Intelligence artificielle : que fait l’Union européenne ?
(L’intelligence artificielle connaît des applications dans des secteurs comme l’industrie, les transports, la santé ou l’énergie)
Si la Chine et les Etats-Unis ont un temps d’avance dans le domaine de l’intelligence artificielle (IA), l’Union européenne compte bien rattraper son retard. Dans le but de mieux réguler les pratiques les plus risquées, et de favoriser l’innovation en Europe, la Commission a publié sa proposition de règlement sur l’IA en avril 2021.
Une intelligence artificielle qui bat un pilote humain lors d’une course de drones en Suisse, un programme informatique qui remporte un tournoi de mots croisés aux Etats-Unis ou encore un robot champion de poker… Depuis quelques années, les exploits de l’intelligence artificielle se multiplient. Au-delà de ces quelques exemples, l’IA prend une place de plus en plus importante dans l’économie et les sociétés. Mais ses applications diverses, balbutiantes ou bien installées dans des secteurs d’activités variés, rendent sa régulation difficile au regard des enjeux industriels et éthiques qui l’accompagnent.
Dans sa proposition de règlement d’avril 2021, la Commission européenne a choisi une définition large de l’intelligence artificielle, la désignant comme un logiciel “qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit”. Cette approche vaste fait écho aux deux piliers de l’IA cités par le député français Cédric Villani dans un rapport parlementaire de 2018 : “comprendre comment fonctionne la cognition humaine et la reproduire ; créer des processus cognitifs comparables à ceux de l’être humain”.
Face aux modèles des deux autres grandes puissances mondiales, dans quelle mesure l’Europe peut-elle creuser son propre sillon en matière d’intelligence artificielle ?
La proposition de règlement s’appuie sur l’article 114 du TFUE concernant les mesures destinées à renforcer le marché intérieur européen. La Commission fonde également ces dispositions en droit sur l’article 16 du TFUE qui dispose que “toute personne a droit à la protection des données à caractère personnel la concernant”.
Favoriser le développement de l’IA en Europe
Devant le constat d’un certain retard par rapport aux Chinois ou aux Américains en matière d’intelligence artificielle, une des priorités des autorités européennes est ainsi de créer un marché unique des données. Celles-ci sont en effet au cœur de l’IA : elles permettent à un programme informatique d’apprendre à discerner des images, des sons ou des comportements. Un bien rentable, qui explique en partie pourquoi nos données personnelles et l’activité en ligne des internautes sont devenues une marchandise dans les modèles économiques des géants du numérique.
Le 19 février 2020, la Commission européenne a publié une stratégie dédiée, dans laquelle l’ambition est clairement affichée : “l’objectif est de créer un espace européen unique des données, un véritable marché unique des données”. Celles-ci doivent ainsi mieux circuler entre les différents pays et secteurs d’activités de l’UE, tout en respectant les règles européennes de concurrence et de protection de la vie privée. Ce marché unique est déjà en cours de construction : depuis 2016, le Règlement général sur la protection des données (RGPD) encadre l’utilisation des données personnelles, en conférant notamment aux utilisateurs un droit à l’information, à la portabilité ou à l’oubli de leurs données. En parallèle, un règlement de 2018 avait aboli les restrictions de circulation des données à caractère non personnel, c’est-à-dire celles qui ne portent pas sur des individus en particulier. C’est par exemple le cas des informations sur l’utilisation de l’eau ou des pesticides dans l’agriculture. Les Etats membres ne peuvent donc pas exiger une localisation précise du traitement de ces données, ce qui ferait peser le risque d’une distorsion de la concurrence au sein du marché de l’UE. De plus, une directive de 2019 assure que les données ouvertes des organismes publics des Etats membres sont librement réutilisables et consultables, notamment celles concernant l’observation de la terre et de l’environnement, les statistiques ou encore les mobilités. Plus récemment, la proposition de règlement sur la gouvernance européenne des données – ou Data Governance Act – est allée plus loin, en posant les bases d’un mécanisme harmonisé de réutilisation de certaines données protégées du secteur public, comme celles qui relèvent des droits de propriété intellectuelle. Des dispositions y sont également prévues afin de faciliter le traitement d’informations personnelles, recueillies avec le consentement des individus concernés, à des fins non commerciales, pour la recherche médicale, la lutte contre le changement climatique ou l’amélioration des services publics par exemple. C’est ce qui est appelé “l’altruisme des données”.
