28 nov. 2024
La première loi au monde sur l’IA entre en vigueur dans l’UE
Intelligence artificielle
Depuis l’avènement de l’intelligence artificielle (IA) générative, les experts sont unanimes: les progrès rapides de cette technologie posent des défis complexes, notamment en matière d’éthique, de sécurité et de régulation.
En prenant le monde par surprise ou presque, cette forme d’IA n’a pas laissé le temps aux instances de se préparer convenablement, ou encore de réguler son utilisation. Aujourd’hui, les gouvernements, les entreprises et les chercheurs doivent collaborer pour décider du futur de l’IA et des lois qui seront développées.
Au Canada, s’il existe des lignes directrices que les compagnies peuvent suivre si elles le désirent, aucune loi n’est encore officiellement en place à ce sujet. En fait, la première régulation à voir le jour dans le monde est la loi sur l’IA de l’Union européenne (UE), et elle est entrée en vigueur le 1er Août dernier.
Cette législation pourrait servir de référence pour toutes celles à venir à l’international. Envie de découvrir ce que les pionniers en réglementation de l’IA ont décidé? Curieux de savoir laquelle de ces mesures fait le plus jaser? En quelques points, voici les grandes lignes.
Classement en fonction du niveau de risque
La loi commence par classer les systèmes d’IA en quatre catégories: risque inacceptable, élevé, limité et minimal. Les risques inacceptables, c’est-à-dire ceux qui vont à l’encontre des valeurs fondamentales de l’UE et qui portent atteinte aux droits fondamentaux des individus, sont tout simplement interdits. Parmi eux, on retrouve les systèmes de notation sociale qui pourraient permettre aux États d’utiliser la reconnaissance biométrique à distance pour surveiller les citoyens et leur attribuer un score basé sur leur comportement. Un autre exemple serait celui d’un système d’IA qui pourrait altérer le droit à un procès équitable en prédisant la probabilité de récidive d’un individu et en influençant les décisions de justice.
La majorité de la loi porte sur les modèles d’IA considérés à haut risque. Qu’est-ce que cette catégorie englobe? En gros, c’est tout ce qui touche les décisions critiques en lien avec les infrastructures de grande importance (eau, chauffage, électricité, trafic routier), l’éducation et les évaluations, le recrutement et la sélection de personnes, l’éligibilité des gens aux prestations et services essentiels, l’évaluation des risques et la tarification pour les assurances vie et maladie, l’évaluation des appels d’urgence, le triage des patients dans les hôpitaux, l’examen des demandes d’asile et de visas, ou encore, l’interprétation de lois dans un cadre judiciaire. Bref, tout ce qui pourrait causer un conflit éthique si l’IA utilisée faisait preuve de biais au lieu d’être impartiale.
Les cas auxquels on accole un risque minimal, comme la majorité des applications d’IA sur le marché actuellement, ne sont pas ou peu réglementés. Quant à ceux avec des risques limités, comme les agents conversationnels («chatbot»), ils sont soumis à des normes plus légères que les modèles à haut risque.
Les modèles d’IA à haut risque et les obligations
Pour commencer, il est bien important de comprendre que toutes les exigences requises par cette loi incombent aux développeurs de l’IA à haut risque. Afin de se conformer à la loi, ils doivent mettre en place un système de gestion des risques pour toute la durée de vie du projet. Par là, on entend plusieurs procédures qui s’assurent que le modèle d’IA est respectueux des droits de la personne et ne prend pas de décisions biaisées. On demande donc aux développeurs de penser à tout ce qui pourrait mal tourner et de rédiger une liste de contrôle pour gérer ces risques.
De plus, ils doivent s’assurer de la gouvernance et de la sécurité des données, rédiger une documentation technique démontrant la conformité du projet et permettre aux utilisateurs du produit une supervision humaine qui garantira la qualité des extrants.
Une clause spéciale concernant l’IA à usage général
Ici, on parle principalement de l’intelligence artificielle générative, soit les Chats GPT et Copilot de ce monde. Ces modèles, en plus de se conformer aux lois des systèmes à haut risque, devront établir une politique de respect des droits d’auteur et publier un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle.
Cette clause est particulièrement intéressante, parce que polarisante: présentement, les modèles d’IA générative disponibles sur le marché respectent plus ou moins ces deux critères. La transparence des compagnies concernant les données utilisées pour entraîner leurs modèles est quasiment inexistante, ce qui laisse soupçonner qu’ils ont été formés à l’aide de contenu protégé par le droit d’auteur, le tout sans indemniser les créateurs.
Que ce soit bien clair, aucune de ces grandes entreprises derrière les modèles d’IA générative n’a confirmé une telle chose. Et honnêtement, je peux comprendre qu’elles soient frileuses à s’engager sur ce terrain, avec toutes les poursuites concernant les droits d’auteur versus l’IA dont nous entendons parler. Et vous, seriez-vous prêt à dire adieu à ChatGPT, parce que ce modèle aurait été conçu à partir de contenus dont la compagnie n’avait pas les droits?
D’ailleurs, un lobbying intense a été exercé par l’industrie de l’IA en Europe, soutenu par une poignée de membres gouvernementaux. Il visait à atténuer les obligations imposées aux GPAI (IA à usage général) ; on craignait que la loi ne désavantage l’Europe dans sa capacité à créer des IA et ne leur permette pas de rester compétitifs par rapport aux États-Unis et à la Chine. Ce débat entre technologie et éthique n’a assurément pas fini de faire parler!
Quelles répercussions pour nous?
La législation sur l’IA de l’UE a pris effet le 1er Août dernier. Office AI, une organisation chargée de vérifier la conformité des fournisseurs d’IA et de traiter les plaintes émises a été mise en place afin d’assurer le respect des lois. Les entreprises auront, dépendant du niveau de risque de leurs modèles d’IA, de 6 à 36 mois pour se conformer à la nouvelle loi.
Déjà, de gros noms comme Meta et Apple ont annoncé que certains de leurs modèles ne seront tout simplement pas accessibles en Europe. Comment cette situation se développera-t-elle? La peur de perdre l’accès à une technologie de pointe empêchera-t-elle les régulateurs d’autour du monde d’appuyer l’UE dans ses décisions?
En attendant que nos gouvernements se décident, qu’est-ce que nos entreprises devraient faire pour se préparer? Assurément, mettre en place des mesures appropriées de gouvernance des données est primordial. Aussi, parmi les actions que nous pouvons réaliser en amont, on retrouve la classification des modèles d’IA en fonction des niveaux de risque déterminés par l’UE, la sensibilisation auprès des employés et l’identification des cas d’usage. Surtout, je vous conseille de vous tenir au courant de l’évolution de la situation!