Faut-il desserrer l'étau autour du numérique en Europe ? Bruxelles lance un grand chantier sur la question, avec des propositions visant à simplifier plusieurs aspects de certaines grandes réglementations, comme le RGPD et l'AI Act. Avec, en ligne de mire, le souhait de retrouver le chemin de la compétitivité et de l'innovation.
Tout ce que direz sur Facebook pourra servir à entraîner l'IA de Facebook. Voilà en somme ce que Meta, la maison mère du réseau social, prévoit pour l'Europe. L'entreprise désire utiliser les données publiques de ses membres pour entraîner ses modèles d'IA générative. Mais il sera possible de dire non.
Après de nombreuses modifications et reports dus notamment à l’essor de la GenAI, l’AI ACT est entré en vigueur le 1er août 2024. Comme prévu, depuis dimanche dernier, les mesures concernant les cas d’usage interdits sont entrées en application.
L’UE a été la première à vouloir instaurer un cadre réglementaire pour l’IA, visant à réguler l’intelligence artificielle en fonction de son potentiel à causer des dommages. L’AI Act vise à garantir que les droits fondamentaux des citoyens européens, la démocratie, l’Etat de droit et la durabilité environnementale soient protégés contre les risques de l’IA.
Si son application se fera progressivement jusqu’en août 2027 et que de nouvelles lignes directrices seront publiées au fur et à mesure, depuis le 2 février dernier, les dispositions prises contre les systèmes d’IA présentant des risques inacceptables sont entrées en vigueur.
Afin de préserver les droits des citoyens et la démocratie sont proscrits :
Des exceptions ont toutefois été mises en place pour l’utilisation des systèmes d’identification biométrique dans les espaces accessibles au public à des fins répressives, sous réserve d’une autorisation judiciaire préalable et pour des listes d’infractions bien définies :
Le Comité européen de l’IA, composé de représentants de haut niveau de la Commission européenne et de tous les États membres de l’UE, et le Bureau de l’IA, composé d’experts en technologie, juristes et économistes, sont chargés de la mise en œuvre et l’application de l’AI Act.
Le non-respect des règles qui s’appliquent à toute entité développant, mettant sur le marché ou utilisant des systèmes d’IA au sein de l’UE, pourra entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, en fonction de l’infraction et de la taille de l’entreprise.
La Commission européenne a accueilli ce 10 septembre la première réunion officielle du Comité européen de l’IA, marquant une étape importante dans l’engagement de l’UE à façonner un cadre solide pour la gouvernance et le développement de l’IA. Cette réunion fait suite à l’entrée en vigueur le 1er août dernier de l’AI Act et s’inscrit dans le cadre des efforts visant à assurer une mise en œuvre efficace de cette réglementation dans toute l’Union.
Le Comité européen de l’IA, composé de représentants de haut niveau de la Commission européenne et de tous les États membres de l’UE, joue un rôle consultatif crucial dans la mise en œuvre et l’application de l’AI Act. Il vise à coordonner les efforts des autorités nationales pour garantir une adoption cohérente des normes et des lignes directrices de l’IA dans l’ensemble de l’Union.
Il a pour mission de veiller à ce que le cadre législatif sur l’IA soit appliqué de manière harmonisée dans tous les États membres de l’UE, tout en tenant compte des spécificités nationales. Son rôle est également de fournir des conseils stratégiques et techniques pour garantir que l’IA en Europe respecte les normes les plus élevées en matière de sécurité, d’éthique et de protection des droits fondamentaux.
Le secrétariat du Comité est assuré par le Bureau de l’IA, un organe dédié à la mise en oeuvre et à l’application de l’AI Act, créé en juin dernier au sein de la Commission européenne.
Outre les États membres de l’UE, la réunion inaugurale a également accueilli des observateurs tels que le Contrôleur européen de la protection des données (CEPD) et des représentants des pays de l’Espace économique européen (EEE) : la Norvège, le Liechtenstein et l’Islande.
Cette réunion s’inscrit dans la continuité d’une rencontre préparatoire organisée par la Commission européenne le 19 juin dernier. Cet événement avait permis de poser les bases de la mise en œuvre de la législation sur l’IA et de renforcer la coopération entre les différentes parties prenantes à travers l’Europe.
