L'UE a décidé d'investir le champ de l'intelligence artificielle. Pour comprendre les enjeux portés par cette proposition de règlementation, Aurore Hyde a répondu à nos questions.
Le 21 avril dernier, la Commission européenne a dévoilé un projet de réglementation sur l’intelligence artificielle (Artificial Intelligence Act). Que pensez-vous de l’opportunité de légiférer sur la question au niveau européen ?
Cette initiative est une bonne chose. La proposition de règlement émane du Parlement européen et du Conseil de l'Europe, même si c'est la Commission qui l'a dévoilée. Elle intervient dans un contexte de forte mobilisation des organisations intergouvernementales pour encadrer le développement et l'utilisation de l'intelligence artificielle. Il existe déjà un certain nombre d'instruments émanant du Conseil de l'Europe, de l'OCDE, de l'Unesco, également de l'Union européenne avec son groupe d'experts de haut niveau sur l'intelligence artificielle.
LIRE AUSSI >> Comment fonctionne l'intelligence artificielle ? -entretien avec Serge Abiteboul, chercheur à l'INRIA
Il y a donc déjà un contexte de tentatives de régulation intergouvernementales. À cela, on doit ajouter des initiatives des autorités publiques nationales et également pas mal d'initiatives du secteur privé, avec la publication de livres blancs, de codes de bonne conduite, de codes éthiques… qui témoignent de la volonté des entreprises de chercher à différer les tentatives de régulation contraignantes.
Ce premier texte européen juridiquement contraignant a vocation à positionner l’Union européenne comme cheffe de file, voire même cheffe de file mondiale, pour la régulation de l'intelligence artificielle.
L’Union européenne a l'ambition de promouvoir le développement et l'utilisation d'une intelligence artificielle conforme aux valeurs européennes, c'est-à-dire à une intelligence artificielle centrée sur l'humain et digne de confiance, tout en créant les conditions du déploiement de cette technologie. En effet, elle souhaite favoriser l'innovation, la croissance économique et assurer sa compétitivité au niveau international. D’ailleurs, ce texte a été adopté sur le fondement de l'article 114 du Traité sur le fonctionnement de l'Union européenne, qui est relatif au marché intérieur.
La proposition de règlement est ainsi un compromis entre la protection des personnes, qui sont aussi bien les utilisateurs que les personnes concernées par les usages de l'IA, et la protection de l'innovation dans le marché intérieur. Il est important de garder en tête que le texte tente de concilier ces deux objectifs.
Elle (cf. la proposition de règlement) s'intègre dans un « paquet » plus général, comprenant une communication de 2021 de la Commission européenne favorisant une approche européenne de l'intelligence artificielle, un nouveau plan de coordination entre les États membres de 2018 qui constitue la révision du plan de coordination en matière d'IA, et également une proposition de règlement réformant la directive sur les machines.
Cette réglementation me paraît opportune, tant pour assurer l'uniformisation des législations sur le territoire de l'Union que pour permettre la compétitivité de l'Union sur la scène internationale.
En effet, l'uniformisation des législations sur le territoire de l'Union européenne a pour avantage d'éviter l'éclatement des législations nationales. Les produits et services qui intègrent de l'IA sont appelés à se déployer a minima dans tous les pays membres de l'Union européenne. Il faut donc que tous ces produits soient traités de la même façon.
Par ailleurs, l'IA repose essentiellement sur un traitement de données vastes et de nature très variée. Certaines font déjà l'objet de réglementations européennes spécifiques, comme le RGPD pour les données à caractère personnel. Mais il ne faut pas oublier non plus le règlement du 14 novembre 2018 qui établit un cadre pour le libre flux des données à caractère non personnel dans l'Union européenne, ainsi que la directive du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d'affaires) contre l'obtention, l'utilisation et la divulgation illicites. En fait, il y a déjà des textes pour appréhender les données qui font l'objet des traitements permettant le fonctionnement de l'intelligence artificielle.
Par ailleurs, les systèmes d'intelligence artificielle relèvent déjà eux aussi pour partie d'autres instruments européens, comme par exemple la première directive « machine » du 17 mai 2006. Ainsi, l'uniformisation apparaît parfaitement cohérente au regard du droit existant et également au regard d'instruments en cours d'élaboration : directive Digital Services Act ou Digital Service Market de décembre 2020, proposition de règlement pour un régime de responsabilité civile pour l'intelligence artificielle du 20 octobre 2020 ou encore proposition de règlement sur la gouvernance des données du 25 novembre 2020.
