L’AI Act finalement validé par les Vingt-Sept / La mise en œuvre sera essentielle

L’Artificial Intelligence Act, le règlement européen – et le premier de ce genre au monde – sur l’intelligence artificielle (IA) a été ratifié par les ambassadeurs des pays de l’Union européenne (UE), à Bruxelles, ce vendredi. "L’AI Act a déchaîné les passions… à juste titre ! Aujourd’hui, les 27 États membres ont approuvé à l’unanimité l’accord politique conclu en décembre – reconnaissant l’équilibre trouvé par les négociateurs entre innovation et sécurité. L’UE, c’est l’IA", a réagi dans la foulée le commissaire européen au marché intérieur, Thierry Breton, sur son compte X.

De fait, si un premier accord politique avait été trouvé entre les négociateurs à la fin de l’année 2023, certaines tractations ne donnaient pas gage de l’adoption définitive de cette version. En cause, un texte qui aurait trop penché en faveur de la régulation au goût de certains États membres (principalement la France, l’Allemagne et l’Italie) au détriment de l’innovation et donc des jeunes champions nationaux en la matière, au sein desquels figure bien évidemment la pépite française Mistral AI.

Et notamment quant au cadre réglementaire pour les modèles de fondation d’IA les plus puissants, susceptibles de représenter un fort impact. Ils seront finalement bien soumis à des obligations supplémentaires, parmi lesquelles figureront des règles relatives à la gestion des risques, au suivi des incidents grave ou encore à l’évaluation des modèles.

La mise en application sera primordiale

Elles incomberont toutefois seulement aux modèles dépassant un certain seuil de puissance – ce que la France avait pu obtenir depuis la présentation de la première version du règlement en juin. De plus, le résumé des données d’entraînement que les entreprises se devront de publier prendra en compte le "secret des affaires", un point important pour qu’une distorsion de concurrence ne vienne à pénaliser les sociétés françaises et européennes.

Mais "malgré les efforts visant à améliorer le texte final, après que la ‘victoire’ ait été prématurément déclarée en décembre, de nombreuses nouvelles règles en matière d’IA restent floues et pourraient ralentir le développement et le déploiement d’applications en matière d’IA en Europe. La bonne mise en œuvre de la loi sera donc cruciale pour garantir que [ces] règles ne surchargent pas les entreprises dans leur quête d’innovation et de compétitivité sur un marché florissant et très dynamique", a toutefois tenu à souligner Boniface de Champris, responsable des politiques du lobby d’entreprises du numérique, la Computer & Communications Industry Europe.

Une mise en œuvre qui sera donc de prime importance, puisqu’il a par exemple été obtenu que les seuils de puissance informatique réglementant certaines obligations soient actualisés par ce biais. Pour le reste, la philosophie du texte reste inchangée : porter les valeurs européennes au travers d’une réglementation qui vise donc à interdire, ou juguler, les systèmes d’IA en fonction des risques qu’ils font courir. L’AI Act est "basé sur une idée simple : plus l’IA est risquée, plus les responsabilités des développeurs sont importantes", a quant à elle rappelé la commissaire européenne à la Concurrence Margrethe Vestager.

Des vitesses différentes

Pour mémoire, outre les dispositions qui ont été ajoutées pour tenir compte de situations dans lesquelles les systèmes d’IA à usage général peuvent être utilisés à des fins différentes, ou encore les règles spécifiques portant sur les modèles de référence en fonction de leur impact, les applications d’IA jugées contraires aux principes des Vingt-Sept seront donc interdites (comme par exemple les systèmes de notation citoyenne, la manipulation du comportement ou encore la surveillance de masse).

Ensuite, selon le niveau de risque relatif à l’usage de l’IA, le texte prévoit donc une réglementation à deux vitesses. Pour les risques minimaux, pas de réelles règles particulières, même si sur une base volontaire les entreprises pourront s’engager à respecter des codes de conduite supplémentaires. Enfin, les systèmes dont l’application est jugée à haut risque seront soumis à des obligations de transparence renforcées (systèmes d’atténuation ou de gestion des risques, qualité des données, suivi des incidents graves, etc.). Le Parlement européen devrait, lui, ratifier cette version finale du texte dans les prochaines semaines.