Qui définira les standards de la réglementation de l’IA ? La Chine, l’UE et les États-Unis ont tous lancé des initiatives juridiques pour réglementer l’intelligence artificielle. En parallèle, les principes éthiques de l’IA se sont déjà développé dans le monde entier et alimentent les réflexions. Dans tous ces textes, on observe convergences et divergences. Cet article décrit les différentes approches pour montrer comment les principales juridictions réglementent l’IA et les raisons qui leurs sont propres.
Je mets régulièrement à jour cet article pour refléter les changements rapides dans les cadres juridiques de l’IA étudiés ici.
Contrairement à la protection des données, l’UE pourrait ne pas être celle qui établira les standards mondiaux de réglementation de l’IA. La Chine et les États-Unis sont également en compétition pour jouer ce rôle de leader, et ces trois juridictions ont commencé leur travail en même temps. Cette course pour réglementer l’intelligence artificielle a commencé avant ChatGPT, mais l’IA générative a considérablement accéléré les travaux dans le monde. La divergence et le débat observables sur l’IA sont proches des différentes directions en matière de protection des données.
Qu’est-ce que la réglementation de l’IA ?
Les lois sur l’IA sont des exigences contraignantes, sanctionnées par l’État. Cela les différencie des règles sur les règles éthiques de l’intelligence artificielle, l’autorégulation ou d’autres formes de droit souple. Ces dernières sont volontaires, et une violation de l’engagement ne crée pas en soi un risque d’amende. Dans cet article, j’utiliserai le terme de réglementation de l’IA de manière large pour englober à la fois le droit contraignant et le droit souple, car cette compréhension plus large montre mieux la direction d’un pays sur le droit de l’IA.
Par conséquent, la réglementation de l’IA se réfère aux cadres juridiques et éthiques établis pour gouverner le développement, le déploiement et l’utilisation des technologies d’intelligence artificielle. Ces réglementations sont conçues pour garantir que les systèmes d’IA fonctionnent de manière sûre, éthique et transparente, en abordant des préoccupations telles que la vie privée, la sécurité, l’équité et la responsabilité. La réglementation de l’IA vise à équilibrer l’innovation et les avantages de l’IA avec les considérations sociétales et éthiques, guidant l’intégration de l’IA dans divers secteurs tels que la santé, la finance, les transports, et plus encore. Mais nous verrons que tous les pays du monde ne sont pas alignés sur ce que cela signifie en pratique. Enfin, je me concentre ici sur le droit de l’IA direct, c’est à dire en excluant les règles qui ont des conséquences indirectes sur l’IA, comme la propriété intellectuelle.
Le Règlement sur l’IA de l’UE (AI Act) : une approche globale
L’UE souhaite établir les standards mondiaux de réglementation de l’IA avec son Règlement sur l’IA (AI Act), comme elle l’a fait avec le RGPD pour la protection des données, qui couvrira presque tous les secteurs. À cette fin, l’AI Act sera un règlement, c’est-à-dire un acte directement applicable au sein de l’Union, comme le RGPD (sans besoin que chaque État membre adopte une loi spécifique). Bien que l’AI Act de l’UE n’existe pas encore et que plusieurs éléments restent flous, un accord a été obtenu et le texte devrait être adopté début 2024. Il classe les systèmes d’IA en différentes catégories en fonction de leur risque pour la société. Cette classification déclenchera différentes exigences de conformité. Le règlement interdit certains systèmes d’IA, tels que le scoring social et la reconnaissance faciale en direct dans les lieux publics. Viennent ensuite les systèmes à haut risque, portant la majorité du fardeau réglementaire (plus spécifiquement, sur les fournisseurs de ces solutions d’IA). Les RH ou les forces de l’ordre les utilisent souvent. Ils devront passer par des Évaluations d’Impact sur les Droits Fondamentaux (Fundamental Risk Impact Assessments), qui devraient être similaires aux Analyses d’Impact sur la Protection des Données (AIPD ou DPIA) en vertu du RGPD (après tout, la protection des données est l’un des droits fondamentaux).
