{ Tribune Expert } - Règlement sur l'Intelligence artificielle : vision holistique et éthique de l'innovation

Les commentaires, qui ont surgi lors de l'élaboration puis l'adoption le 12 juillet 2024 du règlement européen sur l'intelligence artificielle (ci-après le « RIA »), si l'on met de côté les appréciations purement technophobes ou celles trop angéliques, étaient avant tout tournés vers le buzz marketing faisant miroiter des gains de productivité et de rentabilité en sus de forte valeur ajoutée.

De nombreux experts du droit y ont ajouté des réflexions sur la nouvelle approche fondée sur les risques et apporté des débuts de réponse quant à la prise en compte de la protection des données personnelles, de la propriété intellectuelle, de la cybersécurité et des règles de responsabilité.

Si toutes ces questions ne sont pas encore totalement résolues, le RIA a la particularité de surmonter l'apparente et vaine opposition binaire et radicale entre innovation et régulation pour concilier ces deux impératifs et générer non seulement de la valeur mais aussi des valeurs. Si toute innovation ne signifie pas le progrès pour les êtres humains, il est contreproductif de vouloir opposer réglementation et innovation comme l'a encore récemment fait le Gouverneur de la Californie, Gavin Newsoom, qui a mis son veto à la loi sur l'intelligence artificielle dans l'Etat de Californie dans un communiqué publié le dimanche 29 septembre 2024 en considérant que ce texte serait de nature à freiner l'innovation.

La voix de l'Union européenne privilégie une IA au service de l'Homme, dans le respect des valeurs de la démocratie, de l'État de droit et des droits et libertés fondamentaux en montrant la voie.

Le RIA fait la part belle à la « soft law » en prenant acte du fait que la Loi (hard law) ne peut pas tout prendre en compte et qu'en fonction des secteurs, il conviendra de recourir à la co-régulation ou à l'autorégulation en faisant appel à l'Ethique et à des codes de conduite ou de bonnes pratiques. Ces derniers constituent un nouvel outil destiné parfois à combler la période intermédiaire entre l'entrée en vigueur des obligations et l'adoption éventuelle de normes techniques européennes harmonisées pour les modèles d'IA à usage général dont le processus peut prendre jusqu'à trois ans.

Ainsi, le considérant de l'IA Act n°8 rappelle expressément qu'il est important d'avoir une IA assurant un niveau élevé de protection des intérêts publics, tels que la santé, la sécurité et l'environnement (valeurs techniques) et la protection des droits fondamentaux, y compris la démocratie et l'État de droit (valeurs à vocation juridique), tels qu'ils sont reconnus et protégés par le droit de l'Union européenne.

De manière inédite, l'Union européenne a pour ambition avec le RIA, à l'instar du RGPD aux mêmes effets extraterritoriaux, de promouvoir dans le monde l'approche européenne de l'IA centrée sur l'humain contre ses éventuels effets néfastes au sein de l'Union européenne et d'être un leader mondial dans le développement d'une IA sûre, digne de confiance et éthique

A ce titre, le RIA prévoit l'obligation de l'analyse d'impact des systèmes d'intelligence artificielle (« SIA »), la prise en compte de valeurs pour une éthique de l'IA ainsi qu'un large éventail d'obligations en matière de gouvernance et de conformité, qui ne s'adressent pas uniquement aux fournisseurs de systèmes d'IA à haut risque, mais s'appliquent potentiellement à l'ensemble des acteurs impliqués dans l'exploitation, la distribution ou l'utilisation de tout système d'IA à usage général (y compris les fournisseurs, les importateurs, les distributeurs et les déployeurs de SIA). A ce titre, des obligations de confidentialité et de transparence sont prévues par le RIA.

Pour s'en assurer et être en mesure de démontrer qu'elles respectent les obligations futures prévues par le RIA, il est essentiel que les organisations, acteurs publics et privés, commencent à évaluer l'impact que le RIA aura sur leurs activités.

Ainsi, à la suite de son entrée en vigueur le 1er août 2024, se profile pour les entreprises un calendrier jusqu'au 1er août 2030 avec différentes étapes clés pour un déploiement progressif du RIA dont les plus proches dates à venir sont :

> le 1er février 2025 l'application des dispositions pour les SIA interdits représentant un risque inacceptable car représentant une menace pour les personnes

> le 1er mai 2025 pour l'élaboration d'un code de bonnes pratiques pour les fournisseurs de modèles d'IA à usage général (GPAIm) fondés sur des modèles d'IA à usage général (différentes applications, chatbots)

> le 1er août 2025 s'agissant de l'ensemble des obligations qui s'appliqueront à ces derniers qui représentent un risque systémique.