Toujours sur le plan réglementaire, la Commission a présenté dans sa proposition de règlement d’avril 2021 un cadre juridique pour les “bacs à sable réglementaires” en matière d’intelligence artificielle. Ces dispositifs permettent aux entreprises de tester ponctuellement leurs technologies sans avoir à respecter l’intégralité de la législation, au sujet notamment des données personnelles. Les autorités désignées par les Etats membres ou le Contrôleur européen de la protection des données seraient alors chargés de surveiller ces initiatives, dont les données personnelles qu’elles utilisent ne doivent pas être transmises ou utilisées par des tiers. L’article 55 prévoit par ailleurs un accès privilégié à ces exceptions pour les PME et les jeunes entreprises.
L’UE compte également investir. L’objectif affiché dans le nouveau plan coordonné sur l’intelligence artificielle est “d’augmenter progressivement les investissements publics et privés dans l’IA pour atteindre un total de 20 milliards d’euros par an” en Europe. Une utilisation efficace des données implique ainsi d’investir à la fois dans des infrastructures, notamment de collecte puis de traitement des data, et dans les compétences numériques des Européens. Aussi, le plan d’avril 2021 insiste-t-il sur la nécessité d’augmenter le nombre de professionnels de haut-niveau formés à l’intelligence artificielle. Il s’agit notamment de soutenir les initiatives de reconnaissance mutuelle, entre pays européens, des formations spécialisées dans l’IA ainsi que le développement de nouveaux programmes éducatifs dédiés aux nouvelles technologies dans l’UE.
Les programmes de financement de l’UE sont donc mobilisés : la Commission a proposé qu’au moins 1 milliard d’euros des dispositifs Digital Europe et Horizon Europe soient consacrés chaque année à des projets concernant l’intelligence artificielle. Sans compter le plan de relance européen, dont les déclinaisons nationales doivent contribuer pour 20 % à la transition numérique des Etats membres, et qui contient des mesures sur l’IA. L’UE a déjà financé plusieurs initiatives, comme Fabulos qui teste des mini-bus autonomes dans plusieurs villes européennes, ou Nevermind, une chemise connectée à un smartphone qui promet aux personnes atteintes de dépression de prévenir une rechute en analysant leurs modes de vie.
Une communication intitulée “L’intelligence artificielle pour l’Europe” avait été publiée en avril 2018. La proposition de règlement d’avril 2021 s’appuie sur des travaux préparatoires menés avec un groupe d’experts sur l’IA, composé de 52 membres, qui a publié ses lignes directrices au printemps 2019. Au début de l’année 2020, la Commission avait également fait connaître son Livre blanc pour une approche européenne en matière d’IA basée sur “l’excellence et la confiance”.
Une approche par les risques
La Commission européenne considère donc que les nouvelles technologies liées à l’IA sont une chance et qu’elles sont porteuses de nombreux bénéfices sociaux et économiques dans des secteurs tels que l’agriculture, les mobilités et la santé. Toutefois, elle part également du principe que l’IA peut porter atteinte aux droits fondamentaux des citoyens comme le droit à la dignité humaine, le respect de la vie privée et le principe de non-discrimination. C’est pourquoi elle a fait le choix d’une approche par les risques pour une intelligence artificielle “digne de confiance”. Quatre catégories sont distinguées dans la proposition de règlement d’avril 2021.
- Risque inacceptable : une interdiction s’applique pour les pratiques qui exploitent la vulnérabilité des enfants ou des personnes en situation de handicap, comme un jouet qui inciterait un bébé à avoir un comportement susceptible de le blesser. C’est également le cas de la notation sociale provenant des autorités publiques – ce principe d’attribuer une note aux “bons citoyens”, leur permettant d’accéder à des avantages sociaux – ainsi que pour l’utilisation de systèmes d’identification biométrique à distance en temps réel, tels que des caméras à reconnaissance faciale directement connectées à des bases de données. Cette dernière catégorie entend toutefois plusieurs exceptions, comme la recherche d’un enfant disparu ou la localisation d’un auteur ou d’un suspect dans des affaires de terrorisme, de trafic des êtres humains ou encore de pédopornographie.
