Maledh Marrakchi - Réglementation de l’IA: Où en sommes-nous par rapport à l’arsenal de l’Europe?

La croissance de l'utilisation de l'IA en 2023 a suivi celle de fin 2022, au cours de laquelle ChatGPT d'OpenAI a été largement utilisé par le public. L’accélération des usages de l’IA et particulièrement l’IA générative et les assistants intelligents ouvre la voie à un marché mondial de l’IA qui devrait atteindre 300 milliards de dollars à fin 2024. Avec l’augmentation spectaculaire du nombre d’individus interagissant avec l’IA, les gouvernements des grands marchés ont poussé à réglementer et à conseiller l’utilisation des systèmes d’IA à un rythme tout aussi frénétique.

Sur le plan réglementaire, la fin de 2022 et 2023 a ouvert la voie à la mise en place d’un cadre réglementaire renforcé, notamment la loi européenne sur l’IA (IA Act), la publication de la Déclaration des droits de l'IA des États-Unis (en octobre), le document d'orientation sur la réglementation de l'IA du Royaume-Uni (en juillet) et l'application des dispositions chinoises de gestion des recommandations algorithmiques (en mars).

En 2024, l’UE est devenue le premier grand gouvernement à établir une réglementation horizontale pour toutes les utilisations de l’IA. Leur approche suivant les principes de gestion des risques en vue de fournir des règles pour une adoption accrue de l’IA et le développement de systèmes à l’avenir.

La loi européenne sur l’IA⁽¹⁾  a été proposée pour la première fois par la Commission européenne en avril 2021. En mai 2024, le Conseil de l’Europe a donné son feu vert pour l’adoption définitive de cette loi qui devient de fait une norme mondiale. Il s'agit de la première loi dans le monde entier qui réglemente le développement et l’utilisation de l’IA de manière globale et vise à devenir un «RGPD pour l’IA».

À l’instar du RGPD pour la protection des données, la loi européenne sur l’IA détaille des sanctions importantes en cas de non-conformité, une portée extraterritoriale et un large ensemble d’exigences obligatoires pour les organisations qui développent et déploient l’IA.

Toute entreprise opérante ou vendant dans l’Union européenne doit être consciente des vastes implications de la loi européenne sur l’IA et prendre des mesures pour être prête à appliquer ses dispositions.

Le règlement utilise une approche basée sur les risques, où les systèmes sont classés comme présentant un risque faible ou minimal, un risque limité, un risque élevé ou un risque inacceptable. Les systèmes à faible risque comprennent les filtres anti-spam ou les jeux vidéo basés sur l'IA et constituent la plupart des systèmes actuellement utilisés sur le marché. La loi a introduit aussi un ensemble distinct d’obligations pour l’IA à usage général (General Purpose AI) définie comme une IA basée sur un modèle capable d'exécuter avec compétence un large éventail de tâches distinctes, à l’image des LLM (ChatGpt, Gemini, Llama, …). Elle classifie là encore les GPAI en fonction de leur risque systémique.

Les systèmes à haut risque sont définis comme ceux qui ont un impact significatif sur la santé, la sécurité et les droits fondamentaux des personnes et sont soumis à des exigences spécifiques. Les systèmes à haut risque comprennent ceux utilisés dans la biométrie, l’infrastructure critique, l’éducation et la formation professionnelle, l’emploi-gestion des travailleurs et l’accès au travail indépendant, l’accès et la jouissance des services privés essentiels et des services et prestations publics.

Les systèmes d’IA interdits, également appelés «systèmes d’IA présentant un risque inacceptable», comprennent ceux utilisés dans: la catégorisation biométrique utilisant des caractéristiques sensibles (par exemple politiques, croyances religieuses, philosophiques, orientation sexuelle, race), la récupération non ciblée d'images faciales provenant d'Internet ou de séquences de vidéosurveillance, la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, la notation sociale basée sur le comportement social ou les caractéristiques personnelles, la manipulation du comportement humain pour contourner leur libre arbitre, l’exploitation des vulnérabilités des personnes en raison de leur âge, de leur handicap, de leurs conditions sociales ou la situation économique.

