L'UE ouvre la voie aux États-Unis dans la réglementation de l'IA.

Alors que les inquiétudes concernant l'intelligence artificielle (IA) continuent de croître dans le monde entier, l'Union européenne (UE) propose une feuille de route réglementaire à la communauté internationale. Le 11 mai 2023, la commission des libertés civiles, de la justice et des affaires intérieures et la commission du marché intérieur et de la protection des consommateurs du Parlement européen ont voté en faveur de l'adoption de la loi sur l'intelligence artificielle. Telle qu'elle est rédigée, cette loi représente une première mondiale dans l'approche de la gestion des risques juridiques liés à l'IA, que les États-Unis et d'autres pays ne manqueront pas d'examiner à mesure que l'IA évolue rapidement. Cette loi donne le ton pour l'alignement inévitable entre les États-Unis et l'UE, car la volonté de collaboration transatlantique, de surveillance réglementaire, de normes industrielles appropriées et de facilitation des partenariats économiques reste une priorité. Bien que la loi sur l'IA ait été approuvée par les législateurs du Parlement européen, elle doit encore passer par plusieurs étapes supplémentaires avant d'entrer en vigueur.

Principes fondamentaux de la loi européenne sur l'IA

Avec l'émergence constante de nouvelles capacités de l'IA dans la composition musicale, la création littéraire et la prestation de services de santé, le projet de loi propose des principes essentiels pour garantir la supervision humaine, la sécurité, la transparence, la traçabilité, la non-discrimination et le respect de l'environnement dans les systèmes d'IA. Il vise à établir une définition universelle de l'IA qui reste neutre sur le plan technologique et s'adapte aux systèmes d'IA existants et futurs. Il convient de noter que la loi propose une approche de la réglementation de l'IA fondée sur les risques, dans laquelle les obligations d'un système d'IA sont corrélées au niveau de risque qu'il peut présenter. La loi comprend des dispositions qui exemptent les activités de recherche et les composants d'IA proposés sous licence open source. La législation préconise également la mise en place de bacs à sable réglementaires, c'est-à-dire des environnements contrôlés établis par les autorités publiques, pour tester l'IA avant son déploiement. Cette approche vise à trouver un équilibre entre la protection des droits fondamentaux, la nécessité d'une sécurité juridique pour les entreprises et la stimulation de l'innovation en Europe.

Approches actuelles et tendances aux États-Unis

En revanche, les législateurs fédéraux américains continuent de surveiller de près l'IA, en accordant davantage d'attention au financement de la recherche visant à déchiffrer ses capacités et ses résultats. Ces efforts sont en partie motivés par l'espoir de comprendre l'étendue de l'IA afin d'atténuer les préoccupations dans le domaine réglementaire. Après tout, les progrès réalisés par la technologie de l'IA peuvent servir d'outils d'atténuation de certains des risques identifiés dans les principes clés de la loi. Le concept de fédéralisme aux États-Unis contribue à un dilemme déjà lourd en matière d'application de la réglementation en raison d'un système disparate de lois étatiques incohérentes qui espèrent toutes être à l'aube de la prochaine grande révolution technologique. En effet, plusieurs États ont déjà proposé des lois réglementant le développement et l'utilisation de l'IA. Par exemple, la Californie a proposé une loi (AB 331) réglementant l'utilisation des outils de décision automatisés (y compris l'IA) et qui obligerait les développeurs de ces outils d'IA et les utilisateurs à soumettre des évaluations d'impact annuelles.

Principes fondamentaux de la loi européenne sur l'IA

Quatre niveaux de risque

Les applications d'IA sont classées en quatre niveaux de risque : risque inacceptable, risque élevé, risque limité et risque minimal ou nul.Toute application présentant un risque inacceptable est interdite par défaut et ne peut être déployée dans l'UE. Cela inclut les systèmes d'IA qui utilisent des techniques subliminales ou des tactiques manipulatrices pour modifier le comportement, exploiter les vulnérabilités individuelles ou collectives, classer les données biométriques en fonction d'attributs sensibles, évaluer le score social ou la fiabilité, prédire les infractions pénales ou administratives, créer ou développer des bases de données de reconnaissance faciale par le biais d'un scraping non ciblé, ou déduire des émotions dans le cadre de l'application de la loi, de la gestion des frontières, des lieux de travail et de l'éducation. En revanche, les utilisations à risque minimal comprendraient les systèmes déployés pour la gestion des produits/stocks ou les plateformes basées sur l'IA telles que les jeux vidéo. De même, les systèmes à risque limité comprendraient les chatbots ou autres systèmes basés sur l'IA répondant aux normes de divulgation nécessaires pour donner aux utilisateurs la possibilité de s'adresser à un humain.

