La législation européenne est-elle à hauteur des enjeux posés par l’intelligence artificielle?

Le 14 juin, le Parlement européen a adopté l’AI Act, large législation visant à réglementer l’intelligence artificielle (IA) au sein des pays membres de l’Union. Entretien avec Yves Poullet, directeur du Centre de recherches informatique et droit (Crid) et recteur de l’UNamur.

Les mesures de l’AI Act vous semblent-elles à la hauteur des enjeux – éthique, politique et technologique – posés par l’IA?

Même si l’on reste dans l’inconnu pour la mise en pratique de ce règlement dit AI Act, la réponse est plutôt oui depuis les modifications apportée par le Parlement européen. Ainsi, par exemple, le respect des valeurs éthiques définies par le groupe d’experts a été introduit comme une obligation pour tout système IA. Aussi, l’obligation d’évaluation réservée jusqu’à présent aux producteurs de systèmes IA – comme par exemple Clearview pour la reconnaissance faciale – a été élargie à ceux qui utilisent à titre professionnel les systèmes d’IA (la police, les banques…). L’enjeu politique est bien de disposer d’une souveraineté dans les règles et le développement d’une industrie de l’IA. Il est également de permettre une réelle discussion des enjeux de ce développement et ce, autour d’un «forum consultatif» européen, sorte d’Office of Technology Assessment, chargé de réunir des représentants des différents intérêts (consommateurs, associations civiles de citoyens, syndicats, chercheurs, administrations, etc.) pour discuter des enjeux de l’IA ou de certaines applications comme la voiture intelligente ou les robots conversationnels.

Yves Poullet «L’AI Act est à la hauteur des défis que nous pose l’IA.

Avec l’AI Act, l’UE a-t-elle trouvé le bon équilibre entre l’autoritarisme de la Chine et le quasi-«laisser-faire» des Etats-Unis en matière de gestion du marché de l’IA?

C’est toute l’ambition européenne: imposer sa «troisième voie» définie autour de deux valeurs: «excellence et confiance». L’excellence est à chercher en particulier dans l’appui financier consacré à des programmes de recherche et aux start-up. La confiance du citoyen dans l’IA doit dériver du respect du principe de précaution et des valeurs éthiques. Ne nous mentons pas. Derrière ces mots, se cache la volonté européenne de ne pas rater son entrée dans le marché que permettra la révolution numérique représentée par l’IA.

L’AI Act suffira-t-il pour réussir cette entrée dans le marché international?

Cette ambition se réalise non par le seul AI Act mais se conjugue à de nombreux textes qui accompagnent cette stratégie de la troisième voie, des textes comme le Digital Services Act (DSA) et le Digital Markets Act, qui entendent limiter la puissance des géants du Net afin de garantir un Internet plus propre et un marché plus transparent et respectueux des intérêts des autres acteurs, et d’autres comme le Data Act et le Data Governance Act, qui garantissent un meilleur partage des données et donc la constitution en Europe de mégadonnées qui permettront l’émergence de systèmes d’intelligence artificielle.

Comment s’assurer que les géants du Net respecteront ces régulations? Twitter s’est retiré, il y a quelques semaines, du Code de bonnes pratiques de l’UE contre la désinformation en ligne…

La question du respect de la réglementation par les grands acteurs du Net est difficile. Certes il y a une loi, ce qui n’était pas le cas dans la décision de Twitter qui, de toute façon, devra respecter le DSA. Sans doute que cela ne suffit pas, et tout dépendra de plusieurs points: qui contrôle? , avec quels moyens? , quels recours? . Sur ce dernier point, le texte est muet dans l’attente du règlement sur la responsabilité de l’IA.

L’AI Act adopte une approche proportionnée selon quatre niveaux de risques, des plus minimes aux plus élevés. Que pensez-vous de cette approche?

L’AI Act repose en effet sur une approche fondée sur les risques et propose des dispositions adaptées à chaque niveau de risque, ce qui tranche avec des règlements comme le RGPD (NDLR: Règlement général sur la protection des données) qui, sauf rares exceptions, s’applique à tout traitement. Il faut souligner que les risques pris en compte ne sont pas uniquement ceux liés à nos libertés individuelles (liberté d’expression et vie privée, par exemple) ni les dommages financiers et physiques encourus par chacun de nous (comme le refus d’un crédit ou la chute d’un drone). Il y a aussi les risques de discrimination ou d’injustice sociale et, enfin, les atteintes sociétales à notre environnement, à notre démocratie (la manipulation y compris lors des élections, la polarisation des opinions et à la règle de droit).

Avant l’application effective de ce texte en 2026, la commissaire européenne Vera Jourova, chargée des Valeurs et de la transparence, prévoit un Code de bonne pratique. Vous semble-t-il à la hauteur des enjeux?

Les défis sont immédiats et il est donc urgent de ne pas attendre. Les autorités européennes ont montré leur capacité de réaction rapide. Quelques mois après l’arrivée sur le devant de la scène de la question des intelligences génératives, avec ChatGPT, elles intégraient des dispositions dans le texte voté par le Parlement le 14 juin. Cela dit, même si j’ai un a priori contre une délégation trop forte de la régulation aux acteurs, il est difficile, à l’heure actuelle, de connaître le contenu et les modes opératoires et de sanction de ce Code de bonnes pratiques. Simplement, je note que l’essai de renvoyer à une autorégulation de la lutte contre la désinformation, en 2018, a été un échec. Et qu’il a fallu, dès 2021, revoir le texte pour renforcer le contrôle par les autorités publiques et son contenu et, dans la foulée, mettre sur pied un texte législatif: le Digital Services Act.

Certains observateurs estiment que cette régulation risque de défavoriser les acteurs européens face aux acteurs américains non contraints de composer avec une régulation aussi stricte…

La réticence des entreprises est facile à comprendre. Cependant, elle ne tient pas compte de trois points: le premier est que le marché européen est protégé de l’«envahisseur» qu’il soit chinois, américain ou autre ; le deuxième: la procédure et le certificat de conformité risquent demain d’être un atout dans la concurrence internationale à l’heure où les risques liés à l’IA sont largement connus des populations ; un troisième argument tire sa force du précédent qu’est le RGPD, sujet aux mêmes critiques et qui semble désormais devenir un standard international à tel point que, pour la première fois, le congrès américain est saisi d’une loi générale «Privacy». Par ailleurs, la proposition permet des «innovations» même hors du cadre réglementaire, à condition d’être encadrées dans des législations «bac à sable», soit des législations promouvant des innovations à risque mais sous contrôle des expériences et obligation de rapporter le résultat des expériences. Enfin, les PME sont exemptées de nombre d’obligations.

tées.