconnaissance faciale. L’utilisation de la reconnaissance faciale dite “en temps réel” ne concernera que des lieux, des périodes et des crimes prédéfinis (comme les enlèvements ou l’exploitation sexuelle).
“L’UE devient le premier continent à fixer des règles claires pour l’utilisation de l’IA”, a tweeté Thierry Breton, le commissaire européen au Marché intérieur. Thierry Breton n’est jamais loin des feux de la rampe des réseaux sociaux : il n’a cessé de publier des photos de lui-même au sein du marathon des négociations.
Qui pour appliquer la loi sur l’IA ?
Reste à savoir si la loi sur l’IA sera aussi efficace que le Règlement général de protection des données (RGPD), le dispositif phare de l’UE en matière de protection de la vie privée. Des détails importants doivent encore être réglés. Et le Parlement européen doit encore adopter la version finale du texte.
Plus important encore, on ne sait toujours pas si la loi sur l’IA sera bien appliquée. Le problème se pose déjà avec les dernières législations sur le numérique adoptées par l’UE, étant donné qu’il s’agit d’un groupe de pays indépendants.
En matière de RGPD, ce sont principalement les agences nationales de protection des données qui sont souveraines, ce qui a conduit à différentes interprétations et à une application des règles qui est loin d’être optimale. Pour le Règlement sur les services numériques (Digital Services Act, DSA) et le Règlement sur les marchés numériques (Digital Markets Act, DMA), deux nouvelles législations pour réglementer les plateformes en ligne, leur application est entre les mains de la Commission de Bruxelles.
La loi sur l’IA relève davantage de l’entre-deux, mais les experts craignent que certains régulateurs nationaux ne disposent pas de l’expertise nécessaire pour poursuivre les infractions, qui peuvent donner lieu à des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires global d’une entreprise.
Lointaine entrée en vigueur
Le RGPD a déclenché ce qu’on appelle l’“effet Bruxelles” : les grandes entreprises de la tech dans le monde entier s’y sont pliées, et de nombreux gouvernements non européens y ont emprunté des éléments pour leur propre législation. Il n’en ira peut-être pas de même avec la loi sur l’IA. Les compromis complexes et la mise en œuvre hasardeuse ne sont pas les seules raisons.
Pour commencer, dans le domaine de l’IA, les incitations sont différentes : les plateformes d’IA pourraient juger plus simple d’utiliser un autre algorithme au sein de l’UE afin d’en respecter la réglementation. (En revanche, les réseaux sociaux internationaux ont du mal à appliquer différents règlements sur la vie privée selon les pays.) Et lorsque la loi sur l’IA sera entrée en vigueur [pas avant la fin de 2026] et aura fait ses preuves, de nombreux autres pays, dont le Brésil et le Canada, auront rédigé leurs propres législations sur l’IA.
Les longs débats autour de cette loi sur l’IA ont certes permis aux gens, en Europe comme ailleurs, de mieux comprendre les risques de cette technologie et de savoir comment s’en prémunir. Mais au lieu d’essayer d’être la première, l’Europe aurait peut-être mieux fait d’essayer d’être la meilleure – et de produire une loi plus rigoureuse, qui aurait cumulé moins d’exceptions.
Lire l’article original
Force est de reconnaître que les législateurs européens ont non seulement de l’endurance, mais aussi une extraordinaire résistance à la malbouffe. Les représentants du Parlement européen, des États membres et de la Commission européenne, l’instance dirigeante de l’Union européenne (UE), ont passé près de quarante heures jusqu’à l’aube du 9 décembre dans une salle de réunion mal éclairée à Bruxelles. Le tout pour parvenir à un accord sur la première réglementation de l’intelligence artificielle (IA). Les observateurs ont partagé en ligne des photos de sandwichs à moitié mangés et autres reliefs de fast-food s’accumulant dans les corbeilles de la salle, comme autant d’évaluations de l’avancée des pourparlers.
Cet hypermarathon de négociations était la dernière étape de l’un des processus législatifs les plus rapides qu’on ait jamais connus. Il a démarré au début de 2018 par de très longues consultations publiques et la mise en place d’un groupe de 52 “experts de haut niveau”. Lequel, en 2020, a abouti à la publication d’un livre blanc que l’on pouvait commenter en ligne (1 250 organismes et individus l’ont fait). La législation doit encore être ratifiée, car il reste quelques problèmes à résoudre, mais la version préliminaire du texte court sur 100 pages et comporte presque autant d’articles.
Un long processus juridique
Cela en valait-il vraiment la peine ? Ce processus approfondi a abouti à un cadre juridique cohérent, qui n’est pas sans évoquer une bonne partie de la législation sur la sécurité des produits. Afin de donner à cette technologie un espace où évoluer, la première mouture de la loi sur l’IA, présentée par la Commission en avril 2021, avait principalement pour but de réglementer diverses applications des systèmes d’IA, et non la manière dont ils étaient conçus. Plus la finalité d’un système d’IA était risquée, plus les règles qu’il allait falloir appliquer seraient strictes. Ainsi, une aide à la rédaction fondée sur l’IA n’a pas besoin de réglementation, tandis qu’un service qui aide les radiologues ne peut s’en passer. Et la reconnaissance faciale dans les lieux publics pourrait être purement et simplement interdite.
