AI Act, et maintenant on fait quoi concrètement ?

Un cadre juridique pour une innovation responsable, voici comment l’Union européenne présente l’AI Act. Non pas comme un ensemble de contraintes, mais comme une opportunité pour renforcer la confiance dans les technologies, et ce, aussi bien pour celles développées ou utilisées en interne, que pour celles intégrées au sein de produits et services. Les entreprises sont ainsi invitées à adopter une approche proactive, pour se conformer non seulement au règlement, mais aussi se positionner en leaders de l’innovation responsable.

Les multiples paradoxes de l’IA

Ironiquement, alors que certains des plus grands ingénieurs et informaticiens s’accordent à dire que "L’intelligence artificielle n’existe pas" (Luc Julia, Éditions First, 2019), cette terminologie marketing s’apprête à devenir une qualification juridique. Le projet de règlement proposé en avril 2021 vient de faire l’objet, le 2 février 2024, d’un accord unanime du Comité des représentants permanents (Coreper) des 27 États membres de l’Union européenne. En pratique, ce règlement sera donc adopté dans sa version définitive d’ici l’été 2024, avec une entrée en vigueur progressive, selon le niveau de risque des systèmes d’IA, à l’horizon 2025 et 2026.

Nous ne reviendrons pas ici sur le principe du fondement de ce texte, qui consiste à réguler les usages en fonction des risques qu’ils présentent, plutôt que la technologie elle-même. Un principe qui, toutefois, n’a pas été respecté pour un sous-ensemble très en vogue que sont "les modèles à usage général", qui désignent les IA dites "génératives" ainsi que les modèles dits de "fondation" comme les LLM ("Large language models").

Mettre à jour régulièrement les formations en IA pour inclure les aspects réglementaires

Face à l’affolement provoqué il y a tout juste un an par la hausse soudaine du nombre d’utilisateurs de ChatGPT, ces modèles ne seront donc finalement pas appréhendés selon leurs usages, mais sur la base de critères techniques, comme le nombre d’opérations en virgule flottante par seconde (Floating Points Per Second). Une mauvaise idée, un flop ? Le mérite de l’Union européenne réside dans sa volonté d’établir des normes contraignantes, plutôt que de se contenter de simples codes de conduite. Seul le temps dira si l’UE ne s’est pas précipitée pour réguler certains des modèles les plus innovants, sans avoir mené d’étude d’impact au préalable. À titre d’illustration, de nombreux experts estiment que prendre une unité de mesure de la rapidité de calcul d’un système informatique comme critère juridique n’est pas nécessairement adéquat, notamment parce que cela écarte des facteurs tels que les conditions dans lesquelles les microprocesseurs fonctionnent. D’autres commentateurs soutiennent que de tels facteurs pourraient pénaliser les entreprises européennes. Pour ces dernières, moins dotées sur les plans financiers et humains que les grands acteurs, une conformité documentaire représente un obstacle plus complexe.

Dans cette tension où le curseur entre régulation et innovation est si délicat à positionner, nous ne sommes donc pas à un paradoxe près. En tout état de cause, ce règlement, c’est-à-dire au sens législatif un texte qui n’a pas besoin de loi de transposition, connaîtra en réalité encore de nombreuses déclinaisons. L’édifice est loin d’être finalisé, car la Commission devra encore publier des lignes directrices, des standards… ainsi qu’une vingtaine de textes de droit dérivé. Le bureau de l’IA (AI Office) qui supervisera notamment les modèles d’IA "à risque systémique", devra lui aussi publier des templates, qui constitueront les marches à suivre, par exemple pour les résumés (model cards, data sheets, processus de red-teaming), relatifs à l’entraînement des modèles.