L’AI Act de l’UE impose des obligations de transparence pour les systèmes qu’un utilisateur final pourrait confondre avec des données ou informations non-IA (comme les chatbots et autres contenus générés par l’IA). Les foundation models tels que ChatGPT seront également réglementés, en particulier en exigeant la transparence et des informations sur leur fonctionnement, leur conception, et comment les organisations sont censées les utiliser/intégrer dans leurs propres solutions. Enfin, les systèmes d’IA qui ne tombent pas dans ces catégories n’entrent pas dans le champ d’application du Règlement sur l’IA de l’UE (par exemple, les filtres anti-spam, les jeux vidéo…)
La raison justifiant cette approche est que l’UE veut couvrir tous les secteurs, comme avec le RGPD. Elle veut être en avance sur les autres juridictions, pour être utilisée comme cadre juridique modèle à l’échelle mondiale, et donc façonner les pratiques étrangères (même si le champ d’application du Règlement est le marché intérieur de l’UE). Elle présente une approche fondée sur le risque, ce qui signifie que les entreprises doivent identifier elles-mêmes ces risques et les atténuer de manière appropriée. Bien que l’AI Act ne donne pas directement de droits aux individus comme le faisait le RGPD, son objectif ultime est d’assurer la protection des droits fondamentaux. C’est ce qui guide vraiment l’approche de l’UE et la distingue de la Chine et des États-Unis dans le débat.
L’UE a choisi d’avancer très rapidement sur la réglementation de l’IA, ce que Thierry Breton (Commissaire européen pour le Marché intérieur) a fièrement souligné à de nombreuses reprises.
Les États-Unis : Lignes directrices et projets de loi restreints
Les États-Unis adoptent une approche de la réglementation de l’IA beaucoup plus fragmentée, restreinte et reposant sur la conformité volontaire que celle de l’UE. La raison étant que cette technologie a encore besoin de place pour grandir et se développer avant qu’une réglementation large et contraignante ne devienne nécessaire. Le gouvernement et les organisations privées publient leurs principes et lignes directrices éthiques en matière d’IA, il y existe des projets de loi proposés aux niveaux fédéral et étatique, mais rien de similaire à l’AI Act en UE n’est en cours pour le moment. Cette approche plus légère et sectorielle est semblable à la position des États-Unis sur le débat de la réglementation de la protection des données.
Au niveau Fédéral, le U.S. Executive Order on AI a jusqu’à présent attiré le plus d’attention. Émis par le président Biden, il se concentre sur la promotion d’un développement et d’une utilisation éthiques, sûrs et fiables de l’IA. Il fournit des lignes directrices pour les agences fédérales et met l’accent sur la conception américaine de certaines valeurs telles que la protection des données, les droits civils et les libertés. Le décret cherche à équilibrer l’innovation en IA avec une utilisation responsable, en s’assurant que la technologie s’aligne sur l’intérêt public et les valeurs nationales, tant dans le gouvernement que dans le secteur privé. Cette initiative vise à maintenir le leadership des États-Unis en matière d’IA tout en abordant les préoccupations concernant l’impact de l’IA sur la société. Ce n’est pas une loi contraignante, mais, de manière générale, elle exige que les agences achètent et exploitent uniquement des systèmes d’IA responsables. Les entreprises construisant ces systèmes d’IA sont soumises à certaines exigences telles que la transparence. C’est également un appel explicite de Biden pour que le Congrès adopte une législation transpartisane à la fois sur l’IA et la protection des données. La façon dont cet Order sera appliqué reste incertaine.
Plusieurs projets de loi sont également envisagés, la plupart ayant une portée relativement étroite. Au niveau fédéral, un nombre croissant de propositions arrivent, l’une des dernières exigerait que les entreprises d’IA divulguent des données de formation sous droits d’auteur. Au niveau de l’État, un projet en Californie propose de nouvelles règles sur la technologie de prise de décision automatisée. La Floride pourrait renforcer la transparence sur le contenu généré par l’IA pour les publicités politiques.
Le risque pour les États-Unis avec leur approche attentiste, c’est qu’ils n’auront pas beaucoup de poids dans le débat. La formation de leurs lois (et des pratiques des entreprises) se fera réellement par ce qu’on nomme le Brussels Effect : les entreprises construiront leur pratique pour être conformes au à l’AI Act de l’UE, qui devrait leur permettre d’être de facto en accord avec la plupart des exigences américaines.
