Après de (très) longues négociations, l’Europe s’est accordée sur l’AI Act / La première réglementation au monde pour encadrer l'intelligence artificielle

L’Artificial Intelligence Act a enfin vu le jour, dans la nuit de vendredi à samedi, après plus de trente-cinq heures de négociations serrées. "Historique !", s’est enthousiasmé sur son compte X (anciennement Twitter) le Commissaire européen au marché intérieur, Thierry Breton, instigateur du projet présenté en avril 2021.

Historique, certes, puisque l’AI Act est le premier règlement au monde à encadrer les usages de l’intelligence artificielle (IA). Mais non sans mal, puisqu’il n’aura pas été tâche aisée de s’accorder sur la manière de réguler cette technologie tout en favorisant l’essor de l’innovation européenne en la matière. Le sujet avait d’ailleurs mobilisé plusieurs des États membres des Vingt-Sept avec la France, l’Allemagne et l’Italie en chefs de file. Les trois pays s’inquiétaient notamment d’un encadrement trop strict des modèles de fondation qui servent de préalables à ceux d’IA générative.

"L’accord trouvé cette nuit est une étape", a justement assuré le ministre délégué chargé du Numérique Jean-Noël Barrot, en réaction aux négociations trouvées à l’issue du trilogue, vendredi à minuit passé (il avait commencé le mercredi précédent). "La France sera attentive à ce que la capacité d’innovation soit préservée en Europe. La meilleure protection que nous pouvons offrir à nos concitoyens c’est d’avoir nos propres modèles européens d’intelligence artificielle", a poursuivi le ministre.

Plusieurs vitesses

Dans le détail, tout aura été question d’équilibre afin de trouver un terrain d’entente entre les différents organes décisionnels de l’Union européenne (UE). Dans un premier temps et puisqu’il s’agissait avant tout de porter les valeurs européennes au travers de ce texte, les applications de l’IA jugées contraires à celles-ci seront interdites. Cela concernera l’identification biométrique à distance des personnes dans les lieux publics (sauf exception sécuritaire, comme la lutte contre le terrorisme), les systèmes de notation citoyenne ou encore la manipulation du comportement ou la surveillance de masse.

Ensuite, selon le niveau de risque relatif à l’usage de l’IA, l’accord prévoit une réglementation à deux vitesses. D’une part, il n’y aura pas de réelles obligations pour les systèmes jugés à "risque minimal". Sur une base volontaire, les entreprises pourront néanmoins s’engager à respecter des codes de conduite supplémentaires.

D’autre part, pour les systèmes d’IA dont l’application est jugée à "haut risque" (soit ceux utilisés dans des domaines tels que l’éducation, la santé, les ressources humaines, etc.), des obligations de transparence renforcées leur seront imposées : systèmes d’atténuation des risques, qualité des données, enregistrement des activités, documentation détaillée, informations pour l’utilisateur, supervision humaine et précisions de cybersécurité. "Les bacs à sable réglementaires faciliteront l’innovation responsable et le développement de systèmes d’IA conformes", a quant à elle assuré la Commission européenne.

En fonction de la puissance

Enfin, mention spéciale pour les systèmes d’IA générative à usage général, tels que les robots conversationnels comme ChatGPT. Les usagers devront être prévenus de l’interaction avec une machine ou lors de l’utilisation par le système de catégorisation biométrique ou de reconnaissance par les émotions. Les contenus devront être étiquetés comme émanant d’une IA générative et les fournisseurs devront s’assurer que les contenus produits (textes, audio, vidéos…) soient détectables comme étant manipulés artificiellement. En clair, des obligations de transparence. Les modèles les plus puissants et étant jugés susceptibles de représenter un fort impact (comme les modèles de fondation) seront soumis à des obligations supplémentaires. Parmi celles-ci figureront notamment des règles relatives à la gestion des risques, au suivi des incidents graves, à l’évaluation des modèles et aux textes contradictoires.

Le texte sera par ailleurs assorti de la création d’un office européen de l’IA, qui sanctionnera les entreprises ne respectant pas la réglementation européenne. Les peines s’organiseront selon trois paliers : 7,5 millions d’euros ou 1,5 % du chiffre d’affaires pour la fourniture d’informations incorrectes, 15 millions d’euros ou 3 % du chiffre d’affaires pour la violation des obligations ne concernant pas les applications d’IA interdites. Ce dernier grief pourra quant à lui être condamné à hauteur de 35 millions d’euros, ou 7 % du chiffre d’affaires.

Reste maintenant au Parlement européen de donner son approbation formelle au texte et à chaque État membre de l’examiner avant de l’adopter définitivement. "La France a activement contribué aux négociations, notamment dans le cadre de sa présidence du Conseil en 2022. Nous allons analyser attentivement le compromis trouvé aujourd’hui et nous assurer dans les prochaines semaines que le texte préserve la capacité de l’Europe à développer ses propres technologies d’intelligence artificielle et préserve son autonomie stratégique", a de son côté annoncé le ministre Jean-Noël Barrot. Si un accord se trouve avant la fin de l’année, l’AI Act pourrait entrer (intégralement) en application à partir de 2026.