IA responsable : orientations stratégiques et réglementaires mondiales

L’IA est au cœur des enjeux de pouvoir et de domination dans le monde entier. Depuis quelques années, les règlementations visant à encadrer les risques liés aux systèmes d’IA se multiplient.

Une chronique de Florence Bonnet, Partner, publiée sur le Journal du Net.

L’IA générative est apparue depuis à peine une dizaine d’années mais depuis qu’OpenAI a autorisé l’accès gratuit à ChatGPT en novembre 2022, l’utilisation de l’IA générative s’est répandue comme une trainée de poudre dans le monde entier. Comme la plupart des systèmes d’IA, l’IA générative est fondée sur des données, mais d’une part elle a la particularité d’exacerber les problèmes existants liés à l’usage de l’IA, d’autre part elle soulève de nouveaux challenges pour les droits et libertés, la sécurité ou l’éthique. Avec l’IA Générative, c’est aussi la première fois qu’une solution technologique intègre des valeurs, des modes de pensée et des préjugés.

Dès 2019, l’OCDE a publié un standard destiné à emporter l’adhésion du plus grand nombre afin de protéger les droits humains et les valeurs démocratiques.

En 2023, on compte plus de 930 « initiatives politiques » dans 71 juridictions de la part des gouvernements du monde entier. Protection et gouvernance des données[1], IA de confiance, IA responsable sont les maitres mots de la plupart des stratégies avancées.

En octobre 2023, le G7 a adopté un code de conduite composé de 11 principes directeurs relatifs à l’intelligence artificielle. S’inscrivant dans le cadre du processus d’Hiroshima (un groupe de travail destiné à définir les grands principes de l’IA Générative), ce code vise à “promouvoir mondialement une IA sûre et digne de confiance”.

Le sujet va bien au-delà de la seule conformité des systèmes d’IA. La confiance renvoie à l’idée qu’on peut se fier à l’IA et à l’usage qui en est fait. Il s’agit donc de la manière dont nous collectons et traitons les données, dont nous concevons les technologies d’IA, des raisons pour lesquelles nous les concevons et des personnes qui sont impliquées dans leur conception. Cette approche repose sur un ensemble de valeurs qui varient d’un pays à un autre, d’une organisation à une autre. Le développement et l’utilisation des technologies ne sont pas neutres sur le plan des valeurs directement influencées par des objectifs d’efficacité, de sécurité, de rapidité par exemple. Ces choix se font souvent au détriment d’autres valeurs, en particulier de la protection de la vie privée, des droits et libertés y compris du droit à bénéficier d’un environnement protégé.

Nonobstant les objectifs business, financier et de sécurité qui sont à la base des décisions d’utiliser l’IA et d’exploiter les données, ces pratiques ne sauraient porter atteinte aux droits des collaborateurs, des clients et plus généralement des individus voire porter préjudice à la société dans son ensemble.

Du point de vue des organisations, c’est la réputation de l’entreprise et de sa marque qui est en jeu. Cela peut aussi avoir un impact direct sur leur capacité à exploiter les données et à saisir les opportunités de croissance qu’offrent l’IA.

Force est de constater que la plupart des acteurs s’accordent sur la nécessité de disposer d’outils normatifs et juridiques pour encadrer les développements et les usages de l’IA mais tous n’ont pas les mêmes objectifs et par conséquent les approches diffèrent.

I. Union Européenne, Chine, États-Unis : trois approches différentes de la réglementation sur l’IA

a. La stratégie numérique de l’Union Européenne

L’Union Européenne a défini une stratégie numérique, dans le cadre de laquelle a été mis en place un cadre réglementaire applicable aux grandes plateformes numériques d’une part (DMA) et aux services en ligne et services d’hébergement d’autre part (DSA).

Cette stratégie numérique a aussi pour objectif d’encadrer l’Intelligence Artificielle au sein de l’UE et de mettre en place une stratégie pour les données.

i. La stratégie pour les données s’appuie sur deux piliers

  • Le règlement sur la gouvernance des données (DGA), applicable depuis septembre 2023. Ce texte facilite la mise à disposition des données du secteur public comme du privé, les possibilités de les réutiliser y compris contre rémunération et la confiance dans le partage des données via un cadre réglementaire auquel sont soumis les intermédiaires de données ; le DGA encourage aussi le partage des données à des fins altruistes.
  • Le règlement sur les données ou DATA ACT vient compléter le DGA. Il encadre et facilite le partage des données essentiellement non personnelles entre entreprises (B2B) et entre entreprises et consommateurs (B2C).

La stratégie européenne en matière de données comprend aussi la création d’espaces de données de confiance dans 10 domaines stratégiques dont la santé, l’agriculture, l’énergie, la mobilité, les finances par exemple. Grâce au cadre de gouvernance proposé, les entreprises, les administrations publiques et les particuliers en Europe contrôleront les données qu’ils génèrent, tout en sachant qu’ils peuvent avoir confiance dans la manière dont elles sont utilisées pour stimuler l’innovation cf. European health data space.

ii. Le règlement européen sur l’IA (AI Act), une approche basée sur une IA de confiance, facteur d’innovation

Le règlement sur l’IA dont le texte de compromis date du 26 janvier 2024 pose un cadre de gouvernance pour protéger les risques sur la santé, la sécurité et sur les droits fondamentaux. Avec cette législation qui se veut centrée sur l’humain et qui promeut une IA de confiance, l’Europe est pionnière en la matière.

