« Il nous faut une législation agile pour s’adapter au mieux à cette technologie – l’IA – que l’on ne capte pas encore parfaitement »

Plus concrètement, ce cadre réglementaire poursuit plusieurs objectifs. D’abord, veiller à ce que les systèmes d’IA mis sur le marché soient sûrs et respectent la législation en vigueur en matière de droits fondamentaux, de valeurs, et d’environnement. 

Aussi, le règlement européen met en avant l’adoption d’une IA de confiance, axée sur l’humain. Pour les entreprises, ce cadre juridique doit faciliter les investissements et l’innovation, et améliorer le fonctionnement du marché intérieur pour des applications d’IA légales et sûres. En interdisant celles qui ne le sont pas. Pour atteindre ces objectifs, dont la liste n’est ici pas exhaustive, le cadre réglementaire s’appuie sur des règles harmonisées, des exigences spécifiques, des mesures et des interdictions.

Céline Castets-Renard est juriste, titulaire de la Chaire de Recherche du Canada Droit international et comparé de l’IA à l’Université d’Ottawa, titulaire de la chaire de recherche partenariale avec Airbus à l’Université de Toulouse et également membre d’ANITI (Artificial and Natural Intelligence Toulouse Institute), entre autres. Nommée il y a quelques semaines à la vice-présidence du groupe de travail sur la transparence et les règles relatives au droit d’auteur, Céline Castets-Renard participe en cela à l’élaboration du premier code de bonnes pratiques des modèles d’IA à finalité générale de la Commission Européenne, initiative découlant du RIA.

Elle a expliqué pour Techniques de l’Ingénieur en quoi un cadre réglementaire européen agile est nécessaire pour encadrer les développements actuels et futurs des produits à base d’intelligence artificielle.

Techniques de l’Ingénieur : Est-il encore temps de se poser la question de la nécessité de l’IA pour les humains ?

Céline Castets-Renard : Aujourd’hui la question n’est plus de se demander si l’IA est nécessaire mais plutôt de savoir ce que l’on peut en tirer, en essayant d’en améliorer les externalités positives et d’augmenter les situations qui nous permettent d’en bénéficier, en limitant les risques et les dangers qu’elle peut entraîner. 

La législation européenne cherche justement à encourager les innovations qui profitent à la société, aux humains et à l’environnement. Il faut donc limiter les risques, en établissant une législation graduée, quitte à interdire certains usages de l’IA quand on considère que les risques sont inacceptables dans notre société. Ce n’est pas parce que l’on fait des progrès sur les IA que l’on doit les mettre sur le marché et les utiliser à tout va. Il faut que l’on prenne des précautions, que l’on vérifie les types d’utilisations, la façon dont les IA sont créées, et les risques qu’elles peuvent générer.

Ces précautions dont vous parlez existaient-elles sous une autre forme auparavant ?

Pas vraiment. ChatGPT a été mis sur le marché en novembre 2022 sans qu’il n’y ait aucun contrôle de qui que ce soit, parce qu’à cette époque il n’existait aucune législation qui aurait pu contraindre OpenAI sur quoi que ce soit, hormis les législations applicables aux données (législations sur les données personnelles et le droit d’auteur en particulier). C’est pour cela qu’il est important de mettre en place une législation pour entourer la mise sur le marché des modèles d’intelligence artificielle et créer les conditions, les exigences et les obligations à respecter pour mettre un produit sur le marché.

Bien sûr, cela ne doit pas empêcher les recherches et l’avancement dans la connaissance et dans l’utilisation potentielle de l’IA, mais la décision de mettre tel ou tel produit sur le marché doit être contrôlée. Le droit sert à cela.

Cela se traduit par la réglementation graduée par les risques, et par des obligations avant la mise sur le marché, comme le fait de mener une évaluation des risques, et d’avoir un système de gouvernance des données par exemple, pour s’assurer qu’il n’y ait pas de biais dans les bases de données des systèmes d’IA.

Est-ce que la législation doit permettre de mieux expliquer comment fonctionnent les IA ?

L’explicabilité n’est pas une obligation légale. Sont créées des obligations en ce qui concerne la gouvernancce des données, la traçabilité, la documentation technique, le contrôle humain, les résultats en sortie (par exemple éviter les biais et la discrimination), et la capacité à expliquer comment le système a été conçu. Il faut aussi par exemple être en mesure de pouvoir expliquer les décisions qui sont prises ou suggérées par le système. 

Nous devons évaluer les IA sur leurs résultats et pas (seulement) sur leur fonctionnement, souvent opaque et évolutif. L’objectif est que les résultats soient corrects et que l’on puisse les comprendre afin d’éviter les risques de déviance ou d’inexactitude par exemple. Pour cela, il faut mettre en place des obligations tout au long du process de développement des produits à base d’IA.

