Par Stéphane Astier et Marussia Samot
Au sein du premier épisode de nos publications visant au décryptage du projet de réglementation de l’intelligence artificielle, nous répondions aux questions suivantes :
- Pourquoi vouloir encadrer l’Intelligence artificielle ?
- Qui sont les personnes concernées par l'Artificial Intelligence Act ?
- Quelles sont les nouveautés posées par le projet de Règlement IA ?
- Quelles prochaines étapes en vue du déploiement de cette réglementation au sein de l’UE ?
Poursuivre la présentation des enjeux juridiques essentiels de ce texte majeur, suppose désormais de se pencher sur les principes et droits fondamentaux à la base du projet sur l’Artificial Intelligence Act (AI Act)[1].
L’objectif du règlement est clair : développer une « IA digne de confiance », préservant la compétitivité et le fonctionnement harmonieux du marché intérieur, tout en reposant sur une technologie éthique.
Il s’agit en effet d’une part d’assurer le développement du marché et des systèmes d’IA, et d’autre part, de garantir la protection des individus et des intérêts publics au regard des IA commercialisées au sein de l’Union européenne.
Constat n° 1 : du cadre éthique aux dispositions contraignantes
L’AI Act est le premier cadre contraignant de conformité des systèmes d’IA. Il se substitue au cadre éthique, inspiré de la régulation bioéthique et de principes de philosophie morale, développé durant plusieurs années par le secteur privé, puis par les organisations internationales telles que la Commission européenne, la CEPEJ, l’OCDE, le Conseil de l’Europe ou encore l’UNESCO[2].
Ces mesures de « droit souple », couvrant aussi bien les pans techniques, juridiques, sociétaux et politiques de la commercialisation de l’IA, ont été élaborées en réponse aux inquiétudes de l’opinion publique et de la recherche, quant aux effets directs et indirects que pouvaient avoir l’IA sur les individus et la société (cf : Le Livre Blanc de la Commission européenne sur l’intelligence artificielle[3] rappelant les dangers que pouvaient présenter l’IA au regard des droits fondamentaux et des valeurs promues par l’Union européenne).
Leurs garanties non contraignantes n’ont pourtant pas semblé fournir de réponse suffisamment convaincante auprès des Etats membres de l’Union.
Le projet de Règlement apporte de son côté des mesures plus techniques, couvrant la sécurité des systèmes d’IA, assorties de sanctions financières dissuasives. Ses rédacteurs ont tout de même cherché à concilier à la fois innovation, sécurité et protection des droits fondamentaux. L’éthique n’a donc pas été complètement mise de côté par le texte, certaines dispositions de droit souple se trouvant à la base de cette régulation.
Constat n° 2 : des principes éthiques existants réaffirmés par le Règlement
La réglementation a été privilégiée, au détriment de normes éthiques considérées plus flexibles et moins contraignantes. Il nous faut pourtant considérer les conséquences sociales de l’intrusion de technologies usant de l’IA dans notre quotidien.
Les textes de droit souple cherchaient déjà à promouvoir une « IA digne de confiance » centrée sur l’humain et respectueuse de valeurs d’équité. Sans confiance dans son système, difficile de lui permettre de « remplacer » l’humain dans certaines tâches, même les plus minimes. Une conformité aussi bien juridique qu’éthique doit alors être observée dès la conception même du produit.
L’AI Act conserve une approche fondée sur les droits fondamentaux des personnes, norme éthique auparavant posée par les recommandations du Conseil sur l’intelligence artificielle et de l’OCDE. La Règlementation vise à encadrer un marché de l’IA à fort rentabilité tout en préservant les droits de l’Homme.
Le Règlement exige également des garanties en matière de responsabilité des opérateurs économiques, ainsi que de transparence et d’explicabilité des systèmes d’IA. Ces deux dernières mesures prônées par l’OCDE, la Commission européenne et la CEPEJ[4] visent à lutter contre l’opacité algorithmique des systèmes d’IA. La Commission rappelle, dans son Livre blanc sur l’IA, que la logique sous-jacente des systèmes algorithmiques doit être rendus compréhensible, à l’aide de termes intelligibles, à l’égard des personnes concernées. La complexité de certaines formes d’IA « inexplicables » amène à qualifier leurs algorithmes de « boîtes noires »[5] et se répercute directement sur la transparence des services et produits qui les utilisent, la possibilité d’expliquer leur fonctionnement et la capacité de leurs concepteurs à rendre des comptes.
L’Union européenne entend permettre à l’utilisateur de comprendre le fonctionnement des systèmes d’IA et de pouvoir influencer leurs résultats.
L’AI Act complètera le Digital Services Act qui ambitionne déjà d’éclairer le mécanisme des « boîtes noires » afin d’enrayer l’opacité des systèmes d’IA.
L’AI Act exige à ce sujet que tout système d’IA fasse l’objet, durant son utilisation, d’une surveillance et d’un contrôle humain approprié. L’utilisateur doit demeurer un acteur éclairé et maître de ses choix tout au long du processus.
L’opacité algorithmes peut également poser difficulté en matière de sécurité. Or selon l’OCDE, les opérateurs économiques doivent également garantir la robustesse, la sûreté et la sécurité des systèmes d’IA. Le Règlement permet aux systèmes d’IA d’être soumis à un régime de sécurité particulier selon leur niveau de risque pour les utilisateurs. Les systèmes d’IA à haut risque doivent notamment être construits de manière à assurer ce haut niveau de robustesse et de sécurité. Bien que les applications d’IA soient qualifiées de systèmes « autonomes », le non-respect de ces exigences entraînera la responsabilité de ses concepteurs ainsi que des opérateurs économiques les ayant placés sur le marché.