Par ailleurs, une régulation par les seuls États membres serait inefficace pour garantir les valeurs de l'Union européenne dans les différents États membres et notamment l'impact d'un système d'intelligence artificielle sur les droits fondamentaux. En effet, on pourrait difficilement tolérer que la protection des droits fondamentaux soit moins bien assurée d'un État membre à l'autre. La proposition de règlement répond ainsi opportunément aux risques de fragmentation des législations et de contradiction entre elles.
Par ailleurs, c'est un texte qui constitue l'aboutissement de la politique européenne visant à appréhender le déploiement des technologies numériques dans toutes les activités humaines ainsi que ses conséquences sociales, sociétales, environnementales, économiques et juridiques. Cette politique ambitionne de rassurer les citoyens européens quant au caractère modéré de l'usage de l'intelligence artificielle, quel que soit le domaine dans lequel cette intelligence se déploie. La confiance est le maître mot de la proposition, terme déjà utilisé dans les lignes directrices établies par le groupe d'experts de haut niveau sur l'intelligence artificielle (on notera au passage que cette notion n'est pas du tout définie, alors même qu'elle est récurrente).
Avec cette proposition de règlement européen, l'Union européenne veut s'imposer comme cheffe de file en proposant une troisième voie entre le modèle américain et le modèle chinois dans le façonnement des normes mondiales en matière d'intelligence artificielle.
Le modèle de gouvernance choisi cherche à exprimer les valeurs européennes : respect des droits fondamentaux, de l'État de droit, de la démocratie, mais aussi, le libre jeu de la concurrence, la libre circulation des produits et services et la protection des consommateurs. Pour l'Europe, imposer son modèle, c'est une manière de voir ses valeurs et sa culture triompher sur la scène internationale.
Quels sont les systèmes d’intelligence artificielle concernés par ce projet ?
L'article 3.1 de la proposition de règlement définit le champ d'application ratione materiae. Pour résumer, un système d'intelligence artificielle est un logiciel fondé sur des techniques capables de générer des résultats ou des décisions en fonction d'objectifs qui lui sont assignés.
Les techniques sur lesquelles repose le logiciel sont visées à l'annexe 1 de la proposition de règlement : la proposition ne vise pas seulement le deep learning, technologie phare de l'intelligence artificielle, mais également de nombreuses autres technologies, comme celles qui ont trait aux connaissances (le traitement du langage naturel par exemple), ou encore à la robotique, comme les véhicules autonomes. L'annexe 1 évoque également l'algorithmique de l'intelligence artificielle : la planification, l'ordonnancement, la programmation logique, les déductions de preuves, etc.
Sans entrer dans les détails qui sont très techniques, il me semble que l'ambition de la proposition de règlement est d'appréhender largement les systèmes automatisés d'aide à la décision et de prise de décision, quelles que soient les techniques sur lesquelles ces systèmes reposent. Cela comprend les logiciels d'analyse textuelle et de tri de documents, comme Predictice, mais également les logiciels de reconnaissance d'images ou de reconnaissance vocale, les véhicules autonomes, les compagnons artificiels comme le Siri d'Apple, les chatbots...
Ainsi, tous les systèmes sont visés, mais ils ne le sont pas tous de la même manière. Le régime applicable est un régime graduel qui dépend du niveau de risque engendré par le système l'intelligence artificielle.
LIRE AUSSI >> Justice prédictive : origines et évolutions
Quels sont les risques liés à l’usage de ces systèmes d’intelligence artificielle ?
Ce sont des systèmes qui contribuent à résoudre des problèmes sociétaux puisque les applications de l'intelligence artificielle couvrent tout le spectre des activités humaines : l'environnement, l'énergie, la santé, l'assistance à l'autonomie à domicile, le droit, la justice, les transports, l'administration, la police, les villes intelligentes... Ils peuvent être bénéfiques pour l'économie et pour la société dans son entier.