Catégorisation des systèmes d’IA : identifier son terrain de jeu

Une fois le décor planté, que faire concrètement pour préparer son entreprise ? En priorité, identifier et catégoriser ses systèmes d’IA selon le niveau de risque défini par l’AI Act. Les applications à haut risque, telles que la médecine assistée, les tris automatiques de CV, la notation d’examens, pour ne citer qu’eux, nécessiteront une attention particulière. Cela inclut la documentation technique, les procédures de test et la démonstration de respect des exigences en matière de transparence, de sécurité des données et d’impact sociétal. Cette démarche doit être considérée au niveau de chaque système ou modèle d’IA, plutôt que globalement au niveau de l’entreprise. Pour vérifier cela, la France et les autres États membres désigneront probablement plusieurs autorités de contrôle. Par exemple, pour veiller à l’application harmonieuse de l’AI Act, ou pour superviser les environnements de test (les bacs à sable), exercer des contrôles et imposer des sanctions.

Ce règlement sur l’IA ne fonctionnera pas de manière isolée. Il devra coexister avec les textes déjà en vigueur de l’UE, tels que le RGPD, les réglementations en matière de cybersécurité et les dispositions sur les services numériques, ainsi qu’avec les réglementations sectorielles spécifiques. Une évaluation complète de l’interaction entre ces lois est nécessaire pour identifier et rationaliser les éventuels conflits et chevauchements.

Investir dans la transparence et l’explicabilité des systèmes d’IA

Une attention particulière doit être accordée à la clarification de la manière dont l’IA et le RGPD interagissent pour éviter les ambiguïtés. Ainsi, la participation active de l’UE et de ses entreprises aux forums et processus mondiaux, tels que celui du G7, dit de Hiroshima, et le Conseil du commerce et de la technologie UE-États-Unis, est cruciale pour favoriser l’alignement et la compatibilité réglementaire.

Charge aux dirigeants de s’engager de façon proactive aux côtés des autorités réglementaires nationales et européennes. Des consultations en amont – comme actuellement celles lancées par la Cnil sur l’utilisation des données dans le cadre d’entraînement de modèles – peuvent aider à baliser ces terrains émergents et à ajuster ses processus en conséquence. Les régulateurs ont également besoin des retours de terrain pour affiner leurs lignes directrices de la manière la plus proche de la réalité opérationnelle. Qui plus est dans un domaine où les évolutions technologiques sont rapides.

Documentation : construire son dossier de conformité

La documentation joue un rôle clé. Elle doit détailler la conception, le déploiement et le fonctionnement des systèmes d’IA propres aux entreprises, dont les mesures prises pour atténuer les risques identifiés. À commencer par établir un comité de gouvernance de l’IA chargé de superviser la conformité réglementaire, d’évaluer les risques éthiques, et de s’assurer que les principes d’intégrité et de transparence sont inscrits dans tous les projets d’IA. La sensibilisation et la formation du personnel sur les enjeux de l’IA et les exigences de l’AI Act sont également essentielles. Cela comprend la formation technique des développeurs et la sensibilisation éthique de tous les employés. Plutôt que de bannir l’usage de ces outils en interne, il est plus pertinent de partir des cas d’usages et des besoins métiers, pour affiner une matrice de risque et créer des processus spécifiques.

SUR L’AUTEUR
Avocat au Barreau de Paris, Adrien Basdevant est spécialiste des enjeux de data et d’IA. Il a cofondé Entropy, un cabinet en droit du numérique connu pour son suivi de dossiers à la pointe des technologies et leurs usages. Diplômé de l’Essec, Adrien accompagne grands groupes et start-up dans leurs projets innovants, autant pour anticiper les enjeux réglementaires que pour accompagner les équipes produits. Membre du Conseil national du numérique (CNNum), il enseigne l’éthique des technologies et la régulation des données à l’Essec-CentraleSupélec. Auteur de plusieurs ouvrages, dont L’Empire des données, un essai sur la société, les algorithmes et la loi, il a également remis en 2023 aux ministres de l’Économie, de la Culture et du Numérique un rapport stratégique sur les métavers et les technologies immersives.