La Chine : Réglementer l’IA de manière rapide et itérative
La Chine est parmi les premiers à réglementer l’IA, dans le cadre de son plan global à long terme pour développer cette technologie. Alors que la loi chinoise sur la protection des données s’inspire largement des principes et concepts de l’UE, la Chine prend sa propre direction concernant le droit de l’IA et avance rapidement. La Chine construit en effet un ensemble de règles ciblant différents problèmes liés à l’IA d’une manière très itérative, à l’opposé de l’AI Act de l’UE. Un projet pour commentaire est publié, puis une version finale, qui est rapidement modifiée si nécessaire. Par exemple, des règles sur les recommandations algorithmiques, les deepfakes et l’IA générative ont été adoptées en 2021, 2022 et 2023, après un premier projet et quelques mois de discussions avant le texte final. L’approche chinoise de la réglementation de l’IA se concentre sur l’encouragement de l’innovation tout en maintenant le contrôle de l’État (avec des exigences telles que l’adhésion à la direction politique correcte).
En 2023, la Chine a fait des progrès significatifs sur son droit de l’IA, se concentrant particulièrement sur l’IA générative. Elle a introduit des mesures préliminaires en avril pour la gestion des services d’IA générative. Les mesures finales sur l’IA générative sont entrées en vigueur le 15 août 2023. Elles étaient cependant significativement moins strictes que le projet initial, certaines des exigences les plus rigoureuses ayant été supprimées. Cela inclut la suppression des obligations de rectifier le contenu illégal dans un délai de trois mois et de garantir que toutes les données et sorties de formation soient « vraies et précises ». Ces règles s’appliquent uniquement aux systèmes d’IA générative accessibles au public.
L’approche fondamentale de la Chine en matière de gouvernance de l’IA reste axée sur l’atténuation des dommages aux individus et le maintien de la stabilité sociale et du contrôle de l’État, tout en visant un leadership mondial en matière d’IA et en influençant le débat sur la réglementation de l’IA. Cela est évident dans leurs efforts pour développer des normes internationales qui pourraient leur offrir un avantage concurrentiel.
Où va la réglementation mondiale de l’IA ? La Chine, l’UE ou les États-Unis remporteront-ils la course ?
Dans cet article, j’ai décrit les trois approches différentes adoptées par la Chine, l’UE et les États-Unis. Mais il est impossible de dire aujourd’hui qui établira les normes internationales concernant la manière dont l’IA est réglementée. En regardant les lois sur la protection de la vie privée pour comparaison et analogie, l’UE mène la course et a définitivement établi les règles mondiales. Le RGPD est maintenant largement un modèle pour la législation sur la protection de la vie privée dans le monde. Mais concernant l’IA, à ce jour, il n’existe pas de modèle similaire.
- L’UE souhaite que l’AI Act soit la loi-cadre sous laquelle les systèmes d’IA sont classifiés et réglementés en conséquence. La sécurité de l’IA pour la protection des droits fondamentaux est au cœur de son approche. Le risque pour l’UE est de manquer d’agilité dans la réglementation de l’IA, qui change elle-même très rapidement. Par exemple, l’AI Act, proposé en 2021, n’était pas adapté pour l’IA générative (ChatGPT) et a dû être modifié.
- Les États-Unis s’appuient sur des directives pour encourager la sécurité de l’IA et discutent encore de projets de loi, dont la plupart ont une portée étroite. Ils manquent également d’une loi fédérale globale sur la vie privée qui pourrait aborder de nombreux problèmes régulés par l’IA. À ce jour, ils adoptent principalement une approche attentiste. Le risque pour les États-Unis est de ne pas influencer le débat mondial, faute de modèle clair à proposer.
- La Chine propose peut-être l’approche la plus intéressante jusqu’à présent pour réguler l’IA. Elle développe un ensemble d’outils ciblant des problèmes précis de l’IA, que la Chine met en œuvre et modifie rapidement. Cela pourrait donner à la Chine l’agilité de proposer rapidement des solutions à de nouveaux problèmes de l’IA et de devenir un modèle pour les lois sur l’IA à l’échelle mondiale. Le risque pour la Chine est donc de manquer de stabilité dans son cadre juridique de l’IA. Ce qui pourrait laisser les entreprises dans des zones grises, sans visibilité, et entraver le développement et les investissements.
Ces trois juridictions ont choisi une direction sur la manière de réguler l’IA. Et en 2024, c’est toujours un sujet émergeant, en rapide évolution. J’étudierai plus en profondeur leur raisonnement et où cela peut nous mener dans mes futurs écrits. Mais je peux dire, aujourd’hui, qu’il sera plus difficile pour l’UE de fixer des normes mondiales sur la réglementation de l’IA que cela ne l’était pour la protection des données avec le RGPD.