La loi sur l’IA entrera en vigueur 20 jours après sa publication au journal officiel de l’UE. Les dispositions de la loi prévoient un délai de grâce de deux ans après son adoption officielle et deviendra applicable en 2026, avec des dates d’application plus précoces pour certaines dispositions spécifiques sur les interdictions et les GPAI.

Pendant la période de grâce, le secteur sera encouragé, dans le cadre du Pacte sur l'IA de la Commission européenne, à s'engager rapidement et volontairement à respecter les règles et principes de la loi sur l'IA et à mettre en œuvre ses exigences avant qu'elles ne deviennent juridiquement contraignantes, surtout que la loi en question prévoit, en cas de non-respect de ses dispositions, des sanctions importantes. Elles vont de 7.5 à 35 millions d'euros ou de 1 à 7% du chiffre d'affaires annuel global, en fonction de la gravité de l'infraction.

Le reste de l’année 2024 devrait être dominé par les négociations du Parlement européen et du Conseil de l’UE sur les détails et les procédures autour des questions de mise en œuvre, de normalisation et du Pacte sur l’IA.

Cela dit, la réglementation européenne de l’IA ne comporte pas seulement la loi sur l’IA. Les technologies d’IA sont impliquées à la fois dans la loi sur les marchés numériques (DMA) et dans la loi sur les services numériques (DSA), qui exigeront une transparence algorithmique sous la forme d’audits indépendants et tiers.

La loi sur les marchés numériques (Digital Market Act « DMA»⁽²⁾) établit une série d'exigences qui s'appliquent aux plus grands fournisseurs de technologie de l'UE. Considéré comme une mesure législative historique, le DMA vise à réduire les goulots d'étranglement que les grands fournisseurs de technologie (appelés «gardiens») créent en monopolisant l’économie numérique.

Le DMA définit les contrôleurs d'accès comme des fournisseurs de services de plateforme de base, notamment les services d’intermédiation en ligne, les moteurs de recherche en ligne, les services de réseaux sociaux en ligne, les services de plateformes de partage de vidéos, les services de communication interpersonnelle indépendants du numéro, les systèmes d’exploitation, les navigateurs web, les assistants virtuels, les services de Cloud computing, et les services de publicité en ligne.

Les contrôleurs d’accès qui répondent aux critères qualitatifs suivants entrent dans le champ d’application de la législation:

• Ils ont un impact significatif sur le marché intérieur,

• Ils fournissent un service qui constitue une passerelle importante pour les utilisateurs professionnels envers les consommateurs finaux,

• Ils sont dans une position bien établie et durable ou sont susceptibles de se trouver dans une telle position dans un avenir proche.

Tous les critères qualitatifs sont associés à un seuil quantitatif pour plus de clarté dans la catégorisation. Ces mesures quantitatives sont mentionnées à l'article 3, paragraphe 2, du DMA. Cela dit, les entreprises peuvent argumenter et présenter des preuves selon lesquelles elles ne devraient pas être désignées comme contrôleurs d’accès même si elles satisfont aux critères.

À l’inverse, la Commission européenne peut également lancer sa propre enquête de marché en utilisant une évaluation qualitative pour considérer une entreprise comme un contrôleur d’accès même si les critères ou seuils définis ne sont pas remplis, étendant ainsi encore plus le champ d’application de la législation.

La Commission européenne a désigné six contrôleurs d'accès pour 22 services de plateforme de base pour la première fois le 6 septembre 2023: Alphabet, Amazon, Apple, ByteDance (TikTok), Meta et Microsoft. Le DMA impose un ensemble d’obligations positives et négatives aux contrôleurs d’accès, des choses à faire ou à ne pas faire.

Le DMA fait référence au RGPD pour définir et comprendre les méthodes de profilage en question. Le profilage est défini à l’article 4 du RGPD comme étant tout traitement utilisant les données personnelles d’un individu en vue d’analyser et de prédire son comportement, comme déterminer ses performances au travail, sa situation financière, sa santé, ses préférences, ses habitudes de vie, etc.

L'adoption de cette définition par le DMA illustre l'engagement de la Commission européenne en faveur de la protection des personnes physiques à l'égard du traitement de leurs données. La mise en œuvre du DMA s’est déroulée progressivement tout au long de 2023. Les obligations de contrôle et les interdictions sont véritablement applicables à partir de 2024.

