AI Act : comment l’Europe veut réguler l’intelligence artificielle, une conversation avec Dragos Tudorache

Quels ont été les principaux sujets de négociation lors du dernier trilogue sur l’AI Act ? Quelles sont les principales conclusions à en tirer ?

Dragos Tudorache

Nous avons discuté de plusieurs points avec l’idée d’avancer vers une conclusion claire pour certains et d’initier un débat sur d’autres afin de comprendre les positions des deux co-législateurs (Parlement européen et le Conseil de l’Union européenne) en vue de trouver un compromis. Nous avons également approuvé un certain nombre de dispositions qui avaient été travaillées sur le plan technique et que nous avions convenu de clôturer sur le plan politique.

D’abord, nous avons donné un mandat à des équipes techniques pour trouver des solutions concrètes sur des points liés à l’article 6 relatif au mécanisme de sélection des applications à haut risque de l’IA¹ : comment déterminer les usages dans des domaines comme ceux de la santé, la sécurité ou l’espace public pour lesquels l’IA ne poserait pas un risque élevé ? Pour ces usages, les développeurs n’auraient pas à se conformer au plus haut niveau de d’exigences tels que décrits par le texte. Le Parlement et le Conseil avaient proposé des mécanismes de sélection différents et nous avons convenu politiquement de rechercher une solution alternative à celles proposées à la fois par le Conseil et par nous (le Parlement) pour essayer de trouver une voie médiane. Nous nous sommes donc mis d’accord et nous avons mandaté la Commission pour trouver un terrain d’entente. Nous avons discuté d’une solution et nous avons chargé les équipes techniques de travailler sur les critères à appliquer. 

Nous avons également discuté de l’annexe 3, qui présente la liste des cas d’usage à haut risque. Nous avons réalisé que pour la majorité des cas d’usages inscrits dans l’annexe, il peut y avoir un accord facile entre le Parlement et le Conseil : nous avons des formulations très proches concernant les cas d’usage à haut risque sur l’emploi, sur l’éducation, sur la banque, ou sur l’assurance. Bien sûr, nous devons continuer à travailler sur certains domaines : nous n’avons pas encore de consensus sur les cas d’usage à haut risque de l’IA dans la justice, l’immigration ou la gestion des frontières. Ces domaines feront l’objet d’un travail plus approfondi dans les prochaines semaines. Nous avons également eu un débat exploratoire sur les trois grands blocs politiques restants : les foundation models² et l’IA générative, le type de gouvernance qu’on veut avoir pour ce texte et plus généralement sur l’application et l’exécution de l’AI Act. 

Nous rediscuterons de tous ces points lors du prochain trilogue qui aura lieu le 24 octobre où nous essaierons d’avoir un accord politique large. Nous tenterons de mettre en relation tous les points politiques restants pour trouver un compromis global. Ce compromis est possible mais pas garanti. Le trilogue du 24 octobre sera tout à fait décisif pour la clôture des négociations. 

Nous avons vu la façon dont l’irruption de l’IA générative au début de l’année a perturbé la proposition de loi européenne sur l’IA. Comment peut-on se doter de règles pérennes dans le temps lorsque que l’on régule une technologie aussi imprévisible ?

Cette question ne concerne pas uniquement l’IA générative mais est liée plus généralement à l’ensemble du texte. Certaines obligations contenues dans le texte sont conçues pour résister à l’épreuve du temps du fait de leur rédaction et de ce qu’elles représentent : elles sont en quelque sorte indifférentes à l’évolution de la technologie. Par exemple, les obligations liées à la transparence, à l’explicabilité ou à la gouvernance des données sont d’une certaine manière neutres par rapport à l’évolution de la technologie. Peu importe que vous ayez une application d’IA qui utilise aujourd’hui cent millions de paramètres et que dans six mois vous en ayez une qui utilise un million de paramètres et qui soit plus complexe, plus sophistiquée, vous devrez toujours être transparent, par exemple, sur les ensembles de données d’entraînement, etc. 

