Approche par les risques, valorisation de l’innovation, mais aussi défense de nos valeurs, principes et libertés, mise en avant de normes européennes... L’AI Act apparaît, à la suite du RGPD, comme l’une des réglementations majeures produites par l’UE.

Adopté à l’unanimité par les ministres de l’Union européenne en mai dernier, l’AI Act constitue le tout premier cadre de régulation entièrement dédié à l’intelligence artificielle au monde. Parmi ses nombreuses caractéristiques, ce texte repose sur une approche par les risques comportant trois niveaux : les systèmes d’IA à risque minimal, limité et élevé. Un quatrième niveau, jugé « inacceptable », entraîne l’interdiction pure et simple des systèmes concernés (par exemple, les systèmes de notation sociale).

« Cette approche par les risques est similaire à celle introduite par le Règlement général sur la protection des données (RGPD). Avec ce classement de l’intelligence artificielle par les risques, la Commission européenne n’a pas voulu freiner l’innovation et le développement des usages, qui sont déjà bien présents. Elle souhaite néanmoins les encadrer pour valoriser le respect de nos droits fondamentaux et éviter les biais de discrimination », déclare Garance Mathias, Avocate associée chez Mathias Avocats, qui a participé à une table ronde intitulée « Intelligence artificielle : la course à la régulation » lors de l’édition 2024 du Forum InCyber. Elle débattait avec Yann Bonnet, Deputy CEO du Campus Cyber, Rayna Stamboliyska, CEO de RS Strategy et Bertrand Pailhès, Directeur des technologies et de l’innovation de la CNIL.

L’approche par les risques est en revanche un des rares points que les deux textes ont en commun. « Ce ne sont pas du tout les mêmes types de texte. Les champs d’application, ainsi que les périmètres, sont différents. Le RGPD est tourné vers les citoyens, c’est-à-dire vers le respect de leurs droits, alors que cette nouvelle réglementation sur l’intelligence artificielle est orientée vers l’innovation, les produits, les services », complète Garance Mathias.

La Loi Informatique et Libertés puis le RGPD ont préparé le terrain

L’AI Act ne vient cependant pas de nulle part, n’apparaissant pas subitement sur une terre réglementaire complètement vierge. Au sein de l’Union européenne, d’autres textes ont, avant lui, abordé les questions relatives à l’intelligence artificielle, de manière directe ou indirecte. C’est le cas, en France, de la Loi Informatique et Libertés (1978), puis, à l’échelle de l’UE, du RGPD (2018). 

« Dès la fin des années 1970, en France et dans de nombreux autres pays européens, des lois ont été conçues pour réguler les traitements de données. Pour faire simple, un traitement de données, cela ressemble à un algorithme. Et l’IA représente la dernière génération des algorithmes, dont certaines propriétés statistiques induisent de nouveaux risques, comme la création de biais. Un cadre juridique s’applique donc aux traitements de données depuis longtemps, que ce soit pour les entreprises qui les utilisent ou celles qui les développent », rappelle Bertrand Pailhès (CNIL).

RGPD et AI Act : quelques ajustements nécessaires

Avec la publication au Journal Officiel de l’Union européenne de l’AI Act, se pose désormais la question de la compatibilité des deux textes (RGPD et AI Act). Après plusieurs mois de consultations, la CNIL a publié en avril et en juin 2024, ses recommandations sur l’application du RGPD au développement des systèmes d’intelligence artificielle pour aider les professionnels à concilier innovation et respect des droits des personnes. 

« Nous avons publié un premier lot de documentation, puis un deuxième, notamment pour montrer qu’un certain nombre de principes du RGPD, qui étaient vus comme contradictoires avec l’AI Act, ne le sont pas du tout. C’est le cas entre autres des principes de finalité et de minimisation des données », note Bertrand Pailhès.

Le principe de minimisation n’empêche pas, selon la CNIL, l’entraînement d’algorithmes sur de très grands ensembles de données. « Les données utilisées doivent en revanche, en principe, avoir été sélectionnées pour optimiser l’entraînement de l’algorithme tout en évitant l’utilisation de données personnelles inutiles. Dans tous les cas, certaines précautions pour assurer la sécurité des données sont indispensables », précise la CNIL sur son site.

Quant au principe de finalité, il s’applique, lui aussi, de manière adaptée, aux systèmes d’IA à usage général. « Le principe de finalité impose de n’utiliser des données personnelles que pour un objectif précis (finalité) défini à l’avance. En matière d’IA, la CNIL admet qu’un opérateur ne puisse pas définir au stade de l’entraînement de l’algorithme l’ensemble de ses applications futures, à condition que le type de système et les principales fonctionnalités envisageables aient été bien définies », ajoute la CNIL, qui a publié une série de fiches pratiques sur l’IA pour y voir plus clair. 

Une opposition entre innovation et régulation vraiment fertile ?

