L’Union Européenne a franchi un pas de plus vers la mise en place d’une réglementation stricte de l’IA en élaborant de nouvelles sauvegardes qui interdiraient un large éventail de cas d’utilisation dangereux. Cela comprend des interdictions de programmes de reconnaissance faciale de masse dans les lieux publics et des algorithmes de profilage prédictifs qui tentent d’identifier les futurs délinquants en utilisant des données personnelles. La réglementation exige également la création d’une base de données publique des systèmes « haut risque » d’IA déployés par les autorités publiques et gouvernementales afin que les citoyens européens puissent être informés de quand et de comment cette technologie les affecte. La loi en question est un nouveau projet de loi de l’UE sur l’IA, qui a été approuvé aujourd’hui par deux comités clés : le Comité du marché intérieur et le Comité des libertés civiles. Ces comités sont composés de membres du Parlement européen qui ont été chargés de superviser le développement de la législation. Ils ont approuvé le projet de loi terminé avec 84 voix pour, sept contre et 12 abstentions.
Le projet de loi sur l’IA est un document tentaculaire qui est en préparation depuis des années, avec l’explosion de l’intérêt pour les outils d’IA génératifs cette année, qui a forcé un certain nombre de changements significatifs et de dernière minute. Cette attention supplémentaire semble cependant avoir concentré les législateurs sur les dangers potentiels de cette technologie en évolution rapide. Les militants estiment que la version de la loi approuvée ce matin est extrêmement bien accueillie, mais qu’elle doit encore subir des changements.
Les principales modifications au projet de loi approuvé aujourd’hui sont une série d’interdictions des ce que le Parlement européen décrit comme des « utilisations intrusives et discriminatoires des systèmes d’IA ». Selon le Parlement, les interdictions, élargies à partir d’une liste originale de quatre, concernent les cas d’utilisation suivants :
Systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public ;
Systèmes d’identification biométrique à distance en temps différé, avec la seule exception de l’application de la loi pour la poursuite de crimes graves et uniquement après autorisation judiciaire ;
Systèmes de catégorisation biométrique utilisant des caractéristiques sensibles (par exemple, le sexe, la race, l’ethnicité, la citoyenneté, la religion, l’orientation politique) ;
Systèmes de profilage prédictif (basés sur le profilage, la localisation ou le comportement criminel antérieur) ;
Systèmes de reconnaissance des émotions dans les forces de l’ordre, la gestion des frontières, le lieu de travail et les établissements d’enseignement ;
Raclage indiscriminé de données biométriques provenant des médias sociaux ou de la surveillance par caméra pour créer des bases de données de reconnaissance faciale (violation des droits de l’homme et de la vie privée).
En plus des interdictions, le projet de loi mis à jour introduit de nouvelles mesures visant à contrôler les systèmes d’IA dits « d’usage général » ou « fondamentaux » – des modèles d’IA à grande échelle qui peuvent être utilisés à diverses fins. Cette catégorie est mal définie même au sein de la législation de l’UE, mais elle est destinée à s’appliquer aux systèmes d’IA intensifs en ressources construits par des géants de la technologie comme Microsoft, Google et OpenAI.
Sous la législation proposée, les créateurs de ces systèmes auront de nouvelles obligations d’évaluer et de réduire divers risques avant que ces outils ne soient mis à disposition, y compris l’évaluation des dommages environnementaux de la formation de ces systèmes, qui sont souvent énergivores, et en obligeant les entreprises à divulguer « l’utilisation de données de formation protégées en vertu du droit d’auteur ». La dernière clause pourrait avoir un effet significatif aux États-Unis, où les détenteurs de droits d’auteur ont intenté plusieurs poursuites contre les créateurs de générateurs d’images IA pour avoir utilisé leurs données sans leur consentement. De nombreuses entreprises technologiques comme Google et OpenAI ont évité ce type de défis juridiques en refusant simplement de divulguer les données sur lesquelles elles entraînent leurs systèmes (soutenant généralement que ces informations sont un secret commercial). Si l’UE oblige les entreprises à divulguer les données de formation, cela pourrait ouvrir des poursuites aux États-Unis et ailleurs.
Une autre disposition clé du projet de loi sur l’IA est la création d’une base de données des systèmes d’IA d’usage général et haut risque pour expliquer où, quand et comment ils sont déployés dans l’UE. Cette base de données devrait être librement et publiquement accessible, facilement compréhensible et lisible par machine. La base de données devrait également être conviviale et facilement navigable, avec des fonctionnalités de recherche permettant au grand public de rechercher des systèmes de haut risque spécifiques, des emplacements, des catégories de risque et des mots-clés. La création d’une telle base de données est une revendication de longue date des militants des droits numériques, qui affirment que le public est souvent expérimenté à son insu dans des systèmes de surveillance de masse et que ses données sont collectées sans consentement pour entraîner des outils d’IA.
L’AI Act sera classé en fonction de leur niveau de risque. Image : Commission européenne
Cependant, l’AI Act est encore sujet à des changements. Après son approbation aujourd’hui par les comités parlementaires de l’UE, il fera l’objet d’un vote plénier le mois prochain avant d’entrer dans les trilogues – une série de négociations à huis clos impliquant les États membres de l’UE et les organismes de contrôle de l’UE. Certains des interdictions les plus prisées par les militants, notamment la surveillance biométrique et le profilage prédictif, causeront « une lutte majeure » lors des trilogues, selon Chander.
À la suite des trilogues, l’AI Act devra être approuvé avant le printemps 2024, un délai serré pour une législation aussi importante.
