Le week-end dernier, l’Europe s’est mise d’accord sur les règles européennes en matière d’IA. Qu’est-ce que cette loi signifie aujourd’hui pour les entreprises développant des applications d’IA? Entrave-t-elle leurs innovations, ou apprécient-elles qu’il existe à présent une directive légale sur ce qui est autorisé et possible?
Qu’y trouve-t-on?
Ce qu’il faut savoir à ce stade, c’est que les détails de l’AI Act ne sont pas encore publics. Il existe un accord entre le Conseil européen, la Commission européenne et le Parlement européen sur le texte, afin qu’il soit normalement encore voté lors de cette législature (avant les élections européennes de 2024). La ratification nationale par les états membres suivra ensuite, et ce n’est qu’alors que l’AI Act pourra entrer formellement en vigueur.
Mais les grandes lignes du texte sont, elles, connues. L’AI Act doit garantir que l’IA soit gérée de manière sûre et responsable en Europe. Le point charnière réside dans la manière dont la loi autorisera autant d’innovations que possible, tout en limitant les risques sociaux.
C’est ainsi qu’il a été établi que les systèmes d’IA seront classés en fonction du risque, la plupart d’entre eux recevant un label de risque minimal. Pensez ici à un filtre anti-spam qui bloque les courriels indésirables grâce à l’IA. À l’exception du collectif des princes du Nigeria, cela ne désavantagera guère de monde.
L’IA présentant un profil de risque élevé devra satisfaire à des règles plus strictes. Cela concerne l’intelligence artificielle qui fonctionne avec de (vastes) ensembles de données et avec des informations sensibles. Des outils permettant d’obtenir plus de renseignements des données de vos clients ou de votre personnel peuvent en faire partie, tout comme des applications médicales et biométriques ou des questions liées à l’éducation. L’Europe souhaite que de tels systèmes soient bien documentés, qu’il y ait toujours une supervision humaine et que ce que propose l’algorithme, puisse également être expliqué.
Enfin, il y a aussi des ‘applications interdites’, à propos desquelles l’Europe considère que le risque est trop grand pour les autoriser. Un exemple fréquemment utilisé est le ‘score social’, un système dans lequel vous, en tant que citoyen, êtes évalué sur votre comportement ou sur la reconnaissance de vos émotions dans l’éducation ou au travail. L’Europe vous en remercie, mais en même temps, des exceptions sont possibles. La même application pourrait alors être utilisée, par exemple, pour prévenir un attentat terroriste ou pour identifier plus facilement des victimes. Des choses qui semblent intéressantes sur papier, mais qui laissent une fois encore la porte entrouverte.
Qu’est-ce qui change?
Même si sa mise en œuvre effective n’interviendra qu’en 2026, la loi tient déjà en haleine les entreprises belges. Data News a demandé à quelques acteurs comment ils perçoivent l’AI Act. Ils évoquent principalement des nuances, tout en se disant satisfaits de l’arrivée d’une certains clarté.
‘Avant l’AI Act, nous entendions souvent la remarque que l’IA n’était pas réglementée, mais ce n’est pas exact’, déclare ainsi Michiel Van Lerbeirghe, Legal Counsel chez ML6 . ‘Aujourd’hui, lorsque nous développons des projets, nous tenons compte de la législation existante. Si cela va de pair avec des données personnelles, il nous faut également tenir compte du RGPD et veiller à ce que ces données soient correctement sécurisées. Il en va de même pour les règles de droit d’auteur avec des données externes ou de non-discrimination. ‘Ce qui change, c’est qu’il existe désormais une loi spécifique, avec des obligations et des amendes, et qu’elle a été harmonisée au sein de l’UE.’
Chez In The Pocket, on ne considère pas non plus l’AI Act comme un tournant pour leurs activités. ‘Je pense que les entreprises sont actuellement plus susceptibles de se heurter à des restrictions dues au RGPD qu’à des choses couvertes par l’AI Act’, déclare Frederik De Bosschere, responsable de la stratégie et de l’IA chez In The Pocket, et l’une des deux personnes à l’initiative du podcast technologique Computer Club.
