Source: The Conversation – France in French (3) – By Chloé Dornbierer, Docteure en droit et Professeure à Kedge Business School, Kedge Business School
L’intelligence artificielle s’impose désormais au cœur de décisions qui engagent directement la vie, la santé et les droits des citoyens européens. Dans des entreprises, des administrations, des hôpitaux ou sur des plateformes numériques, des algorithmes trient, évaluent, recommandent et parfois décident. Face à cette automatisation croissante, une question centrale se pose : la réponse de l’Union européenne pour encadrer l’intelligence artificielle est-elle à la hauteur des risques qu’elle prétend prévenir ?
Imaginons qu’une entreprise décide d’utiliser une intelligence artificielle (IA) pour automatiser son processus de recrutement. L’algorithme, conçu pour analyser des milliers de CV, est entraîné sur les données RH de l’entreprise des dix dernières années. Or, les profils recrutés durant cette période sont majoritairement masculins. L’algorithme déduit alors de ces données que les candidats masculins sont préférables et exclut de fait les profils féminins.
Ce scénario n’est pas fictif : il s’inspire directement du cas d’Amazon, dont l’outil de recrutement par IA a dû être abandonné après la révélation de ces biais eu égard aux risques juridiques qu’ils engendraient. Cet exemple illustre précisément les risques que le législateur entend prévenir : erreurs algorithmiques, atteintes aux droits fondamentaux, captation et fuite de données, dépendance technologique.
En réponse, l’Union européenne a bâti depuis plusieurs années un arsenal juridique ambitieux, allant du Règlement général sur la protection des données (RGPD) au Règlement sur l’intelligence artificielle (RIA). Ces textes doivent relever un défi de taille : concilier innovation et protection, réguler les acteurs internationaux sans les éloigner du marché européen, et garantir les droits fondamentaux sans censure – le tout face à des technologies transversales, opaques et en constante évolution. Cet ensemble de règles constitue-t-il une réponse satisfaisante ?
Pas de régulation de l’IA, sans régulation des données
La régulation de l’intelligence artificielle ne saurait être envisagée indépendamment d’une politique structurée de la donnée. La donnée constitue en effet le carburant indispensable au développement et au perfectionnement des systèmes d’intelligence artificielle. En cela, la quantité de données compte tout autant que leur qualité.
C’est pourquoi, le législateur européen a d’abord cherché à réguler la donnée avant de réguler l’IA : d’une part avec le RGPD dont la finalité est de protéger les données à caractère personnel (les informations concernant une personne physique identifiée ou identifiable, comme un numéro de téléphone ou une adresse postale).
D’autre part avec une série de textes portant sur la régulation des données non personnelles (les informations ne se rapportant à aucune personne identifiable, comme une statistique ou un nombre d’accidents sur une autoroute visée). Ceux-ci comprennent le DSA, le DMA, le DGA, le Data Act et visent notamment à limiter la domination des géants du numérique et organiser le partage et l’accès de certaines données entre plateformes, entreprises, administrations publiques et utilisateurs, condition indispensable au développement de l’IA.
Ces textes relatifs aux données ont été le préalable à l’élaboration de la première réglementation générale au monde sur l’intelligence artificielle : le RIA.
Quelles sont les obligations imposées aux entreprises par le RIA ?
Contrairement aux États-Unis, qui privilégient une approche dérégulée, et à la Chine, qui encadre principalement certains usages ciblés, l’Union européenne a fait le choix d’un cadre juridique général et contraignant, s’appliquant à l’ensemble des secteurs et des systèmes d’intelligence artificielle, afin de poser les bases d’un véritable droit commun de l’IA au sein du marché européen depuis son entrée en vigueur le 1er août 2024.
Son objectif est d’encadrer
« le développement, la mise sur le marché et l’utilisation de systèmes d’intelligence artificielle, qui peuvent poser des risques pour la santé, la sécurité ou les droits fondamentaux ».
Pour atteindre cet objectif, le RIA commence par définir précisément le champ des technologies qu’il entend encadrer. Il distingue : les systèmes d’intelligence artificielle, qui correspondent aux applications concrètes utilisées par les utilisateurs (ex : un outil de tri de candidatures, ChatGPT) et les modèles d’intelligence artificielle à usage général, qui constituent le socle technologique sur lequel reposent ces applications, comme GPT-4 pour ChatGPT.
Pour assurer un équilibre entre protection des personnes et innovation, le RIA classe les systèmes d’intelligence artificielle en quatre niveaux de risque :
-
le risque inacceptable (ex : système de notation sociale des citoyens, présentant un risque d’une atteinte grave aux droits fondamentaux) impliquant l’interdiction du système d’IA.
-
le risque élevé (ex : une IA utilisée pour évaluer des salariés, présentant un risque d’atteinte au droit du travail et à la vie privée) imposant des obligations comme celle de réaliser des audits ou celle d’entraîner le système sur des données qualitatives et exemptes de biais.
-
le risque limité (ex : assistant conversationnel d’un service client, présentant le risque d’une collecte de données sans consentement éclairé) obligeant notamment les opérateurs à informer les utilisateurs de l’usage de l’IA.
-
le risque minimal (ex : IA intégrée dans un jeu vidéo) dont ne découle aucune obligation spécifique.