La réunion inaugurale a abordé plusieurs points fondamentaux pour la structuration et le bon fonctionnement du Comité. Parmi les sujets principaux figuraient :
La réunion de Bruxelles marque le début d’une nouvelle phase dans l’histoire de la gouvernance européenne de l’IA. À travers ses activités futures, le Comité européen de l’IA contribuera à positionner l’Union européenne en tant que leader mondial de l’innovation en matière d’intelligence artificielle, tout en veillant à ce que les technologies de l’IA profitent à tous les citoyens européens.
La France émerge comme un acteur central dans la révolution mondiale de l’intelligence artificielle, et consolide sa position de leader européen.
L’intelligence artificielle est aujourd’hui omniprésente. Même si les géants américains tels que Salesforce et AWS sont très actifs, les entreprises françaises innovantes telles que H, anciennement Holistic, qui a levé 220 millions de dollars avec le soutien d’investisseurs de renom tels qu’Amazon et Eric Schmidt, ex-PDG de Google, elles sont présentes sur le devant de la scène. Cette levée de fonds illustre parfaitement la capacité de la France à attirer des investissements internationaux significatifs et à jouer un rôle clé dans l’écosystème global de l’IA.
L’engagement massif de Microsoft, avec un investissement historique de 4 milliards d’euros en France, illustre la confiance des grandes entreprises américaines dans le potentiel français en matière d’IA, ainsi que l’ambition de la France de développer ses propres technologies et de devenir un hub mondial de l’innovation technologique. Le gouvernement français soutient activement cette dynamique avec des politiques favorables à l’innovation, des subventions à la recherche et des initiatives de formation pour répondre à la demande croissante de compétences en IA.
La France abrite déjà des centres de recherche en IA de premier plan, tels que le Facebook AI Research Center de Meta et le hub de recherche en IA de Google à Paris, en plus de ses universités renommées. Cet écosystème vibrant stimule une scène de start-ups florissante, où de nombreux chercheurs et ingénieurs en IA issus de ces laboratoires se lancent dans la création d’entreprises innovantes.
Les investissements massifs dans la recherche et le développement en IA ont catalysé la création de technologies avancées telles que Gemma AI de Google qui a été développée en grande partie à Paris. Cette technologie, qui révolutionne le traitement des données et l’apprentissage automatique, témoigne de la capacité des chercheurs français à mener des projets de pointe et à collaborer efficacement avec des partenaires internationaux.
Cependant, le chemin vers la domination n’est pas sans obstacles. Alors que l’Europe adopte des régulations strictes sur l’IA, telles que l’AI Act récemment approuvé par l’UE, certains acteurs craignent que ces mesures freinent l’innovation. Il est nécessaire d’équilibrer la régulation pour éviter de ralentir l’innovation tout en assurant une utilisation éthique et sûre de l’IA. La France est confrontée à la responsabilité de trouver un équilibre qui favorise la croissance économique tout en garantissant une gouvernance éthique et transparente des technologies émergentes.
Ainsi, la France pourrait bien être sur le point de devenir non seulement un leader de l’IA en Europe, mais également un compétiteur sérieux sur la scène mondiale, aux côtés des États-Unis et de la Chine. L’avenir de l’IA est prometteur, et la France semble déterminée à en faire partie intégrante. Avec une collaboration continue entre le gouvernement, l’industrie et le milieu universitaire, la France est bien positionnée pour façonner un avenir où l’innovation technologique et l’intégrité éthique vont de pair. Elle pourrait ainsi jouer un rôle clé dans la définition des standards internationaux de l’IA, influençant non seulement le développement technologique mais aussi les pratiques éthiques et réglementaires à l’échelle mondiale.
Hub France IA a récemment publié le livrable “Opérationnaliser la gestion des risques des systèmes d’intelligence artificielle” élaboré par son groupe de travail Banque et Auditabilité. Regroupant des experts en IA, de la gestion des risques et de l’audit de trois grandes banques françaises : BNP Paribas, La Banque Postale et Société Générale, ce groupe travaille depuis plusieurs années sur la gestion des risques liés à l’IA.
