Après 22 heures d’intenses négociations, les responsables politiques de l’UE sont parvenus à un accord provisoire sur les règles applicables aux modèles d’intelligence artificielle les plus puissants, mais un profond désaccord sur le chapitre consacré à l’utilisation de l’IA à des fins répressives a contraint les négociateurs épuisés à demander une suspension de séance.
L’AI Act est le projet de règlement le plus important du moment, visant à réglementer l’intelligence artificielle en fonction des risques encourus. Le texte se trouve dans la dernière phase du processus législatif, les négociations interinstitutionnelles, aussi appelées « trilogues », dans le cadre desquelles le Conseil de l’UE, le Parlement et la Commission se réunissent pour élaborer la version définitive du texte.
Le dernier trilogue a débuté mercredi (6 décembre) et s’est tenu presque sans interruption pendant une journée entière, jusqu’à ce qu’une suspension de séance soit décidée, cette dernière devant reprendre vendredi matin (8 décembre). Un accord sur la réglementation des puissants modèles d’IA avait déjà pu être conclu durant cette première séance de négociations.
Champ d’application
La définition de ce qu’est une intelligence artificielle reprend les principaux éléments de la définition de l’Organisation de coopération et de développement économiques (OCDE), sans toutefois la recopier mot pour mot.
Dans le cadre de l’accord provisoire trouvé, les logiciels libres seront exclus du champ d’application du règlement, à moins qu’il ne s’agisse de systèmes à haut risque, d’applications interdites ou d’IA dédiées à manipuler.
Les négociateurs se penchent désormais sur la question des exemptions liées à la sécurité nationale. En effet, les pays de l’UE, la France en tête, ont demandé une large exemption pour tout système d’IA utilisé à des fins militaires ou de défense, y compris pour les contractants externes.
Un autre point qu’il reste à élucider concerne l’application du règlement aux systèmes d’IA qui étaient sur le marché avant qu’il ne commence à s’appliquer, dans le cas où ceux-ci ne seraient pas sujets à une mise à jour importante.
Modèles de fondation
Selon un document de compromis consulté par Euractiv, l’approche par niveaux a été maintenue, avec une catégorisation automatique des modèles entraînés avec une puissance de calcul supérieure à 10^25 FLOPS (soit 10 yottaFLOPS, une unité de mesure de la rapidité de calcul) comme étant « systémiques ».
Une nouvelle annexe fournira des critères permettant au Bureau de l’IA de procéder à des désignations ex officio ou sur base d’une alerte donnée par le panel scientifique. Les critères comprennent le nombre d’utilisateurs professionnels et les paramètres du modèle, et peuvent être mis à jour en fonction des développements technologiques.
Des obligations de transparence s’appliqueront à tous les modèles, notamment la publication d’un résumé suffisamment détaillé des données d’entraînement « sans préjudice des secrets commerciaux » de l’entreprise développeuse de l’IA. Les contenus générés par des IA devront également être directement reconnaissables.
L’AI Act ne s’appliquera pas aux modèles open source et gratuits dont les paramètres sont rendus publics, à l’exception des aspects relatifs au respect des droits d’auteur, à la publication d’un résumé détaillé, aux obligations pour les modèles systémiques et aux responsabilités tout au long de la chaîne de valeur de l’IA.
Les modèles avancés seront soumis à des obligations telles que l’évaluation et le suivi des risques systémiques, la cybersécurité, ainsi que la rédaction de rapports sur la consommation énergétique des modèles de fondation.
Les codes de conduite seront uniquement destinés à compléter les obligations jusqu’à ce que des normes techniques harmonisées soient mises en place, et la Commission pourra intervenir par le biais d’actes délégués si le processus prend trop de temps.
Gouvernance
Un Bureau de l’IA sera créé au sein de la Commission afin de mettre en œuvre les dispositions concernant les modèles de fondation. Les institutions de l’UE doivent encore publier une déclaration commune annonçant que le Bureau disposera d’une ligne budgétaire spécifique.
Les systèmes d’IA seront supervisés par les autorités nationales compétentes, qui seront réunies au sein d’un Comité européen de l’intelligence artificielle afin de garantir une application cohérente de la législation à travers l’UE.
Un forum consultatif recueillera les réactions des parties prenantes, y compris des acteurs de la société civile. Un groupe scientifique d’experts indépendants a également été mis en place pour donner des conseils sur l’application du règlement, signaler les risques systémiques et contribuer à la classification des modèles d’IA présentant des risques systémiques.
Pratiques interdites
L’AI Act comprend une liste d’applications interdites en raison des risques considérés comme inacceptables qu’elles présentent. Les interdictions confirmées jusqu’à présent concernent les techniques de manipulation, les systèmes d’exploitation des failles de sécurité, la notation sociale et le scraping massif d’images contenant des expressions faciales.
Toutefois, le Parlement européen a proposé une liste beaucoup plus étendue d’applications interdites et se heurte à une forte résistance de la part du Conseil. Selon plusieurs sources proches du dossier, les eurodéputés ont subi des pressions pour accepter un compromis, consulté par Euractiv, presque sans inflexions de la position initiale du Conseil.
Les eurodéputés étaient divisés sur cette question. En faveur de cet accord se trouvent les chrétiens-démocrates du Parti populaire européen, le co-rapporteur Dragoș Tudorache (Renew Europe, centre) et la présidente du groupe parlementaire des Socialistes et Démocrates européens, Iratxe García Perez.
Le texte du Conseil souhaite interdire les systèmes de catégorisation biométrique basés sur des données personnelles sensibles telles que l’origine ethnique, les opinions politiques et les croyances religieuses « à moins que ces caractéristiques aient un lien direct avec un crime ou une menace spécifique ».
Les exemples donnés à ces exemptions sont notamment les crimes à motifs religieux ou politiques. Toutefois, la présidence du Conseil a également insisté sur le maintien du profilage par origine ethnique.
Alors que les législateurs socialistes veulent interdire totalement la police prédictive, le Conseil souhaite limiter cette interdiction aux enquêtes qui se baseraient uniquement sur les prédictions et souhaite autoriser les techniques de police prédictive pour les enquêtes dans lesquelles il y aurait des motifs raisonnables de soupçonner une personne d’être impliquée dans une activité criminelle.
Le Parlement a également introduit une interdiction des logiciels de reconnaissance des émotions sur le lieu de travail, dans le domaine de l’éducation, à des fins répressives et dans le domaine du contrôle des migrations. Le Conseil n’est prêt à accepter une interdiction que dans les deux premiers domaines, en y adjoignant des exemptions pour des raisons médicales ou de sécurité.
Un autre sujet controversé est l’utilisation de l’identification biométrique à distance (RBI). Les eurodéputés ont accepté d’abandonner l’interdiction totale au profit d’exceptions strictes liées à des crimes graves. Le Conseil fait pour sa part pression pour donner aux services répressifs une plus grande marge de manœuvre et pour que l’utilisation ex post soit considérée comme une application à haut risque de cette technique.
Une autre question en suspens est de savoir si ces interdictions doivent s’appliquer uniquement aux systèmes utilisés au sein de l’UE ou si la législation doit également interdire aux entreprises basées sur son territoire de commercialiser ces applications interdites à l’étranger.
[Édité par Anne-Sophie Gayet/Théophane Hartmann]