> Le 2 août 2026 pour les codes de conduite

Le code de bonnes pratiques visé à l'article 56 du RIA, dont l'élaboration réunit actuellement 1.000 participants (experts, fournisseurs d'IAGen, universitaires, représentants de la société civile) est un mode de conformité provisoire permettant de combler le laps de temps qui va s'écouler entre l'entrée en vigueur des obligations incombant aux acteurs concernés et l'adoption des normes. Ainsi le respect des mesures énoncées dans ces codes constituera une présomption de conformité aux obligations des fournisseurs de GPAIm. Ceux-ci devront donc contenir des engagements énoncés aux articles 53 et 55 du RIA tels que la fourniture de documentation et d'informations pertinentes, le résumé des données de formation utilisées, la politique en matière de droits d'auteur auxquelles s'ajouteront des obligations en matière d'évaluation des modèles de l'état de l'art, l'évaluation et l'atténuation des risques, le rapport sur les incidents graves y compris les mesures correctives et la protection adéquate de la cybersécurité pour les modèles présentant un risque systémique.

Les codes de bonne conduite visés quant à eux à l'article 95 du RIA traduiront l'application volontaire par les entreprises d'exigences spécifiques en faisant référence notamment aux lignes directrices éthiques de l'Union que la Commission européenne élaborera et mettra régulièrement à jour.

Dès lors, le RIA constitue l'une des composantes du programme de gouvernance de l'IA qui doit être mis en oeuvre par la quasi-totalité des entreprises, et exige de vérifier, d'adapter et de mettre en oeuvre des normes, des politiques et des procédures appropriées pour une utilisation adéquate de la technologie de l'IA.

Plusieurs textes plus ou moins contraignants ont récemment vu le jour au niveau international à la suite du RIA avec des considérations éthiques similaires.

Ainsi, au sein du Conseil de l'Europe, une convention-cadre « IA et droits humains » doit permettre de garantir que l'essor de l'IA respecte les normes juridiques du Conseil de l'Europe en matière de droits humains, de démocratie et d'Etat de droit. C'est le premier texte international contraignant dans ce domaine. Le Comité des ministres avait chargé le Comité sur l'intelligence artificielle (CAI) d'élaborer un instrument juridiquement contraignant sur le développement, la conception et l'application des systèmes d'IA en faisant application de la méthode de l'HUDERIA (acronyme Human Rights, Democraty and Rule of law Impact Assessment). Adoptée le 17 mai 2024 par le Comité des Ministres du Conseil de l'Europe, cette convention, ouverte à la signature le 5 septembre 2024, a recueilli les adhésions à ce jour des États suivant : Andorre, Géorgie, Islande, Norvège, République de Moldova, Saint-Marin, Royaume-Uni, Etats-Unis, Israël et l'Union européenne.

Plus récemment, l'adoption du Pacte numérique mondial par l'ONU lors du Sommet de l'avenir le 22 septembre dernier en vue d'une meilleure coopération numérique fondée sur des principes communs va dans ce sens. Il constitue un appel à l'utilisation éthique et équitable de la technologie, en garantissant que l'IA bénéficie à l'ensemble de l'humanité et non à quelques-uns, acteurs privés ou Etats. Ce texte fait d'ailleurs écho à la résolution adoptée le 21 mars 2024 par l'Assemblée générale des Nations Unies « Saisir les possibilités offertes par des systèmes d'intelligence artificielle sûrs, sécurisés et dignes de confiance pour le développement durable ».

Au niveau des entreprises, il est clair que l'élaboration d'une stratégie éthique et durable en matière d'IA et la mise en place d'un programme de conformité, de gouvernance et de surveillance, qui interagit efficacement avec les autres stratégies et objectifs de l'entreprise (notamment la gestion des risques, la protection de la vie privée, des données personnelles et industrielles, la gouvernance des données, la propriété intellectuelle, la sécurité, le développement durable, les politiques de RSE), constituent certes un nouveau défi pour l'économie numérique mais aussi un nouveau levier de croissance et un avantage concurrentiel.

* Corinne Thiérache est avocate associée en IP/IT au sein du cabinet Alerion