Néanmoins, ils représentent également des menaces et avant même de se poser la question des menaces ou des risques, il faut s'interroger sur la question des bénéfices.
En effet, la première question est celle de savoir si les bénéfices escomptés par l'utilisation d'un outil ou d'un service intégrant l'IA sont réels. Pour y répondre, il faut s'interroger au préalable sur l'identification des bénéfices. Est-ce que les objectifs assignés aux produits sont bien déterminés ?
C'est seulement une fois que les objectifs sont clairement définis qu'on va pouvoir examiner si 1) l'objectif assigné est atteint, et si 2) le bénéfice escompté est effectif.
En effet, le premier des risques, qu'on occulte souvent, est un risque d'ordre anthropologique : apporter inutilement une réponse technique à des problèmes humains.
Cela revient à recourir à ce type de technologie souvent intrusive parce qu'on suppose un apport important pour la société, alors que cet apport ne se vérifie pas du fait d'objectifs qui ne sont pas atteints, voire même d'objectifs pour lesquels on atteint le résultat inverse à celui escompté.
Voici deux exemples :
En matière de police, on entend souvent dire que ces outils peuvent être utilisés pour faire diminuer la criminalité dans certains quartiers, notamment en renforçant les effectifs des forces de l'ordre mobilisées sur le terrain. Si le risque de criminalité est élevé dans un quartier ou à une certaine heure, plus de forces de police seront mobilisées à ce moment-là ou à cet endroit-là. Sauf que pour savoir si l'objectif est atteint, il va falloir vérifier que la criminalité diminue effectivement à l'endroit où on souhaitait qu'elle diminue. Et surtout, il va falloir vérifier aussi qu'elle n’a pas migré dans les quartiers voisins, car si c'est le cas, l'objectif - diminuer la criminalité - n'est pas atteint.
Un autre exemple concerne l'utilisation des outils en matière de justice prévisionnelle. Ces outils ont vocation à faire gagner du temps aux avocats dans la recherche documentaire, le plus souvent en fournissant des décisions sur un cas donné. Or, il faut que l'outil soit suffisamment performant pour fournir des résultats indiscutables, car sinon le professionnel du droit devra vérifier par lui-même les résultats et le gain de temps sera nul.
En ce qui concerne les autres risques, ils peuvent exister à différents niveaux, un niveau macro et un niveau micro. De plus, ils peuvent être généraux, par exemple parce qu'ils vont se poser quel que soit le secteur d'application en cause, ou alors plus spécifiques à un secteur ou à un type d'utilisation.
Ainsi, il existe le risque que l'utilisation de l'IA ait des effets secondaires sur la société, avec une perte de contrôle de l'humain, voire de déshumanisation de certains services.
Il y a également un risque sur les facultés cognitives de l'homme, celui de la perte d'autonomie. Nous avons tous fait l'expérience de l'utilisation du GPS, que nous utilisons alors même que nous connaissons déjà le chemin. Et le pire, c'est que nous sommes capables de suivre l'itinéraire indiqué par le GPS, alors même que ce n'est pas le chemin que nous aurions choisi instinctivement ! L'humain a tendance à abandonner son sens critique et à suivre les indications de la machine, même lorsqu'il doute de leur pertinence. Des chercheurs en sciences cognitives identifient ça très bien.
Bien entendu, il y a également le risque auquel tout le monde pense : celui d'atteinte aux droits fondamentaux, en raison des caractéristiques de l'intelligence artificielle, que sont l'opacité, la complexité, la dépendance à l'égard des données, l'apprentissage et le comportement autonome.
Quels sont donc exactement ces risques ? En premier lieu, il y a le risque d'atteinte au droit à la vie privée et à la protection des données personnelles, qui comprend, pour toute personne physique, le droit d’être informé du recours à un traitement algorithmique pour les décisions qui la concernent, ou encore le droit à être informé du traitement automatique de ses données personnelles.
Par ailleurs, il n'est pas rare que l'intelligence artificielle soit adossée à des technologies mobiles qui apparaissent intrusives pour le respect de la vie privée, comme la reconnaissance faciale et les drones. La reconnaissance faciale relève de la technologie de l'IA, mais est adossée à une technologie mobile, le drone. De plus, il existe un risque de vol de données lié à des cyberattaques.
