À la suite d'un débat de plus de trois jours, c'est le 8 décembre 2023 que le Parlement et le Conseil de l'Union européenne sont parvenus à un accord provisoire sur le futur règlement européen relatif à l'intelligence artificielle (AI Act) visant à garantir la sécurité des systèmes d'intelligence artificielle (SIA), le respect des droits fondamentaux, de la démocratie et le développement des entreprises.

L'émergence des intelligences artificielles (IA) dites « génératives », accessibles au grand public et capables de générer du contenu (textes, vidéos, musiques, images ultra réalistes, etc.) via un raisonnement évolutif, tel que ChatGPT, n'a fait qu'accentuer l'urgence d'établir un cadre règlementaire spécifique.

L'AI Act prévoit tout d'abord, en réponse à la nécessité d'une application uniforme des nouvelles règles, une définition des SIA « unique et à l'épreuve du temps » (1) complétée par des annexes listant des approches et techniques de développement de l'IA. Doit donc être entendu par SIA « un logiciel qui est développé au moyen d'une ou plusieurs des techniques et approches énumérées à l'annexe I et qui peut, pour un ensemble donné d'objectifs définis par l'homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit » (2).

Trois niveaux de risques

Le texte prévoit ensuite une classification des SIA échelonnée en 3 niveaux selon le risque qu'elles représentent par nature ou par l'usage qui peut en être fait : le risque peut être limité (faible), haut, ou inacceptable. Selon la catégorie, les fournisseurs devront adopter des mesures plus ou moins contraignantes.

Les SIA à risque limité (ex : générateur d'images ultra réalistes), directement destinés à interagir avec le public, sont ainsi soumis à une obligation de transparence limitée, matérialisée par la mention faite à l'utilisateur « généré par intelligence artificielle » (3).

Les SIA à haut risque (en ce qu'elles interviennent dans des composantes de sécurité) sont quant à eux soumis à un ensemble d'exigences supplémentaires telles que l'obligation d'exactitude, de robustesse et de cybersécurité du produit, à un contrôle humain, à l'élaboration d'un système de gestion des risques, à une documentation technique... (4)

Les SIA qui présentent un risque inacceptable sont interdites (5), tels que les SIA de « scoring social » (consistant à évaluer ou classifier la fiabilité d'une personne en fonction de sa situation sociale, comportement ou ses caractéristiques personnelles) ou ayant recours à des techniques subliminales altérant le comportement des personnes, ainsi que les SIA exploitant les vulnérabilités humaines.

Cependant, l'accord provisoire prévoit une dérogation au principe d'interdiction dans certains cas très spécifiques tels que les recherches ciblées de victimes (en cas d'enlèvement, traite ou exploitation sexuelle), la prévention d'une menace terroriste spécifique et actuelle, la recherche d'une personne soupçonnée de crimes très graves (terrorismes, trafic, exploitation sexuelle, meurtre, viol...). Une autorisation judiciaire est cependant nécessaire. Par ailleurs, le régime de l'interdiction ne s'applique pas aux usages militaires, de sécurité nationale et de R&D.

Les obligations qui pèsent sur les modèles de fondation

L'accord introduit également certaines obligations :

- des obligations complémentaires pour les SIA à usage général - d'après la définition de la CNIL ou general purposes AI - qui n'ont pas de finalité spécifique et un grand champ d'application, mais qui peuvent être « implémentés » dans un SIA à haut risque. Ces SIA seront notamment tenus à des obligations de transparence accrues qui passeront par la rédaction d'une documentation technique, de synthèses sur la réutilisation de contenus pour l'entraînement des systèmes, etc. ;

- des obligations spécifiques lorsque les modèles de fondation, entendus comme des modèles d'IA pré-entrainés et adaptables, servent notamment au développement d'IA génératives telles que ChatGPT. Lorsqu'ils présentent un haut risque, ces systèmes devront notamment réaliser des évaluations de leurs modèles et de leurs risques ou encore élaborer des rapports d'incident.

Des sanctions allant jusqu'à 35 M€ ou 7% du CA

Le texte doit encore être formellement adopté par le Parlement et le Conseil, avant d'être intégré à la règlementation européenne. Cependant, avec ce dernier accord en cours de publication, les principes de l'AI Act sont assez clairs pour que les opérateurs puissent adopter un comportement proactif et se mettre en conformité avec la future règlementation européenne qui annonce des sanctions pouvant s'élever jusqu'à 35 millions d'euros ou 7% du chiffre d'affaires annuel mondial (6). Ce cadre pourrait favoriser le développement des nouvelles technologies, attirer les acteurs de l'IA et servir le projet de souveraineté numérique européen, visant à mettre fin à la dépendance aux géants américains positionnés depuis l'ère d'internet.

1 : « AI Act » 1. « Contexte de la proposition », 1.1 « justification des objectifs de la proposition », p. 4
2 : « AI Act » article 3, 1) « Définitions »
3 : Article 52. 1) de l'« AI Act ».
4 : Chapitre 2, articles 8 à 16 « AI Act ».
5 : Titre 2, article 5 « AI Act »
6 : Selon le communiqué du Parlement Européen.