Rappel : le Règlement classe les systèmes d’IA selon quatre niveaux de risques : · Les systèmes d’IA à risque inacceptable · Les systèmes d’IA à haut risque · Les systèmes d’IA à risque faible · Les systèmes d’IA à risque minimum Nous nous y pencherons plus en détails lors de notre prochain épisode ! |
N’oublions pas non plus l’impératif de non-discrimination posé par les textes. La Charte éthique d’utilisation de l’IA de la CEPEJ cherche à éviter que l’usage d’outils algorithmiques soit créateur de biais discriminatoires, comme l’illustre l’algorithme de recrutement d’Amazon qui, entre 2014 et 2017, évaluait les profils de ses candidats de manière automatisée et privilégiait systématiquement des profils masculins. L’algorithme avait été entraîné au préalable par des critères entrés par ses concepteurs afin de sélectionner les candidats qui avaient le plus de chance de réussir dans l’entreprise sur le long terme. En l’occurrence une majorité d’hommes. Ces critères avaient donc participé à modéliser le processeur automatique de recrutement. Ils étaient pourtant constitués par des biais discriminants qui ont été reproduits à l’identique.
Le Règlement précise donc que les IA à haut risque, dont font partie ces algorithmes de recrutement, doivent engranger des données de « qualité élevée » afin de réduire au minimum les risques et les résultats ayant un effet discriminatoire sur leurs utilisateurs. Ces IA sont également soumises à des audits et des tests, et font l’objet d’une traçabilité.
Enfin, selon la Commission européenne, une IA « éthique » remplis sept (7) exigences énoncées dans ses Lignes directrices en matière d’éthique pour une IA digne de confiance. Ces dernières sont reprises dans la réglementation des IA à haut risque :
- Action humaine et contrôle humain
- Robustesse technique et sécurité
- Respect de la vie privée et gouvernance des données
- Transparence
- Diversité, non-discrimination et équité
- Bien-être social et environnemental
- Responsabilité
Il également à noter que les différents textes d’encadrement éthiques ont toujours porté l’idée d’une certification des systèmes d’IA présentant le plus de risques, préalablement à leur mise sur le marché, que ce soit dans le secteur public ou privé, ce qui est désormais prévu par le projet de Règlement.
Constat n°3 : une régulation harmonisée au détriment d’une limitation des principes éthiques
Les principes éthiques encadrant l’IA divergent selon les textes. Certains n’ont donc pas été réintégrés dans le Règlement par la Commission (tels que la non-malfaisance, la confiance et la durabilité des systèmes d’IA…), aux dépens des aspects techniques et économiques de la commercialisation de l’IA.
L’AI Act va par exemple à l’encontre de la recommandation sur les impacts des systèmes algorithmiques[6] sur les droits de l’Homme du Conseil de l’Europe, instaurant un principe de précaution, visant à différer ou prohiber la mise sur le marché ou l’emploi de systèmes d’IA risquant de créer des dommages graves et irréversibles sur ses utilisateurs.
Les technologies de reconnaissance faciale, de justice prédictive ou encore de détection des émotions à des fins d’enquête judiciaire sont ainsi légitimées, sous certaines conditions, bien qu’elles posent un risque d’atteinte aux droits fondamentaux des personnes.
Les IA inacceptables et à haut risque font néanmoins l’objet de limitations, à des fins de sécurité, quant aux droits et libertés reconnus par l’Union européenne. La prohibition des systèmes de crédit social, évaluant ou classifiant le bon comportement et la « fiabilité » de personnes physiques dans une situation donnée, peut par exemple contrevenir à la liberté d’entreprendre aux dépens de la protection de ces mêmes personnes physiques.
Les autorités de contrôle et acteurs de l’IA doivent désormais veiller à documenter le système d’IA tout au long de son cycle de vie. Ils assurent un contrôle de proportionnalité de la fonctionnalité du système au regard des risques encourus.
Recommandation : élaborez des codes de conduite - Documentez votre IA
Certains codes de conduite ont par exemple vocation d’aider les professionnels du secteur sanitaire, médical et médico-social à encadrer le traitement des données de santé pour répondre aux obligations posées par le RGPD. D’autres vont intégrer des engagements environnementaux ou promouvoir des pratiques sociales telles que l’intégration des utilisateurs en situation de handicap.
Ces codes devront ensuite être soumis à l’approbation d’une autorité de contrôle compétente.
En toutes hypothèses, il sera nécessaire de procéder à l’élaboration d’une documentation associée à l’IA dans une logique d’accountability et d’éthique by design. Cette documentation à prévoir dès le moment de la conception devra également s’attacher à justifier des contrôles mis en œuvre tout au long de la vie de l’IA.
* * * * *
Fort d’une expérience de plus de 20 ans dans le domaine du droit des nouvelles technologies et de la communication, le cabinet Haas Avocats dispose de départements entièrement dédiés à l’encadrement des dispositifs dit d’intelligence artificielle.
Le Cabinet est naturellement à votre entière écoute pour toutes problématiques que vous pourriez rencontrer. Pour plus d’informations ou toute demande de rendez-vous, contactez-nous ici.
[1] Proposal for a Regulation laying down harmonised rules on artificial Intelligence (Artificial Intelligence Act) | Shaping Europe’s digital future (europa.eu)
[2] *Microsoft Word - ANALYSE_IA.docx (lestempselectriques.net)
[3] Livre blanc de la Commission européenne : « intelligence artificielle – Une approche européenne de l’excellence et de la confiance »
[4] CEPEJ : Commission européenne pour l’efficacité de la justice
[5] Les « boîtes noires » ou « black boxes » sont des systèmes opaques quant à leur fonctionnement interne.
[6] Le terme de « système algorithmique » est ici préféré au terme d’« IA »