AVIS D’EXPERT – Par Alexandre Lazarègue, Avocat spécialisé en droit du numérique. Le 14 juin dernier le Parlement européen a donné son approbation au projet de règlement intitulé “Artificial Intelligence Act (IA Act)”, une initiative de la Commission européenne. Ce texte, censé réguler l’utilisation de l’intelligence artificielle (IA), tient compte des avancées révolutionnaires dans ce domaine, mais suscite également des critiques quant à sa portée et son efficacité.
Le Parlement européen a donné son approbation le 14 juin dernier au projet de règlement intitulé “Artificial Intelligence Act (IA Act)”, initié par la Commission européenne. Ce texte vise à réguler l’utilisation de l’intelligence artificielle (IA) et a pris en compte les avancées révolutionnaires dans ce domaine, notamment les modèles de fondation et les IA génératives tels que ChatGPT, BARD, Midjourney et DALL-E.
Face aux risques associés à l’IA, de nombreux pays et régions à travers le monde ont pris des mesures pour encadrer cette technologie. En Chine, un projet de réglementation intitulé “Measures for Generative Artificial Intelligence Services” a été proposé, tandis qu’aux États-Unis, la Maison-Blanche a organisé une discussion le 3 mai dernier avec les dirigeants de Google, Microsoft, OpenAI et Anthropic, en réponse aux appels lancés par les géants de la technologie en faveur de la régulation de l’IA.
- Le projet de règlement européen prévoit des mesures visant à encadrer l’utilisation de l’IA, notamment en renforçant les pouvoirs de l’European Artificial Intelligence Office afin d’enquêter sur les infractions transfrontalières liées à l’IA.
- En incluant les nouveaux cas d’utilisation de l’IA génératives, tels que ChatGPT, BARD, Midjourney et DALL-E, le projet de règlement propose de soumettre ces systèmes à des obligations de qualité et de veiller au respect des droits fondamentaux, de l’état de droit, de la cybersécurité et de la protection de l’environnement.
- La protection des données personnelles constitue une préoccupation majeure dans le développement de l’IA. Ainsi, le projet de règlement renforce les obligations des fournisseurs d’IA en matière de protection des données, exigeant notamment la documentation des mesures de gouvernance des données et le respect des règles existantes en matière de vie privée et de protection des données à caractère personnel.
- Concernant le droit d’auteur, le projet de règlement prévoit que les développeurs d’IA génératives doivent fournir un résumé détaillé de l’utilisation des données protégées par le droit d’auteur pour l’entraînement de leur IA. Cependant, le projet de règlement reste silencieux sur la protection des œuvres et l’utilisation des données protégées mais utilisées par les logiciels tels que ChatGPT et Midjourney qui permettent au grand public de générer des contenus de haute qualité.
- Le texte propose une classification des systèmes d’IA à haut risque obligeant les entreprises à évaluer si leur système présente un risque significatif pour la santé, la sécurité et les droits fondamentaux des individus sans toutefois fournir des critères suffisamment clairs pour déterminer quels systèmes relèvent de cette catégorie. Cette ambiguïté risque de semer la confusion et l’incertitude quant à l’application de la réglementation, laissant les acteurs du domaine dans une situation floue.
- L’explicabilité des systèmes d’IA constitue également un point de faiblesse de cette proposition. Plutôt que de proposer des dispositions juridiques spécifiques, le règlement se contente de mesures de transparence et de traçabilité. Cependant, ces mesures pourraient s’avérer insuffisantes pour garantir une compréhension approfondie du fonctionnement des systèmes d’IA, en particulier ceux basés sur l’apprentissage automatique.
- Un autre point de critique concerne l’absence d’une prise en compte adéquate de la manipulation par les systèmes d’IA. Les risques liés à la fabrication de deepfakes ou à la manipulation des informations sont bien réels, mais le projet ne propose pas de mesures spécifiques pour les prévenir. Une intégration plus solide de la prévention de la manipulation aurait pu être envisagée en s’appuyant sur d’autres réglementations existantes.
- La cybersécurité est également un sujet qui n’est pas traité de manière approfondie dans ce règlement. Les mesures spécifiques visant à garantir la résilience des systèmes d’IA face aux cyberattaques sont inexistantes. Cette lacune est particulièrement préoccupante étant donné les risques potentiels liés à l’introduction de faux exemples dans les bases d’apprentissage ou à la manipulation des performances des systèmes d’IA.
- Enfin, le règlement ne fait pas de distinction claire entre les systèmes d’IA développés sur mesure et ceux vendus en série. Les obligations de documentation technique et de conformité imposées par la proposition peuvent être plus adaptées aux systèmes déjà standardisés, excluant ainsi de nombreux systèmes d’IA développés spécifiquement pour des utilisateurs professionnels.
Il est indéniable que le règlement européen sur l’intelligence artificielle représente un pas en avant dans la régulation de cette technologie prometteuse. Il vise à assurer la protection de la santé, la sécurité des individus et les droits fondamentaux, tout en encourageant l’innovation dans le domaine de l’IA. Cependant, pour véritablement se positionner à l’avant-garde de la réglementation de l’IA, l’Union européenne doit combler les lacunes identifiées dans ce projet de règlement. Il en va de la compétitivité de l’UE dans l’économie de l’intelligence artificielle qui sera assurément un facteur de croissance majeur pour les chefs de fil.
Alexandre Lazarègue, Avocat spécialisé en droit du numérique