Elle est basée sur une approche par les risques : systèmes d’IA  à « risque minimal » (ce qui correspond à la majorité des cas dans l’UE), ceux à « risque élevé » (ex. concernant l’éducation ou certaines infrastructures critiques, administration de la justice, actions des autorités répressives) qui imposent des obligations strictes telles que la mise en place d’un système de gestion des risques et de gouvernance des données et enfin les systèmes d’IA à « risque inacceptable » qui sont interdits (ex. scoring social, exploitation des vulnérabilités d’une personne, techniques subliminales ou manipulatrices). Outre ces trois catégories de risques, le règlement encadre également les systèmes d’IA à usage général (GPAI) tels que ChatGPT susceptibles de présenter des « risques systémiques » ou avec des « risques spécifiques de transparence » (ex. en cas de risque de manipulation via un Chatbot).

En cas de manquement, les sanctions les plus élevées pourront aller jusqu’à 35M€ ou 7% du chiffre d’affaires mondial de l’entreprise.

La plupart des dispositions de cette réglementation seront applicables en 2026. En parallèle, la Commission propose aux industries qui le souhaitent de participer sur la base du volontariat au pacte sur l’IA afin de mettre en œuvre les exigences de l’AI Act avant l’échéance légale.

Au sein de l’UE, la stratégie française à horizon 2025 affiche l’objectif d’aboutir à une IA embarquée, frugale et de confiance. L’Espagne vient de rappeler quant à elle, que le bien-être des citoyens devrait être une priorité pour le développement de l’IA.

b. La Chine encadre le respect de la morale sociale et de l’éthique sans freiner l’innovation des entreprises chinoises

Dès 2022, la Chine a été la première à introduire des lois spécifiques sur l’IA, plus précisément sur les algorithmes de recommandation de services en ligne, puis un règlement sur l’IA générative pour lutter contre la désinformation et les « Deep Fake » et depuis 2023, de nouvelles règles destinées à encadrer les contenus créés par l’IA Générative à destination du public sont applicables.

Les règles se concentrent notamment sur les enjeux sociétaux : ne pas menacer la sécurité nationale, prévenir toute discrimination, ne pas promouvoir la violence ou la haine raciale, respecter les valeurs fondamentales du socialisme, promouvoir les valeurs positives et honnêtes.  Les entreprises ont une obligation d’assurer la qualité des données et de respecter la réglementation sur la protection des données personnelles. La Chine semble avoir assoupli sa position initiale. Les nouvelles règles ne s’adressent plus qu’aux entreprises considérées comme ayant une influence sur l’opinion publique et la réglementation ne prévoit plus d’amendes mais seulement des avertissements ou des suspensions. Les spécialistes analysent cette stratégie comme une volonté du gouvernement de ne pas freiner l’innovation et le développement du secteur de l’intelligence artificielle. N’oublions pas néanmoins que la Chine dispose par ailleurs d’un cadre de sécurité et de protection des données personnelles stricte (Cybersecurity Law ou CSL, Data Security Law ou DSL, PIPL).

c. Les Etats-Unis ont une approche décentralisée et sectorielle

Il n’existe pas encore de loi fédérale sur l’IA mais en 2022 la Maison Blanche a publié des lignes directrices « Blueprint for an AI Bill of Rights ». Ce sont les États qui ont la responsabilité d’encadrer l’utilisation des systèmes basés sur l’IA. Ils s’appuient aussi sur les retours terrain vis la mise en place des task forces, de groupes de travail ou de comités chargés d’étudier les incidences potentielles des systèmes d’IA sur les consommateurs et d’identifier les utilisations potentielles dans le secteur public et les défis en matière de cybersécurité.

La majorité des états se sont focalisés sur l’IA générative pour le moment. La Californie, le Colorado semblent parmi les plus matures sur le sujet. Certains états ont adopté une loi pour lutter contre la discrimination algorithmique, par laquelle un système d’IA contribue à la différence de traitement injustifiée de personnes sur la base de leur race, couleur, ethnicité, sexe, religion ou handicap, entre autres.

Le 30 octobre 2023, le président Joe Biden a signé un décret sur le développement et l’utilisation sûrs, sécurisés, et fiables de l’intelligence artificielle par lequel il demande à plus de 50 entités fédérales de s’engager dans une centaine d’actions spécifiques afin de mettre en œuvre les lignes directrices sur l’IA. En réalité, ce décret relève davantage de la déclaration d’intention et de l’engagement volontaire des entreprises telles qu’OpenAI, Microsoft, ou Google. En effet, aucune sanction n’est prévue en cas de manquement et surtout aucune législation d’envergure ne peut passer sans l’aval du Congrès Américain, lui-même divisé entre démocrates et Républicains.