L’entrée en vigueur de l’AI Act, prévue pour 2026, et l’essor rapide de l’IA générative, ont poussé le groupe de travail à répondre à une question essentielle : comment doter la gestion des risques d’outils efficaces pour réduire les coûts de mise en conformité à l’AI Act ?
La mise en conformité exige de prendre en compte l’intégralité du processus de développement d’un système d’IA, allant de la phase d’idéation, de conception, de développement et de mise en production, jusqu’au suivi continu. Les coûts de mise en conformité sont importants : d’après une enquête réalisée par le Hub France IA et ses partenaires européens en décembre 2022, plus de 50% des entreprises interrogées ont estimé ces coûts entre 160 000 et 330 000 euros.
Le groupe de travail fournit dans ce livrable des conseils pour mettre en place les outils nécessaires pour satisfaire à un audit de certification en conformité avec l’AI Act : documents, fichiers Excel, logiciels, outils de gestion de flux de travail… Ces outils pourront également servir de preuves auprès des régulateurs.
En s’appuyant sur un livre blanc qu’il a publié en 2022, le groupe de travail décrit le cycle de développement d’un système d’IA dans son intégralité, associant à chaque étape un outil de conformité spécifique. Suite à l’adoption de l’AI Act par le Conseil de l’Union européenne en mai dernier, une analyse approfondie s’avère nécessaire pour aligner les outils proposés avec les attentes de conformité. Un prochain guide viendra détailler cette correspondance.
Le travail présenté dans le livrable ne vise pas à être exhaustif mais souhaite apporter un
cadre méthodologique et de bonnes pratiques.
Ses principaux enseignements incluent :
Retrouver le livrable ici.
La Commission européenne a officiellement annoncé la création du Bureau de l’IA au sein de la Direction générale des réseaux de communication, du contenu et des technologies (DG Connect). Ce nouveau centre d’expertise, qui sera opérationnel à partir du 16 juin 2024, a pour mission principale de veiller à l’application uniforme du règlement de l’UE sur l’IA (AI Act) et de promouvoir une IA digne de confiance dans toute l’Union européenne.
L’UE a été pionnière dans l’établissement d’un cadre réglementaire pour l’IA, visant à réguler l’IA en fonction de son potentiel à causer des dommages. Le 21 mai dernier, le Conseil de l’Union européenne a donné son feu vert final à l’AI Act, dont l’objectif est de garantir que les systèmes et modèles d’IA commercialisés au sein de l’UE soient utilisés de manière éthique, sûre et dans le respect des droits fondamentaux de l’UE.
Il était prévu qu’un bureau soit créé pour surveiller sa mise en œuvre et son application, en particulier en ce qui concerne les modèles d’IA à usage général au sein de DG Connect. Cette direction de la Commission européenne responsable des politiques relatives aux réseaux de communication, aux contenus numériques et aux technologies joue un rôle crucial dans la promotion du développement numérique en Europe.
Composé de 140 experts en technologie, juristes et économistes, le Bureau de l’IA sera non seulement chargé de garantir que l’IA utilisée en Europe respecte des normes élevées de sécurité, de fiabilité et de protection des droits fondamentaux mais aura également pour tâche de favoriser la collaboration internationale.
La Commission a dévoilé ce 29 mai sa structure organisationnelle.
La DG CONNECT Direction A a fait l’objet d’une réorganisation. À partir du 16 juin, le bureau européen de l’IA sera composé de 5 unités et de 2 conseillers, un conseiller scientifique principal et un conseiller aux affaires internationales conformément à son mandat.
Pour s’acquitter de ses missions, le bureau de l’IA collaborera étroitement avec le Comité européen de l’IA (CAI), les États membres, les institutions européennes, ainsi qu’un large éventail d’experts et de parties prenantes, y compris la communauté scientifique, l’industrie, les groupes de réflexion et la société civile. Cette collaboration se fera par le biais de forums, de groupes d’experts spécialisés et de partenariats stratégiques.
L'Union européenne se dote d'un arsenal juridique pour encadrer le développement de l'intelligence artificielle, et notamment contenir, voire interdire certains systèmes jugés risqués ou dangereux.