- Risque élevé : des règles de traçabilité, de transparence et de robustesse s’appliquent lorsqu’un préjudice pour la sécurité ou les droits des personnes est possible. Cela concerne : l’identification biométrique, la gestion des infrastructures critiques (eau, électricité…), les systèmes d’IA destinés à l’affectation dans les établissements d’enseignement ou pour la gestion des ressources humaines, les applications de l’IA pour l’accès aux services essentiels (crédits bancaires, services publics, prestations sociales, justice…), son utilisation pour les missions de police ainsi que la gestion des migrations et des contrôles aux frontières.
- Risque faible : lorsque les risques sont limités, la Commission oblige à une certaine transparence de la part du fournisseur. Par exemple, si les usagers utilisent un chatbot en ligne, ils doivent être tenus au courant qu’ils s’adressent à un robot.
- Risque minimal: toutes les utilisations qui ne présentent pas de risque pour les droits des citoyens selon la Commission, comme les filtres anti-spams dans les courriels, ne font pas l’objet d’un encadrement spécifique.
Concernant les systèmes à risque élevé, des normes de qualité et de sécurité s’appliquent, telles que la traçabilité de l’utilisation de la technologie (article 12), la transparence vis-à-vis des utilisateurs (article 13) ainsi que la nécessité d’un contrôle humain (article 14). Ils doivent par ailleurs “atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité” (article 15). Des contrôles ex ante et ex post sont également prévus. Le fournisseur devra enregistrer officiellement son système d’intelligence artificielle dans une base de données de l’UE après une évaluation de sa conformité aux exigences décrites ici (articles 51 et 60).
Les sanctions pourront aller jusqu’à 30 millions d’euros ou 6 % du chiffre d’affaires en cas de non-respect des règles relatives aux pratiques prohibées ou à l’usage des données.
Concernant les applications comportant un risque faible ou minimal d’atteinte aux droits fondamentaux, les fournisseurs sont encouragés à appliquer, sur la base du volontariat, des codes de conduite facultatifs. La Commission prévoit la création d’un Comité européen de l’intelligence artificielle afin de coordonner toutes ces mesures.
A côté de cette nouvelle proposition de règlement, une modification de la directive “Machines” de 2006 est prévue afin de prendre en compte les évolutions technologiques dans ce domaine. Elle devrait prendre la forme d’un règlement sur la question de la sécurité des machines, incluant les engins de chantier, les imprimantes 3D ou les lignes industrielles qui pourraient avoir une composante d’intelligence artificielle dans leur fonctionnement.
La recherche de l’équilibre
Après la publication de cette proposition de règlement, plusieurs organismes ont critiqué le document, soulignant un mauvais équilibre entre, d’un côté, la régulation des pratiques risquées et, de l’autre, l’encouragement à l’innovation. Le Center for data innovation estime ainsi que la proposition en l’état actuel risquerait de réduire de 20 % les investissements dans l’IA en Europe. L’association pointe du doigt en particulier les coûts de mise en conformité, potentiellement élevés pour les entreprises, concernant les systèmes d’intelligence artificielle considérés comme à haut risque.
De l’autre, plusieurs associations et ONG, dont Amnesty international et l’International Freedom Foundation (IFF), appellent les législateurs à bannir complètement le recours à la “reconnaissance faciale et à la reconnaissance biométrique à distance permettant une surveillance de masse”. Dans un avis commun sur cette proposition de la Commission, le Comité européen de la protection des données (EDPB) et le Contrôleur européen de la protection des données (EDPS) estiment que plusieurs applications de l’intelligence artificielle manquent dans la catégorie “risque élevé”, comme celles destinées à déterminer une prime d’assurance, à évaluer des traitements médicaux ou à des fins de recherche en santé. Plus encore, les deux organes considèrent également que certaines formes intrusives d’IA doivent être prohibées, comme la notation sociale par les entreprises privées qui peuvent amasser de grosses quantités de données – l’interdiction dans la proposition de la Commission s’appliquant seulement aux pouvoirs publics dans ce domaine – ou les technologies permettant de déduire les émotions d’une personne.
Plus largement, les critiques portent sur le flou de certaines définitions et les imprécisions de certaines mesures. Dans une tribune parue dans Le Monde, le politiste Charles Thibout parie sur le fait que “les conflits d’interprétation seront nombreux”. Par exemple sur l’interdiction de la reconnaissance faciale “en temps réel”, laquelle demeure possible “dans un délai signifiant”, sous certaines conditions. Des questions que pourront soulever le Conseil et le Parlement, qui doivent amender le texte avant qu’il n’entre en vigueur.
OccitanieTech