Règlement IA : les points de débat au sein de l’UE

règlement IA Parlement Conseil

Le Parlement européen vient de trouver un accord politique sur le règlement IA. Le Conseil avait quant à lui arrêté sa position fin 2022. Sur quoi se portent leurs modifications respectives par rapport au texte que propose la Commission ?

« IA : les grands axes du futur règlement européen ». Sous cet angle « liste à la Prévert », nous avions brièvement analysé, voilà deux ans, le texte proposé par la Commission européenne. Celui sur lequel allaient travailler le Conseil (États membres) et le Parlement.

Le premier avait arrêté sa position de principe début décembre 2022. Le second n’en est pas encore là, mais il a franchi une étape importante : l’accord politique, trouvé ce 27 avril. Cela signifie qu’il n’y aura plus d’amendements majeurs. Prochaines étapes : un vote en commission le 11 mai, puis l’adoption en séance plénière mi-juin. Le trilogue pourra alors s’engager, avec l’objectif d’une entrée en vigueur d’ici à la fin de l’année.

Règlement IA : ce que propose le Conseil…

Les États membres se sont entendus pour étendre la portée de plusieurs dispositions interdisant l’usage de systèmes d’IA. Il en est ainsi de celle qui concerne le scoring social (extension aux entreprises privées). Idem pour celle relative à l’exploitation des vulnérabilités de groupes de personnes spécifiques. Le Conseil a souhaité qu’elle couvre aussi les individus vulnérables du fait de leur situation économique ou sociale.

Divers changements ont également été appliqués sur la question des systèmes d’IA « à haut risque ». Entre autres, pour clarifier le partage des responsabilités tout au long de leur chaîne de développement et de distribution. Et pour clarifier l’articulation de ces responsabilités avec celles que posent d’autres textes de lois, sectoriels notamment.

Les IA génériques ont aussi fait l’objet de précisions. Il s’agit, en particulier, de tenir compte des situations dans lesquelles on peut les utiliser pour de multiples finalités différentes. Et aussi de celles dans lesquelles on les intègre au sein de systèmes à haut risque.

Sur le règlement en lui-même (AI Act), le Conseil a clarifié sa non-application aux systèmes d’IA utilisés uniquement à des fins de R&D. Il a aussi exclu l’usage personnel – sauf pour les obligations de transparence.

Autre évolution : la liste des IA à haut risque, spécifiée en annexe du règlement. Les États membres ont choisi d’en exclure les systèmes d’IA « purement accessoires » à des décisions ou à des actions – tout en laissant le soin à la Commission européenne de définir le terme ultérieurement. Ils en ont aussi supprimé les systèmes destinés à la détection des deepfakes par les forces de l’ordre ainsi qu’à l’authentification de documents de voyage.

… et ce que propose le Parlement

Le buzz ChatGPT venait tout juste de démarrer lorsque le Conseil a arrêté sa position. Le Parlement a pu se pencher davantage sur les modèles de fondation (IA génératives). Il en ressort des obligations plus strictes que pour les IA génériques. Autant en matière de gestion des risques que d’audit ou de gouvernance des données d’entraînement.

Les députés européens ont eux aussi apporté des modifications au périmètre du « haut risque ». Leur proposition exclut de cette catégorie les modèles qui ne posent pas de risque significatif pour la santé, la sûreté ou les droits fondamentaux. « Significatif » s’entendant à la lumière de divers paramètres dont l’intensité, la probabilité d’occurrence, la durée des effets et la capacité à affecter des groupes d’individus en particulier.

À la demande des Verts, les IA gérant des infrastructures critiques tomberont dans la catégorie « haut risque » si elles impliquent un risque environnemental sévère. Le centre-gauche a quant à lui obtenu de classer à haut risque tous les systèmes de recommandation des « très grandes plates-formes en ligne » telles que définies dans le règlement sur les services numériques (Digital Services Act).

La Parti populaire européen (centre-droite) est, de son côté, parvenu à ne pas faire entériner l’interdiction des systèmes d’IA pour le suivi générique des communications interpersonnelles. En contrepartie, l’interdiction portant sur les logiciels d’identification biométrique a été étendue. La Commission l’avait circonscrite à l’usage en temps réel. Le Parlement propose de limiter également l’usage ex post, en ne l’autorisant que dans le cadre de « crimes sérieux », et avec approbation de la justice.

À consulter pour davantage de contexte :

Règlement IA : les GAFAM haussent le ton
IA : avec le règlement européen, quel sort pour l’open source ?
Règlement IA : l’UE avance sur le sujet de la responsabilité

Photo d’illustration © European Union 2022 – Source : EP