Le 8 décembre dernier, les négociateurs du Parlement européen et du Conseil, à la suite d’âpres négociations, annonçaient être parvenus à un accord provisoire sur l’AI Act. Après avoir été adopté par les Etats membres de l’UE le 2 février dernier, il l’a été hier par les eurodéputés. Il ne lui manque plus que la validation du Conseil de l’Europe en avril prochain et sa publication dans le Journal Officiel de l’UE pour entrer en vigueur progressivement selon le niveau de risque des systèmes ou modèles d’IA.
L’UE a été la première à vouloir instaurer un cadre réglementaire pour l’IA, visant à réguler l’intelligence artificielle en fonction de son potentiel à causer des dommages. Elle a de fortes chances d’être également la première à appliquer une loi contraignante sur l’IA puisqu’hier matin les eurodéputés l’ont adopté à une très large majorité : 523 votes pour, 46 contre, 49 abstentions.
Thierry Breton s’est félicité sur X : “L’Europe est AUJOURD’HUI un pionnier mondial de l’IA”, ajoutant “Nous réglementons le moins possible, mais autant que nécessaire !”
🇪🇺 Democracy: 1️⃣ | Lobby: 0️⃣
I welcome the overwhelming support from European Parliament for our #AIAct —the world's 1st comprehensive, binding rules for trusted AI.
Europe is NOW a global standard-setter in AI.
We are regulating as little as possible — but as much as needed! pic.twitter.com/t4ahAwkaSn
— Thierry Breton (@ThierryBreton) March 13, 2024
Pour rappel, la Commission européenne avait soumis une proposition de règlement de l’IA le 21 avril 2021. Les développements de l’IA générative et de modèles de fondation, notamment celui de ChatGPT, qui n’étaient pas prévus dans la proposition initiale de la loi européenne, lui ont fait subir de nombreuses modifications et reports.
L’AI Act vise à garantir que les systèmes et modèles d’IA commercialisés au sein de l’UE soient utilisés de manière éthique, sûre et dans le respect des droits fondamentaux de l’UE.
Il impose des obligations et des restrictions aux fournisseurs et aux utilisateurs qui développent, déploient ou exploitent des systèmes et des modèles d’IA au sein de l’UE. Bien qu’il soit désormais prévu de réviser régulièrement ces obligations, aujourd’hui, une réglementation produit, allant du marquage CE à l’interdiction de mise sur le marché, est appliquée à ces derniers suivant leur niveau de risque, des dispositions particulières sont prévues pour les entreprises qui développent des modèles d’IA génératives.
Selon Ashley Casovan, Directrice générale de l’AI Governance Center pour l’Association internationale des professionnels de la vie privée, à but non lucratif (IAPP) :
“L’adoption de la loi européenne sur l’IA marquera le début d’une nouvelle ère pour le développement et l’utilisation de l’IA. Avec des valeurs centrées sur l’humain qui sous-tendent cette législation sur la sécurité des produits, elle établit des garde-fous importants pour l’adoption sûre, équitable et responsable de l’IA dans tous les secteurs de la société. Reconnaissant et s’appuyant sur les cadres adoptés à l’échelle mondiale et la législation connexe, cette loi complète fournira les conseils nécessaires aux entreprises qui achètent, construisent et vendent de l’IA. Compte tenu de la nature mondiale de l’utilisation de l’IA, il est probable que ces règles de l’UE auront un impact bien au-delà des frontières européennes. C’est pourquoi il est crucial pour toutes les entreprises impliquées dans l’IA à quelque titre que ce soit de comprendre la loi et de commencer à préparer leur organisation et leurs équipes à la conformité”.
L’AI Act prévoit une approche par les risques. Les grands principes de l’IA (contrôle humain, sécurité, protection de la vie privée, transparence, non-discrimination…) devront systématiquement être pris en compte lors de la conception, mais aussi de l’utilisation des systèmes d’IA (SIA). Des obligations graduelles s’ajoutent concernant les SIA à haut risque (les plus règlementés) et certains SIA spécifiques (ex. : IA à usage général, IA génératives, chatbots…), à la charge des fournisseurs et des utilisateurs professionnels. Leur non-respect est assorti d’amendes importantes (jusqu’à 6 % du CA annuel mondial). Certains secteurs (infrastructures critiques, banques…) sont visés en priorité. Mais aucun n’y échappe. Les activités des ressources humaines sont particulièrement concernées.