Un autre risque extrêmement pointé en ce moment, c'est le risque d'atteinte au droit à la non-discrimination. En effet, tout système d'intelligence artificielle comporte naturellement des biais, en raison des choix : choix des données d'entraînement, choix de la programmation, choix des objectifs assignés. Le risque de discrimination peut également venir du fait que les données fournies en entrée dans la phase d'apprentissage ne sont pas suffisamment représentatives : par exemple, en matière de santé, les femmes et les personnes âgées sont sous-représentées dans les études cliniques. Ainsi, cette sous-représentation va nécessairement induire un biais dans les modèles qui seront entraînés sur la base des données issues de ces études.
Une autre raison pour laquelle il peut y avoir un biais, c'est parce que les données contiennent elles-mêmes un biais social : elles représentent des jugements de valeur présents dans la société. Par exemple, en matière de police, il y a un système en Angleterre qui utilise le code postal des lieux de résidence, des délinquants. Ce système va nécessairement renforcer les a priori négatifs sur certaines zones.
Parfois, les critères choisis peuvent contenir des biais, si le concepteur n'a pas eu conscience d'avoir répercuté un biais personnel dans le choix de certains critères ou bien lorsque ces biais sont volontaires, ce qui serait le cas dans l'exemple bien connu du système d'intelligence artificielle conçu pour établir une pré-sélection entre des CV afin d'écarter certaines candidatures.
Il y a enfin un dernier risque de discrimination : l'intelligence artificielle peut aboutir à des propositions discriminatoires lorsqu'un facteur discriminant peut être corrélé à un certain résultat. J'explique : le thème est bon, la logique est bonne. Néanmoins, le résultat ne serait pas admissible juridiquement. Par exemple, la question de l'influence du sexe ou de l'âge sur les comportements automobiles : selon les données statistiques, les risques d'accident sont plus importants chez les hommes que chez les femmes. Ainsi, un système d'IA pourrait être utilisé en matière d'assurance pour établir des corrélations et déterminer le montant des primes en fonction du sexe.
Un autre risque est l'atteinte à la dignité humaine puisqu’on a des systèmes d'IA qui peuvent représenter un risque pour l'intégrité physique ou psychique. Ainsi, le véhicule autonome crée un risque d'atteinte à l'intégrité physique. Quant à l'intégrité psychique, elle est en danger avec les systèmes d'IA qui prennent des décisions ayant un impact sur les personnes et pour lesquelles il y a une perte de contrôle humain de la décision.
De plus, l'IA crée un risque d'atteinte au droit à vivre dans un environnement sain, puisque son impact écologique est extrêmement important. Outre que les espaces de stockage des données consomment énormément d'énergie, le fonctionnement même de l'intelligence artificielle est extrêmement énergivore. Pour le moindre petit système, il faut faire travailler des ordinateurs surpuissants pendant des jours et des jours. Ce sont des ordinateurs qui turbinent en permanence : entre les clouds qui stockent les données et tout le fonctionnement de l'intelligence artificielle, l'impact environnemental est énorme. Certains évoquent même un désastre environnemental dû à l'intelligence artificielle.
Voilà pour les atteintes aux droits fondamentaux ou aux droits de l'homme. Ces risques sont pointés partout, par le Conseil de l'Europe, l'Unesco, l'Union européenne.
LIRE AUSSI >> Les droits fondamentaux à l'épreuve d'un monde en mutation
Plus spécifiquement, il y a aussi des risques que les critères pris en compte ne soient pas pertinents ou ne soient pas légitimes dans le contexte envisagé. Ce sont des risques sectoriels, comme par exemple sur les marchés boursiers : l'usage du trading haute fréquence, qui donne des ordres automatiques, peut conduire à des crashs, comme le flash crash de 2010.
Cet épisode illustre la nécessité d'identifier les risques pour chaque domaine d'application de l'IA.
De plus, si les risques d'atteinte aux droits fondamentaux sont évoqués fréquemment et à juste titre, il ne faut pas oublier non plus les risques pour la démocratie et pour la société dans son ensemble, ainsi que les risques économiques : l'automatisation des tâches fera monter les courbes du chômage, car tous ceux qu'on pousse vers la sortie ne vont pas se reconvertir en data scientists ! Ce risque macroéconomique relève non pas du domaine juridique, mais de choix politiques : l'IA pourra être interdite dans une certaine mesure et dans certains domaines, afin de maintenir les emplois.