Pour chaque niveau de risque, des obligations spécifiques et proportionnées sont donc édictées en fonction de leurs effets potentiels sur les droits fondamentaux, la sécurité et la santé des personnes. Ces obligations s’imposent à différents opérateurs selon le moment où ils interviennent dans la chaîne de valeur de l’IA : fournisseur, mandataire, importateur, distributeur…
Par exemple, un système d’IA utilisé pour l’analyse d’images médicales, qualifié de système à risque élevé, est soumis à des obligations spécifiques qui varient selon l’opérateur concerné : le fournisseur doit concevoir le système en conformité avec les exigences de sécurité et de gestion des risques comme s’assurer qu’il ne peut pas y avoir de faux positif ou de faux négatif dans le diagnostic mais également que le système ne présente pas de biais du fait d’une sous-représentation de certains groupes ethniques ou de genre, l’importateur et le distributeur doivent vérifier que cette conformité a été respectée, et l’hôpital qui déploie le système doit s’assurer qu’il est utilisé correctement et sous supervision humaine.
Concernant les modèles d’IA à usage général (ex : GPT-4, algorithme sur lequel repose ChatGPT), le législateur européen a édicté différentes règles selon qu’ils présentent ou non un risque systémique.
L’article 3 § 65 du RIA définissant le risque systémique comme :
« un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur ».
Ce risque est évalué selon la puissance de calcul du modèle. Les modèles d’IA à usage général qui présentent un risque systémique doivent notamment signaler les incidents graves (des biais, des faux positifs, une cyberattaque), prendre d’importantes mesures de cybersécurité ou encore tester le modèle et atténuer les risques systémiques identifiés (grâce à des audits, des mesures de protection contre les piratages ou encore des mesures de détection de biais). Plusieurs autorités ont été désignées pour contrôler la bonne application du règlement, c’est le cas notamment du comité européen de l’intelligence artificielle au niveau européen, et de la CNIL au niveau national.
Les limites du RIA
Le RIA a suscité des critiques des experts du droit et du monde professionnel à propos de sa mise en œuvre. Ainsi, 46 dirigeants d’entreprise ont dénoncé, dans une lettre ouverte destinée à la présidente de la Commission européenne, « des règlementations européennes peu claires, qui se chevauchent et deviennent de plus en plus complexes ». La technicité du RIA conjuguée à la complexité des algorithmes compliquent l’application du texte, en particulier pour les obligations de transparence – incompatibles avec l’opacité des algorithmes – et pour l’identification des responsabilités, les entreprises peinant à déterminer quelles obligations leur incombent selon leur position dans la chaîne de valeur et le niveau de risque du système.
En découle alors une autre problématique, le risque de freiner les acteurs français et européens, comme Orasio, H Company ou DeepL, qui tentent de concurrencer les géants américains de l’intelligence artificielle qui ont davantage de moyens (juridiques, technologiques, financiers) pour mettre en œuvre les obligations du RIA.
À cet égard, il convient de relever que le législateur européen a finalement renoncé, le 11 février 2025, à adopter une législation spécifique relative à la responsabilité civile des acteurs de l’intelligence artificielle, dont la finalité était d’harmoniser les règles de responsabilité civile pour les dommages causés par l’IA, afin de protéger les victimes et d’unifier le cadre juridique au sein de l’UE. Cet abandon est intervenu suite à une opposition de certains États membres, notamment la France, mais aussi des critiques formulées par le lobbying de grandes entreprises technologiques qui dénonçaient un risque de surrégulation et une insécurité juridique susceptible de freiner l’innovation. En l’absence d’un tel cadre spécifique, ce sont donc les règles de droit positif de responsabilité civile qui demeurent applicables aux dommages causés par les systèmes d’intelligence artificielle.
Les enjeux de la régulation
En combinant protection des données, encadrement des usages et obligations pesant sur les acteurs les plus puissants, l’Union européenne a posé les bases d’un véritable droit commun de l’IA unique au monde.
Cependant, cette réponse n’est satisfaisante qu’à une condition : que son application ne transforme pas la régulation en barrière à l’entrée pour les acteurs européens tels que Mistral AI, NEURA Robotics ou Dust. En effet, le risque est de renforcer la domination des géants américains et chinois plutôt que de la combattre. D’autant que cette domination ne se limite pas au plan économique : elle s’exerce également sur le plan politique. Un rapport de Corporate Europe Observatory et LobbyControl, deux ONG spécialisées dans la surveillance du lobbying, montre ainsi que les Big Tech auraient une influence significative sur la rédaction des Codes de bonnes pratiques prévus par le RIA notamment en parvenant à affaiblir certaines obligations.
La véritable réussite de la régulation européenne ne se mesurera donc pas seulement à la protection des citoyens, mais à sa capacité à faire émerger une intelligence artificielle européenne, à la fois éthique, compétitive et souveraine.
Chloé Dornbierer ne travaille pas, ne conseille pas, ne possède pas de parts, ne reçoit pas de fonds d’une organisation qui pourrait tirer profit de cet article, et n’a déclaré aucune autre affiliation que son organisme de recherche.
– ref. Intelligence artificielle : quels sont les apports concrets de la régulation européenne ? – https://theconversation.com/intelligence-artificielle-quels-sont-les-apports-concrets-de-la-regulation-europeenne-274299