Cegeka, un acteur belge en vue, actif dans presque toute l’Europe et au-delà, en arrive à la même conclusion. ‘Dans l’ensemble, c’est positif pour nous. La loi trace un certain nombre de limites autour de ce qui est éthiquement autorisé’, explique Tim Jacobs, spécialiste de l’IA chez Cegeka.
Ce qui joue un rôle majeur, c’est que de nombreuses entreprises appliquent aujourd’hui déjà un code éthique, ce qui signifie que les projets interdits par l’Europe ne figurent quasiment pas à l’agenda. ‘La plupart des entreprises ont une… boussole morale à propos de ce qu’elles veulent faire ou pas’, explique De Bosschere.
Il souhaite également nuancer le fait que des règles supplémentaires veilleront à ce qu’il y ait moins d’innovations en provenance d’Europe: ‘Il se peut que cela représente moins d’investissements dans l’IA européenne, mais la vraie raison de cette différence, c’est simplement qu’il y a moins de capital-risque dans nos startups, et que dans une moindre mesure, il existe ici davantage de règles pour l’IA.’
‘Je pense que les entreprises sont actuellement plus souvent confrontées à des restrictions prévues par le RGPD qu’à des éléments abordés dans l’AI Act.’
Frederik De Bosschere, In The Pocket
‘Je ne pense pas qu’il soit exact de supposer que l’AI Act entraverait l’innovation ou la chasserait de l’Europe’, ajoute encore Van Lerbeirghe (ML6). Il compare la loi au RGPD, lui aussi vivement critiqué lors de son introduction en 2018, mais repris par la suite hors d’Europe.
Jacobs (Cegeka): ‘Nous nous concentrons sur des projets qui ont un impact social positif, et l’AI Act nous permet de nous focaliser davantage sur ce point. L’IA aura un impact sur notre vie, mais cette loi contribuera à en faire quelque chose de positif.’
Plus de règles, plus de soucis?
Une loi s’accompagne de règles, et les règles s’accompagnent généralement d’un surcroît de travail. Cela n’est ni démenti ni vilipendé dans le secteur: ‘Bien sûr que cela génère une charge de travail supplémentaire, mais dans notre cas, nous nous sommes organisés pour être conformes. Vous devez être en mesure de démontrer quel ensemble de données vous utilisez, vous devez tester d’éventuelles distorsions. Or nous le faisons déjà dans nos projets d’IA aujourd’hui, mais cela se fera désormais un peu plus formellement’, explique Jacobs. ‘Il vous faudra documenter et faire preuve de transparence, par exemple en indiquant clairement quand vous parlez à un chatbot, mais si vous abordez un projet de manière mature, vous obtiendrez alors la transparence.’
‘Nous appliquions déjà des normes éthiques avant que cette loi ne soit en préparation’, déclare Van Lerbeirghe (ML6). ‘Nous voyons en fait ces normes transformées en législation contraignante par l’AI Act.’ Les applications ‘interdites’ par l’Europe sont aussi des choses que nous ne ferions de toute façon pas. Chez ML6, nous avons une équipe d’éthique où nous discutons des cas d’utilisation. Nous n’accepterions rien de ce que l’UE cite désormais comme exemple non autorisé en tant que mission.’
Il n’y a aucune inquiétude concernant les applications d’IA considérées comme à haut risque, mais une vigilance accrue est de mise. ‘C’est le cas chez nous, et il faudra plus de temps et d’énergie pour créer des processus en la matière ou pour définir une stratégie, mais ce n’est pas impossible’, affirme encore Van Lerbeirghe.
L’IA aura un impact sur notre vie, mais cette loi contribuera à en parler de manière positive.’
