La régulation européenne de l’intelligence artificielle
Zoom sur…
Professeure à l’université Rennes 1, Brunessen Bertrand est responsable de l’axe Intégration européenne au sein de l’Institut de l’Ouest : Droit et Europe (IODE, UMR6262, CNRS / Université de Rennes). Elle est également titulaire de la Chaire Jean Monnet de droit européen sur la gouvernance des données (DataGouv). Spécialiste en droit européen du numérique, elle s’intéresse notamment aux enjeux politiques et sociaux de la surveillance numérique et à la sécurisation du partage de données.
La stratégie politique européenne pour la régulation de l’IA
La proposition européenne de règlement sur l’intelligence artificielle (IA) en cours d’adoption remplit d’abord un objectif politique : l’adoption d’une législation identifiée et identifiable : un Artificial Intelligence Act, à l’image du Digital Services Act ou du Digital Markets Act que l’Union peut brandir sur la scène internationale comme autant d’emblèmes d’une politique forte en matière de régulation du numérique. Une façon d’être au monde, en somme, par la volonté, inédite, de soumettre les activités numériques au droit. La politique européenne du numérique, par les enjeux extraterritoriaux qu’elle assume et les conditions à l’entrée sur le marché intérieur européen qu’elle impose, fait partie intégrante d’une diplomatie du numérique de l’Union européenne sur la scène internationale : c’est l’affirmation, classique, mais appliquée ici à un domaine qui se veut disruptif, du primat du droit et de la régulation juridique sur un développement perçu comme anarchique de l’innovation technologique, de la défense des valeurs et des droits fondamentaux, de l’approche multilatéralisée sur le plan international.
Là où beaucoup se contentent de proclamations éthiques, de dispositions ponctuelles, ou d’incitations, l’Europe légifère de façon ostensible, avec un unilatéralisme assumé, mais atténué par une phase de consultations et d’association des parties prenantes rendue visible par l’adoption du Livre Blanc sur l’IA en février 2020. Si les déclarations éthiques ne manquent pas en matière d’IA, l’Union européenne est la première à assumer cette approche juridique classique, que l’on pensait dépasser, désuète même, avec l’avènement de la compliance et de la corégulation, qui va au-delà de l’autorégulation, des codes de conduite et autres formes de soft law dont l’efficacité, sans être nulle, ne peut être que limitée.
L’Artificial Intelligence Act est un acte d’autorité, de revendication du volontarisme politique européen. Pour porter cet objectif politique d’une régulation du numérique, une grande loi était nécessaire, même si ses dispositions peuvent se révéler en pratique plus nuancées qu’il n’y paraît. À cet égard, des dispositions disséminées dans des instruments sectoriels épars n’auraient pas été à même de porter cet objectif politique.
L’objectif de cette régulation européenne est de créer une « IA de confiance », c’est-à-dire respectueuse des valeurs européennes. Ce n’est pas qu’un objectif purement éthique : la confiance des consommateurs dans les systèmes d’intelligence artificielle (SIA) est aussi la condition de leur utilisation et donc d’une appropriation par les usages. Comme souvent en droit de l’Union, les droits des individus sont pensés, de façon ambivalente, comme un élément d’efficacité et d’effectivité du droit. Le respect des droits fondamentaux des citoyens et des consommateurs européens doit servir à instaurer une confiance qui est, à son tour, un vecteur essentiel d’effectivité du marché intérieur, devenu pour l’occasion, le marché unique numérique.
La transition numérique intègre de façon renouvelée la croissance économique et les grands enjeux de société, du mode de vie « augmenté » que nous promet l’intelligence artificielle à la défense des valeurs européennes : démocratie, protection des droits fondamentaux, sécurité et confiance numériques. C’est une révolution que l’on nous annonce plus qu’une évolution tant les perspectives ouvertes par l’intelligence artificielle et les technologies quantiques semblent en passe de transformer en profondeur la vie quotidienne des citoyens européens, de la télémédecine aux mobilités intelligentes en passant par la foodtech, les jumeaux numériques et la réinvention des interactions sociales. Ces promesses technologiques passent cependant par un défi juridique fondamental, celui de la gouvernance des données.
