Le 19 août 2024, soit près de deux mois après qu’un accord politique ait été conclu sur la loi phare sur l’intelligence artificielle (IA) de l’UE, le professeur Sandra Wachter de l’Oxford Internet Institute a publié une analyse soulignant plusieurs limitations et failles dans la législation. Selon Wachter, les efforts de lobbying intenses des grandes entreprises technologiques et des États membres de l’UE ont conduit à l’affaiblissement de nombreuses dispositions clés dans la version finale de la loi.
Des failles réglementaires criantes
Wachter, professeure associée et chercheuse principale à l’Université d’Oxford, qui étudie les implications juridiques et éthiques de l’IA, soutient que la loi sur l’IA repose trop sur l’autorégulation, l’auto-certification et des mécanismes de surveillance faibles. La législation comprend également des exceptions de grande portée pour les utilisations de l’IA tant dans le secteur public que privé.
Son analyse, publiée dans le Yale Journal of Law & Technology, examine également les limitations en matière d’application de la Directive sur la responsabilité des produits de l’UE et de la Directive sur la responsabilité de l’IA. Ces cadres se concentrent principalement sur les préjudices matériels, tout en négligeant les préjudices immatériels, monétaires et sociétaux tels que les biais algorithmiques, les hallucinations de l’IA, et les pertes financières causées par des produits d’IA défectueux.
Les révélations clés de la recherche de Wachter
- La loi sur l’IA a introduit des évaluations de risque pré-marché complexes qui permettent aux fournisseurs d’IA d’éviter la classification « à haut risque » et les obligations associées en affirmant que leurs systèmes ne posent pas de risque significatif de préjudice.
- Les évaluations de conformité pour certifier la conformité des systèmes d’IA à la loi seront effectuées par les fournisseurs eux-mêmes plutôt que par des tiers indépendants dans la plupart des cas.
- La loi se concentre sur les obligations de transparence des fournisseurs de modèles d’IA tout en imposant très peu d’obligations aux fournisseurs et déployeurs de systèmes d’IA qui interagissent directement avec et impactent les utilisateurs.
- Les seuils computationnels utilisés pour déterminer si les modèles d’IA à usage général posent des « risques systémiques » ne couvrent probablement qu’un petit nombre des plus gros modèles comme GPT-4, tout en excluant de nombreux autres modèles puissants aux capacités similaires.
- La Directive sur la responsabilité des produits et la Directive sur la responsabilité de l’IA placent une lourde charge de preuve sur les victimes des préjudices causés par l’IA pour prouver la défectuosité et la causalité, avec peu de mécanismes de divulgation disponibles de la part des fournisseurs d’IA.
- Les deux directives de responsabilité ne couvrent probablement pas les préjudices immatériels et sociétaux causés par les biais algorithmiques, les violations de la vie privée, les dommages réputationnels et l’érosion des connaissances scientifiques.
Pour remédier à ces lacunes, Wachter propose d’exiger des évaluations de conformité par des tiers, d’élargir la portée des pratiques d’IA interdites et à haut risque, de clarifier les responsabilités le long de la chaîne de valeur de l’IA, et de réformer les directives de responsabilité pour couvrir un plus large éventail de préjudices. Elle soutient que ces changements sont nécessaires pour créer des garde-fous efficaces contre les risques novateurs posés par l’IA dans l’UE et au-delà, car les règlements du bloc sont susceptibles d’influencer les approches de gouvernance de l’IA à l’échelle mondiale.
Un long chemin vers la réglementation de l’IA
La Commission européenne, le Conseil et le Parlement ont atteint en juin 2024 un accord politique sur le texte de la loi sur l’IA après plus de trois ans de négociations. Le vote final pour adopter officiellement la législation est attendu plus tard cette année, avec une entrée en vigueur prévue au second semestre 2025. Les discussions sont encore en cours concernant les deux directives de responsabilité.
La loi sur l’IA est sur le point de devenir le premier cadre juridique complet au monde pour réglementer le développement et l’utilisation de l’intelligence artificielle. Son approche basée sur le risque interdit certaines pratiques d’IA jugées « à risque inacceptable », tout en soumettant les systèmes d’IA « à haut risque » à des évaluations de conformité, une surveillance humaine et des exigences de transparence avant de pouvoir être mis sur le marché de l’UE.
Cependant, l’analyse de Wachter suggère que la législation ne va peut-être pas assez loin pour protéger les droits fondamentaux et atténuer les préjudices induits par l’IA. Elle note que de nombreux domaines à haut risque tels que les médias, la science, la finance, l’assurance et les applications destinées aux consommateurs comme les chatbots et les algorithmes de tarification ne sont pas suffisamment couverts par la portée actuelle de la loi.
L’influence du lobbying des États membres
L’analyse met également en évidence comment les efforts de lobbying de dernière minute des États membres de l’UE, notamment la France, l’Italie et l’Allemagne, ont conduit à l’affaiblissement des dispositions régissant les modèles d’IA à usage général comme ceux qui sous-tendent OpenAI’s ChatGPT. Des règles strictes étaient opposées par crainte qu’elles n’étouffent la compétitivité des entreprises d’IA nationales espérant rivaliser avec les géants technologiques américains.
En ce qui concerne l’application, Wachter trouve que la dépendance de la loi sur des codes de conduite volontaires et des évaluations de conformité auto-assessées est inadéquate. Elle plaide pour des évaluations de conformité obligatoires par des tiers et des audits externes pour vérifier les affirmations des fournisseurs concernant les niveaux de risque de leurs systèmes d’IA et les mesures d’atténuation.
Des directives de responsabilité insuffisantes
En ce qui concerne la Directive sur la responsabilité des produits et la Directive sur la responsabilité de l’IA, les limitations clés incluent leur focalisation sur les dommages matériels et les lourdes charges de preuve imposées aux plaignants. Wachter soutient que les préjudices immatériels et sociétaux tels que les biais, les violations de la vie privée, les dommages réputationnels et l’érosion des connaissances scientifiques sont peu susceptibles d’être pris en compte, laissant des lacunes réglementaires majeures.
Pour rectifier ces problèmes, l’analyse propose d’élargir la portée des directives pour couvrir un plus large éventail de préjudices, d’inverser la charge de la preuve sur les fournisseurs d’IA et de s’assurer que les mécanismes de divulgation s’appliquent à la fois aux systèmes d’IA à haut risque et à usage général. Wachter recommande également de définir des normes normatives que les fournisseurs doivent respecter plutôt que de simplement exiger la transparence.