Bien sûr, d’autres éléments du texte sont liés à la technologie elle-même. Par exemple, en ce moment nous avons une discussion sur la possibilité de nuancer la définition très large que nous avons des foundation models. Nous avons donné un mandat aux équipes techniques et à la commission pour explorer cette voie. Nous en sommes donc au stade où nous essayons de voir comment nous pouvons différencier les foundation models dans le cadre de cette définition générale. En raison de leurs caractéristiques, certains types de modèles, bien qu’étant aujourd’hui inclus dans notre définition des foundation models et donc soumis aux obligations contraignantes pour les développeurs, ne présentent pas les mêmes risques. Ils ne devraient donc pas être soumis au même type d’obligations que les modèles les plus avancés. Mais la question clé est de savoir comment définir les critères. Ces modèles sont très susceptibles d’évoluer au fur et à mesure que la technologie évolue. Comment les définir et s’assurer que la définition résiste à l’épreuve du temps ? 

Nous allons faire ici ce que nous avons fait dans d’autres parties du texte : nous établissons des actes de mise en œuvre via une future gouvernance qui aura pour mandat de mettre en œuvre la loi et de réviser ses modalités d’application en fonction de l’évolution de la technologie. Cet effort se fera en synchronisation avec les parties prenantes : celles qui développent ; celles qui utilisent ; et celles qui peuvent réellement apporter des informations importantes. Je pense donc qu’avec ces deux éléments, la neutralité de certaines règles et obligations par rapport à la technologie d’une part, et la flexibilité via la gouvernance d’autre part, nous pouvons garantir que le texte restera valide, pertinent et applicable, quelle que soit l’évolution de la technologie. 

Les mécanismes de délibération européens ont-ils été suffisamment efficaces pour pouvoir prendre en compte les voix de la société civile, des PME et des startups au cours d’un processus législatif aussi technique que celui de l’AI Act ?

Je pense que nous avons prouvé l’efficacité de ces mécanismes en dépit de la perception que les gens ont de l’Union et des structures de prise de décision : très complexes et parfois lourdes et lentes. Mais regardez-nous : nous sommes la première juridiction au monde prête à légiférer. Aussi lent, complexe et lourd que cela puisse être, nous avons eu la clairvoyance de commencer à nous préparer il y a déjà plusieurs années, alors que d’autres ne prêtaient pas attention à l’IA. Aujourd’hui, tout en suivant nos procédures, nous sommes arrivés à un stade où nous sommes les premiers au monde à adopter des règles complètes sur l’IA. Je pense que c’est important à noter. En ce qui concerne le processus de délibération, je pense que depuis le tout premier moment où la Commission a conçu ce texte, le processus a été plus ouvert que pour presque n’importe quel autre texte législatif que je connaisse. Je ne connais pas beaucoup de textes législatifs qui aient été préparés à l’avance avec le type de processus que la Commission a mis en place avec le livre blanc. Je pense qu’il y a eu près de neuf mois de consultation avec les parties prenantes où tout le monde pouvait envoyer ses contributions, ses idées, ses commentaires au livre blanc. Ceux-ci ont été pris en compte lorsque la Commission a rédigé son premier projet. Il y a donc déjà eu une première vague où toutes les parties prenantes possibles (industrie, mais aussi la société civile, le monde universitaire, les chercheurs, les associations, les syndicats.) ont pu contribuer à tous les angles possibles.

Parallèlement à ce processus, nous avons créé une commission spéciale sur l’intelligence artificielle au sein du Parlement, qui a produit un rapport spécial à la fin du processus. Nous avons organisé des auditions, des ateliers et des voyages d’étude virtuels qui nous ont permis d’entrer en contact avec une base très large de parties prenantes et d’obtenir leur avis sur les garanties à mettre en place dans la future législation, mais aussi sur l’IA en général. Ainsi, lorsque la législation est arrivée sur nos tables, nous étions déjà bien préparés, ayant entendu toutes ces voix. Ensuite, au cours des négociations législatives elles-mêmes, nous avons toujours, moi-même et tous les rapporteurs, gardé une porte ouverte à tout le monde. Ensuite, c’est bien sûr notre délibération et nos choix politiques et intellectuels qui tranchent.

L’Europe doit-elle adopter une vision plus intégrée sur l’IA ? Alors que la frontière s’estompe de plus en plus entre les enjeux de sécurité nationale et les enjeux commerciaux et que les préoccupations en matière de sécurité nationale augmentent à l’échelle mondiale³, l’Europe se considère-t-elle suffisamment comme un acteur géopolitique de l’IA ?