Utilisations à haut risque

La loi sur l'IA identifie les utilisations suivantes comme présentant un risque élevé :

Identification biométrique et catégorisation des personnes physiques: systèmes d'IA destinés à être utilisés pour l'identification biométrique à distance « en temps réel » et « a posteriori » des personnes physiques.
Gestion et exploitation d'infrastructures critiques: systèmes d'IA destinés à être utilisés comme composants de sécurité dans la gestion et l'exploitation du trafic routier et de l'approvisionnement en eau, en gaz, en chauffage et en électricité.
Éducation et formation professionnelle :systèmes d'IA destinés à être utilisés pour déterminer l'accès ou l'affectation de personnes physiques à des établissements d'enseignement et de formation professionnelle ; systèmes d'IA destinés à être utilisés pour évaluer les étudiants dans les établissements d'enseignement et de formation professionnelle et pour évaluer les participants aux tests généralement requis pour l'admission dans les établissements d'enseignement.
Emploi, gestion des travailleurs et accès au travail indépendant :systèmes d'IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques, notamment pour publier des offres d'emploi, présélectionner ou filtrer des candidatures, ou évaluer des candidats lors d'entretiens ou de tests ; IA destinée à être utilisée pour prendre des décisions en matière de promotion et de résiliation de relations contractuelles liées au travail, pour l'attribution des tâches, et pour surveiller et évaluer les performances et le comportement des personnes dans le cadre de ces relations.
Accès et jouissance des services privés et publics essentiels et des prestations :les systèmes d'IA destinés à être utilisés par les autorités publiques ou pour le compte de celles-ci afin d'évaluer l'éligibilité des personnes physiques à des prestations et services d'aide publique, ainsi que d'accorder, de réduire, de révoquer ou de récupérer ces prestations et services ; les systèmes d'IA destinés à être utilisés pour évaluer la solvabilité des personnes physiques ou établir leur cote de crédit, à l'exception des systèmes d'IA mis en service par des petits fournisseurs pour leur propre usage ; les systèmes d'IA destinés à être utilisés pour envoyer ou établir la priorité dans l'envoi de services d'urgence, y compris par les pompiers et les secours médicaux.
Application de la loi :systèmes d'IA destinés à être utilisés par les autorités chargées de l'application de la loi à diverses fins, notamment pour évaluer les risques individuels, détecter les deepfakes, évaluer la fiabilité des preuves, prédire la survenance ou la récidive d'une infraction pénale réelle ou potentielle, établir le profil de personnes physiques et effectuer des analyses criminelles.
Gestion des migrations, de l'asile et du contrôle des frontières :systèmes d'IA destinés à être utilisés par les autorités publiques compétentes à diverses fins, telles que la détection de l'état émotionnel d'une personne physique, l'évaluation des risques, la vérification de l'authenticité des documents de voyage et l'aide à l'examen des demandes d'asile, de visa et de permis de séjour.
Administration de la justice et processus démocratiques :systèmes d'IA destinés à aider une autorité judiciaire à rechercher et à interpréter des faits et le droit, ainsi qu'à appliquer le droit à un ensemble concret de faits.

Interdiction du « scoring social »

Dans le contexte de la loi sur l'IA, le « scoring social » désigne la pratique consistant à évaluer des individus sur la base de leur comportement social ou de leurs traits de personnalité, souvent en s'appuyant sur un large éventail de sources d'informations. Cette approche est utilisée pour évaluer, classer et noter les individus, ce qui peut avoir des répercussions sur divers aspects de leur vie, tels que l'accès aux prêts, aux hypothèques et à d'autres services. Le projet actuel prévoit l'interdiction du scoring social par les autorités publiques en Europe. Cependant, le Comité économique et social européen (CESE) a exprimé ses inquiétudes quant au fait que cette interdiction ne s'étend pas aux organisations privées et semi-privées, ce qui pourrait permettre à ces entités d'utiliser des pratiques de scoring social. Le CESE a appelé à une interdiction totale du scoring social dans l'UE et à la mise en place d'un mécanisme de plainte et de recours pour les personnes qui ont subi un préjudice du fait d'un système d'IA.

Lignes floues – Notation sociale illégale ou analyse appropriée des données ?

Le CESE a également insisté pour que la loi sur l'IA s'efforce de faire la distinction entre ce qui est considéré comme un scoring social et ce qui peut être considéré comme une forme acceptable d'évaluation à des fins spécifiques. Selon lui, la ligne de démarcation peut être tracée lorsque les informations utilisées pour l'évaluation ne sont pas raisonnablement pertinentes ou proportionnées. En outre, le CESE souligne la nécessité pour l'IA d'améliorer la prise de décision humaine et l'intelligence humaine, plutôt que de les remplacer, et critique la loi sur l'IA pour ne pas exprimer explicitement ce point de vue.

