Winston Maxwell, Directeur d’études droit et numérique à Télécom Paris, répond à nos questions.
Propos recueillis par Isabelle Mauriac.
Un accord a été trouvé à l’arraché sur le texte de l’IA Act le 8 décembre par les colégislateurs de l’UE. Comment encadrer le développement de l’intelligence artificielle sans brider l’innovation ? Que prévoit le texte sur les IA génératives ? Faut-il réguler la technologie et la recherche en tant que telles ou plutôt leurs usages ? Quels sont les risques propres aux IA génératives ? Et l’IA Act protègera-t-il contre les méga risques ?
Winston Maxwell, Directeur d’études droit et numérique à Télécom Paris, répond à nos questions.
Propos recueillis par Isabelle Mauriac.
D’abord, il y a de grandes zones de convergence. On a grosso modo un accord sur comment traiter les IA à haut risque avec les systèmes de gestion de risque, des documentations sur les sujets de transparence, d’explicabilité, etc. Néanmoins, il y a des poches de divergences assez fortes qui reflètent au fond la différence de perspective du Parlement européen et du Conseil européen. Le Parlement européen est beaucoup plus soucieux des droits fondamentaux qui sont mis en jeu par les systèmes d’IA. Le Conseil européen est peut-être plus soucieux de l’innovation, du leadership européen, la possibilité de créer des géants européens en matière d’IA. Et nécessairement, il y a une friction entre ces deux visions.
Cette friction est naturelle et saine. Une vision n’est pas meilleure que l’autre, les deux doivent coexister. Et cela se voit, notamment dans les discussions autour de l’IA générative.
On verra l’usage. Le bon compromis se verra au cas par cas lorsqu’il y a une décision du régulateur national ou une décision de la commission. Le compromis ne peut pas être décrété à haut niveau, c’est sur le terrain, dans chaque pays membre, que l’on verra comment la régulation est appliquée. Un des grands débats sur la table actuellement, est : faut-il réguler la technologie et la recherche en tant que telles ? Je crois que la France est opposée à l’idée qu’il faudrait imposer des contraintes réglementaires sur une technologie dans un labo mais qui n’est pas exploitée, alors que le Parlement européen parle des « modèles de fondation ». Ce terme, émanant de l’université de Stanford, désigne des technologies au stade du labo et publiées sur une plate-forme commune. Il faudrait que ces modèles répondent à certaines normes réglementaires. Donc, les discussions, à ma connaissance, achoppent sur ce point-là.
Oui, exactement. L’architecture d’origine de l’IA Act, c’est de se focaliser sur les usages, et pas sur la technologie en tant que telle. Donc, si on utilise l’IA dans un contexte à haut risque pour un usage de recrutement dans une entreprise ou pour accorder un prêt ou dans l’administration publique, bien sûr, cela va être considéré comme une application à haut risque et sera soumis à toute une panoplie d’obligations. En revanche, la technologie en tant que telle, on peut dire que c’est neutre, c’est comme un couteau, on ne va pas réguler un couteau en tant que tel, on va réguler l’utilisation du couteau.
C’est sûr. Il y a une complexité dans les surcouches de régulation. Plusieurs règlements européens interagissent tout le temps. Vous n’avez pas mentionné le RGPD, mais bien sûr, le RGPD régule déjà beaucoup ce qu’est l’IA. La CNIL et l’autorité travaillent depuis plusieurs années sur les cas d’IA pratiques. Donc, il y a déjà une régulation par le RGPD. Maintenant, le DSA va réguler les algorithmes qui sont utilisés par les plateformes pour, soit faire des recommandations de contenus, soit faire la modération de contenus, donc le filtrage de contenus illicites. Et là, effectivement, c’est très controversé en ce moment… comment voulez-vous qu’un algorithme fasse le tri entre ce qui est une couverture journalistique d’un événement horrible ou une propagande terroriste, par exemple ? Donc, les algorithmes essaient de faire un premier tri, mais ensuite ils envoient systématiquement à des modérateurs humains. C’est une tâche très difficile, mais c’est sûr que le DSA donne cette responsabilité aux grosses plateformes de faire en sorte que le nombre de contenus illicite diminue drastiquement.
L’avantage maintenant, c’est qu’on a une réglementation unique en Europe. Je me souviens, il y a une vingtaine d’années, il y avait autant de réglementations que de pays en Europe. Maintenant, avec le RGPD, avec le DSA et l’IA Act, il y a une seule réglementation. L’Europe peut parler d’une seule voix. La question est : ce bloc européen de réglementation peut-il être efficace à l’égard des grands acteurs américains ?
