Règlement IA : bataille perdue, mais horizon de conquête

Le Règlement européen européen sur l'Intelligence Artificielle (RIA pour la CNIL, ou "AI act") est applicable depuis le 1e août 2024 (selon un calendrier progressif, voir plus bas).

Face au 1e projet d'avril 2021, la coalition d'organisations de défense des droits humains #Protect Not Surveil (composée de l'EDRi [dont fait partie La Quadrature du Net], d'Amnesty International, Access Now, Algorithm Watch...) a mené un combat d'ampleur pour obtenir l'interdiction des IA utilisant la reconnaissance faciale en temps réel ou a posteriori, de celles permettant la police et la justice prédictive, l'usage de critères portant sur le genre ou la race, la notation automatisée, l’analyse comportementale (reconnaissance des émotions)...

La bataille menée par cette coalition, passée presque inaperçue en France (essentiellement relayée par Katia Roux, pour Amnesty), avait réussi à obtenir le vote d'un texte au Parlement européen qui reprenait l'essentiel de ses demandes en juin 2023 par 499 voix pour, 28 contre et 93 abstentions, soit à une très large majorité (avec cependant une restriction notable, celle de ne pas protéger les migrants, ce qui avait provoqué un appel en leur faveur de 151 organisations européennes).

Mais les Etats (au premier rang la France macroniste, qui aurait dû renoncer à la VSA...) ont obtenu le déclassement de certains dispositifs "interdits" vers seulement "réglementés", et beaucoup de droits d'exception, ce qui dénature le texte négocié avec le Parlement. La version finale de ce règlement n’interdira pas la surveillance biométrique de masse.

L'EDRi (Europan Digital Rights) garde comme objectif de long terme le texte négocié avec le Parlement. Par ailleurs, elle inventorie ci-dessous quelques axes de contestation qui pourraient y mener.

1er août 2024 : entrée en application du règlement

2 février 2025 : Interdictions relatives aux systèmes d’IA présentant des risques inacceptables.

2 août 2025 : application des règles pour les modèles d’IA à usage général, et nomination des autorités compétentes au niveau des États membres.

2 août 2026 : Toutes les dispositions du règlement sur l'IA deviennent applicables, notamment pour les systèmes d'IA à haut risque dans les domaines de la biométrie, des infrastructures critiques, de l'éducation, de l'emploi, de l'accès aux services publics essentiels, de l'application de la loi, de l'immigration et de l'administration de la justice.

2 août 2027 : application pour les jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l'aviation civile, véhicules agricoles, etc.

2. Quatre niveaux de risque (d'après la CNIL)

Le RIA propose une approche fondée sur les risques en classant les systèmes d’IA en quatre niveaux :

• Risque inacceptable : le RIA interdit un ensemble limité de pratiques contraires aux valeurs de l'Union européenne et aux droits fondamentaux.
  Exemples : la notation sociale, l’exploitation de la vulnérabilité des personnes, le recours à des techniques subliminales, l’utilisation par les services répressifs de l'identification biométrique à distance en temps réel dans des espaces accessibles au public, la police prédictive ciblant les individus, reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement.
• Haut risque : le RIA définit les systèmes d'IA comme étant à haut risque lorsqu’ils peuvent porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux ce qui justifie que leur développement soit soumis à des exigences renforcées (évaluations de conformité, documentation technique mécanismes de gestion des risques). Ces systèmes sont listés dans l’annexe I pour les systèmes intégrés dans des produits qui font déjà l’objet d’une surveillance de marché (dispositifs médicaux, jouets, véhicules, etc.) et dans l’annexe III pour les systèmes utilisés dans huit domaines spécifiques.
  Exemples : systèmes biométriques, des systèmes utilisés dans le recrutement, ou pour des usages répressifs.
• Risque spécifique en matière de transparence : le RIA soumet des systèmes d'IA à des obligations de transparence spécifiques, notamment en cas de risque manifeste de manipulation.
  Exemples : recours à des chatbots ou à la génération de contenu artificiel.
• Risque minimal : pour tous les autres systèmes d'IA, le RIA ne prévoit pas d’obligation spécifique. Il s’agit de la très grande majorité des systèmes d’IA actuellement utilisés dans l'UE ou susceptibles de l'être selon la Commission européenne.

L'entrée en vigueur le 1er août 2024 du réglement européen sur l'intelligence artificielle (RIA), est une étape administrative qui signale aux gouvernements et aux entreprises qu'ils doivent se préparer à respecter ces nouvelles règles. A défaut, ils s'exposent à des sanctions lorsqu'ils développent, vendent et utilisent des systèmes d'IA à risque dans l'UE.

L'Acte final (AI act) contient plusieurs pistes de revendication :

• exigences techniques accrues pour les développeurs de systèmes d'IA et règles de transparence pour les entités publiques utilisant ces systèmes, exigences d'accessibilité.
• mesures de réparation pour les personnes affectées, et lignes rouges contre le sous-ensemble d'utilisations les plus nuisibles et violant les droits.

Nous demandons instamment aux décideurs de veiller à :
1. La mise en œuvre respectueuse des droits du règlement sur l'IA au niveau européen et national :

• respecter la Charte des technologies interdites et à risque
• se soumettre aux autorités de contrôle indépendantes
• respecter les lignes directrices et les codes respectueux des droits humains promus par le règlement
• réaliser des évaluations d'impact sur les droits fondamentaux (EIDF).

2. Combler les lacunes laissées par ce règlement :

• mieux protéger les personnes en déplacement
• traiter les impacts environnementaux de l'IA
• supprimer les exemptions à des fins de sécurité nationale
• s'assurer que tous les systèmes (et pas seulement ceux à haut risque) sont accessibles aux personnes handicapées
• mettre fin à l'exportation de technologies d'IA violant les droits à partir de l'UE.

3. Des interdictions ou des limitations nationales supplémentaires concernant l'IA inacceptable et nuisible dans les cas où le règlement sur l'IA le permet, particulièrement nous appelons à l’interdiction de l’utilisation de systèmes d’identification biométrique à distance (RBI) comme la reconnaissance faciale publique.

4. L’arrêt rapide des utilisations non conformes de l’IA.

5. Des processus véritablement transparents et inclusifs. Les normes sont souvent opaques et privilégient les entités privées. Elles doivent être transparentes et inclure dans leur négociation des représentant.es de la société civile.

4. Nos articles sur des thèmes spécifiques d'application nuisible de l'IA

• pour les migrants (Face aux migrant·es, l'UE (et la France) systématisent l'IA, 02/11/2022),
• pour la surveillance de toutes et tous (L’IA act européen validé, un blanc-seing à la surveillance biométrique de masse, 03/04/2024),
• pour la guerre meurtrière (Gaza : tuerie par IA, 07/05/2024),
• contre les pauvres (Des IA pour traquer les pauvres, ces "fraudreurs", 21/08/2023),
• avec des conséquences écologiques majeures (Pollutions, captation d'eau, d'énergie... La faute à l'IA, 23/03/2024)

5. Nos articles sur le déroulement de la négociation

• L’IA act européen validé, un blanc-seing à la surveillance biométrique de masse (03/04/2024)
• Le règlement européen sur l’IA n’interdira pas la surveillance biométrique de masse (25/01/2024)
• IA act : compromis entre les Etats et le parlement de l'UE (10/12/2023)
• IA act : 151 organisations demandent à l'UE de respecter les droits humains, particulièrement ceux des migrant·es (19/08/2023)
• IA act au parlement UE en avril : recadrage ou promotion de l'IA partout ? (14/03/2023)