AI Series 1: La loi européenne sur l'intelligence artificielle est presque prête!

Le 8 décembre 2023, après trois jours de débat, le Parlement européen et le Conseil de l'Union européenne sont parvenus à un accord provisoire sur la proposition de règlement établissant des règles harmonisées concernant l'intelligence artificielle (le soi-disant Acte sur l'IA). Un vote final du Parlement européen sur la loi sur l'IA a eu lieu le 13 mars 2024. Étant donné que les commissions du Parlement européen sur le marché intérieur et la protection des consommateurs (IMCO) et sur les libertés civiles, la justice et les affaires intérieures (LIBE) ont largement soutenu le texte proposé, une approbation formelle par le Parlement européen est attendue prochainement. Il devrait être adopté au printemps 2024, une fois définitivement approuvé par le Parlement européen et le Conseil de l'Union européenne.

Quelle est la pertinence de cette loi pour la Suisse et ses entreprises?

Les fournisseurs d'IA suisses, qui envisagent de mettre sur le marché ou en service des systèmes d'IA au sein de l'UE, relèvent du champ d'application territorial de la loi sur l'IA. Étant donné que beaucoup, sinon la plupart des offres d'IA sont accessibles en ligne (via un site web ou via le cloud), de nombreux fournisseurs d'IA suisses tomberont rapidement sous l'examen de la loi sur l'IA. Celle-ci s'appliquera également aux fournisseurs et utilisateurs d'IA suisses si les résultats produits par le système d'IA sont ensuite utilisés dans l'UE. De plus, beaucoup de fournisseurs d'IA suisses développeront probablement leurs produits non seulement pour la Suisse. Par conséquent, les nouvelles normes européennes de la loi sur l'IA. devraient également devenir habituelles en Suisse à long terme.

Comment la Suisse réagira-t-elle ?

Par le passé, la Suisse a été plutôt prudente en ce qui concerne la réglementation juridique dans le domaine des affaires numériques. En particulier, dans le monde de l'IA, sa position a jusqu'à présent été de ne pas réglementer spécifiquement l'IA en tant que phénomène global, mais plutôt avec une approche basée sur des principes et une réglementation sectorielle "au besoin". Par exemple, les règles sur les voitures à conduite automatisée et d'autres outils d'IA similaires sont régies par des statuts de sécurité routière et soumises aux autorités de régulation sectorielles, tandis que les règles sur la prise de décision automatisée des entreprises sont régies par la loi suisse révisée sur la protection des données et d'autres phénomènes sont régis dans d'autres domaines spécifiques (par exemple, les outils d'évaluation humaine basés sur l'IA peuvent également être régis par les lois sur le travail et soumis à un examen par les autorités publiques de surveillance de l'emploi). La logique sous-jacente de cette approche est d'éviter l'inflation des procédures bureaucratiques en confiant la gestion des risques liés à l'IA à l'autorité sectorielle la plus compétente, plutôt qu'à une autorité générale chargée de traiter tous les risques et problèmes simultanément. En outre, comme la technologie tend à se développer et à changer rapidement, la Suisse favorise des lois "neutres en matière de technologie". Elles restent adaptables aux nouveaux développements techniques et continuent d'appliquer des principes généraux aux nouveaux phénomènes en évolution. Cela réduit la nécessité de réviser les lois à maintes reprises car elles deviennent rapidement obsolètes. Néanmoins, il ne fait aucun doute que la loi européenne sur l'IA aura un impact significatif sur le territoire suisse sur une base factuelle, c'est-à-dire l'établissement d'une norme européenne que la plupart des entreprises chercheront à atteindre. Il est probable qu'une loi similaire sur la réglementation de l'IA pourrait également entrer en vigueur ici au fil du temps, mais il est trop tôt pour faire des prédictions à ce sujet.

Comment la loi sur l'IA tente-t-elle de réglementer l'intelligence artificielle ?

