Winston Maxwell, Directeur d’études droit et numérique à Télécom Paris, répond à nos questions.

Propos recueillis par Isabelle Mauriac.

À écouter en podcast

Et à lire

—Winston, en tant que spécialiste de la question de la régulation de l’IA, vous avez suivi le long cheminement de l’IA Act dont nous allons parler aujourd’hui. On a vu lors des discussions autour de ce texte des divergences entre le Conseil et le Parlement européen sur la régulation des IA génératives ainsi qu’entre pays européens. Quelles sont ces divergences ?

D’abord, il y a de grandes zones de convergence. On a grosso modo un accord sur comment traiter les IA à haut risque avec les systèmes de gestion de risque, des documentations sur les sujets de transparence, d’explicabilité, etc. Néanmoins, il y a des poches de divergences assez fortes qui reflètent au fond la différence de perspective du Parlement européen et du Conseil européen. Le Parlement européen est beaucoup plus soucieux des droits fondamentaux qui sont mis en jeu par les systèmes d’IA. Le Conseil européen est peut-être plus soucieux de l’innovation, du leadership européen, la possibilité de créer des géants européens en matière d’IA. Et nécessairement, il y a une friction entre ces deux visions.

Cette friction est naturelle et saine. Une vision n’est pas meilleure que l’autre, les deux doivent coexister. Et cela se voit, notamment dans les discussions autour de l’IA générative.

—Et donc selon vous, est-on arrivé là à un bon compromis pour ne pas trop brider l’innovation d’un côté, les start-up européennes de la recherche en IA, et garantir de l’autre côté une régulation suffisante ?

On verra l’usage. Le bon compromis se verra au cas par cas lorsqu’il y a une décision du régulateur national ou une décision de la commission. Le compromis ne peut pas être décrété à haut niveau, c’est sur le terrain, dans chaque pays membre, que l’on verra comment la régulation est appliquée. Un des grands débats sur la table actuellement, est : faut-il réguler la technologie et la recherche en tant que telles ? Je crois que la France est opposée à l’idée qu’il faudrait imposer des contraintes réglementaires sur une technologie dans un labo mais qui n’est pas exploitée, alors que le Parlement européen parle des « modèles de fondation ». Ce terme, émanant de l’université de Stanford, désigne des technologies au stade du labo et publiées sur une plate-forme commune. Il faudrait que ces modèles répondent à certaines normes réglementaires. Donc, les discussions, à ma connaissance, achoppent sur ce point-là.

—Et c’est vrai que la France argue que les modèles de fondation seront soumis à des obligations fortes s’ils sont utilisés par les entreprises pour des usages à haut risque. Par exemple la conduite autonome, les notations d’examen, du tri de CV, diagnostic de santé, etc. Donc là aussi, il y aurait une gestion un peu différente en fonction de la régulation, donc en fonction du risque ?

Oui, exactement. L’architecture d’origine de l’IA Act, c’est de se focaliser sur les usages, et pas sur la technologie en tant que telle. Donc, si on utilise l’IA dans un contexte à haut risque pour un usage de recrutement dans une entreprise ou pour accorder un prêt ou dans l’administration publique, bien sûr, cela va être considéré comme une application à haut risque et sera soumis à toute une panoplie d’obligations. En revanche, la technologie en tant que telle, on peut dire que c’est neutre, c’est comme un couteau, on ne va pas réguler un couteau en tant que tel, on va réguler l’utilisation du couteau.

—De façon plus globale, la régulation de l’IA est aussi au cœur de l’actualité avec la mise en avant des défaillances de modération de X-Twitter à l’occasion du conflit israélo-palestinien et de la lenteur des enquêtes et des sanctions européennes en application du DSA. D’ailleurs, on a parlé d’IACT, en plus, le DSA et le DMA viennent d’être adoptés. Avec tout ça, ne peut-on pas parler de mille-feuilles réglementaire ?