II. Reste du monde : de multiples projets de réglementation à géométrie variable

Au-delà des trois puissances présentées ci-dessus, de nombreux pays ont élaboré une stratégie IA prenant en compte des préoccupations d’éthique et de protection des droits et libertés.  Toutes ces stratégies reposent sur une même ambition qui est de devenir un acteur majeur de l’IA.

Le Canada a pour objectif de définir un cadre d’utilisation durable pour la population. En septembre 2023, le gouvernement a dévoilé un “code de conduite sur le développement et la gestion responsables des systèmes d’IA générative avancés” pour que les entreprises canadiennes adoptent un usage responsable de l’IA en attendant une réglementation officielle.

L’Inde n’a pas encore légiféré sur l’IA mais il plaide en faveur d’un environnement robuste, centré sur les citoyens et inclusif, de type « IA pour tous ». Un groupe de travail a été créé pour formuler des recommandations sur les questions éthiques, juridiques et sociétales liées à l’IA, et pour mettre en place une autorité de régulation de l’IA. Lors du Sommet du Partenariat Mondial pour l’Intelligence Artificielle qui s’est tenu à New Dehli en décembre 2023, le Premier ministre indien, est revenu sur sa vision de l’IA axée sur le développement économique, l’égalité et la justice sociale, mais également, sur la nécessité d’une Gouvernance Responsable de l’IA centrée sur l’Humain en accord avec les objectifs de développement durable, pour favoriser la confiance et faire face à certains challenges comme les « Deepfake » ou certaines menaces liées à la cybersécurité et à la sécurité mondiale.  Les 29 pays membres du PMAI (Partenariat Mondial pour l’Intelligence Artificielle) ont adopté la Déclaration de New Dehli 2023 en ce sens.

En Asie du Sud-Est, l’ASEAN propose un guide sur l’éthique et la gouvernance de l’IA (Guide to AI ethics and governance) basé sur l’approche de gestion des risques IA du standard proposé par le NIST plutôt que sur la démarche plus stricte suivie par l’UE. Ce guide repose sur une démarche volontaire et se veut « business friendly » pour ne pas pénaliser l’innovation. C’est un véritable challenge du fait des niveaux de maturité technologique et réglementaire très différents entre les pays de l’ASEAN et alors qu’il leur revient de définir leur propre législation. Une partie d’entre eux sont dans le sillage de Singapour, l’un des premiers à publier une stratégie sur l’IA en 2019 et à développer des cadres de gouvernance volontaires pour le déploiement éthique de l’IA et un cadre de confiance pour le partage de données.

Il n’existe pas de cadre réglementaire global au Moyen Orient et les états n’ont pas de législation sur l’IA. Toutefois, il existe des initiatives gouvernementales en cours dont on peut penser qu’elles déboucheront sur de nouvelles réglementations. Certains pays du Moyen Orient ont choisi de créer des hubs proposant un cadre éthique dont l’objectif est d’attirer les investissements. Les autorités multiplient les guides pratiques, codes et solutions d’autoévaluation notamment sur l’éthique. L’Arabie Saoudite dont la nouvelle loi sur la protection des données (PDPL) sera applicable en septembre 2024, aspire à devenir l’une des principales économies utilisant et exportant des données et de l’IA après 2030. L’Arabie Saoudite a lancé un centre de recherche sur l’éthique de l’IA dans le but de développer des standards.

Quant aux Emirats Arabes Unis, ils sont le premier pays à avoir créé un ministère de l’IA en 2017. Dubaï se revendique d’une approche open source avec la mise à disposition d’outils d’autoévaluation en ligne. L’objectif à court terme est de créer une plateforme de confiance pour favoriser la discussion et l’élaboration de politiques en matière d’éthique de l’IA.

Israël a publié sa première politique sur l’éthique et la réglementation de l’intelligence artificielle en décembre 2023. Ce texte recommande des actions concrètes, notamment des réglementations sectorielles pour promouvoir une « innovation responsable » dans le secteur privé. La réglementation et l’innovation ne sont pas en conflit mais elles doivent être abordés de manière complémentaire.

Quant à l’Afrique, Antonio Guterres a rappelé qu’aucun pays africain ne figure aujourd’hui dans le top 50 mondial dans le domaine de l’IA. Le Maroc et le Sénégal ont ratifié un texte de l’UNESCO qui pose un cadre normatif global basé sur 10 principes couvrant les droits fondamentaux. Le Maroc qui dispose déjà d’une loi sur la protection des données pourrait donc jouer un rôle moteur dans la mise en place d’un cadre réglementaire de l’IA. En effet, le 23 octobre 2023, l’UNESCO et le Maroc ont lancé une réflexion nationale multipartite sur « L’utilisation et le développement d’une intelligence artificielle (IA) responsable au Maroc : Fédérer autour d’une vision commune et inclusive ».

[1] +/- 160 lois de protection des données dans le monde en 2023

Florence BONNET Partner