IA act : voté en commission avant le parlement UE

Ce projet de réglement européen (qui sera applicable dès sa promulgation dans tous les Etats de l'UE) aura bien sûr des conséquences économiques très lourdes pour tous les acteurs, d'où un processus très long et très disputé. Le texte initial a été avancé par la Commission Européenne dès avril 2021, et objet de beaucoup d'amendements (plus de 3000 à ce jour).

Une première étape importante vient d'être franchie ce 11 mai 2023 : celle du vote d'un texte "stabilisé" par deux commissions du parlement européen (LIBE, pour libertés civiles et IMCO, pour marché intérieur). Les étapes suivantes seront les votes en plénière du parlement (prévue le 14 juin), puis le "trilogue" des négociations entre le Parlement européen et le Conseil de l'UE (lieu de représentation des Etats). La commissaire européenne, Margrethe Vestager, espère une promulgation avant la fin 2023.

Ci-dessous état du texte après ce vote en commissions (analyse des juristes de l'EDRI, en anglais).

Définition de l'IA (c'est celle de l'OCDE qui a été retenue sous la pression des groupes conservateurs) : "un système d’intelligence artificielle est un système automatisé qui, pour un ensemble donné d’objectifs définis par l’homme, est en mesure d’établir des prévisions, de formuler des recommandations, ou de prendre des décisions influant sur des environnements réels ou virtuels." Ce type de définition est important car il cadre le champ d'application du texte.

Systèmes interdits (UNACCEPTABLE RISK)

D'après le projet de départ (d’avril 2021) :

  • Les systèmes établissant une "note sociale", qui classifient les personnes selon leur fiabilité, par exemple, et peuvent conduire à "un traitement préjudiciable ou défavorable" ;
  • Les systèmes d’identification biométrique à distance et en temps réel "dans des espaces accessibles au public à des fins répressives", y compris par les autorités ;
  • Les systèmes qui visent à manipuler par des techniques subliminales agissant sur l’inconscient ;
  • Les systèmes ciblant les personnes vulnérables comme les enfants ou les personnes handicapées.

Suite aux votes : est confirmée l'interdiction de "l'identification biométrique à distance", c'est-à-dire de la surveillance des citoyens dans les lieux publics avec la reconnaissance faciale et autres systèmes d'IA (décision très importante qui devrait permettre de revenir sur au moins une partie du texte français sur les JO 2024, précédent européen dénoncé par l'EDRI).

Autre vote : l'interdiction de la catégorisation biométrique et de la reconnaissance des émotionsDe tels systèmes sont utilisés en Chine pour réprimer les Ouïghours et en Iran pour contrôler le code vestimentaire de la brigade des mœurs.

Par ailleurs, le texte prévoit aussi d'interdire les "systèmes de police prédictive", lesquels avaient fait l'objet d'un appel spécifique de l'EDRI, signé par quarante organisations de défense des droits humains.

En revanche, l'EDRI dénonce le fait que les droits des migrants ne seront pas protégés contre une surveillance discriminatoire car ne sont pas inclus dans la liste des pratiques interdites l'usage de l'IA pour faciliter les refoulements illégaux, ou pour profiler des personnes de manière discriminatoire (protestation portée par 195 organisations européennes).

"Le Parlement envoie un message d'importance mondiale aux gouvernements et aux développeurs d'IA avec sa liste d'interdictions, se rangeant du côté des demandes de la société civile selon lesquelles certaines utilisations de l'IA sont tout simplement trop nocives pour être autorisées. Malheureusement, le soutien du Parlement européen aux droits des personnes s'arrête avant de protéger les migrants contre les méfaits de l'IA." Sarah Chander, conseillère politique EDRi

Systèmes fortement réglementés (HIGH RISK)

Ayant une "incidence préjudiciable significative sur la santé, la sécurité et les droits fondamentaux des citoyens", comme les machines médicales, les systèmes de reconnaissance faciale ou les voitures autonomes...

Ces IA, classifiées comme très risquées, seront autorisées sous réserve de contrôles effectués par des agences nationales (la CNIL en France ?).

L'arbitrage de la CNIL, on l'a vu dans l'actualité récente, n'est pas une très forte garantie...

Par ailleurs, les observatrices de l'EDRI s'inquiètent du changement de définition de "risque élevé" qui offre un échappatoire aux développeurs d'IA, les incitant à "sous-classer" leurs applications pour échapper aux exigences législatives au détriment des droits des personnes.

"Malheureusement, le Parlement propose des changements très inquiétants concernant ce qui est considéré comme une IA "à haut risque". Avec les modifications apportées au texte, les développeurs pourront décider si leur système est suffisamment "significatif" pour être considéré comme à haut risque, un drapeau rouge majeur pour l'application de cette législation". Sarah Chander, conseillère politique EDRi

Systèmes présentant des "risques spécifiques de manipulation" (LIMITED RISK)

Systèmes qui intéragissent avec des humains et sont utilisés pour analyser des émotions ou identifier des catégories sociales grâce à des données biométriques, ou génèrent des contenus tels que des "trucages vidéo ultra-réalistes".

Ils devront être assortis d’obligations de transparence spécifiques, en l’occurrence, un avertissement sur le fait que leur contenu est "généré par des moyens automatisés" »".

C'est par exemple le cas du logiciel Midjourney qui génère de fausses images d’actualité, lesquelles avaient été prises à tort par certains internautes pour de vrais clichés. Cela concernerait aussi ChatGPT.

Ce type d'avertissement protège-t-il vraiment, ou sera-t-il détourné comme pub de promo pour les IA grand public ?

Systèmes autorisés sans réserve (MINIMAL RISK)

Tous les autres types d’IA ne nécessiteront pas d’évaluation ou de mesures particulières. C’est le cas, par exemple, des objets connectés recourant à l’IA. Ces systèmes devront simplement respecter les droits fondamentaux et la loi européenne, et en particulier le Règlement général sur la protection des données (RGPD).

Règles spécifiques sur les IA génératives (ChatGPT...)

Parmi les amendements ajoutés au texte une disposition impose que toutes les IA génératives comme ChatGPT, Midjourney... divulguent quels contenus protégés par des droits d’auteurs elles ont utilisés pour entraîner leur modèle de langage (copyright du matériel d’entraînement).

Les modèles d’IA génératives devront aussi être testés pour atténuer les risques prévisibles concernant la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et la loi, en impliquant des experts indépendants, rapporte Computerworld.com. Les dangers non évitables devront être décrits dans une documentation précise.

Une réponse sur « IA act : voté en commission avant le parlement UE »