Fondation Modèles linguistiques à grande échelle

Un aspect important de la loi concerne la réglementation des « modèles de base », tels que le GPT d'OpenAI ou le Bard de Google. Ces modèles ont attiré l'attention des régulateurs en raison de leurs capacités avancées et du risque qu'ils remplacent des travailleurs qualifiés. Les fournisseurs de ces modèles de base sont tenus d'appliquer des contrôles de sécurité, des mesures de gouvernance des données et des mesures d'atténuation des risques avant de rendre leurs modèles publics. En outre, ils doivent s'assurer que les données d'entraînement utilisées pour alimenter leurs systèmes ne violent pas la loi sur le droit d'auteur. Les fournisseurs de ces modèles d'IA seraient également tenus d'évaluer et d'atténuer les risques pour les droits fondamentaux, la santé et la sécurité, l'environnement, la démocratie et l'État de droit.

Impact sur les entreprises américaines

Les États-Unis peuvent s'attendre à ce que certains des principes de la loi apparaissent dans les propositions législatives fédérales et étatiques, alors que le pays cherche à maîtriser le chaos provoqué par l'IA. Grâce à des partenariats transatlantiques de longue date fondés sur le commerce et les échanges, de nombreuses entreprises américaines connaissent bien les normes plus strictes de l'UE dans des domaines tels que les règles de sécurité des produits et certains droits relatifs aux données. Par conséquent, nous devons nous attendre à ce que cette tendance se poursuive à mesure que le commerce entre les nations se développe. L'UE continuera probablement d'exiger des entreprises américaines qu'elles se conforment à ses règles afin de pouvoir exercer leurs activités outre-Atlantique, et nous pouvons nous attendre à ce que cette conformité s'étende désormais à l'IA. Bien qu'il existe une multitude de façons de mettre en œuvre ces concepts, comme la Charte des droits de l'IA du président Biden, le fait de reprendre certaines dispositions de la loi pourrait inciter les États à élaborer leurs propres systèmes de réglementation concernant l'utilisation de l'IA. Les entreprises devront rester vigilantes face à l'évolution des structures réglementaires et aux nouveaux mécanismes d'application aux États-Unis, alors que le pays est en pleine mutation. L'objectif ultime de la proposition de l'UE est de fournir un cadre réglementaire aux entreprises et aux organisations qui utilisent l'IA, facilitant ainsi l'équilibre entre l'innovation et la protection des droits des citoyens.

Clause de non-responsabilité

Ce blog est mis à disposition par Foley & Lardner LLP ("Foley" ou "le cabinet") à des fins d'information uniquement. Il n'a pas pour but d'exprimer la position juridique du cabinet au nom d'un client, ni de fournir des conseils juridiques spécifiques. Les opinions exprimées dans cet article ne reflètent pas nécessairement celles de Foley & Lardner LLP, de ses partenaires ou de ses clients. En conséquence, n'agissez pas sur la base de ces informations sans demander l'avis d'un avocat agréé. Ce blog n'est pas destiné à créer, et sa réception ne constitue pas, une relation avocat-client. Communiquer avec Foley par le biais de ce site web, que ce soit par e-mail, par un billet de blog ou par tout autre moyen, ne crée pas une relation avocat-client pour une quelconque question juridique. Par conséquent, toute communication ou matériel que vous transmettez à Foley par le biais de ce blog, que ce soit par e-mail, par billet de blog ou de toute autre manière, ne sera pas traité comme confidentiel ou propriétaire. Les informations contenues dans ce blog sont publiées "EN L'ÉTAT" et ne sont pas garanties comme étant complètes, exactes ou à jour. Foley ne donne aucune garantie, expresse ou implicite, quant au fonctionnement ou au contenu du site. Foley rejette expressément toute autre garantie, condition ou déclaration de quelque nature que ce soit, expresse ou implicite, découlant d'un statut, d'une loi, d'un usage commercial ou autre, y compris les garanties implicites de qualité marchande, d'adéquation à un usage particulier, de titre et d'absence de contrefaçon. En aucun cas Foley ou l'un de ses partenaires, dirigeants, employés, agents ou affiliés ne pourra être tenu responsable, directement ou indirectement, en vertu de toute théorie de droit (contrat, délit, négligence ou autre), envers vous ou toute autre personne, pour toute réclamation, perte ou dommage, direct, indirect, spécial, accessoire, punitif ou consécutif, résultant de ou occasionné par la création, l'utilisation ou la confiance en ce site (y compris les informations et autres contenus) ou tout autre site tiers ou les informations, ressources ou matériels accessibles à travers de tels sites web. Dans certaines juridictions, le contenu de ce blog peut être considéré comme de la publicité pour les avocats. Le cas échéant, veuillez noter que des résultats antérieurs ne garantissent pas un résultat similaire. Les photographies ne sont utilisées qu'à des fins de représentation et peuvent inclure des modèles. Les portraits n'impliquent pas nécessairement le statut de client, de partenaire ou d'employé actuel.