Une annonce officielle est prévue pour la semaine prochaine, mais l’information a fuité : de nouvelles lois visant à encadrer l’usage de l’intelligence artificielle sont à venir. L’Union européenne envisagerait notamment d’interdire son utilisation à des fins de surveillance de masse et dans le cadre d’un système de crédit social.
Si cette proposition de loi est adoptée, l’usage de l’intelligence artificielle sera donc strictement encadré dans les pays de l’Union européenne. Une décision qui va clairement à l’opposé des politiques instaurées en Chine — qui fait largement usage de l’IA pour alimenter son système de crédit social — et aux États-Unis, où les dispositifs de surveillance de masse reposant sur l’IA sont en pleine expansion.
Dans l’UE, l’usage de ces technologies intelligentes sera vraisemblablement contrôlé de la même manière que la confidentialité numérique, encadrée par le Règlement général sur la protection des données (RGPD) en application depuis mai 2018. Il est notamment question de mettre en place dans tous les États membres des comités d’évaluation chargés de tester et de valider (ou non) les systèmes d’IA jugés à « haut risque » (menaçant la sécurité ou les moyens de subsistance d’un individu).
Pas d’IA pour la surveillance aveugle
D’après The Verge, qui a pu consulter une copie de ce projet de loi, l’UE prévoit d’interdire l’usage de l’IA pour la « surveillance aveugle », ce qui comprend les systèmes permettant de suivre directement les individus dans des environnements physiques ou qui regroupent les données issues de diverses sources. Interdiction également d’utiliser des systèmes d’IA visant à établir des scores de crédit social, tel qu’on peut l’observer en Chine, où les citoyens sont récompensés ou sanctionnés selon leur comportement social. Pour rappel, en 2019, ce système avait classé plus de 13 millions de Chinois comme « citoyens peu fiables », qui par conséquent, pouvaient potentiellement se voir refuser un crédit bancaire, un emploi, une inscription scolaire ou un titre de transport.
Aux États-Unis, l’utilisation des logiciels de reconnaissance faciale est désormais banalisée, notamment dans les aéroports, à l’entrée des concerts, dans certains magasins et parmi les rangs des forces de l’ordre. Une pratique largement critiquée, qui a soulevé de nombreuses polémiques. En janvier 2020, le New York Times avait notamment révélé que la société Clearview avait conçu son logiciel en pillant des milliards de photos sur les réseaux sociaux, à l’insu de leurs propriétaires. Quelques mois plus tard, une IA conçue par Microsoft était accusée de faire preuve de préjugé racial. Au sein de l’UE, le règlement à venir prévoit que l’utilisation de tels systèmes d’identification biométrique à distance devra faire l’objet d’une demande d’autorisation spéciale.
Autre point important de la proposition : des notifications seront requises dès que les utilisateurs interagissent avec un système d’IA, à moins que cela ne soit « évident dans les circonstances et le contexte d’utilisation ».
De plus, les systèmes d’IA dits « à haut risque » seront surveillés de près. Cela concerne les logiciels qui constituent une menace directe pour la sécurité, comme les systèmes qui équipent les voitures autonomes, mais aussi ceux susceptibles d’affecter les moyens de subsistance d’une personne (lors d’une embauche, d’une décision judiciaire ou d’une demande de crédit). Ces systèmes à haut risque devront être formés via des ensembles de données « de haute qualité » et seront évalués avant leur mise en œuvre. Un « Conseil européen de l’intelligence artificielle », composé de représentants de chaque État-nation, sera chargé d’aider la commission à déterminer quels systèmes d’IA sont à haut risque et de recommander des moyens d’amélioration si nécessaire.
Toute entreprise qui développe ou vend au sein de l’UE un logiciel d’IA allant à l’encontre de ces règles s’expose à une amende pouvant atteindre 4% de ses revenus — et ce, même si son siège se trouve hors de l’UE.
Un texte encore trop vague
Cependant, certains groupes de défense et experts des droits numériques estiment que la section concernant l’interdiction de l’IA dans le cadre d’une surveillance de masse et d’un système de crédit social mérite d’être améliorée. « Les descriptions des systèmes d’IA à interdire sont vagues et usent de termes qui ne sont pas clairs, ce qui pourrait créer de sérieuses lacunes », remarque Daniel Leufer, analyste politique européen chez Access Now.
À titre d’exemple, le règlement interdit les systèmes qui incitent les utilisateurs à « se comporter, à se forger une opinion ou à prendre une décision à leur détriment ». Mais comment déterminer si une décision est prise au détriment de quelqu’un ou non ? Par ailleurs, Leufer souligne que l’interdiction de l’IA pour la surveillance de masse est « beaucoup trop clémente » et que l’interdiction concernant les systèmes liés au crédit social, qui vise les logiciels basés sur la « fiabilité », est trop restrictive. Ces systèmes de crédit social peuvent s’appuyer en effet sur bien d’autres critères que la fiabilité pour décider du sort des gens.
De son côté, Omer Tene, vice-président de l’organisation à but non lucratif IAPP (The International Association of Privacy Professionals), a déclaré via son compte Twitter que ce règlement « représente l’approche typique de Bruxelles vis-à-vis des nouvelles technologies et de l’innovation. En cas de doute, il faut réglementer ». Pour ce professeur de droit, si cette proposition de loi est adoptée, elle est susceptible d’entraîner un « vaste écosystème de réglementations » : les développeurs, mais aussi les distributeurs et les utilisateurs de systèmes d’IA pourraient créer un certain nombre d’organismes de réglementation, tant à l’échelle européenne qu’à l’échelle nationale.
Cependant, cet écosystème ne viserait pas principalement à restreindre ces « grandes technologies », souligne Michael Veale, professeur en droits et réglementations numériques à l’University College London. « Dans sa ligne de mire se trouveraient principalement les fournisseurs moins connus d’outils commerciaux et de décision, dont le travail échappe souvent à l’examen des régulateurs ou de leurs clients », ajoute-t-il. En conclusion, Veale pense que peu de larmes seront versées sur ces nouvelles lois encadrant strictement les systèmes d’IA à haut risque. En revanche, leur application pourrait permettre de réglementer les acheteurs de ces outils, pour s’assurer, par exemple, qu’ils disposent d’une surveillance humaine faisant suffisamment autorité.
L’annonce officielle est programmée au 21 avril. Une fois que le règlement aura été proposé, il sera nécessairement sujet à des changements suite aux divers commentaires des députés européens, puis devrait être mis en œuvre indépendamment dans chaque État membre.