En tout état de cause, pour contenir ces risques, il faut pouvoir répondre à des questions cruciales : est-ce que le système remplit correctement ses objectifs ? Est-ce qu'il offre une véritable plus value socio-économique par rapport à l'activité humaine ? Est-ce qu'il est fiable pour la sécurité des personnes ? Est-ce qu'il est conçu d'une manière qui offre les garanties suffisantes pour éviter les risques ? Est-ce qu'il est intelligible pour l'utilisateur, la personne concernée par la décision, et même un évaluateur extérieur ?
Dans quelle mesure l’approche fondée sur les risques mise en place par la Commission est-elle pertinente ?
Au préalable, il faut préciser qu'il y avait différentes modalités de régulation envisageables, et c'est l'option 3 Plus qui a finalement été retenue : elle consiste à adopter un régime graduel en fonction des risques engendrés par un système d'intelligence artificielle. Elle oblige les entreprises à identifier, à évaluer, à comprendre et à remédier aux risques.
Cette approche fondée sur les risques n'est pas innovante : elle revient notamment dans la proposition de règlement pour un régime de responsabilité civile en matière d'intelligence artificielle.
La proposition de règlement classe les systèmes en trois catégories : ceux qui présentent un risque inacceptable, les systèmes à haut risque et les troisièmes, qui sont les systèmes à faible risque.
Les systèmes présentant un risque inacceptable sont tous ceux qui constituent une menace manifeste pour les droits fondamentaux, la sécurité ou la santé des personnes. Ils sont, sauf exception, purement et simplement prohibés. C'est l'article 5 qui le prévoit. On peut penser aux systèmes d'IA qui permettent le social ranking, c'est-à-dire la notation sociale.
Il y a également les systèmes d'identification biométriques à distance, en temps réel, dans des espaces publics. Ces systèmes sont censés entrer dans la catégorie des risques inacceptables. Cependant, il est précisé que ce système présente un risque inacceptable, sauf dans un contexte d'enquêtes policières, pour lesquelles le texte énumère pas moins de trente-deux exceptions !
La deuxième catégorie comprend les systèmes à haut risque et qui sont soumis à un régime de conformité détaillé assez lourd, précisé par les articles 8 à 51. Il y a énormément de dispositions touffues qui renvoient à des annexes... L'ensemble est assez illisible et très difficile à mettre en œuvre.
La qualification de système d'intelligence à haut risque dépend du rattachement soit à une législation harmonisée de l'Union européenne visée dans l'annexe 2 de la proposition (comme par exemple la législation sur les machines ou les équipements radio), soit à un secteur visé à l'annexe 3 (tel l’éducation et la formation professionnelle ou l’application de la loi).
La troisième catégorie de services sont les services d'intelligence artificielle à risque faible ou limité. Cela désigne les chatbots, par exemple.
Il existe une quatrième catégorie par défaut, car non appréhendée par l’AI Act, à savoir les systèmes d’IA présentant un risque minime. Ces systèmes peuvent cependant entrer dans le champ d’autres législations notamment sur la sécurité des produits ou les données à caractère personnel.
Pour résumer, la proposition prévoit un cadre réglementaire qui impose de très lourdes obligations de mise en conformité aux fournisseurs et aux utilisateurs de systèmes d'intelligence artificielle à haut risque, sous la responsabilité des fournisseurs.
La Commission européenne justifie son choix de l'approche fondée sur les risques car, selon elle, cela permettrait à la fois de limiter les risques pour la sécurité des personnes et d'encourager la poursuite de l'innovation. De plus, les coûts de mise en conformité ne seraient pas trop élevés puisqu'ils ne s'imposeraient qu'aux développeurs, aux concepteurs et fournisseurs de systèmes à haut risque.
L'approche fondée sur les risques paraît logique et légitime : cela relève presque du bon sens d'être plus exigeant avec les systèmes qui sont plus dangereux. Cependant, on peut émettre des critiques face à cette approche : en matière d'atteinte à la sécurité des personnes ou aux droits fondamentaux des personnes, une modulation des exigences selon la probabilité de survenance du risque n'est pas satisfaisante. D'autant plus qu'on demande aux opérateurs économiques d'apprécier eux-mêmes ces risques, alors même qu'ils n'ont souvent pas de compétences spécifiques en matière de connaissance des droits fondamentaux.
