Les négociateurs du Parlement européen et du Conseil de l’UE sont parvenus, dans la nuit de vendredi 8 à samedi 9 décembre, peu avant minuit et après plus de 37 heures d’intenses discussions cumulées, à un accord politique provisoire sur le projet de législation sur l'intelligence artificielle (‘AI Act’) (EUROPE 13310/8).

« Ce fut long et intense, mais l'effort en valait la peine. Grâce à la résilience du Parlement européen, la première législation horizontale au monde sur l'intelligence artificielle tiendra la promesse européenne, garantissant que les droits et les libertés sont au cœur du développement de cette technologie révolutionnaire. Sa mise en œuvre sera essentielle », a déclaré l’un des deux corapporteur du dossier, Brando Benifei (S&D, italien).

« Il s'agit d'une avancée historique et d'un grand pas en avant vers l'avenir ! L'accord conclu aujourd'hui répond efficacement à un défi mondial dans un environnement technologique en évolution rapide, dans un domaine clé pour l'avenir de nos sociétés et de nos économies », a commenté, pour sa part, la secrétaire d'État espagnole à la Numérisation et à l'Intelligence artificielle, Carme Artigas.

Les colégislateurs européens avaient déjà évacué, au cours des 22 premières heures de négociations - engagées mercredi 6 décembre à 15 heures et mises en pause le lendemain à 13 heures -, l’épineuse question des modèles de fondation et des systèmes d’intelligence artificielle à usage général.

Sur ce point, et alors que la France, l’Allemagne et l’Italie avaient fait pression sur la Présidence du Conseil de l’UE pour remplacer les règles prévues par des codes de conduite (EUROPE 13297/24), l’approche du PE semble l’avoir emporté.

Les systèmes d’IA et les modèles sur lesquels ils sont basés représentant des risques systémiques devraient se plier à des règles strictes, notamment l’évaluation des modèles, l’évaluation et l’atténuation des risques systémiques ou encore la réalisation de tests contradictoires. Des rapports devraient être rendus à la Commission pour les incidents graves et des mesures devraient aussi être prises pour assurer la cybersécurité. En outre, des comptes-rendus quant à l’efficacité énergétique des modèles devraient être réalisés.

Les codes de conduite, voulus par Paris, Berlin et Rome, verront tout de même le jour, mais viendront compléter la législation sur l'IA en servant d’appui pour les fournisseurs de systèmes et modèles représentant des risques systémiques afin qu’ils puissent se conformer aux futures règles.

Les modèles représentant des risques systémiques seront définis par la quantité de calcul utilisé à l’entraînement. En dessous du seuil de 10 yottaflop (10^25), qui permet de calculer la rapidité de calcul, les systèmes et modèles seront tenus de respecter des exigences plus souples en matière de transparence, comme la mise à jour de la documentation technique, le respect des dispositions de la directive sur les droits d’auteur et la diffusion des résumés détaillés sur le contenu utilisé pour leur formation.

Les systèmes d’IA à haut risque, représentant des risques élevés en matière de santé, de sécurité, de droits fondamentaux, d’environnement, de démocratie et d’État de droit, devront eux aussi respecter un ensemble de règles strictes, faute de quoi le produit concerné pourrait être retiré du marché européen.

Une évaluation d’impact sur les droits fondamentaux devrait être menée, les utilisateurs devraient être informés du caractère ‘à haut risque’ des systèmes qu’ils utilisent. Les entités publiques utilisant ce type de systèmes devraient s’enregistrer dans la base de données de l’UE. Dans les domaines jugés critiques, des dérogations pourraient toutefois être octroyées, si les fournisseurs prouvent que le système concerné ne fait pas courir de risques significatifs.

Les modèles ‘open source’ seront exemptés, à moins d’avoir été identifiés comme systémiques ou de commercialiser un système qui risquerait d’être considéré comme à haut risque.

Victoire du Conseil de l’UE sur les questions de sécurité

Lors de la seconde partie des négociations, débutées vendredi 8 décembre à 9 heures et ayant abouti à un accord peu avant minuit, c’est en revanche le Conseil de l’UE qui semble avoir pris le dessus. La journée a été consacrée aux pratiques interdites et aux questions de sécurité nationale. Le texte prévoit une liste de pratiques interdites, mais de nombreuses exemptions ont été introduites à la demande de certains États membres.

Ainsi, l’accord provisoire permet de recourir aux systèmes d’IA utilisés à des fins militaires ou de défense, y compris lorsqu’ils sont utilisés par un contractant externe. Le Conseil de l’UE a aussi obtenu l’abandon de l’interdiction de l’identification biométrique à distance en temps réel - pourtant chère au PE - dans certains cas, comme la prévention des attaques terroristes ou la localisation des victimes ou des suspects d'une liste prédéfinie de crimes graves, et après l’obtention d’une autorisation préalable et l’évaluation du risque sur les droits fondamentaux.

Point sensible des négociations, l’accord introduit également une procédure d'urgence afin de permettre aux services répressifs de déployer en cas d'urgence un outil d'IA à haut risque qui n'a pas passé la procédure d'évaluation de la conformité.

L’extraction non ciblée d’images faciales sur Internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale serait interdite, tout comme la reconnaissance des émotions sur le lieu de travail et les établissements d’enseignement, ou encore la notation sociale basée sur le comportement ou les caractéristiques personnelles. Les systèmes d'IA qui manipulent le comportement humain pour contourner le libre arbitre et les systèmes utilisés pour exploiter les vulnérabilités des personnes en raison de leur âge, de leur handicap, de leur situation sociale ou économique seraient eux aussi interdits.

Jusqu'à 35 millions d'euros d'amende

Les colégislateurs se sont également accordés sur le futur l’Office européen de l’IA, chargé de superviser la mise en œuvre du texte, de contribuer à l'élaboration de normes et de pratiques d'essai et de faire appliquer les règles communes dans tous les États membres.

Un groupe scientifique d'experts indépendants aiguillera le ‘Bureau européen’ en élaborant des normes, des méthodes d’évaluation et des conseils pour la désignation et l'émergence de modèles de fondation à fort impact. Le futur ‘Office européen de l’IA’ sera composé de représentants des États membres et participera à l'élaboration des codes de pratique pour les modèles de fondation.

Le texte prévoit que des sanctions puissent être infligées. Celles-ci pourraient plafonner à 35 millions d'euros ou 7% du chiffre d’affaires annuel mondial de l’entreprise pour les violations des applications d'IA interdites. Les entreprises pourraient écoper d’amendes de 15 millions d'euros ou 3% du chiffre d’affaires mondial annuel en cas de violation des obligations prévues par la législation sur l’IA. Si les informations fournies sont inexactes, le montant de l’amende pourrait s’élever à 7,5 millions d'euros ou 1,5% du chiffre d’affaires.

Enfin, le texte prévoit également que les personnes physiques puissent déposer une plainte auprès de l'autorité de surveillance du marché concernée lorsque les dispositions du 'AI Act' ne sont pas respectées.

Le texte devra encore être soumis aux voix du PE et à l'approbation finale des États membres. Avant cela, les ambassadeurs des Vingt-sept auprès de l'UE devraient examiner le document vendredi 15 décembre, avant de le valider officiellement en janvier. Une série de réunions techniques auront lieu entretemps pour finaliser les derniers aspects du texte.

Les dispositions relatives aux interdictions entreront en vigueur six mois après la parution du règlement au Journal officiel de l'UE. Six mois plus tard, les règles relatives aux modèles de fondation et aux organismes d'évaluation de la conformité seront effectives. Il faudra encore un an avant que le texte doive être entièrement appliqué. (Thomas Mangin)