Le 8 décembre 2023, le futur texte européen appelé à réguler l’usage de l’intelligence artificielle (IA) a fait l’objet d’un accord politique entre le Parlement européen et le Conseil, après d’âpres dernières négociations portant entre autres sur la réglementation des modèles d’IA génératives. Le texte, fruit de l’accord ainsi trouvé, n’est pas encore disponible mais a été commenté par les colégislateurs et la Commission. Une fois formellement approuvé par le Parlement et le Conseil, puis publié au Journal officiel, le règlement entrera en application graduellement sur une période de deux ans.
Le futur règlement a vocation à s’appliquer aussi bien aux fournisseurs de systèmes d’IA, qu’à ceux qui les mettent en œuvre ou qui les importent, dès lors que ces systèmes sont mis sur le marché dans l’Union européenne (UE) ou que leur utilisation a une incidence sur des personnes situées dans l’UE. En revanche, les obligations ne s’appliqueront pas aux activités de recherche, développement et prototypage en amont de toute commercialisation, outre certaines autres exemptions prévues.
La réglementation classe les systèmes d’IA par risques : plus le risque est élevé, plus la réglementation est stricte. Ainsi, seront strictement prohibés les usages créant un risque dit inacceptable, tels que des systèmes de notation sociale, manipulation comportementale ou catégorisation biométrique sur la base de données sensibles. À l’inverse, les systèmes présentant un risque minimal ne seront soumis à aucune obligation légale supplémentaire.
Les systèmes définis comme à risque élevé en fonction de leur finalité et de leurs modalités d’utilisation seront quant à eux soumis à une batterie d’obligations : leurs fournisseurs seront notamment tenus d’effectuer et de documenter a priori une évaluation de conformité à un certain nombre de principes (dont la transparence pour les utilisateurs) et de mettre en œuvre des systèmes de gestion de la qualité et des risques, ce qui n’est pas sans rappeler les obligations prévues par le RGPD à la charge des responsables de traitement.
Certains systèmes d’IA seront réglementés quel que soit le niveau de risque afférent. Ainsi, les concepteurs de modèles d’IA à usage général, dont les modèles de langage de grande taille (Large Language Models –LLM), devront communiquer une documentation technique à leurs partenaires à des fins de transparence et se doter de protocoles destinés à respecter le droit d’auteur lors de la phase d’apprentissage. Des dérogations importantes ont été consenties aux modèles open-source, sauf semble-t-il s’ils présentent des risques systémiques. En effet, pour les modèles d’IA à usage général comportant des risques systémiques, les fournisseurs devront en outre évaluer et atténuer les risques, signaler les incidents graves, procéder à des essais, garantir la cybersécurité ou encore fournir des informations sur la consommation d’énergie des modèles, le tout dans le cadre de codes de conduite. Les risques systémiques sont appréciés à l’aune de seuils, actuellement fixés à une puissance de calcul totale supérieure à 10^25 FLOPS, mais qui auront vocation à être régulièrement mis à jour.
La réglementation s’appuiera sur une gouvernance forte, garante de son application effective. Ainsi, au niveau national, chaque État membre désignera une autorité régulatrice auprès de laquelle les individus pourront adresser des plaintes. Cette autorité sera également appelée à siéger au futur Comité européen de l’intelligence artificielle. Cousin germain du Comité européen de la protection des données issu du RGPD, ce Comité veillera tout particulièrement à une application harmonisée du règlement. Enfin, la Commission a annoncé créer sans tarder un Bureau européen de l’IA ayant pour mission de développer l’expertise et les capacités de l’UE en la matière et, dans ce cadre, de superviser les règles que devront respecter les modèles d’IA à usage général notamment via les codes de conduite.
En cas d’infraction, les États membres devront prévoir des sanctions effectives, proportionnées et dissuasives. S’agissant des amendes administratives, le règlement prévoit déjà trois plafonds progressifs en fonction du manquement en cause et ce, jusqu’à 7 % du chiffre d’affaires annuel mondial pour les infractions correspondant par exemple à des pratiques interdites.
En étant la première à se doter d’une législation globale sur l’IA, l’UE ne faillit pas à sa réputation de régulateur et fait le vœu que ce cadre soit gage de sécurité juridique et encourage le développement de cette technologie révolutionnaire dans le respect des principes fondamentaux de l’UE.