Concrètement, les fournisseurs de SIA à haut risque devront mettre en place des systèmes de gestion des risques et de la qualité, une documentation technique, des évaluations de conformité avant mise sur le marché, et assurer cette conformité dans la durée. Les utilisateurs de leur côté devront garantir, notamment, un contrôle humain, une information des personnes concernées, et une surveillance.
L’adoption de l’AI Act est imminente. Anticiper son application, prévue courant 2025/2026, est indispensable. Rappelez-vous le RGPD ! Une mise en conformité s’impose pour tous. D’ailleurs sont qualifiés de fournisseurs non seulement les prestataires informatiques, mais aussi toute entité qui ferait développer un SIA par un tiers, pour le distribuer sous son propre nom. Par exemple, l’assureur qui propose un SIA à ses courtiers ou la société qui fournit un SIA à ses distributeurs. Vigilance donc.
La priorité est de réaliser systématiquement une analyse d’impact pour chaque projet IA. Ceci permettra de qualifier le SIA et les acteurs, de prévoir les obligations de chacun, d’identifier les risques et de les minorer.
Entrer dans une démarche de mise en conformité permet de sélectionner des produits, partenaires et offres adaptés au sens de l’AI Act. De plus en plus de normes et certifications (ex. : Laboratoire national de métrologie et d’essais) voient le jour, permettant de se tourner vers des IA de confiance. L’adhésion à un code de conduite est également une alternative utile.
Les spécificités de l’IA exigent de personnaliser ses contrats. La complexité du fonctionnement de l’IA implique une obligation d’information, de conseil et de mise en garde renforcée à la charge des fournisseurs. Recourir à une IA générative requiert la révision des clauses de propriété intellectuelle et de garantie pour intégrer la question des résultats générés. Le contour des impératifs de conformité, de recette et de garantie doit être retravaillé à l’aune de l’aléa plus ou moins important des résultats générés. Tout comme la prévision de SLA adaptés. Enfin, les grands principes de l’AI Act doivent impérativement être relayés sur un plan contractuel. Préciser les obligations relatives à l’explicabilité et la transparence (du fonctionnement du SIA voire des résultats) est essentiel, à l’instar du contrôle humain et de la gouvernance des données. Pour être en mesure de respecter les obligations règlementaires à votre charge, il sera souvent nécessaire de reporter une partie d’entre elles sur vos partenaires, prestataires et utilisateurs. Le contrat est clé.
En interne, les équipes (legal, métier, IT) doivent être sensibilisées à l’AI Act. La compliance est à initier dès maintenant, impliquant des formations, politiques, documentations et contrôles adaptés, tout comme la mobilisation de budgets.
La standardisation jouera un rôle clé pour assurer la conformité à la règlementation. Des normes techniques existent déjà pour encadrer la conception, l’entraînement, le déploiement et la maintenance des SIA. De la même manière, des référentiels juridiques émergent, à commencer par la norme ISO-Afnor Contractualisation des systèmes d’IA (SPEC Z77-100-0). Cette norme, issue d’un travail de collaboration entre l’AFNOR et un groupe d’experts dirigé par le cabinet Derriennic & Associés, fournit une série de recommandations pour adapter vos contrats aux enjeux de l’IA.
Plus récemment, le 29 septembre 2023, pour anticiper l’AI Act, la Commission européenne a proposé des modèles de clauses contractuelles types pour la passation de marchés publics. Deux corpus sont publiés concernant les systèmes d’IA à haut risque et les autres SIA. Si ces clauses apparaissent relativement génériques, elles pourraient à terme servir de base de travail ou de levier aux acteurs privés. Elles devront dans tous les cas être retravaillées pour prendre en compte les cas d’usage envisagés, la nature de l’intervention du prestataire et le rôle plus ou moins actif du client.
L’AFCDP, l’Association française des correspondants à la protection des données à caractère personnel, regroupe plus de 6 000 professionnels de la conformité au RGPD et à la Loi Informatique et Libertés, dont les Délégués à la Protection des Données (DPD ou DPO, pour Data Protection Officer). Elle vient de publier la 10ème édition de son Baromètre trimestriel.
