Le cadre juridique de l'intelligence artificielle encore loin d'être finalisé
Si deux textes européens régulent l'IA, il faut désormais les mettre en musique. Un processus complexe, à l'échelle européenne comme nationale, décrypté à l'occasion d'un webinaire organisé par l'AN2V, association qui réunit des acteurs de la vidéoprotection. Un domaine où l'usage de l'IA n'est pas interdit, mais fortement encadré.
Si l'IA Act a mis quatre ans à émerger des arcanes de l'Europe, son entrée en application ne sera que très progressive. Voté définitivement le 21 mai 2024, sa publication au Journal officiel de l'Union européenne n'interviendra que le 12 juillet. "C'est un document de 460 pages d'une lecture ardue, je conseille d'en lire les 'considérants' qui permettent d'en saisir l'esprit ", a expliqué Ysens de France, chargée de mission IA à la gendarmerie nationale. L'Europe a également ouvert un site "artificialintelligenceact.eu/aia-document/french" très bien fait pour explorer l'IA Act et vérifier sa conformité. Son principe est de réguler les systèmes d'IA en fonction du niveau de risque qu'ils font peser sur les consommateurs et le marché, le texte visant davantage les fournisseurs que les utilisateurs. Et si les interdictions de la notation sociale ou de la détection d'attributs raciaux ou religieux ont fait la une des journaux, le texte vise surtout à faciliter l'entrée de l'IA dans les objets et applications du quotidien.
Une brique du cadre européen sur le numérique
Car, poursuit Ysens de France, "si c'est le ministère de l'Économie qui a piloté les négociations à Bruxelles et non le ministère de l'Intérieur, ce n'est pas un hasard : l'approche de l'IA Act repose sur la réglementation de produits et des acteurs du marché". Dit autrement, à l'origine, Bruxelles s'est préoccupée davantage du volet économique de l'IA, et c'est ensuite au cours des débats parlementaires que les questions d'interdiction et de "risques systémiques" ont émergé. Par ailleurs, l'apparente myopie de la Commission s'explique aussi par le partage des rôles entre la Commission et le Conseil de l'Europe. Parallèlement à l'IA Act, le Conseil de l'Europe (46 membres) a en effet planché sur un traité international sur l'IA, adopté en mai dernier, centré sur la préservation de l'état de droit, de la démocratie et des droits des citoyens.
"Le traité établit des règles visant à garantir le respect des droits fondamentaux à toutes les étapes du cycle de vie des systèmes d'IA (conception, collecte de données...). Il promeut et encourage l'innovation pour minimiser ces risques et garantir que les développements technologiques dans le domaine de l'intelligence artificielle se fassent de manière responsable et éthique", explique Vie publique dans son décryptage du texte. Ce traité, à portée contraignante, va lui aussi devoir être intégré au droit national. Autre élément à avoir en tête, l'IA Act s'insère dans un vaste corpus de textes européens - Digital Governance Act, Data Act, Data Market Act, Digital Service Act ou encore le Cyber Resilience Act et la directive NIS2 sur les obligations cyber des organisations... – visant à réguler le numérique globalement, de la donnée aux infrastructures en passant par les services et la cybersécurité.
Lever les imprécisions, adapter les législations
Dans la mise en œuvre de l'IA Act, il y a d'abord un étage européen. Après sa publication, l'Europe va devoir clarifier certaines dispositions. L'IA Act instaure notamment des interdictions avec des exceptions sujettes à interprétation. Le texte interdit par exemple la détection des émotions sur le lieu de travail ou dans les établissements d'enseignement sauf pour des raisons "médicales ou de sécurité", deux exceptions qui demandent à être précisées. L'usage de l'identification biométrique à distance en temps réel dans les espaces publics par les forces de sécurité supporte également trois exceptions à clarifier :
- la recherche de personnes disparues ou de victimes d'enlèvement ;
- la prévention d'une menace grave et imminente telle qu'un attentat terroriste ;
- l'identification des suspects d'un crime grave.
Elle ne peut être mobilisée que "lorsque la non-utilisation de l'outil causerait un préjudice considérable", préjudice qui reste également à déterminer.
L'application de l'IA Act s'échelonne du reste sur six ans. D'ici janvier 2025, est prévue la définition des systèmes d'intelligence artificielle interdits. En avril 2025 sortiront les codes de bonnes pratiques que devront respecter les fournisseurs d'IA à portée générale tels que les modèles d'IA générative. Ces fournisseurs devront ensuite se mettre en conformité d'ici juillet 2025. La mise en conformité des systèmes d'IA dits à haut risque s'étendra pour sa part entre juillet 2026 et juillet 2030.
L'IA Act a aussi des incidences nationales telles que la désignation d'un référent IA national, mission pour laquelle la Cnil a candidaté. Les lois sur la protection des données et la régulation du numérique devront sans doute aussi être adaptées. La référente de la gendarmerie nationale a évoqué la mise en place d'une "task force" interministérielle pour planifier ces ajustements. On soulignera enfin que le résultat des législatives, où le sujet sécurité est prégnant, influera certainement sur les arbitrages à venir.
Le RGPD comme modèle ?
À la lecture de cet inventaire à la Prévert, les collectivités peuvent être tentées de se dire qu'il est urgent d'attendre pour intégrer l'IA dans leurs politiques publiques. "Dans les faits, d'un point de vue opérationnel, ce cadre ne devrait pas modifier des pratiques déjà largement diffusées avec le RGPD. Il est basé sur un principe général de conformité", explique l'avocate Oriana Labruyère du cabinet La Robe numérique. Cartographie des risques, étude d'impact, finalité claire de l'IA mobilisée, documentation des systèmes, information des usagers, transparence des algorithmes, réalisation régulière d'audits… on retrouve dans l'IA Act une méthodologie familière à la plupart des organisations. Autre point de vigilance : les contrats avec les prestataires pour lesquels il faudra vérifier les clauses de propriété des données, de réversibilité et d'interopérabilité, sujets qui sont loin d'être propres à l'IA. Les collectivités peuvent aussi s'appuyer sur le cadre fixé par la loi sur les JO pour expérimenter la vidéosurveillance augmentée et s'approprier ainsi l'IA.
Audrey Maurel, avocate au cabinet Inlo, insiste d'ailleurs sur l'urgence à "acculturer les collectivités à l'IA", pour les aider à comprendre les enjeux et intégrer les dernières évolutions d'une réglementation qui s'apparente plutôt à un complément au RGPD. Une réglementation qui, comme l'ont reconnu tous les intervenants, aide à "sortir du flou" même si elle n'est pas encore totalement formalisée.