L’IA est certainement plus sujette à un double usage (civil ou militaire) que d’autres technologies. Elle l’est d’une manière qui n’est pas facilement contrôlable ou détectable au début, parce qu’il est possible de facilement développer un algorithme destiné à être utilisé dans certains contextes, mais qui peut facilement être repris et transformé pour des applications militaires ou de sécurité nationale. Nous en sommes donc bien sûr conscients mais nous avons nos limites constitutionnelles dans l’Union. Nous ne pouvons donc pas, en vertu des traités, avec cette loi sur l’IA, couvrir les applications à la défense ou la sécurité nationale. S’agit-il d’une limitation ? Je ne le pense pas. Je pense que notre première obligation en tant que régulateurs, est de fournir des garanties et des règles claires sur la façon dont l’IA doit être utilisée dans nos sociétés, dans nos économies et dans nos démocraties. De plus en plus de juridictions viennent frapper à notre porte pour comprendre et s’inspirer du processus que nous avons suivi, des choix que nous avons faits, ou de l’approche basée sur le risque que nous avons adoptée. Donc, sans même parler d’effet Bruxelles, ces juridictions qui viennent littéralement de tous les coins du monde, de l’Amérique latine à l’Asie, en passant par l’Amérique du Nord et les pays du Sud, pourront développer leurs propres choix et décisions à partir de notre travail. Je pense que c’est encourageant. Cela montre que, d’une certaine manière, les gens regardent le modèle européen et, éventuellement, veulent s’en inspirer.

Je suis convaincu qu’il faudra discuter d’IA et de défense et de sécurité nationale. En raison des traités, cette discussion devra avoir lieu au niveau national ou au sein de l’OTAN. Il faudra travailler sur un cadre d’utilisation de l’IA dans un contexte militaire, y compris sur les dimensions éthiques et de transparence en reconnaissant à la fois l’immense opportunité mais aussi les risques qui en découlent. Ces deux discussions sur les applications civiles et militaires de l’IA, bien que traitées séparément, se nourriront mutuellement : les idées et les concepts que nous développons aujourd’hui dans le contexte civil, pourront demain également être transposés et utilisés dans le contexte militaire car la technologie sous-jacente est la même. 

[Lire plus : découvrez notre série «Puissances de l’IA»]

Comment construire une convergence transatlantique sur la gouvernance de l’IA, alors que les États-Unis voient l’Union prendre l’avantage en introduisant la première une régulation globale de l’IA ? Quels sont les défis à relever en matière de convergence ?

Pour commencer, je pense que le sujet de la convergence est un sujet essentiel en particulier aujourd’hui dans un contexte mondial si polarisé et volatile avec tant de défis que nous voyons devant nous. Ce sont des défis pour un ordre fondé sur des règles communes qui ont régi nos sociétés au cours des 70 ou 80 dernières années. D’une certaine manière, cela nous lie et devrait nous lier plus que jamais. L’IA est une technologie tellement liée à l’évolution de nos sociétés et de nos économies, qu’elle va être l’épine dorsale de la façon dont le monde va être façonné dans les prochaines décennies. Il est fondamental que nous, les États-Unis et l’Union, travaillions ensemble et que nous essayions autant que possible, aussi difficile que cela puisse être, de converger. 

Comment converger ? Tout d’abord, en acceptant que, premièrement, nous avons des rythmes différents : nous allons avoir la version finale du texte de l’AI Act cette année. Nos amis américains ne l’auront pas. Nous aurons donc des rythmes différents et nous aurons inévitablement des solutions législatives différentes mais je suis convaincu que nous convergerons : le Congrès américain déploie une grande énergie sur l’IA que j’ai pu moi-même constater. Il y a une volonté très forte de part et d’autre et il n’est pas surprenant qu’elle soit motivée par les mêmes préoccupations, par les mêmes valeurs qui doivent être protégées.