Si l’AFCDP est l’association représentative des DPO, elle rassemble largement au-delà des professionnels de la protection des données et des DPO désignés auprès de la CNIL. Elle regroupe toutes les personnes intéressées par la protection des données à caractère personnel. La richesse de l’association réside – entre autres – dans la diversité des profils des adhérents : DPD, délégués à la protection des données, juristes et avocats, spécialistes des ressources humaines, informaticiens, professionnels du marketing et du e-commerce, RSSI et experts en sécurité, qualiticiens, archivistes et Record Manager, déontologues, consultants, universitaires et étudiants.
Avec son Observatoire trimestriel, l’Association souhaite estimer l’évolution de la conformité des organisations, et évaluer la perception des DPO sur des sujets techniques et d’actualité.
Paul-Olivier Gibert, Président de l’AFCDP, commente :
“L’AFCDP étant au plus proche des préoccupations quotidiennes des DPO, l’association propose avec ce Baromètre de prendre un peu de recul sur 3 questions clés par trimestre : le sentiment de l’évolution de la conformité des organisations, une question technique et une question d’actualité. Avec 275 répondants, nous sommes heureux de partager à nouveau ces résultats et d’en étudier l’évolution”.
Pour ce baromètre, l’AFCDP a mené une enquête en ligne auprès de ses 6000 membres entre le 28 décembre 2023 et le 19 janvier 2024, via le réseau social privé de l’association (178 répondants) et sa page LinkedIn (211 répondants).
L’association constate que le sentiment des DPO d’être écoutés et d’être en conformité, avec une stratégie de protection des données personnelle agile, continue d’augmenter (44% des répondants vs 37% en octobre 2023). De plus, les réglementations changeantes (DMA, DSA, DA, Privacy Shield/DPF, Cookies Wall, etc.) semblent moins perturber les stratégies de protection des données personnelles mises en place (16% vs 20 % des répondants en octobre 2023) en ce début 2024.
Paul-Olivier Gibert souligne :
“Nous sommes ravis de constater que le sentiment des professionnels de la protection des données personnelles s’améliore en cette édition anniversaire de notre observatoire, qui correspond en termes de timing avec les 20 ans de l’association. 20 ans à soutenir les acteurs de la protection des données personnelles dans leurs défis et challenges, 20 ans à partager avec les institutions législatives et réglementaires, françaises et européennes, les constats, les succès et les limites que nos membres rencontrent au quotidien au sein de leurs organisations. Et nous avons pour ambition aujourd’hui de participer à une meilleure harmonisation entre les exigences réglementaires et les réalités pratiques du terrain”.
En vigueur depuis mai 2018, le Règlement général sur la protection des données (RGPD) de l’Union européenne a été conçu pour renforcer la protection des données personnelles des citoyens de l’UE et réglementer leur traitement par les organisations. L’AFCDP constate auprès de ses membres combien la mise en œuvre et la conformité varient d’une organisation à l’autre. De nombreuses entreprises ont investi des ressources importantes pour s’assurer qu’elles respectent les exigences du RGPD, tandis que d’autres travaillent encore à atteindre une conformité totale.
Paul-Olivier Gibert assure :
“Nous avons le sentiment global que l’application du RGPD arrive à un premier stade de maturité : celui d’une sensibilisation générale de l’opinion sur l’importance de la protection des données personnelles. Et les chiffres le confirment avec l’avis de 57% des professionnels de la protection des données personnelles répondants qui partagent ce sentiment. Il reste de nombreux challenges à relever pour nos DPO, tant dans la mise en œuvre au quotidien et l’objectif de conformité totale, que dans les nouveaux défis qui apparaissent, comme l’introduction de l’Intelligence Artificielle dans nos organisations à court et/ou moyen termes”.
Il est manifeste que la grande majorité des professionnels de la protection des données personnelles (67%) se sent concernée par la réglementation européenne autour de l’IA. Celle-ci représente des défis en matière de protection des données personnelles : en raison de sa capacité à traiter d’énormes quantités de données, l’IA peut potentiellement accéder, analyser et utiliser des informations sensibles sur les individus. Ce qui soulève des préoccupations quant à la confidentialité et à la sécurité des données personnelles.