Dès la mise en œuvre de ces obligations et interdictions, les contrôleurs d’accès sont tenus responsables dans les 6 mois suivant leur désignation. Les contrôleurs d’accès actuels seront également tenus de rendre compte des mesures mises en œuvre et d’une description auditée de toute technique de profilage utilisée pour la première fois en 2024.

Parallèlement à la loi européenne sur l'IA et au DMA, la loi sur les services numériques (Digital Service Act «DSA»⁽³⁾ ) est un texte législatif long et horizontal (intersectoriel) avec des règles composites et des obligations juridiques pour les entreprises technologiques.

L’un des objectifs centraux de la réglementation est de mettre fin à l’autorégulation des entreprises technologiques et de les obliger à être plus transparentes, notamment en matière de responsabilité algorithmique et de modération des contenus. La réglementation s'applique principalement aux médias sociaux, aux communautés orientées utilisateurs et aux services en ligne dont le modèle commercial est axé sur la publicité.

La loi sur les services numériques s'applique aux services d'hébergement, aux places de marché et aux plateformes en ligne qui proposent des services dans l'UE, quel que soit leur lieu d'établissement. Par conséquent, l’effet de la loi et les attentes en matière de conformité se feront sentir à l’échelle mondiale.

La réglementation DSA se concentre principalement sur les très grandes plateformes en ligne (Very Large Online Platform «VLOP»⁽⁴⁾) et les très grands moteurs de recherche en ligne (Very Large Online Search Engine «VLOSE»). Il s'agit de services en ligne qui comptent en moyenne plus de 45 millions de bénéficiaires actifs mensuels dans l'UE.

Une approche de gouvernance des risques sous-tend la loi sur les services numériques. Le DSA prévoit des responsabilités réglementées pour résoudre les problèmes du système, notamment, mais sans s'y limiter, la désinformation, les canulars et manipulations pendant les pandémies, les dommages causés aux groupes vulnérables, autres préjudices sociétaux émergents.

Ces problèmes sont classés dans la catégorie des préjudices en ligne ou des contenus préjudiciables dans la législation et sont régis par un cadre comprenant une évaluation des risques, une atténuation des risques et un audit indépendant.

La loi sur les services numériques est entrée en vigueur le 16 novembre 2022 et les fournisseurs de services numériques disposaient de trois mois pour publier leur nombre d'utilisateurs actifs jusqu'au 17 février 2023. Certaines dispositions du DSA sont devenues applicables le jour même de son entrée en vigueur, tandis que le reste est entré en vigueur à partir du 17 février 2024.

L’impact collectif de la loi européenne sur l’IA, du DMA et du DSA sera probablement significatif à l’échelle mondiale pour les utilisateurs et les fournisseurs d’IA. Les trois textes législatifs robustes fonctionneront en tandem pour garantir que les entreprises n’utilisent pas l’IA à mauvais escient ou n’exploitent pas une technologie innovante de manière incontrôlée pour (sciemment ou inconsciemment) promouvoir des préjudices. De plus, les projets de loi viseront à normaliser une approche de gestion des risques en matière de gouvernance de l’IA.Les objectifs et les mécanismes d'application des trois projets de loi diffèrent. Mais un thème central entre les trois règlements est la transparence. Chaque texte législatif établit un ensemble de critères permettant de déterminer si la législation s'applique à une organisation et une exigence correspondante pour mener des audits indépendants, des évaluations de conformité et/ou des audits par des tiers. De plus, la conformité est renforcée avec le risque d’amendes sans précédent (et importantes).

Dans l’ensemble, l’UE se positionne comme leader mondial en matière de réglementation de l’IA et du digital. Il s’agit notamment de trouver le juste équilibre entre la réglementation de ces activités rendue nécessaire par l’émergence de risques sérieux pour la population et la société, tout en laissant une place à l’innovation dans un domaine en pleine effervescence.

La question pour un pays comme la Tunisie, dont le marché européen est le principal partenaire, est de se positionner par rapport à cet arsenal juridique pour en saisir les opportunités pour l’écosystème national en IA et le digital, et construire aussi sa propre assise juridique pour un bon usage de ces technologies..

Maledh Marrakchi

(1) https://artificialintelligenceact.eu/the-act/
(2) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R1925
(3) https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32022R2065
(4) https://digital-strategy.ec.europa.eu/en/policies/dsa-vlops