L’opposition entre innovation et régulation a été un autre grand défi à relever pour les institutions européennes à l’origine de l’AI Act. Les forces en présence (lobbies, associations…) ont en effet été très actives pour tenter d’imposer des points de vue la plupart du temps inconciliables. 

« Dans le débat, on a beaucoup entendu parler de cette opposition entre innovation et régulation, et je ne sais pas si elle est très fertile. En réalité, l’IA est à la fois un remède et un poison pour notre société. L’IA en soi n’est pas mauvaise, ce sont ses usages qu’il faut surveiller. C’est donc un choix politique de réguler certains cas d’usage – comme la possibilité de réaliser un scoring social – qui ne correspondent pas à nos principes et à nos libertés », analyse Yann Bonnet (Campus Cyber).

Autre enjeu, et non des moindres : la sécurité de l’IA. « L’IA ne date pas d’hier, mais avec la fulgurance du phénomène ChatGPT, ce sont aujourd’hui des millions de personnes qui utilisent des outils qui, parfois, n’ont pas été complètement réfléchis, même d’un point de vue cybersécurité. Il y a toute une partie de la sécurisation de l’IA qui n’est pas pensée. Nous n’arrivons même pas à trouver des chercheurs dans ce domaine. En tant qu’experts en cybersécurité, nous allons donc devoir fixer un certain nombre de règles, de principes, afin que ces nouveaux outils ne se retournent pas contre nous à un certain moment », note Yann Bonnet.

La réglementation de l’IA comme arme géopolitique majeure

La réglementation sur l’IA est par ailleurs un outil de géopolitique très puissant. « Aux Etats-Unis, ils sont en guerre économique avec la Chine. On est dans un autre contexte. Ils possèdent des acteurs dominants, les géants de la tech, qu’ils veulent protéger. Mais à force de multiplier les déclarations non-contraignantes, sans approche globale, des lois vont se développer au niveau des États fédérés. Il serait assez piquant d’assister, dans quelques mois ou années, à une fragmentation des cadres réglementaires au niveau des différents États, situation qui d’ailleurs a été reprochée à l’Europe pendant des années. Si cela venait à se produire, l’Europe aurait en main un sacré différenciateur par rapport aux États-Unis », commente Yann Bonnet.

En Chine, la régulation de l’IA avance également à grands pas, les Chinois ayant lancé en août 2023, 24 nouvelles règles visant à encadrer les contenus générés par l’IA générative. « Les Chinois sont, eux aussi, en guerre économique, contre les Américains. Ils ont également ce souhait de protéger leurs gros acteurs, les BATX. Leur approche de régulation est beaucoup plus agile, ciblée et sectorielle. Mais nous sommes en Chine, la réglementation est directement dictée par le Parti communiste chinois aux grandes entreprises, avec une volonté de maîtriser la population via une certaine surveillance de masse, ce qu’on ne peut absolument pas souhaiter en Europe », ajoute Yann Bonnet.

« Les Anglais, de leur côté, veulent rentrer dans le jeu mondial en dictant leurs propres normes. C’est là que se joue la bataille. Celui qui va réussir à imposer ses normes, ses standards au niveau mondial aura gagné une première étape. En Europe, nous sommes 500 millions de consommateurs, en bonne santé, bien éduqués, qui ont des moyens. Nous avons donc la capacité d’imposer nos règles aux acteurs étrangers qui veulent rentrer dans le marché européen », note Yann Bonnet.

La guerre des normes aura-t-elle lieu ?

Une analyse que complète Bertrand Pailhès en ajoutant qu’une liste de 10 standards, commandés par la Commission européenne au Comité européen de normalisation (CENELEC), est adossée à l’AI Act : « Ces mécaniques de marquage CE et de mise sur le marché qu’on retrouve dans l’AI Act, mais aussi dans le Cyber Resilience Act, sont un peu nouvelles dans le domaine logiciel et du numérique. Nous étions auparavant dans des modèles de régulation soit plus économiques, soit plus orientés ‘droits fondamentaux’. Cette nouvelle approche de la régulation et des normes est assez cruciale pour une partie des acteurs, la Commission européenne l’a bien compris visiblement ».
Et le Directeur des technologies et de l’innovation de la CNIL de conclure : « Ce que nous observons, tant à la CNIL qu’à l’AFNOR, qui coordonnent les positions françaises pour l’élaboration de ces normes, c’est qu’on retrouve parmi les entités qui établissent ces normes, beaucoup d’entreprises américaines. La guerre des normes est donc toute relative ».

Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.
Restez informés en temps réel
S'inscrire à
la newsletter
En fournissant votre email vous acceptez de recevoir la newsletter de Incyber et vous avez pris connaissance de notre politique de confidentialité. Vous pourrez vous désinscrire à tout moment en cliquant sur le lien de désabonnement présent dans tous nos emails.