Paul-Olivier Gibert rappelle :
“Il semble effectivement nécessaire d’avoir un encadrement des pratiques et usages de l’IA pour permettre aux organisations de rester en conformité avec le RGPD et, plus globalement, de s’assurer du respect de la protection des données personnelles de chacun. Revient ici la difficulté déjà rencontrée maintes fois par nos membres, d’accorder l’innovation technologique qui bouleverse et optimise les pratiques, et la conformité réglementaire, voire l’éthique. Protéger sans freiner le développement et l’innovation. Le challenge ne va, encore une fois, pas être simple”.
L’intelligence artificielle s’est imposée comme un thème central dans les discussions internationales, notamment à Davos et au sein de l’Union Européenne. Lors de sa 54ème édition, Davos a récemment mis en lumière l’importance cruciale de l’IA dans le futur technologique, particulièrement l’IA générative avec des avancées majeures comme ChatGPT d’OpenAI. Le président d’OpenAI, Sam Altman, a marqué les débats en présentant la perspective d’une IA générale, imaginant des machines ayant une intelligence similaire à celle des humains.
Malgré ces perspectives enthousiasmantes, de nombreuses préoccupations sont soulignées. Le progrès rapide de l’IA alimente les inquiétudes quant à l’avenir du travail et les implications pour l’économie mondiale. Selon Goldman Sachs, près de 300 millions d’emplois pourraient disparaître dans le monde en raison de l’intégration généralisée de l’IA. Les PDG à travers le monde sont conscients de cette réalité, un sondage de PwC indiquant que près d’un quart des dirigeants d’entreprise s’attendent à réduire leurs effectifs en raison des gains de productivité apportés par l’IA.
Les progrès de l’intelligence artificielle mettent en évidence l’importance croissante d’une régulation appropriée de cette technologie. L’Union Européenne s’est affirmée comme un acteur central dans cette démarche. En effet, en avril 2021, la Commission européenne a présenté un cadre réglementaire inédit, connu sous le nom de « loi sur l’IA », l’IA Act. Et plus récemment, le 9 décembre 2023, le Conseil et le Parlement européens ont conclu un accord provisoire sur cette proposition de loi. Ce texte est une avancée importante vers une régulation harmonisée de l’IA à l’échelle européenne, et au-delà.
Cette loi novatrice ambitionne de trouver un équilibre entre la protection des droits fondamentaux et le soutien à l’innovation. Elle a été conçue pour cultiver une IA digne de confiance, soutenant la sécurité et les droits des individus et entreprises tout en favorisant l’adoption et l’innovation dans une variété de domaines. En parallèle, un défi majeur apparaît : il est nécessaire d’établir des cadres réglementaires fiables qui permettent un développement harmonieux de l’IA à l’échelle mondiale. Alors que l’Europe a fait un pas décisif avec l’IA Act, d’autres régions expriment leurs préoccupations et leurs demandes de régulation, illustrant le caractère incontournable de ces considérations éthiques et pratiques pour l’avenir de l’IA.
La montée en puissance de l’intelligence artificielle, soulignée au Forum de Davos et matérialisée par des avancées comme ChatGPT d’OpenAI, crée donc à la fois des opportunités et des défis. Malgré les promesses d’innovation, le rapide développement de l’IA engendre des préoccupations légitimes sur l’emploi à l’échelle mondiale. Face à ces enjeux, l’Union Européenne s’établit comme un leader réglementaire avec son IA Act, une loi novatrice cherchant un équilibre entre l’innovation et la protection des droits fondamentaux.
Néanmoins, pour un avenir harmonieux de l’IA à l’échelle internationale, l’implication et la collaboration d’autres régions et des grands acteurs de l’industrie informatique sont cruciales. La discussion entre tous les acteurs concernés doit continuer.
Les Etats membres de l’UE ont adopté l’AI Act le 2 février dernier, confirmant l’accord provisoire obtenu en décembre dernier. Les premières obligations l’accompagnant seront effectives dans les 6 mois suivant sa publication au Journal officiel de l’UE, après un dernier vote au Parlement européen. France Digitale, Wavestone et Gide publient un guide pratique à l’intention des entreprises de toutes tailles, leur permettant de comprendre rapidement les enjeux de cette nouvelle réglementation et d’anticiper les prochaines étapes de la mise en conformité de leurs systèmes d’IA.
