L’AI Act européen est-il prêt pour ChatGPT ? Le point sur les défis de la réglementation, avec Sonia Cissé du cabinet d’avocats d’affaires international Linklaters.
Face à la démocratisation d’outils comme ChatGPT, l’Union Européenne brandit son futur règlement « AI Act ». Mais celui-ci connait des contraintes propres à tous les textes qui tentent de suivre et d’anticiper l’évolution des usages technologiques. Le point avec Sonia Cissé, qui dirige l’équipe Technology, Media and Telecommunications, du cabinet d’avocats d’affaires international Linklaters à Paris.
Alliancy. A quel point la démocratisation rapide de l’IA générative bouscule-t-elle le cadre réglementaire « habituel » pour l’utilisation de l’IA en France ?
Sonia Cissé. Pour répondre à la question, il faut déjà revenir sur ce qu’est le cadre réglementaire aujourd’hui sur l’IA. En fait, il n’y en a pas de dédié. Les usages de l’intelligence artificielle sont réglementés à travers une approche globale qui concernent toutes les technologies, notamment avec le RGPD qui couvre l’utilisation des données.
Les actualités récentes ont montré qu’en l’état, l’IA générative ne pouvait cependant pas être 100% conforme aux exigences du RGPD. C’est d’ailleurs à ce titre que l’autorité italienne de protection des données a tout d’abord interdit l’usage de ChatGPT en avril, puis a suspendu cette interdiction face aux garanties apportées par son éditeur, OpenAI. Cette préoccupation sur les données, et en particulier les données personnelles, n’est pas nouvelle avec l’intelligence artificielle ; mais la démocratisation de l’IA générative vient mettre sur le devant de la scène toutes les contradictions que l’on connaissait déjà. Et les autorités de protection ont toujours la même approche : plus le sujet est d’actualité, plus elles s’y intéressent. Cela fait longtemps qu’elles regardaient les IA, en publiant des recommandations et de la documentation. Le développement rapide de ChatGPT a forcé à regarder dans le détail un service et un produit particulier et à devoir se prononcer sur un cas précis, factuel, plutôt que sur des idées générales.
A lire aussi : ChatGPT : bon à savoir
Vous soulignez cependant que l’autorité italienne est revenue sur sa décision dans un délai assez court. Est-ce que cela veut dire que les préoccupations n’étaient pas fondées ?
Sonia Cissé. Après la mesure d’urgence, l’autorité italienne a fait part de ses conditions pour la lever. Pour être transparente, je ne pensais pas à titre personnel qu’OpenAI arriverait à répondre en moins de vingt jours aux exigences de l’autorité. A vrai dire, cela n’a d’ailleurs pas été tout à fait le cas, mais l’entreprise a donné des droits d’opposition aux utilisateurs et aux personnes concernées. Elle a également ajouté beaucoup de notices d’information… Cette stratégie, donner plus de droits et d’information aux utilisateurs, et plus d’obligations pour l’entreprise, a suffisamment conforté l’autorité italienne pour permettre d’accorder une suspension.
Sur la même période, plusieurs députés européens ont fait part de leur volonté de faire évoluer fortement le futur AI Act pour mieux prendre en compte les avancées des IA génératives… Vers quel genre de dispositions réalistes pourrait-on aller ?
Sonia Cissé. La réalité, c’est que tout le monde attend l’AI Act avec impatience, mais qu’il reste beaucoup de questions en suspens… Les députés ont dit qu’ils avaient compris les nouveaux problèmes amenés par l’IA générative et qu’ils allaient donc l’exprimer dans le texte.
L’exemple de l’interdiction de ChatGPT en Italie fait cependant apparaître clairement que l’AI Act peut être une opportunité pour les entreprises qui développent des outils d’intelligence artificielle. A partir du moment où l’autorité italienne a pris sa mesure d’urgence, toutes les autres autorités nationales en Europe ont commencé à regarder de plus près le problème, de leur propre perspective. Or, personne n’a envie de se faire retoquer par les différentes autorités pour des raisons qui pourraient de plus ne pas être identiques ! L’intérêt de l’AI Act, c’est la promesse d’harmonisation pour éviter un tel chemin tortueux : le projet de règlement dit qu’il ne doit pas y avoir de barrières entre les pays. Si une entreprise répond aux attentes d’une autorité, alors elle aura la sécurité de pouvoir être acceptée par toutes les autres.
Ensuite, le texte vise à définir de façon large l’intelligence artificielle, autour de différents critères de risques, basés sur les usages. Ce n’est pas une approche qui part de la technologie, mais plutôt de la finalité qui en est faite. Ce que dit le texte, c’est notamment que si l’éditeur interdit explicitement un usage à « haut risque » pour son IA, alors elle ne sera pas interdite par exemple. En la matière, il prévoit donc de couvrir également les usages liés aux IA génératives.