Une autre critique qu'on peut avancer en perspective du projet de règlement en matière de responsabilité civile concerne le système de régulation ex-post qui repose aussi sur une distinction en fonction du risque : en effet, un régime spécial est mis en place lorsque le système comporte des risques, alors que pour les systèmes qui ne comportent pas de risques, on en revient au droit commun. Or, il y a un effet pervers dans cette distinction car le système spécial mis en place comprend un plafond de réparation que ne connaît pas le droit commun.
Le résultat est donc le suivant : les systèmes d'intelligence artificielle qui ont un risque élevé sont soumis à un régime qui contient un plafond de réparation, là où les systèmes qui présentent un risque faible sont soumis au droit commun qui ne connaît pas de plafond de réparation. Finalement, les victimes d'un système d'IA à haut risque seront moins bien protégées : on marche complètement sur la tête !
De plus, en se reportant sur les opérateurs, le système risque de favoriser les GAFAM qui rédigeront les normes de compliance, excluant de fait les nouveaux entrants pour des raisons de coûts de mise en conformité, et créant ainsi un système rigide qui décourage l'innovation.
Nous ne sommes donc pas à l'abri d'effets pervers. Cette approche pose d'importantes difficultés pratiques, tant en termes de qualification des systèmes qu'en termes de mise en œuvre des critères de conformité. En effet, la qualification des systèmes sera une nouvelle source de conflit, les opérateurs tenteront de faire valoir qu'ils ne relèvent pas de la deuxième catégorie, mais de la troisième, et qu'ils ne sont pas à haut risque.
Ces conflits seront nourris par le fait que les critères listés dans les annexes sont loin d'être simples. Prenons comme exemple Predictice : le point 8 a de l'annexe nous dit qu'est un système d'intelligence à haut risque en raison du secteur d'application, un système qui s'adresse à la justice et qui assiste l'autorité judiciaire dans la recherche et l'interprétation des faits et du droit et dans l'application du droit à un ensemble de faits concrets. Or, est-ce qu'on doit considérer que Predictice relève du secteur de la justice ? Si l'outil est utilisé par l'autorité judiciaire, on dira que oui, mais s'il est utilisé par un avocat, on dira que non. On voit bien qu'il n'est pas toujours satisfaisant de faire dépendre l'intensité du risque de la personne qui utilise le système, car cela revient à poser des niveaux d'exigence différents pour un seul et même système.
Il me semble donc qu'il faudrait mieux définir ce qu'est un haut risque plutôt que de lister des secteurs ou les types d'utilisation susceptibles de poser des problèmes, même si tout cela est loin d'être simple.
De plus, la question de la conformité aux exigences est également source de difficultés : en effet, d'une part, certaines exigences ne sont pas suffisamment spécifiées et dépendent du type d'application, d'autre part, il existe plusieurs manières de mesurer la conformité d'un système.
Notamment, deux métriques sont principalement utilisées pour évaluer la conformité d'un système : le rappel et la précision. Or, un système ne peut pas avoir un bon score à la fois en rappel et en précision. Il a l'un ou l'autre. Par conséquent, selon qu'on va utiliser l'un ou l'autre pour évaluer la loyauté (fairness) du système, son impact ne sera pas le même.
Quel sera le champ d’application de cette réglementation ?
C'est l'article 2 qui répond à cette question. Pour répondre très brièvement, elle s'appliquera aux acteurs publics et privés à l'intérieur et à l'extérieur de l'Union européenne, dès lors que le système est mis en circulation sur le marché de l'Union ou que son utilisation affecte des personnes situées dans l'Union.
Cela peut concerner aussi bien les fournisseurs que les utilisateurs de systèmes. Des exclusions sont prévues, notamment les utilisations privées et non professionnelles, ainsi que les applications militaires.
LIRE AUSSI >> Le rôle du juge face aux décisions administratives algorithmiques
Docteure en droit et diplômée de l'Essec, Eloïse est rédactrice en chef du Blog Predictice.
Appelez au 