L'élément central de la loi sur l'IA est une approche basée sur les risques qui implique diverses exigences et interdictions en fonction des capacités et des risques potentiels. Plus le risque d'un système d'IA pour la santé, la sécurité ou les droits fondamentaux des individus est élevé, plus les exigences réglementaires sont strictes. La loi sur l'IA catégorise donc les applications d'IA en différentes catégories de risques avec différentes conséquences :

• Risque inacceptable (par exemple, le scoring social) - l'utilisation des systèmes d'IA correspondants est interdite.
• Risque élevé (par exemple, les systèmes d'IA qui doivent être utilisés pour l'identification biométrique des personnes physiques ou pour l'évaluation des examens).
• Risque limité ou nul (par exemple, un filtre anti-spam).

Suisse

Topic

New Media & Technologies

L'approche réglementaire de la loi sur l'IA consiste essentiellement à (i) interdire les systèmes d'IA présentant des risques inacceptables, à (ii) autoriser les systèmes d'IA présentant des risques élevés à condition d'appliquer certaines garanties (par exemple, des évaluations de conformité, des systèmes de gestion des risques, une documentation technique, des obligations de conservation des enregistrements, la transparence et l'information des utilisateurs, la surveillance humaine, la précision, la robustesse et la cybersécurité, des systèmes de gestion de la qualité, le signalement des incidents graves et des dysfonctionnements, des critères de qualité pour les ensembles de données d'entraînement, de validation et de test) et (iii) les systèmes d'IA à risque limité ou nul doivent généralement être considérés comme autorisés. Inutile de dire que la qualification des risques inacceptables et des risques élevés de l'IA a le potentiel de mener à des discussions sans fin. C'est pour cette raison que la loi sur l'IA tente de fournir une certaine clarté basée sur les piliers suivants :

Définition des systèmes d'IA

Les membres responsables du parlement ont convenu d'une définition, harmonisée avec la définition future qui sera utilisée par l'OCDE :

Art. 3(1) Loi sur l'IA : "système d'intelligence artificielle" (système d'IA) désigne un système basé sur une machine conçu pour fonctionner avec des degrés d'autonomie variables et pouvant générer des résultats tels que des prédictions, des recommandations ou des décisions qui affectent des environnements physiques ou virtuels à des fins explicites ou implicites."

Pour qu'un système d'IA relève du champ d'application de la loi sur l'IA, le système doit donc avoir un certain degré d'autonomie, c'est-à-dire une indépendance par rapport à l'opérateur humain ou à l'influence humaine.

Systèmes d'IA à haut risque : niveaux supplémentaires pour la catégorisation

Une liste complète des systèmes d'IA à haut risque est énumérée à l'annexe III de la loi sur l'IA. Le législateur a maintenant ajouté une condition matérielle supplémentaire, à savoir qu'un système d'IA à haut risque ne doit être considéré comme critique que s'il pose également un risque significatif pour la santé, la sécurité ou les droits fondamentaux. Ce risque peut découler de la gravité, de l'intensité, de la probabilité de violations et de la durée de ses effets pour un individu, un grand nombre de personnes ou un groupe spécifique de personnes. Si un système d'IA relève de l'annexe III et que le fournisseur d'IA estime qu'il n'y a pas de risque significatif, il doit en informer l'autorité de surveillance compétente qui dispose de trois mois pour soulever des objections. Les systèmes peuvent être introduits sur le marché avant l'expiration de ces trois mois, mais si l'évaluation s'avère incorrecte, le fournisseur peut être sanctionné.

Systèmes d'IA interdits : liste étendue

L'utilisation de logiciels d'identification biométrique est interdite. Selon le texte actuel de la loi, un tel logiciel de reconnaissance ne peut être utilisé qu'en cas d'infractions pénales graves et avec une approbation judiciaire préalable. L'utilisation de logiciels de reconnaissance des émotions assistés par l'IA dans les domaines de l'application de la loi, de la gestion des frontières, du lieu de travail et de l'éducation est également interdite. De plus, les "techniques intentionnellement manipulatrices ou trompeuses" sont interdites. Cette interdiction ne s'applique pas aux systèmes d'IA utilisés à des fins thérapeutiques autorisées sur la base d'un consentement éclairé et explicite. Enfin, l'interdiction de la police prédictive (algorithmes pour prédire les crimes ou le risque de récidive des délinquants) a également été étendue des infractions pénales aux cas de délits.