Nous devons accepter qu’inévitablement nous aurons aussi des solutions différentes. Nous avons des systèmes juridiques différents, un droit civil en Europe, un système de common law aux États-Unis mais nous pouvons faire en sorte que, sur le plan fonctionnel, nous soyons aussi compatible que possible. Je donnerai deux exemples : D’abord les définitions. nous pouvons d’ores et déjà converger sur les définitions relatives à l’IA. Nous avons fait beaucoup d’efforts pour aligner notre définition sur celle de l’OCDE. Nous examinons également de très près les définitions utilisées par le National Institute of Standards and Technology (NIST) aux États-Unis. Ensuite, les normes sont un domaine dans lequel nous pouvons travailler ensemble. Même si, d’un point de vue juridique, nos règles se présentent et s’expriment peut-être différemment, nous pouvons nous efforcer d’aligner autant que possible les normes techniques qui les sous-tendent. Nous avons d’ailleurs donné délibérément un mandat aux organismes de normalisation pour préparer ces normes : des entreprises qui opèrent des deux côtés de l’Atlantique sont représentées dans ces organismes de normalisation. Elles ont donc tout intérêt à s’assurer que les normes resteront alignées entre les deux côtés.

Enfin, dans les conversations à l’échelle internationale qui ont lieu, que ce soit dans le cadre du processus d’Hiroshima sous l’égide du G7 ou à Londres lors du prochain sommet sur la sécurité de l’IA, les États-Unis et l’Union, doivent parler autant que possible des mêmes objectifs et d’une même voix. Je crois savoir qu’il y a actuellement un bon travail et de bons progrès dans le cadre du processus d’Hiroshima. Une proposition concrète sur un code de conduite issue de ces travaux sera peut-être présentée d’ici la fin de l’année. Ces efforts nous permettent d’investir ensemble pour nous assurer que ce processus de fabrique de la loi sur l’IA se déroule également au niveau mondial. D’une certaine manière, avec l’AI Act nous mettons en place un cadre qui peut ensuite guider le travail de toutes les autres juridictions même si nous aurons à nouveau des normes juridiques adoptées à différents moments.

2024 est une année électorale en Europe et aux États-Unis. Nous pouvons déjà observer que l’IA générative est un catalyseur des actions de désinformation et de déstabilisation des scrutins démocratiques. Comment l’Europe peut-elle se prémunir ?

Tout d’abord, n’oublions pas que nous avons le Digital Service Act (DSA)⁴. Nous pouvons donc déjà utiliser ce texte pour commencer à nous protéger contre la désinformation. Nous avons d’ailleurs vu la réaction de la Commission ces derniers jours sur la désinformation et les fausses nouvelles sur les médias sociaux liées au conflit entre Israël et le Hamas. Ce n’est que le début car la commission est elle-même en train de faire monter en puissance cette nouvelle gouvernance qui est entrée en vigueur il y a seulement un mois. Avec l’entrée en vigueur du DSA, nous avons déjà des outils pour introduire un sens de la responsabilité, de l’obligation de rendre compte du contenu qui est diffusé sur les médias sociaux — ce que nous n’avions pas lors des élections précédentes. Les élections de 2024 seront un bon test pour voir à quel point le DSA est efficace. A cet égard, la Commission a une énorme responsabilité et le Parlement s’est assuré que nous lui ayons communiqué combien son rôle, en tant qu’exécutif, est important en ce moment parce qu’elle doit montrer que la loi s’impose quand c’est nécessaire. 

Je ne pense pas que nous parviendrons à une protection totale contre ces fausses nouvelles, mais au moins nous pouvons construire un espace d’information beaucoup plus sain qu’aujourd’hui. Concernant l’AI Act, les règles liées aux utilisations de l’IA dans des contextes électoraux ou politiques ont été placées dans la catégorie à haut risque par le Parlement⁵. Même si à cause de la période de transition⁶ l’AI Act ne sera pas encore entré en vigueur en 2024, il peut y avoir un cadre de conformité volontaire une fois le texte finalisé. C’est ce qui a été fait dans le cadre du DSA. Donc, si le texte est adopté d’ici la fin de l’année, même si nous avons une période de transition d’un an ou d’un an et demi, rien n’empêche les entreprises qui sont prêtes à commencer à se conformer plus tôt, de le faire.

Etes vous confiant sur la capacité des États membres et de l’Union européenne à attirer les bons talents et les bonnes compétences pour mettre en œuvre la régulation sur l’IA et veiller à sa bonne application ?