L’AI Act vise à garantir que les systèmes et modèles d’IA commercialisés au sein de l’UE soient utilisés de manière éthique, sûre et respectueuse des droits fondamentaux de l’UE.
L’AI Act impose des obligations et des restrictions aux fournisseurs et aux utilisateurs qui développent, déploient ou exploitent des systèmes et des modèles d’IA au sein de l’UE. Bien qu’il soit désormais prévu de réviser régulièrement ces obligations, aujourd’hui, une réglementation produit, allant du marquage CE à l’interdiction de mise sur le marché, est appliquée à ces derniers suivant leur niveau de risque, des dispositions particulières sont prévues pour les entreprises qui développent des modèles d’IA génératives.
Selon Marianne Tordeux Bitker, Directrice des affaires publiques de France Digitale, la plus grande association de start-ups et investisseurs de l’UE:
“Cette décision a un goût doux amer. Si l’AI Act répond à un enjeu majeur en matière de transparence et d’éthique, il crée néanmoins des obligations conséquentes pour toutes les entreprises qui utilisent ou développent de l’intelligence artificielle, malgré quelques aménagements prévus pour les startups et PME notamment au travers de bacs à sable réglementaires. Nous craignons que le texte ne fasse que créer des barrières réglementaires supplémentaires qui profiteront à la concurrence américaine et chinoise et réduiront l’opportunité de faire émerger des champions européens de l’IA”.
L’AI Act va entrer en vigueur progressivement selon le niveau de risque des systèmes ou modèles d’IA, les entreprises auront de 6 à 36 mois pour se mettre en conformité comme on peut le voir dans la frise ci-dessous :
Mais pour les auteurs du guide, si ce calendrier progressif a été pensé par le régulateur pour laisser le temps aux entreprises de se mettre en conformité, il est important d’anticiper les différentes étapes à venir dès à présent.
Chadi Hantouche, Partner chez Wavestone, un cabinet de conseil français, explique :
“Pour réussir cette mise en conformité, les entreprises vont devoir réaliser des tests, fournir la documentation requise, interagir avec la gouvernance prévue et suivre le processus de mise en conformité dans la durée. 3 conseils pour y arriver sereinement : suivre la méthode par étapes que nous proposons dans le guide, constituer une équipe dédiée et anticiper l’impact budgétaire pour votre entreprise.”
Le non-respect du règlement expose les fournisseurs et les utilisateurs à des risques juridiques et financiers. Le règlement prévoit en effet des sanctions administratives, civiles et pénales, qui peuvent aller jusqu’à 7% du chiffre d’affaires annuel mondial ou 35 millions d’euros, pour les infractions les plus graves, comme la mise sur le marché ou l’utilisation d’IA interdites.
L’AI Act prévoit une obligation pour chaque autorité nationale de mettre en place un bac à sable réglementaire.
Ces bacs à sables doivent être opérationnels au moment de l’entrée en application de l’AI Act, en 2026. Ils permettront aux entreprises de tester les systèmes d’IA avant leur mise sur le marché ou en service, afin de favoriser l’innovation et le développement de l’IA en Europe.
Des tests en vie réelle sont également prévus par l’AI Act, ces expérimentations pourront être menées par les fournisseurs d’IA, avec le consentement des utilisateurs et des autorités nationales concernés, tout en respectant certaines conditions de sécurité, de transparence et de supervision.
Julien Guinot-Deléry, Associé, et Matthieu Lucchesi, Counsel chez Gide, concluent :
“L’application de l’AI Act va arriver très vite. Les opportunités mais aussi les défis que pose ce nouveau règlement sont significatifs et touchent un panel d’acteurs et d’industries très large. Il est essentiel que les entreprises se préparent dès maintenant et anticipent la mise en conformité de leurs systèmes d’IA, en tenant compte d’autres réglementations, dont celles sur le droit d’auteur”.
Découvrir le guide ici
L'Union européenne devrait se montrer plus clémente pour les modèles d'IA open source, par rapport à leurs homologues propriétaires. C'est en tout cas ce qui transparait d'un document de travail qui a fuité sur le futur règlement de l'AI Act.
Connexion