Les enjeux de l’évolution de l’intelligence artificielle pour les droits fondamentaux
Si, dans un premier temps, l’IA était fondée sur une programmation (le fameux Code is law), elle suit de plus en plus un mode de fonctionnement très différent fondé sur l’apprentissage ou le machine learning, qui a donné lieu à la prédiction de la « fin du code ». Un système intelligent évolue de façon autonome : on ne peut prédéterminer le comportement d’un système qui se développe sur l’apprentissage. L’enjeu que soulève cette évolution de l’IA est ainsi celui de la boîte noire et de l’inintelligibilité des algorithmes. L’une des caractéristiques de l’IA aujourd’hui est son opacité. Les décisions prises par les systèmes intelligents ne peuvent plus toujours être expliquées rationnellement. On peut évaluer les données qui fondent les algorithmes et les décisions qu’ils prennent, mais pas toujours ce qui conduit de l’un à l’autre : la sophistication des systèmes d’IA qui évoluent grâce à l’apprentissage (en particulier l’apprentissage profond, le deep learning), et non sur une programmation établie en amont, rend leur fonctionnement presque impossible à expliquer. Avec l’apprentissage profond, on ne peut donc plus expliquer les règles qui fondent les décisions prises par des algorithmes. L’opacité inhérente à cette technologie complexifie certains enjeux juridiques.
Les enjeux de protection des droits fondamentaux concernent surtout la protection des données personnelles, le respect de la vie privée et la non-discrimination. On sait combien l’IA reproduit les biais et les discriminations sans que l’on soit toujours en mesure d’en identifier la cause ; on se demande ainsi si ce sont les données à la base de l’apprentissage qui conduisent à reproduire ces biais cognitifs ou si les algorithmes se construisent en développant d’eux-mêmes ces biais. Au-delà des questions de discriminations, l’IA soulève aussi beaucoup d’interrogations sur le respect de la vie privée et d’autres libertés fondamentales : les pratiques de modération des contenus par les plateformes fondées sur des algorithmes posent aussi des questions en matière de liberté d’expression.
Une régulation fondée sur une hiérarchie des risques
Le choix européen est de réguler les systèmes d’IA qualifiés de « à haut risque » uniquement. Cette régulation est ainsi asymétrique : elle ne concerne pas toutes les applications d’IA. C’est une approche graduée selon les risques : les applications d’IA sont classées selon leur niveau de risque, et les règles juridiques varient selon ce niveau de risque. L’enjeu de cette approche par risque était d’atteindre la meilleure conciliation entre respects des droits fondamentaux et sécurité de l’IA d’un côté, et limitation des coûts de mise en conformité de l’autre.
L’évaluation du risque doit permettre de distinguer les systèmes d’IA entre les utilisations de l’IA qui créent un risque inacceptable, un risque élevé et un risque faible ou minimal. La liste des pratiques interdites comprend tous les systèmes d’IA dont l’utilisation est considérée comme inacceptable, car contraire aux valeurs de l’Union, notamment en raison de violations des droits fondamentaux qu’elle est susceptible d’engendrer. Les interdictions portent sur les pratiques qui présentent un risque important de manipuler des personnes par des techniques subliminales agissant sur leur inconscient, ou d’exploiter les vulnérabilités de groupes vulnérables spécifiques tels que les enfants ou les personnes handicapées afin d’altérer sensiblement leur comportement d’une manière susceptible de causer un préjudice psychologique ou physique à la personne concernée ou à une autre personne. L’idée est aussi d’interdire la notation sociale fondée sur l’IA effectuée à des fins générales par les autorités publiques. Dans ces interdictions, on relèvera la spécificité du régime juridique de l’utilisation de systèmes d’IA pour l’identification biométrique à distance en temps réel de personnes physiques dans des espaces accessibles au public à des fins répressives qui comporte de nombreuses exceptions.