Si on peut s’appuyer sur l’expérience du RGPD, la réponse est oui, mais cela prend du temps. Pourquoi ? Parce que d’abord, il y a toujours des recours ; c’est normal, lorsqu’il y a une sanction ou une autorité qui dit qu’il faut couper tel ou tel service, ou qu’il faut modifier. Il y a toujours une discussion sur la territorialité de la réglementation européenne. Dans quelle mesure les règlements européens s’appliquent-ils aux activités de Meta aux États-Unis, par exemple? Cette discussion a lieu. Il y a encore des recours, cela monte à la Cour de Justice européenne, et à la fin, on arrive à avoir une zone Europe qui fait respecter sa réglementation. Je répète un peu le script de ce qu’on a vu avec le RGPD.
Oui, il ne faut pas donner l’impression qu’il n’y a aucune réglementation aux États-Unis. Même si ce sont de plus grands acteurs, qui attirent les investisseurs. Ils doivent, finalement, aussi se plier à des obligations de réglementation. C’est juste que la méthode y est différente. Récemment, pour les IA génératives, on a vu que le Maison Blanche s’active pour être sûre que toutes les lois existantes sur la protection des consommateurs et sur la lutte contre les discriminations sont appliquées avec beaucoup de vigueur à l’IA. On a vu, au niveau des agences et de l’utilisation de l’IA dans les services de l’État, que l’administration Biden a imposé des restrictions très fortes. Il y a un financement massif pour créer des bases de données et des labos qui adoptent les bonnes conduites. Le gouvernement américain utilise tous les pouvoirs de persuasion à sa disposition pour un peu tordre le bras des acteurs. C’est une autre forme de régulation. D’ailleurs, il y a eu une négociation entre le syndicat des scénaristes américains avec Hollywood. Ça a débouché sur un accord sur l’utilisation de l’IA générative. Il y a plein de leviers de réglementation. C’est juste qu’aux États-Unis, on n’a pas la même vision d’un règlement unique comme l’IA Act européen. C’est plus une approche pointilliste mais qui pousse quand même les acteurs de l’IA à adopter des principes qui sont similaires à ce qu’on veut imposer en Europe. Il y a une convergence autour des recommandations de l’OCDE adoptées à la fois par les États-Unis et par l’Europe.
Oui, tout à fait. Un des défis en Europe est l’abondance de réglementations actuelles, que ce soit en finance, en santé, dans le secteur automobile… qui traitent indirectement déjà de l’IA. Donc, l’IA Act va être une espèce de parapluie ou de filet de sécurité, selon comment vous le voyez, qui va boucher les trous. Mais la difficulté, c’est qu’il risque d’y avoir effectivement des exigences spécifiques, par exemple en matière de santé, bien sûr, et que ces exigences devront coexister avec la couche IA Act et RGPD. Effectivement, c’est un peu complexe.
Les entreprises vont mettre en place des systèmes de gouvernance. Cela va suivre un peu les systèmes de gouvernance qui existent dans les entreprises pour le RGPD : des contrôles, des audits, des process. On ne peut pas sortir un nouveau service fondé sur l’IA, sans qu’il y ait des audits ou des contrôles à différents niveaux.
Donc il n’y aura pas de difficulté pour les entreprises à comprendre la démarche de l’IA Act. Les banques le font déjà en réalité, à chaque fois qu’elles valident un nouvel algorithme pour un service bancaire, que ce soit IA ou pas. Il y a toute une panoplie d’autorisations, de tests, pour être sûr que cela n’expose à aucun risque. Après, ce qui est plus difficile, c’est de se libérer d’une technologie, peut-être américaine, qui émergerait comme la technologie incontournable. C’est effectivement un risque. On a vu en matière de moteur de recherche, par exemple, que, malgré tout, Google a le meilleur moteur de recherche. On peut craindre pour l’Europe, peut-être, que les meilleurs très grands modèles de langage seront des modèles qui émergent de Open AI ou un autre acteur américain. Et la question qui se pose est : essaye-t-on de développer nos propres modèles en Europe ? Est-ce faisable ? Ou est-ce voué à l’échec et faut-il se débrouiller autrement? Je n’ai pas la réponse à cette question.
Ce serait, surtout, d’avoir des approches interdisciplinaires au niveau des régulateurs nationaux, car ils vont appliquer tous ces règlements. Si les régulateurs nationaux ne se mettent pas ensemble avec une démarche pluridisciplinaire, cela ne fonctionnera pas bien. Je donne un exemple. Si, à la fois, il y a plusieurs acteurs, par exemple, la CNIL et une autre autorité, qui souhaitent réguler une application IA, mais qui ne se parlent pas, c’est une recette pour une régulation qui ne favorise pas l’innovation et qui sera un échec. Mais ce n’est pas du tout l’intention des autorités. Elles ont déjà mis en place, dans plusieurs pays, des équipes et des régulateurs qui travaillent ensemble.