A lire aussi : Carrefour déploie l’IA générative aux rayons e-commerce, achats et marketing
A quel point le règlement peut-il anticiper les futurs usages de l’intelligence artificielle, qui changent très rapidement ?
Sonia Cissé. Il faut accepter l’idée que la réglementation n’est jamais « future proof » au regard de l’évolution des technologies. C’est pourquoi les définitions et les cas d’usages sont écrits pour être le plus large possible, et couvrent les grands principes de ce qui est acceptable ou non. Je pense que l’Europe commence à avoir un peu d’expérience sur ce genre de règlement complexe vis à vis du numérique. Son moyen d’anticipation, ce sont donc ces définitions larges. Ce que l’on sait, c’est que cette philosophie amène ensuite un besoin important d’interprétation pour faire vivre le texte. L’exemple du RGPD est révélateur en ce sens : beaucoup de temps et d’efforts sont passés aujourd’hui à produire des guidelines, des explications sur ce qui a voulu être dit par tel ou tel article du règlement. On sait donc d’ores et déjà qu’une autorité européenne devra revenir régulièrement sur le sujet de l’AI Act, pour expliciter le texte. C’est ce qui permettra de faire rentrer tel ou tel nouvel usage de l’IA sous un article du texte en particulier. Il y aura également une abondante documentation pour entrer dans les détails.
Contrairement à la question de la certification des clouds de confiance EUCS, sur laquelle les Etats membres de l’UE affichent leur désaccord, il semble régner une certaine harmonie autour de l’AI Act. Est-ce que cela peut durer ?
Sonia Cissé. Il y a effectivement une forme de consensus sur la question. Le problème est que l’IA Act est très attendu par beaucoup d’acteurs différents et qu’il est donc très regardé. De plus, les actualités autour de ChatGPT et des autres IA génératives poussées auprès du grand public, ont mis une pression supplémentaire sur les régulateurs. Ils veulent donc sortir un AI Act qui soit vraiment « bullet proof » pour ne pas passer à côté du sujet. Cela implique de prendre le temps d’avoir une analyse plus complexe de la problématique, ce qui ralentit la sortie du texte. Ce sont ces longueurs qui peuvent créer des frictions, plutôt que des différences de vision entre les Etats membres. Tout le monde a conscience qu’on ne peut pas vraiment se permettre de devoir faire un autre texte rectificatif dans deux ans, au regard d’une technologie qui a un impact social extrêmement immédiat et important, et qui va très vite transformer la vie de tout le monde.
Avec l’AI Act, comme pour le RGPD, on parle d’une réglementation qui a vocation à être mondiale, avec un texte très englobant. Quels défis cela représente-t-il ?
Sonia Cissé. Cela demande déjà beaucoup de pragmatisme. Les innovations en IA sont développées avant tout par des entreprises de type start-up. Le texte ne doit donc pas se transformer en un frein à l’innovation, et en particulier à la compétitivité européenne. La menace qui plane sur l’Europe est connue : c’est la fuite des cerveaux. Si tous les grands projets d’IA à l’avenir se font hors d’Europe, cela ne sert à rien de réglementer entre nous. Cette réalité oblige le régulateur à prendre en compte les postures qu’ont les USA et la Chine sur le sujet, car c’est un sujet de compétitivité technologique mondiale.
L’un des défis majeurs restent le découpage du sujet d’un point de vue réglementaire. En termes d’intelligence artificielle, le législateur distingue d’une part le fonctionnement des algorithmes et de l’autre la question de la data, de son entrée et de sa sortie de l’outil. Actuellement, l’AI Act dit se concentrer uniquement sur le fonctionnement des algorithmes et renvoie au RGPD pour la data. Mais à quel point ces renvois, qui vont être incessants, seront tenables ? On l’a vu avec le RGPD : pour un seul texte, il existe de nombreuses variations d’application, en fonction des cas et des guidelines. Et l’Europe multiplie les règlements sur le numérique, qui sont amenés à se chevaucher sur de nombreux sujets. Il n’est pas pérenne de faire tenir à bout de bras de tels blocs réglementaires alors que la chaine du numérique et de son écosystème est continue et globale. Cela crée aussi énormément de craintes, car les textes pris unitairement ne sont pas simples et ils demandent des efforts et des ressources, humaines et financières, aux organisations pour les appliquer. On revient assez vite à des questions très prosaïques comme : qui va juger quoi ? Et qu’est-ce qui va sanctionner quoi ? Si une entreprise manque à une de ses obligation cyber, elle pourra théoriquement être sanctionnée à l’avenir par plusieurs textes ; cela ne peut pas perdurer. A terme, il faudra donc sans doute, selon moi, imaginer une fusion des différents règlements ou en tout cas un rattachement sous un seul chapeau qui clarifie cet impact sur toute la chaine numérique.