L’AI Act en équilibre / Les arbitrages entre innovation et réglementation à l'épreuve du temps

Phase de négociation en trilogue oblige, l’Artificial Intelligence (AI) Act européen reste soumis à des changements en son sein… au sujet desquels les acteurs de l’écosystème ne manquent pas de s’exprimer. "Donnons une chance à l’intelligence artificielle (IA) en Europe", titrait le lobby représentant les industries en transformation numérique DigitalEurope dans une lettre ouverte publiée la semaine passée. "Dans sa forme initiale, la loi sur l’IA était un texte sur la sécurité des produits. [Ces lois] sont bénéfiques pour les consommateurs. […] Cela doit rester [son] seul objectif", plaidait de son côté sur X (anciennement Twitter) Arthur Mensch, l’un des cofondateurs de la pépite française de l’IA Mistral AI.

En cause, un point de clivage entre les États membres du Conseil de l’Europe au sein de ce règlement européen visant à encadrer les usages de l’IA : celui de la question du traitement des modèles de fondation et de l’IA à usage général (GPAI). Car de fait, le texte a désormais pour ambition de réglementer les modèles fondamentaux, soit les moteurs de certaines applications d’IA. GPT-4 est par exemple le modèle de fondation derrière le célèbre robot conversationnel d’OpenAI, ChatGPT. La dernière idée était la suivante : que de nouvelles exigences incombent à ces modèles de base, du développement à la conception jusqu’à l’évaluation du modèle pour évaluer la sécurité.

Une notion qui ne convient pas à la France, l’Allemagne et l’Italie. "Le marchandage institutionnel est important. Le Conseil de l’Europe fait de la résistance, avec ces trois pays qui ont adopté une position jointe qui rejette les amendements relatifs aux modèles de fondation", rappelle l’avocat associé d’Aramis, en charge de la pratique Technologies de l’information et propriété intellectuelle Benjamin May, à l’occasion d’un entretien accordé à WanSquare. La crainte à ce sujet : qu’en réglementant ces modèles fondamentaux, on ne vienne tuer l’innovation dans l’œuf en obligeant de petites entreprises à déployer des coûts de mise en conformité trop importants. Ce qui devrait, par ailleurs, favoriser les grandes entreprises déjà bien établies (souvent non-européennes).

Le champ d’application comme enjeu principal

"Concernant le champ d’application, les propres données de la Commission [européenne] montrent que, pour une PME de 50 salariés, la mise sur le marché d’un seul produit basé sur l’IA pourrait entraîner des coûts de conformité bien supérieurs à 300 000 € au titre de la loi sur l’IA", soutenait DigitalEurope dans sa tribune, ajoutant qu’il serait donc essentiel de réduire le fardeau financier des PME autant que possible et de leur permettre d’appliquer la GPAI, les modèles de base ou toutes autres nouvelles technologies émergentes d’IA à leurs innovations. Cette question de champ d’application reste, dans tous les cas, le point le plus épineux de ce texte. Il vise en effet à réguler plus particulièrement les IA à "haut risque". "C’est le grand enjeu de ce texte que de déterminer si un système d’IA l’est, ou non", ajoute Benjamin May. "Les obligations réglementaires seront différentes, y compris pour la personne morale utilisatrice de l’IA", poursuit l’avocat.

Pour apporter des outils face à ce type d’obstacles, Benjamin May a notamment participé à la cofondation d’une entreprise éditrice de logiciel, Naaia, un "cockpit de pilotage des usages de l’IA", remarque l’avocat. La solution permettra à l’ensemble des acteurs de l’écosystème (fournisseurs, déployeurs et utilisateurs) de s’assurer de la compliance et de la performance des systèmes d’IA utilisés, en matière de R & D, de déploiement des usages ou encore de commercialisation.

En effet, l’ensemble des entreprises vont être soumises à ce cadre réglementaire. Il sera également à la charge des déployeurs des systèmes d’IA de s’assurer que le fournisseur de la technologie a bien respecté les règles européennes : ils devront effectuer des analyses d’impact avant de la mettre en place tout en s’assurant de sa traçabilité. Du côté des fournisseurs, il s’agira de travailler sur la transparence ou encore l’explicabilité. En clair, les modèles d’IA devront être auditables. "Il y aura beaucoup de conséquences en cascade", remarque Benjamin May. Un point sur lequel Arthur Mensch, le cofondateur de Mistral AI, a également souhaité insister dans sa prise de position, indiquant que le renforcement de la sécurité des produits d’IA aura nécessairement une incidence sur la manière dont les fournisseurs d’application d’IA développent leurs modèles fondamentaux.

Résister à l’épreuve du temps

Pour autant, il s’agirait de ne pas se tromper de cible. Car cette approche à plusieurs niveaux, qui vise à introduire des règles plus sévères pour les modèles les plus puissants et les plus à même d’avoir un impact sur la société, semble interférer avec l’idée de protéger l’innovation européenne tout en encadrant les activités des géants non européens. Arthur Mensch a donné l’exemple suivant : il n’y aura pas de réglementation du langage C (un modèle de programmation) car celui-ci peut être utilisé pour développer des logiciels malveillants. À l’inverse, ce sont les logiciels malveillants qui sont interdits et les systèmes de réseau renforcés. C’est donc l’utilisation qui est encadrée. Les modèles de langage fondateurs fournissent, par ailleurs, un niveau d’abstraction plus élevé que le langage C pour la programmation informatique. Rien ne justifierait donc dans leur comportement que le cadre réglementaire soit modifié, a argumenté Arthur Mensch.

Surtout, a souligné DigitalEurope, le concept des modèles de fondation "très performants" ou "à fort impact" ne peut être mesuré et n’est pas à l’épreuve du temps. "ll faut un texte technologiquement agnostique, capable de dégager de grands ensembles qui perdureront dans le temps. Par exemple, le fait de réglementer les usages et non la technologie elle-même, en interdisant certains usages contraires aux droits fondamentaux, est une position qui donne un cadre robuste à cette réglementation", remarque Benjamin May. Le prochain trilogue est prévu pour le 6 décembre. Lors de l’adoption par le Parlement européen de l’AI Act en juin dernier, il avait effectivement été visé qu’un accord devrait être trouvé sur le texte d’ici la fin de l’année 2023. En attendant, le texte ne devrait pas être mis en application avant 2026.

Une période relativement lointaine au regard des avancées rapides de la technologie. D’où l’importance de s’accorder sur un texte qui offrira de la liberté à l’innovation tout en encadrant avec justesse cette technologie. "L’ambition politique de ce texte est de porter des valeurs européennes en avant au travers de la réglementation. Le texte cherche donc un équilibre entre le renforcement de l’innovation et l’éthique et le respect des droits fondamentaux. C’est la préoccupation principale du régulateur européen", rappelle de son côté Benjamin May.