De plus, aujourd’hui l’IA est en mesure d’assumer des fonctions cognitives, comme la prédiction, la recommandation, la décision et la génération de contenu. Nous travaillons aussi beaucoup sur l’IA générative, et notamment sur les modèles d’IA, qui font l’objet d’autres dispositions ajoutées tardivement au cours des négociations du RIA.

Y a-t-il un risque que la réglementation mise en place au niveau européen constitue un frein à l’innovation en intelligence artificielle ?

A chaque fois qu’une nouvelle technologie émerge et que sont mises en place des bornes pour encadrer ses usages, ces dernières sont aussitôt assimilées à des freins à l’innovation. Je ne suis pas du tout d’accord avec cet argument. Il ne faut pas opposer innovation et droit. D’abord, certaines lois, comme la propriété intellectuelle, protègent et encouragent l’innovation. Ensuite, cette réglementation sur l’IA arrive relativement tôt, et elle fournit en cela une forme de sécurité à l’innovation sur l’IA. En particulier, cela encourage la recherche et développement dans les entreprises, car ce règlement leur permet de connaître les règles du jeu à l’avance : elles savent exactement quoi faire pour répondre aux exigences légales et à partir de là, elles auront la tranquillité de pouvoir mettre sur le marché leurs produits, sans risque de retrait. Ce fonctionnement est à mon avis beaucoup plus sain et juste pour les entreprises et moins risqué pour la population.

Pour ces raisons, je reste persuadée que la sécurité juridique encourage l’innovation, et les entreprises sont en demande de ces assurances pour consolider leurs positions sur les marchés. 

Enfin, il existe dans le règlement européen sur l’IA des mesures spéciales pour protéger l’innovation : les bacs à sable réglementés. Ces dispositifs permettent aux entreprises de mener leurs essais et de développer leurs systèmes d’IA sans être parfaitement sûr de maîtriser les risques. Les bacs à sable sont fermés pour que les entreprises puissent ainsi tester leurs produits.

Il y a aussi des mesures spéciales pour les petites entreprises et les startups qui ont bénéficieront d’obligations allégées. 

Comment adapter le RIA pour accompagner les évolutions très rapides observées en intelligence artificielle ?

C’est certain, nous sommes bien conscients que l’IA est une technologie qui évolue vite, et il y a toujours le risque de ne pas bien capter l’objet que l’on veut encadrer. Sont prévues à cet effet des mesures de mise à jour, d’évolutions : nous avons besoin d’une législation agile pour s’adapter au mieux à cette technologie que l’on ne capte pas encore parfaitement et qui va encore évoluer.

La Commission Européenne va pouvoir prendre des mesures d’adaptation au texte en en modifiant les annexes. C’est dans ce but que certaines dispositions du texte ont été mises en annexes, afin de permettre une évolution plus facile et rapide par l’unique intervention de la Commission Européenne et non pas des trois législateurs (Commission, Parlement européen et Conseil de l’UE). 

Je fais partie d’un groupe de travail pour l’élaboration de codes de pratiques dont le rôle est de préciser les dispositions qui concernent les fournisseurs de modèles d’IA à usage général. Il y aura ainsi de nombreux instruments juridiques, à côté de ce règlement, qui viendront le spécifier et le renforcer, en collaboration avec les parties prenantes, car le but est bien de correspondre à la réalité, sinon les textes risquent rapidement d’être obsolètes et décalés.

Enfin, vous exercez à la fois en Europe et en Amérique du Nord. Qu’est-ce qui différencie le Canada, les Etats-Unis et l’Europe en termes de droit des IA ?

La façon de faire du droit dans ces pays est très différente. Le projet de loi canadien au niveau fédéral, le projet de loi C27, qui risque malheureusement de ne pas être adopté, s’inspire sur de nombreux points du règlement européen.

Aux Etats-Unis, il y a des initiatives fédérales, plutôt destinées à encourager les entreprises à respecter un système d’évaluation et de minimisation des risques, sans forme explicite d’interdiction. Dans le secteur public fédéral, des mesures sont prises pour protéger la sécurité nationale contre les atteintes que pourrait produire l’IA. Ce sont des approches assez spécifiques.

Au niveau des États fédérés américains, les mesures sont très ciblées et portent par exemple sur les deep fakes, sur l’utilisation de l’IA par les gouvernements étatiques, par exemple… Il ne s’agit pas d’une approche globale sur l’IA dans son ensemble comme l’est celle de l’Union Européenne. 

Propos recueillis par Pierre Thouverez