L’intelligence artificielle en Europe : le prisme de l’Artificial Intelligence Act

Josefina GIMENEZ - Artimon

Josefina GIMENEZ

Directeur Recherche et Innovation

Nicolas SPATOLA

Chercheur

La commission européenne vise à proposer un cadre pour réglementer le développement, l’utilisation et la commercialisation des dispositifs algorithmiques : l’Artificial Intelligence Act.

L’AIA offre une définition relativement ouverte de l’IA et ses catégories sur la base des risques associés. Cependant, l’interprétabilité de certaines notions et les exceptions posent des questions sur le caractère restrictif de la réglementation.

En définissant un cadre pour l’innovation nécessaire, l’AI Act tente un numéro d’équilibriste qui relativise la portée du texte tout en oubliant des problématiques centrales comme l’impact écologique et la qualité des données.

Dans le cadre des discussions autour du Artificial Intelligence Act (AIA) débutées en avril 2021, la commission européenne vise à définir un cadre réglementaire autour de l’intelligence artificielle pour harmoniser les pratiques, usages et commercialisations de ces technologies en Europe. La commission européenne pose actuellement des questions sur la définition (section 1) des intelligences artificielles mais aussi des risques (section 2), des responsabilités et obligations (section 3), et des stratégies d’innovation (section 4) associées à ces technologies [1]. Dans cet article, nous proposons une analyse des définitions des IA et de leur catégorisation en fonction des risques associés, au vu des évolutions des IA actuelles et des questions restant en suspens [2].

Ces dimensions et leur approche par la commission européenne permettent de mettre en perspective nos représentations et nos attentes quant au futur de l’IA dans les sociétés. Nous profitons donc de cette opportunité pour discuter de ces sujets afin de mieux comprendre les orientations de l’Europe et de questionner les impacts. Enfin, il est à mentionner que bien qu’il puisse sembler nouveau, une grande partie du projet de loi est tirée d’une décision de 2008 établissant un cadre pour certaines réglementations concernant la sécurité des produits, utilisée dans un large éventail de législations ultérieures [3].

La définition des intelligences artificielles

A l’heure actuelle, la définition de l’IA donnée par la commission s’articule autour « d’un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ». Ces approches de l’annexe 1 sont : les approches d’apprentissage automatique, les approches fondées sur la logique et les connaissances et les approches statistiques.

Ce que l’on nomme aujourd’hui « Intelligence Artificielle » en tant que domaine est en fait un amalgame de plusieurs domaines de recherche différents [4]. Ces derniers peuvent grandement varier dans leurs objectifs, méthodes, situations d’application, etc., malgré leur agrégation sous une même étiquette. Par exemple certains domaines de l’IA visent à émuler le cerveau humain quand d’autres ont pour objectif de développer des outils spécifiques de planification ou de produire des comportements indiscernables de ceux produits par l’humain. Le domaine de l’IA revêt cette labélisation principalement pour des raisons historiques plutôt que théoriques. Dès lors ce n’est pas tant sur la technique de l’IA mais plutôt sur ses objectifs d’utilisation que l’on va pouvoir définir un cadre de réflexion en vue d’une réglementation.

Des chercheurs ont mis en avant trois composants essentiels pour catégoriser l’IA :

Fig.1 Les composants permettant de catégoriser les IA – ©Artimon

Sur cette base, une proposition de cadre a été formulée pour distinguer cinq catégories d’IA qui se définissent non pas par leur technique, mais par leurs objectifs. Elles semblent plus à même de s’adapter à une perspective de régulation :