C’est sûr. Il y a une complexité dans les surcouches de régulation. Plusieurs règlements européens interagissent tout le temps.  Vous n’avez pas mentionné le RGPD, mais bien sûr, le RGPD régule déjà beaucoup ce qu’est l’IA. La CNIL et l’autorité travaillent depuis plusieurs années sur les cas d’IA pratiques. Donc, il y a déjà une régulation par le RGPD. Maintenant, le DSA va réguler les algorithmes qui sont utilisés par les plateformes pour, soit faire des recommandations de contenus, soit faire la modération de contenus, donc le filtrage de contenus illicites. Et là, effectivement, c’est très controversé en ce moment… comment voulez-vous qu’un algorithme fasse le tri entre ce qui est une couverture journalistique d’un événement horrible ou une propagande terroriste, par exemple ? Donc, les algorithmes essaient de faire un premier tri, mais ensuite ils envoient systématiquement à des modérateurs humains. C’est une tâche très difficile, mais c’est sûr que le DSA donne cette responsabilité aux grosses plateformes de faire en sorte que le nombre de contenus illicite diminue drastiquement.

—Mais de ce fait, le principal problème est moins l’abondance de réglementation que les différences selon les zones géographiques : on se retrouve en face de plateformes, américaines le plus souvent, mais à diffusion internationale et donc dont la régulation est compliquée par zones géographiques ?

L’avantage maintenant, c’est qu’on a une réglementation unique en Europe. Je me souviens, il y a une vingtaine d’années, il y avait autant de réglementations que de pays en Europe. Maintenant, avec le RGPD, avec le DSA et l’IA Act, il y a une seule réglementation. L’Europe peut parler d’une seule voix. La question est : ce bloc européen de réglementation peut-il être efficace à l’égard des grands acteurs américains ?

Si on peut s’appuyer sur l’expérience du RGPD, la réponse est oui, mais cela prend du temps. Pourquoi ? Parce que d’abord, il y a toujours des recours ; c’est normal, lorsqu’il y a une sanction ou une autorité qui dit qu’il faut couper tel ou tel service, ou qu’il faut modifier. Il y a toujours une discussion sur la territorialité de la réglementation européenne. Dans quelle mesure les règlements européens s’appliquent-ils aux activités de Meta aux États-Unis, par exemple? Cette discussion a lieu. Il y a encore des recours, cela monte à la Cour de Justice européenne, et à la fin, on arrive à avoir une zone Europe qui fait respecter sa réglementation. Je répète un peu le script de ce qu’on a vu avec le RGPD.

—Et côté régulation, c’est vrai qu’on en parle moins, l’Europe est en avance, mais n’est pas la seule à prendre des mesures. Il est vrai que les États-Unis ont pris des mesures de régulation ?

Oui, il ne faut pas donner l’impression qu’il n’y a aucune réglementation aux États-Unis. Même si ce sont de plus grands acteurs, qui attirent les investisseurs. Ils doivent, finalement, aussi se plier à des obligations de réglementation. C’est juste que la méthode y est différente. Récemment, pour les IA génératives, on a vu que le Maison Blanche s’active pour être sûre que toutes les lois existantes sur la protection des consommateurs et sur la lutte contre les discriminations sont appliquées avec beaucoup de vigueur à l’IA. On a vu, au niveau des agences et de l’utilisation de l’IA dans les services de l’État, que l’administration Biden a imposé des restrictions très fortes. Il y a un financement massif pour créer des bases de données et des labos qui adoptent les bonnes conduites. Le gouvernement américain utilise tous les pouvoirs de persuasion à sa disposition pour un peu tordre le bras des acteurs. C’est une autre forme de régulation. D’ailleurs, il y a eu une négociation entre le syndicat des scénaristes américains avec Hollywood. Ça a débouché sur un accord sur l’utilisation de l’IA générative. Il y a plein de leviers de réglementation. C’est juste qu’aux États-Unis, on n’a pas la même vision d’un règlement unique comme l’IA Act européen. C’est plus une approche pointilliste mais qui pousse quand même les acteurs de l’IA à adopter des principes qui sont similaires à ce qu’on veut imposer en Europe. Il y a une convergence autour des recommandations de l’OCDE adoptées à la fois par les États-Unis et par l’Europe.