Règles plus strictes pour les modèles de fondation et les IA à usage général

La montée en puissance de ChatGPT et d'autres systèmes d'IA générative a incité le législateur à vouloir également réglementer les "systèmes d'IA à usage général" (GPAI) et les "modèles de fondation", c'est-à-dire des systèmes d'IA sans objectif spécifique en tête (les objectifs peuvent varier en fonction de leur utilisation).

Le texte de compromis actuel ne catégorise pas les GPAI comme étant à haut risque en soi. Ce n'est que si les fournisseurs intègrent les GPAI dans leurs systèmes d'IA qui sont eux-mêmes considérés comme à haut risque que les exigences strictes de la catégorie à haut risque devraient également s'appliquer aux GPAI. Dans ce cas, les fournisseurs devraient également soutenir les distributeurs de systèmes d'IA en aval pour se conformer aux réglementations en fournissant des informations et une documentation sur le modèle d'IA respectif.

Des exigences plus strictes sont également suggérées pour les modèles de fondation, telles que la gestion des risques, la gestion de la qualité, la gestion des données, la sécurité et la cybersécurité ainsi que le degré de robustesse d'un modèle de fondation. La loi sur l'IA régit les obligations des fournisseurs de modèles de fondation, que ce soit fourni en tant que modèle autonome ou intégré dans un système d'IA, sous des licences libres et open source, par déploiement sur site ou en tant que service ou via d'autres canaux de distribution. En plus d'un certain nombre d'obligations de transparence détaillées, les fournisseurs de modèles de fondation sont également tenus de fournir un résumé "suffisamment détaillé" de l'utilisation des données d'entraînement protégées par le droit d'auteur. Il n'est pas encore clair comment cela sera mis en œuvre, notamment en raison de l'ampleur des ensembles de données utilisés pour entraîner des systèmes comme OpenAI et ChatGPT, qui ont été formés sur plus de 570 Go de données textuelles.

Établissement d'un bureau de l'IA

Les deux commissions parlementaires européennes ont convenu que l'architecture de mise en œuvre de la loi sur l'IA devrait idéalement inclure un élément central pour soutenir une application harmonisée de la loi sur l'IA. Pour cette raison, la création d'un bureau de l'IA de l'UE a été proposée. Les tâches de ce bureau sont expliquées plus en détail dans la loi sur l'IA.

Six principes de l'IA

Enfin, la loi sur l'IA contient des "Principes généraux applicables à tous les systèmes d'IA". Tous les acteurs couverts par la loi sur l'IA doivent développer et utiliser des systèmes d'IA et des modèles de fondation conformément aux six "principes de l'IA" suivants :

• Comportement et contrôle humain : les systèmes d'IA doivent servir les humains et respecter la dignité humaine et l'autonomie personnelle, et fonctionner de manière à pouvoir être contrôlés et surveillés par des humains.
• Robustesse technique et sécurité : les dommages involontaires et inattendus doivent être minimisés et les systèmes d'IA doivent être robustes en cas de problèmes involontaires.
• Protection des données et gouvernance des données : les systèmes d'IA doivent être développés et utilisés conformément aux réglementations sur la protection des données.
• Transparence : la traçabilité et l'explicabilité doivent être possibles et les personnes doivent être informées qu'elles interagissent avec un système d'IA.
• Diversité, non-discrimination et équité : les systèmes d'IA doivent inclure différents acteurs et promouvoir l'égalité d'accès, l'égalité des sexes et la diversité culturelle, et éviter les effets discriminatoires.
• Bien-être social et environnemental : les systèmes d'IA doivent être durables et respectueux de l'environnement et être développés et utilisés pour le bénéfice de tous les individus.

Nos experts, basés dans nos deux Etudes en Suisse, seront ravis de vous accompagner dans l'exploration de la loi sur l'IA et de ses implications pour votre entreprise, en vous fournissant des conseils adaptés et sur mesure.