Mais l’idée de se concentrer sur les applications des systèmes d’IA partait du principe que les algorithmes sont principalement entraînés à des fins spécifiques. Le législateur s’est ensuite intéressé aux “grands modèles de langage” (LLM) sur lesquels s’appuient des services d’IA comme ChatGPT, qui peuvent avoir toutes sortes d’applications, de l’analyse de textes jusqu’au codage informatique.
Les freins de la France et de l’Allemagne
Dans la mesure où les LLM peuvent eux-mêmes être une source de nuisances, par exemple en diffusant des préjugés et de la désinformation, le Parlement européen entendait les réglementer eux aussi. Par exemple en obligeant leurs concepteurs à révéler sur quelles données ils les ont entraînés et comment ils évaluent les risques. En revanche, certains États, notamment la France et l’Allemagne, craignaient que de telles dispositions ne brident les petits concepteurs européens de modèles de langage face à leurs gigantesques concurrents américains.
L’issue du marathon européen a conduit à un compromis complexe, qui limite les règles les plus strictes aux LLM les plus puissants, tout en prévoyant des exceptions pour les modèles plus petits (surnommés “bacs à sable”) et en exemptant les modèles open source [dont le code est ouvert], que les utilisateurs peuvent adapter à leurs besoins.
Exceptions sécuritaires
Le deuxième grand sujet de friction consistait à décider dans quelle mesure les forces de l’ordre auraient le droit de recourir à la reconnaissance faciale, laquelle est essentiellement fondée sur l’IA. Le Parlement européen était favorable à une interdiction pure et simple, afin de protéger la vie privée. Les gouvernements, en revanche, insistaient sur le fait qu’ils avaient besoin de cette technologie pour assurer la sécurité publique, en particulier lors de grands événements comme les Jeux olympiques, qui se dérouleront l’année prochaine en France. Là encore, le compromis trouvé multiplie les exceptions. La police aura besoin d’un mandat pour utiliser la reconnaissance faciale. L’utilisation de la reconnaissance faciale dite “en temps réel” ne concernera que des lieux, des périodes et des crimes prédéfinis (comme les enlèvements ou l’exploitation sexuelle).
“L’UE devient le premier continent à fixer des règles claires pour l’utilisation de l’IA”, a tweeté Thierry Breton, le commissaire européen au Marché intérieur. Thierry Breton n’est jamais loin des feux de la rampe des réseaux sociaux : il n’a cessé de publier des photos de lui-même au sein du marathon des négociations.
Qui pour appliquer la loi sur l’IA ?
Reste à savoir si la loi sur l’IA sera aussi efficace que le Règlement général de protection des données (RGPD), le dispositif phare de l’UE en matière de protection de la vie privée. Des détails importants doivent encore être réglés. Et le Parlement européen doit encore adopter la version finale du texte.
Plus important encore, on ne sait toujours pas si la loi sur l’IA sera bien appliquée. Le problème se pose déjà avec les dernières législations sur le numérique adoptées par l’UE, étant donné qu’il s’agit d’un groupe de pays indépendants.
En matière de RGPD, ce sont principalement les agences nationales de protection des données qui sont souveraines, ce qui a conduit à différentes interprétations et à une application des règles qui est loin d’être optimale. Pour le Règlement sur les services numériques (Digital Services Act, DSA) et le Règlement sur les marchés numériques (Digital Markets Act, DMA), deux nouvelles législations pour réglementer les plateformes en ligne, leur application est entre les mains de la Commission de Bruxelles.
La loi sur l’IA relève davantage de l’entre-deux, mais les experts craignent que certains régulateurs nationaux ne disposent pas de l’expertise nécessaire pour poursuivre les infractions, qui peuvent donner lieu à des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires global d’une entreprise.
Lointaine entrée en vigueur
Le RGPD a déclenché ce qu’on appelle l’“effet Bruxelles” : les grandes entreprises de la tech dans le monde entier s’y sont pliées, et de nombreux gouvernements non européens y ont emprunté des éléments pour leur propre législation. Il n’en ira peut-être pas de même avec la loi sur l’IA. Les compromis complexes et la mise en œuvre hasardeuse ne sont pas les seules raisons.
Pour commencer, dans le domaine de l’IA, les incitations sont différentes : les plateformes d’IA pourraient juger plus simple d’utiliser un autre algorithme au sein de l’UE afin d’en respecter la réglementation. (En revanche, les réseaux sociaux internationaux ont du mal à appliquer différents règlements sur la vie privée selon les pays.) Et lorsque la loi sur l’IA sera entrée en vigueur [pas avant la fin de 2026] et aura fait ses preuves, de nombreux autres pays, dont le Brésil et le Canada, auront rédigé leurs propres législations sur l’IA.
Les longs débats autour de cette loi sur l’IA ont certes permis aux gens, en Europe comme ailleurs, de mieux comprendre les risques de cette technologie et de savoir comment s’en prémunir. Mais au lieu d’essayer d’être la première, l’Europe aurait peut-être mieux fait d’essayer d’être la meilleure – et de produire une loi plus rigoureuse, qui aurait cumulé moins d’exceptions.
Lire l’article original