—Vous parlez des scénaristes et de Hollywood. Il y a une réglementation nationale, des gardes-fous, puis les applications sectorielles. Au niveau français, on imagine qu’il y a déjà et qu’il y aura toujours des réglementations sectorielles ?

Oui, tout à fait. Un des défis en Europe est l’abondance de réglementations actuelles, que ce soit en finance, en santé, dans le secteur automobile… qui traitent indirectement déjà de l’IA. Donc, l’IA Act va être une espèce de parapluie ou de filet de sécurité, selon comment vous le voyez, qui va boucher les trous. Mais la difficulté, c’est qu’il risque d’y avoir effectivement des exigences spécifiques, par exemple en matière de santé, bien sûr, et que ces exigences devront coexister avec la couche IA Act et RGPD. Effectivement, c’est un peu complexe.

—Vous parliez au début des entreprises qui sont responsables de leurs propre régulation. Nos entreprises françaises et européennes sont-elles prêtes aujourd’hui à mettre en place une gouvernance de l’IA? On voit que les entreprises européennes ont majoritairement recours aux solutions proposées par des prestataires américains, ce qui préoccupe d’ailleurs nos gouvernements sur les questions de souveraineté numérique, et Chat GPT en est l’illustration. Les entreprises sont-elles prêtes ?

Les entreprises vont mettre en place des systèmes de gouvernance. Cela va suivre un peu les systèmes de gouvernance qui existent dans les entreprises pour le RGPD : des contrôles, des audits, des process. On ne peut pas sortir un nouveau service fondé sur l’IA, sans qu’il y ait des audits ou des contrôles à différents niveaux.

Donc il n’y aura pas de difficulté pour les entreprises à comprendre la démarche de l’IA Act. Les banques le font déjà en réalité, à chaque fois qu’elles valident un nouvel algorithme pour un service bancaire, que ce soit IA ou pas. Il y a toute une panoplie d’autorisations, de tests, pour être sûr que cela n’expose à aucun risque. Après, ce qui est plus difficile, c’est de se libérer d’une technologie, peut-être américaine, qui émergerait comme la technologie incontournable. C’est effectivement un risque. On a vu en matière de moteur de recherche, par exemple, que, malgré tout, Google a le meilleur moteur de recherche. On peut craindre pour l’Europe, peut-être, que les meilleurs très grands modèles de langage seront des modèles qui émergent de Open AI ou un autre acteur américain. Et la question qui se pose est : essaye-t-on de développer nos propres modèles en Europe ? Est-ce faisable ? Ou est-ce voué à l’échec et faut-il se débrouiller autrement? Je n’ai pas la réponse à cette question.

—S’il y avait encore un effort à faire du côté de la régulation européenne, quel serait-il ?

Ce serait, surtout, d’avoir des approches interdisciplinaires au niveau des régulateurs nationaux, car ils vont appliquer tous ces règlements. Si les régulateurs nationaux ne se mettent pas ensemble avec une démarche pluridisciplinaire, cela ne fonctionnera pas bien. Je donne un exemple. Si, à la fois, il y a plusieurs acteurs, par exemple, la CNIL et une autre autorité, qui souhaitent réguler une application IA, mais qui ne se parlent pas, c’est une recette pour une régulation qui ne favorise pas l’innovation et qui sera un échec. Mais ce n’est pas du tout l’intention des autorités. Elles ont déjà mis en place, dans plusieurs pays, des équipes et des régulateurs qui travaillent ensemble.