Tim Jacobs, Cegeka
‘Les bons produits doivent également respecter les utilisateurs’, précise De Bosschere (In The Pocket). ‘Si l’IA fait une recommandation concernant un employé, vous devez être en mesure d’expliquer comment ce système fonctionne et comment il arrive à cette conclusion.’
Opportunités manquées?
S’il y a des critiques, Van Lerbeirghe note que la transparence n’est encore que peu de mise et ce, tant sur l’application concrète que sur l’impact sur l’Europe et le reste du monde. ‘C’est ainsi qu’il existe des règles concernant les bacs à sable (sandboxes), où vous n’êtes pas tenu de remplir un certain nombre de conditions, mais cela me semble être un concept vague, et nous ne savons pas comment cela se passera dans la pratique.’
Jacobs (Cegeka) se demande surtout dans quelle mesure l’AI Act sera orientée vers l’avenir, si elle est mise en pratique en 2026. ‘Deux ans, c’est long. Nous sommes maintenant un an après le lancement de ChatGPT et quand je vois ce que cela a changé pour les projets que nous développons, par exemple en ce qui concerne les assistants, je me demande ce qui sera possible d’ici là.’ Et Jacobs de citer, entre autres, l’essor de la vidéo générative et les situations dans lesquelles l’avatar (l’image) de quelqu’un peut être utilisé. Quelque chose qui se produit déjà aujourd’hui avec les vidéos de deepfakes (hyper-trucages), mais qui pourrait à terme devenir beaucoup plus rapide et automatisé.
‘Les applications ‘interdites’ par l’Europe sont des choses que nous ne ferions de toute façon pas.’
Michiel Van Lerbeirghe
‘Aujourd’hui, le texte juridique définit un certain nombre de rôles, tels que celui de fabricant, de fournisseur ou de distributeur. Faudra-t-il le compléter d’ici deux ans? Après tout, on ne peut pas changer un texte de loi comme celui-là en un mois. Il se peut que d’ici là, quelque chose de si révolutionnaire se produise que des ajustements devront être effectués.’
De Bosschere (In The Pocket) note qu’il est quelque peu étrange qu’une amende puisse être infligée à l’acteur qui développe un modèle d’IA, et non à celui qui le met en œuvre: ‘C’est un peu comme punir l’usine qui développe et fabrique des couteaux au lieu de la personne qui en utilise un pour poignarder quelqu’un. Heureusement, il y a une exception pour l’open source, car sinon, personne n’osera plus développer d’infrastructure, sachant qu’on peut être en partie jugé responsable d’abus.’
L’avenir apportera des éclaircissements
Dans l’ensemble, l’AI Act est bien accueillie et, à part les formalités supplémentaires, la loi ne semble pas changer la donne pour les entreprises belges avec lesquelles nous nous sommes entretenus. Elle apporte de la clarté, mais s’attaque surtout aux situations potentiellement risquées, où les développeurs font souvent déjà preuve d’une certaine prudence.
Cependant, ce n’est que dans quelques années, bien après la mise en œuvre de l’AI Act, que l’on saura où se situeront les véritables pierres d’achoppement ou s’il y aura du travail supplémentaire. Van Lerbeirghe (ML6) souligne que la loi n’a pas encore ‘pris racine’ dans la société: ‘Il y aura toujours une jurisprudence sur l’interprétation exacte de la loi, il y aura des lignes directrices et des bonnes pratiques. D’une part, des choses comme l’identification en temps réel dans la rue seront exclues, mais il y aura aussi un certain nombre d’exceptions pour les services de police. Ce sont des exemples où le pouvoir judiciaire jouera un rôle et devra déterminer jusqu’où iront ces exceptions.’
Jacobs (Cegeka): ‘On ne peut pas tout clarifier dans la législation, il y aura des interprétations ou des procès dans ce but, mais cela finira par se régler.’
Bref, la recette est écrite, mais nous ne saurons quel goût aura le potage que dans quelques années.
Vous avez repéré une erreur ou disposez de plus d’infos? Signalez-le ici