  • « Structure-AI » : cette première catégorie regroupe les modèles d’IA se basant sur le cerveau, humain par exemple, dans des contextes d’études des fonctionnements physiologiques et cognitifs ou dans le développement de nouvelles fonctions. L’objectif général est donc l’émulation du cerveau.
  • « Behavior-AI » : l’intérêt est ici de reproduire des comportements d’agents. Cette catégorie est celle du test de Turing : the imitation game. L’objectif est de produire des comportements donnant l’apparence de l’intelligence et donc de produire des agents artificiels indiscernables (sur une ou plusieurs dimensions) de leurs modèles naturels.
  • « Capability-AI » : l’objectif ici est la résolution de problèmes. C’est dans cette catégorie que l’on peut classer Alpha Go. La question de l’intelligence est secondaire, l’objectif étant d’identifier ou de proposer une solution dans un paradigme défini.
  • « Fonction-AI » : dans une perspective plus utilitariste, ce qui importe n’est plus le problème en soi mais la fonction de l’IA. L’idée est de développer des fonctions générales comme la recherche ou la planification applicable à la plus grande variété de contextes donnés.
  • « Principle-AI » : cette cinquième catégorie est une forme de généralisation des « Fonction-AI » dans l’objectif de produire des agents sur la base d’une conception de l’intelligence comme rationalité.

Ces définitions de l’IA correspondent non seulement à différentes manières de faire abstraction du concept d’intelligence, mais aussi à des attentes variées quant à l’objectif même des recherches et du développement de ces technologies. Par conséquent, selon le domaine, le terme « IA » devrait être défini ou au moins spécifié en premier afin de répondre à des questions qui peuvent sembler triviales telles que « Comment développer une IA ? » ou « L’utilisation de l’IA sera-t-elle bénéfique à la société ? ». Différents types d’IA mèneront inévitablement à différentes réponses : on ne peut pas considérer avec une même perspective légale une IA pour laquelle l’ensemble des données et des connaissances sont déterminées a priori et une IA qui développe ses connaissances par expérience.

Ainsi, la définition de l’IA dans un cadre légal par la commission ne peut pas avoir pour objectif le cadrage de toutes ces technologies. Il s’agit plutôt de définir des fonctions à la fois comme objets et comme objectifs pour le développement des IA dans le cadre européen. Si l’utilisation d’une définition générale, comme celle proposée actuellement, vise un dynamisme à l’aune des évolutions futures, la cible du texte sont des « logiciels ». La question est donc de savoir si les innovations autres (ex. algorithmes moléculaires) seront soumises aux mêmes réglementations.

A l’heure actuelle la révision de cette définition est l’apanage de la commission européenne. Un  mécanisme plus ouvert et plus dynamique pourrait prendre avantage de la création de l’European Artificial Intelligence Board (EAIB), une autorité mise en place par le texte de la commission. L’idée serait de faire interagir les différentes parties prenantes sur la base de leurs expertises pour proposer des amendements visant à faire évoluer cette définition [5].

Les risques associés aux IA

L’AIA propose d’encadrer l’utilisation des IA en considérant les risques associés aux usages de manière graduelle [6] :

  • Risque minime
  • Faible risque
  • Haut risque
  • Risque inacceptable

La catégorie « risque minime » est la catégorie par défaut si une IA ne rentre pas dans le champ d’une autre catégorie.

La catégorie « faible risque » impose une transparence vis-à-vis des utilisateurs quant à l’explicabilité d’une décision ou production algorithmique. L’objectif est que l’utilisateur ait connaissance du lien entre le système algorithmique et son objectif dans la production. A l’heure de l’écriture de cet article, les usages visés sont les chatbots (où l’identification comme non-humain est requise), la reconnaissance d’émotion, la catégorisation biométrique ou les manipulations de contenus comme les deep fakes (qui visent à superposer des fichiers vidéo ou audio existants sur d’autres fichiers vidéo ou audio).

Fig.2 Face swap into original work of art using Neural Net par Stephen Wolfram (CC) présentant une technique de DeepFake

La catégorie « haut risque » est la catégorie la plus détaillée. Les IA entrant dans cette catégorie sont celles visant des usages dans des secteurs considérés comme critiques, à savoir l’éducation, les services publics ou privés essentiels, la justice, etc. Le texte prévoie d’ailleurs une extension des usages dès lors que les systèmes sont susceptibles de porter atteinte aux droits fondamentaux dans les domaines visés. S’inscrivant dans le cadre du RGPD, ces IA doivent en amont être prouvées conforme en respectant plusieurs critères :

  • procédures continues de gestion des risques (art. 9)
  • protection des données, de potentiels biais (art. 10)
  • l’établissement de documentation technique (art. 11)
  • obligation de transparence et d’information aux utilisateurs (art. 13)

Ces obligations ne portent pas seulement sur le concepteur mais aussi sur le fournisseur, c’est-à-dire : « la personne physique ou morale, l’autorité publique, l’agence ou autre organisme qui développe un système d’IA ou qui fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou gratuit ».