J’ai eu des conversations très récentes avec des représentants de la Commission dans le cadre du processus de négociation de l’AI Act et de sa gouvernance. J’ai été positivement surpris lorsque j’ai appris que la Commission a réussi à embaucher un très grand nombre de chercheurs et d’étudiants en doctorat en intelligence artificielle pour faire partie de l’équipe qui examinera et auditera les algorithmes dans le cadre du DSA. C’est encourageant. 

J’ai toujours défendu une gouvernance de l’AI Act au niveau européen plutôt qu’elle ne soit complètement déléguée aux États membres précisément pour ce type de problèmes. Une gouvernance de l’AI Act centralisée au niveau de l’Union européenne a plus de chances de pouvoir attirer les talents nécessaires que si on laisse la mise en œuvre entièrement décentralisée au niveau des 27 États membres. J’espère également que pour la partie qui restera entre leurs mains, un effort sera fait pour embaucher le bon niveau d’expertise. Pour traiter les modèles d’IA les plus avancés, ceux qui sont le plus susceptibles de causer les risques et dommages dont nous essayons de protéger la société, nous avons demandé la création d’un « bureau » de l’IA au niveau européen⁷.

Comment les Européens peuvent-ils aussi construire de la convergence avec la Chine, autre superpuissance de l’IA ? 

J’ai toujours dit qu’une fois que nous aurons trouvé un alignement entre Européens, nous devrons inévitablement aussi avoir un dialogue avec la Chine parce que la technologie et en particulier ces grands modèles d’IA, leur impact ou le type de risques qu’ils induisent sont les mêmes, peu importe qu’ils soient déployés ou utilisés dans une juridiction ou dans une autre.

Ce dialogue avec la Chine est inévitable, mais pour moi, il est très important que nous ayons d’abord une concertation entre démocraties libérales. C’est pourquoi le contexte du G7 et le dialogue en son sein est une étape importante. Le Trade and Technology Council et toute la coordination transatlantique que nous avons initiée est importante pour obtenir un consensus clair sur la façon dont nous considérons la technologie⁸. Les pays démocratiques, qui sont alignés sur des valeurs communes, doivent aussi savoir discuter avec ceux qui font un usage très différent. de la technologie dans la société. Bien que les valeurs et les intérêts divergent, nous devons accepter ce dialogue.

Plusieurs groupes de recherches ainsi que certaines grandes voix de l’IA ont proposé divers modèles institutionnels pour la gouvernance de l’IA avec des objectifs variés allant de la recherche d’un consensus scientifique et politique à la stabilisation des situations de crise. Avons-nous besoin de nous doter d’une nouvelle institution mondiale qui serait chargée de la gouvernance globale de l’IA ? 

On parle beaucoup en ce moment de la nécessité d’une agence mondiale sur l’IA, comme c’est le cas pour l’énergie atomique par exemple. Encore une fois, je suis convaincu que nous avons absolument besoin de convergence. Tous les efforts en ce sens sont les bienvenus. Les Nations Unies ont commencé leurs propres travaux et sont en train de mettre en place un organe consultatif destiné à commencer à réfléchir sur les options possibles pour une gouvernance mondiale sous leur égide. C’est une bonne initiative dans laquelle nous devrions tous investir. Nous verrons si il y aura également une proposition pour un cadre international lors du sommet de Londres. Comprendre comment adopter une approche globale pour la gouvernance de l’IA prendra du temps et nous devrons passer par certaines étapes incontournables. 

Nous aurons besoin de beaucoup d’itérations, de tests et d’interactions avant que nous puissions tous mieux comprendre ce qui doit être traité au niveau mondial et ce qui peut être laissé au niveau régional ou national : doit-on se concentrer uniquement sur les modèles d’IA à la frontière technologique ou avoir un cadre international plus large ? Cette question fera par exemple l’objet, par exemple, de discussions à Londres. Une fois que nous aurons eu ces discussions, nous verrons ensuite de quel type de structure institutionnelle nous avons besoin. Certains des besoins sont évidents : se consulter, s’informer mutuellement et assurer le partage des connaissances et de l’expertise mais il faudra y inclure des éléments de sécurité et éventuellement, de défense. Le double usage de la technologie conduit inévitablement à un point où les discussions entre usage commercial et de défense doivent converger. Tous ces éléments doivent être examinés avant qu’une structure institutionnelle ne puisse émerger.