Exigences spécifiques pour les systèmes d’IA à haut risque
Les applications d’IA « à haut risque » sont celles qui présentent des risques importants pour la santé, la sécurité ou les droits fondamentaux des personnes. Il y a deux grandes catégories de systèmes d’IA à haut risque. D’une part, les systèmes d’IA destinés à être utilisés en tant que composants de sécurité de produits. Ce sont les systèmes d’IA utilisés pour les machines, les dispositifs médicaux par exemple. D’autre part, les systèmes d’IA autonomes qui soulèvent des questions quant au respect des droits fondamentaux. Il existe une liste, évolutive, qui évoque pour l’instant les applications suivantes :
- identification biométrique et catégorisation des personnes physiques ;
- gestion et exploitation des infrastructures critiques (gestion et exploitation du trafic routier, fourniture d’eau, de gaz, de chauffage et d’électricité) ;
- éducation et formation professionnelle (les systèmes d’IA destinés à être utilisés pour déterminer l’accès ou l’affectation dans des établissements d’enseignement ou pour évaluer les étudiants, les systèmes d’IA destinés à être utilisés pour le recrutement dans un emploi, que ce soit pour le filtrage des candidatures, l’évaluation des candidats pour un poste ou l’attribution de promotions, etc.) ;
- accès aux services publics et aux prestations sociales (par exemple les systèmes d’IA qui évaluent l’éligibilité des personnes aux prestations et services d’aide sociale) ;
- autorités répressives (comme les systèmes d’IA destinés à être utilisés par les autorités répressives pour déterminer la probabilité qu’une personne physique commette une infraction ou récidive ;
- gestion de la migration, de l’asile et des contrôles aux frontières [par exemple les systèmes d’IA destinés à être utilisés par les autorités publiques pour évaluer des risques, y compris des risques pour la sécurité, des risques d’immigration irrégulière ou des risques pour la santé, posés par une personne physique qui a l’intention d’entrer ou qui est entrée sur le territoire d’un État membre ou encore les systèmes d’IA destinés à être utilisés pour vérifier l’authenticité des documents de voyage et des pièces justificatives des personnes physiques et pour détecter les documents non authentiques en vérifiant leurs éléments de sécurité] ;
- administration de la justice et processus démocratiques.
Pour ces applications à haut risque, la régulation prévoit des exigences de transparence, de fourniture d’informations aux utilisateurs, de contrôle humain, de robustesse, d’exactitude et de sécurité.
Des règles spécifiques de transparence sont envisagées pour certains systèmes d’IA destinés à interagir avec des personnes physiques ou à générer du contenu, et qui peuvent présenter des risques spécifiques d’usurpation d’identité ou de tromperie, qu’ils soient ou non considérés comme étant à haut risque. Ainsi, les personnes physiques devront être informées du fait qu’elles interagissent avec un système d’IA, à moins que cela ne soit évident en raison des circonstances et du contexte d’utilisation. De même, les personnes physiques devront être informées du fait qu’elles sont exposées à un système de reconnaissance des émotions ou à un système de catégorisation biométrique. Enfin, les utilisateurs qui se servent d’un système d’IA pour générer ou manipuler des images ou des contenus audio ou vidéo dont la ressemblance avec des personnes, des lieux ou des événements existants pourrait porter à croire qu’il s’agit de documents authentiques [trucages vidéo ultra-réalistes], devront déclarer que le contenu a été créé ou manipulé artificiellement en étiquetant le résultat produit par le système d’intelligence artificielle en conséquence et en mentionnant son origine artificielle. Pour ces deepfakes, il sera obligatoire de déclarer que le contenu est généré par des moyens automatisés, sauf pour certaines finalités légitimes faisant l’objet d’exceptions (domaine répressif, liberté d’expression). S’il y a là des éléments de transparence importants, il ne faut sans doute pas sous-estimer l’impact que pourront avoir les deepfakes dans un avenir proche dans la viralité de la désinformation, qui est pourtant un des enjeux fondamentaux pour l’Union européenne.