La catégorie « inacceptable » considère les limites fixées par les droits fondamentaux. Quatre systèmes sont considérés dans cette catégorie :

  1. Les systèmes d’IA qui influencent de manière subliminale les comportements,
  2. Ceux qui exploitent la vulnérabilité d’une personne,
  3. Les systèmes de notation sociale d’origine publique
  4. Les systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public (reconnaissance faciale).

Pour cette dernière catégorie, des exceptions sont assorties comme la recherche ciblée de victimes de crime, y compris les enfants disparus ; la prévention d’une menace spécifique, un danger pour la vie ou la sécurité des personnes ; la détection, localisation, identification ou poursuite d’un auteur ou suspect d’une infraction pénale passible d’une peine d’emprisonnement d’au moins trois ans.

Catégoriser les IA en fonction des risques associés : quelles limites ?

A l’heure actuelle, des questions se posent sur de nombreux points. Tout d’abord, il existe un enjeu fondamental sur la qualification des IA notamment à « haut risque » comparativement à celles à « faible risque » tant la différence de contraintes est importante. Cela pose une question de présentation des algorithmes, ou de la production de chaînes algorithmiques techniquement indépendantes et produisant des informations qui, une fois combinées, peuvent être considérées à haut risque sans totalement s’intégrer de manière légale dans cette catégorie.

Ensuite, la catégorie « inacceptable » est fournie de dérogations qui peuvent, lorsqu’un système est considéré comme « nécessaire », dans un usage « proportionné », permettre son autorisation pour des logiques administratives ou judiciaires. Or, les principes de nécessité et de proportionnalité sont des concepts abstraits et donc sujets à interprétation. Ils peuvent sous-tendre à une réalité malléable qui, dans le cas des systèmes dont nous parlons, peut produire des effets délétères sur l’ensemble des sociétés. Ces imprécisions et ces (non-)limites sont d’autant plus questionnables face à la volonté de développer des « bacs à sable réglementaires de l’IA » pour faciliter « le développement, la mise à l’essai et la validation des systèmes d’IA ». Ces ouvertures à visée « d’expérimentation » sont aussi un risque d’agrandissement de la fenêtre d’Overton (i.e. qui désigne l’ensemble des idées, opinions ou pratiques considérées comme acceptables dans l’opinion publique d’une société) vers des valeurs sécuritaires et de contrôle [7]. Un risque additionnel pour des modèles démocratiques.

D’autre part, si les systèmes biométriques « inacceptables » ne peuvent être utilisés dans la zone européenne, ils peuvent être commercialisés. Cette commercialisation vise des pays ayant une législation moins restrictive, et aucune limitation n’est faite quant aux pays de vente (ex. des gouvernement autoritaires). On peut citer l’exemple de l’entreprise Française Idemia/Morpho vendant un logiciel de reconnaissance faciale au bureau de la sécurité publique de Shangaï ou l’entreprise Hollandaise Noldus commercialisant son FaceReader au ministère de la sécurité publique chinois. Les systèmes interdits sont ceux qui effectuent une analyse en temps réel, ce qui exclut les analyses temporellement déportées de la catégorie « inacceptable ».

Le texte pose également des questions quant au nombre des possibilités d’interprétation. La question de porter préjudice (i.e. « harm ») à un individu peut être subjective et difficile à quantifier et qualifier. Par exemple, est-ce que l’hyperpersonnalisation des contenus pourrait être considérée comme portant préjudice à un individu, ou comme un acte de manipulation ? Pourtant ces pratiques ne sont pas ici remises en cause [8]. Est-ce qu’orienter algorithmiquement les contenus vers certains objets, domaines ou opinions est plus acceptable que vers d’autres ? Si oui, lesquels ? Comment les définir ? Si le texte cible principalement les effets préjudiciables des algorithmes sur les utilisateurs, ceci pourrait être contourné en argumentant que les actions de l’utilisateur sont la cause de potentiels préjudices, lesquels ne sont pas en lien avec l’objectif de l’algorithme. En effet, le texte stipule que l’intention ne peut être présumée si la distorsion du comportement humain résulte de facteurs externes au système, qui échappent au contrôle du fournisseur ou de l’utilisateur. En somme, la mention d’« intention » est aussi complexe à qualifier, aussi bien psychologiquement que juridiquement.

Enfin, les interdictions s’intéressent principalement aux « dark patterns », des méthodes d’incitation pour les utilisateurs à faire des choses contre leurs intérêts, comme souscrire une assurance avec leur achat ou s’inscrire pour des factures récurrentes. Dans ce cadre il est intriguant de ne pas voir figurer les algorithmes utilisés dans les médias sociaux, la recherche, la vente au détail en ligne, les magasins d’applications, les applications mobiles ou les systèmes d’exploitation mobiles comme à haut risque. De plus sur des sujets critiques comme les libertés, la surveillance et le contrôle, l’opinion des citoyens est fondamentale pour un consentement ou non, au risque de nourrir un ressentiment envers des technologies qui peuvent être utiles à des fins moins critiques.

***

Dans une perspective plus large, la question des risques des IA ne vient pas des algorithmes mais de la manière dont ils sont utilisés. Les (non-)contraintes et (non-)limites des textes comme l’AI act peuvent être lues comme une représentation des aspirations des sociétés. Ainsi, et compte tenu de l’impact de ces décision au niveau sociétal, il serait intéressant de se poser la question du bien commun, de la sensibilisation des citoyens à ses enjeux, et de leur implication.

Enfin, on peut considérer comme a minima questionnable le fait qu’il ne soit jamais fait mention du coût et de l’impact écologique des systèmes que ce soit dans leurs fonctionnements (ex. serveurs) ou dans leurs objectifs (ex. favoriser des productions polluantes sans contraintes). Même s’ils doivent être définis, ces objectifs, soient-ils dangereux écologiquement, ne font pas partie des limitations quant à l’aval d’un système algorithmique. Ce manque est paradoxal si l’on considère que le texte envisage l’utilisation des algorithmes pour promouvoir « l’utilisation efficace des ressources et de l’énergie ainsi que l’atténuation du changement climatique et l’adaptation à celui-ci. »


Références

[1] – Commission Européenne. Règlement du parlement européen et du conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’union. (2021).

[2] – La complexité du texte empêche une approche exhaustive, dès lors, nous ne justifions aucunement l’exhaustivité de la présentation du texte de l’AIA.

[3] – European Parliament and of the Council. Decision No 768/2008/EC on a common framework for the marketing of products, and repealing Council Decision 93/465/EEC, OJ L 218/82. (2008).

[4] – Wang, P., Monett, D., Lewis, C. W. P. & Thórisson, K. R. On Defining Artificial Intelligence. Journal of Artificial General Intelligence 10, 2019–2022 (2019).

[5] – Renaissance Numérique. Proposal for a regulation of the European Parliament and of the Council laying down harmonised rules on artificial intelligence (Artificial Intelligence Act) and amending certain Union legislative acts. (2021).

[6] – Dans cet article, nous présentons de manière sommaire chaque catégorie afin d’en retranscrire son essence. Le texte étant volumineux il n’est pas possible dans le cadre d’un article de partage d’information vulgarisée d’être exhaustif.

[7] – La quadrature du net. Règlement IA : l’Union européenne ne doit pas céder aux lobbys sécuritaires. (2021).

[8] – Veale, M. & Borgesius, F. Z. Demystifying the Draft EU Artificial Intelligence Act. Computer Law Review International 22, 97–112 (2021).

Articles similaires