LEX INSIDE - Zoom sur le règlement européen sur l'IA
Zoom sur le règlement européen sur l'IA avec Adrien Basdevant, Associé, Entropy.
Category
🗞
NewsTranscription
00:00On va parler du règlement européen sur l'IA avec mon invité Adrien Badevent, associé
00:16cofondateur du cabinet Entropy. Adrien Badevent, bonjour.
00:19Bonjour Arnaud.
00:20Le règlement européen sur l'intelligence artificielle du 13 juin institue un cadre
00:26juridique pour l'intelligence artificielle. Pouvez-vous nous rappeler l'objectif de ce
00:31règlement ?
00:32On l'appelle communément l'AI Act. Donc comme vous l'avez rappelé, c'est le règlement
00:36européen sur l'intelligence artificielle. Il est entré en vigueur en août 2024. On
00:41en discutera très certainement. C'est une entrée en vigueur qui est assez progressive
00:44avec des obligations qui vont être jusqu'à 2026. Et il vise en fait à instaurer un cadre
00:51juridique pour tout opérateur, toute entreprise, organisation qui soit fournit, soit déploie
00:58et utilise des systèmes d'intelligence artificielle au sein de l'Union Européenne.
01:02Qui est concerné par ce règlement ?
01:04Donc vous avez à la fois des personnes qui déploient, qui fournissent des systèmes
01:08d'intelligence artificielle. Donc un système d'intelligence artificielle, c'est défini
01:13de manière assez large. C'est pour le dire de manière assez simple. Un système qui
01:17apprend avec des données d'entraînement, qui peut ensuite être testé et validé et
01:21qui va générer soit du contenu, qui peut générer des prédictions, des recommandations
01:26ou qui va faire des calculs de probabilité. Ces systèmes peuvent être utilisés dans
01:31des secteurs assez larges. Ça peut être des algorithmes de recommandations sur des
01:34plateformes. Ça peut être des systèmes d'aide à la décision dans le domaine médical.
01:39Parfois, ils sont ajoutés à des caméras pour faire des caméras augmentées. Vous
01:45avez aussi toute l'IA qu'on appelle de manière marketing générative qui vient
01:49à générer du contenu, que ça soit des modèles 3D, de la voix, des images, que ça
01:55soit du code informatique. Donc tous ces systèmes-là, ils sont développés par des entreprises.
02:00Ils sont soit mis à disposition d'utilisateurs finaux, vous et moi. Tous les jours, on peut
02:04utiliser ChatGPT ou d'autres outils. Ils peuvent être aussi déployés auprès d'autres
02:10entreprises qui eux-mêmes, après, vont les réentraîner à leur tour, les affiner, ce
02:14qu'on appelle en anglais fine-tuning, et qui vont ensuite aussi être mis à disposition
02:19soit d'utilisateurs finaux. Donc voilà, vous avez des relations B2B ou B2B ou B2B2C,
02:24et donc cet ensemble de chaînes de valeurs comprend des obligations juridiques avec des
02:30cadres qui sont différents en fonction des usages.
02:33Comment le règlement sur l'intelligence artificielle définit l'intelligence artificielle ?
02:40Ça, c'est un grand sujet de débat. L'intelligence artificielle, c'est des systèmes automatisés qui
02:45peuvent avoir différents degrés d'autonomie. Et comme je vous le disais, il y a les inputs,
02:50c'est les données d'entrée, puis les outputs, c'est les résultats de sorties qui sont générés.
02:55C'est des systèmes d'IA qui sont définis, mais on peut quand même différencier les modèles des
03:01systèmes. Les modèles, c'est le moteur sous-jacent. Si vous ajoutez une interface utilisateur par
03:05dessus, vous avez un système. Et puis, ce règlement, il faut quand même comprendre qu'il
03:10n'est pas censé encadrer une technologie. Il n'est pas censé réguler la technologie elle-même. C'est
03:16plutôt les cas d'usage de la technologie. On prend souvent cet exemple des biens à double usage.
03:21Le marteau qui sert à encadrer votre tableau dans votre salon ou vous en prendre à votre voisin
03:26directement, c'est un bien à double usage. Le marteau en soi, il n'est pas bon ou mauvais,
03:32c'est son usage. C'est la même chose avec les systèmes d'intelligence artificielle. Du coup,
03:36vous avez une pyramide de risques qui est un peu trop simplement présentée la plupart du temps,
03:42mais avec des risques qui sont complètement inacceptables à son sommet et des risques qui
03:46sont plutôt limités ou modérés tout en bas. Il y a quatre niveaux, c'est ça, de risques
03:51prévus par le règlement ? Exactement. Vous avez les risques prohibés. On peut se demander même
03:57pourquoi ils existent dans leur déclinaison, parce que qui va faire de la reconnaissance
04:03d'émotion ? On peut se dire, mais pourquoi on doit dire que c'est prohibé ? C'est déjà. En fait,
04:07quand on regarde de plus près, ce n'est peut-être pas si évident. Dans les risques prohibés,
04:11il y a la biométrie en temps réel. Vous regardez que dès qu'on arrive sur la biométrie, les
04:15questions sont assez fines. Elles ont fait l'objet de beaucoup de débats pour savoir si c'était en
04:18temps réel, pour quel cas d'usage, est-ce que c'était pour aider les forces de l'ordre ou
04:23d'autres. Il y a des personnes qui constituent des bases de données sur des images de reconnaissance
04:30faciale par ce qu'on appelle le scrapping, le moissonnage en bon français, qui font partie des
04:35risques prohibés. Tout le monde peut se dire, mais qui fait ça ? Il y a une entreprise tout
04:39simplement qui s'appelle Clearview AI, qui a été condamnée par plusieurs finiles européennes et qui
04:46n'a toujours pas payé, d'ailleurs, sa sanction. Ça, ça pose la question de l'efficacité de la
04:51sanction. Ça, c'est la catégorie complètement prohibée. Après, il y a des systèmes à haut
04:57risque qui peuvent être utilisés dans le cadre des relations des ressources humaines, par exemple,
05:02qui peuvent être utilisés sur des infrastructures critiques si vous utilisez des systèmes d'IA,
05:08par exemple, en matière d'énergie ou aussi pour le calcul de la solvabilité d'un individu ou de
05:15l'assurance vie. En matière de recrutement aussi, non ? En matière de recrutement, c'est très
05:18important. En fait, on se rend compte que l'automatisation de... Il y a beaucoup d'indicateurs
05:24de métrics qui peuvent être utilisés. Lesquels sont utilisés de manière suffisamment équilibrée
05:30avec quelles redditions de comptes, comment vous avez documenté le fait d'accorder tel prime ou
05:36tel malus, tel bonus ? Donc, c'est des systèmes qui sont particulièrement encadrés avec des
05:41obligations parfois supplémentaires de documentation, des documentations qu'on
05:45peut connaître dans le RGPD, dans le règlement européen sur les données comme l'étude d'impact,
05:49dont le règlement sur l'IA se transforme en des analyses d'impact sur les droits fondamentaux.
05:55Donc, vous devez en amont, parce que vous avez des obligations avant de déployer ces systèmes,
05:59puis des obligations une fois qu'ils sont déployés, de reddition de comptes qui sont
06:03différentes aussi par rapport aux autorités de supervision. Et vous devez un peu expliquer
06:07à quoi ils vont être utilisés. Est-ce qu'ils sont robustes d'un point de vue de cybersécurité ? Est-ce
06:12que vous avez fait des analyses sur les capacités d'impact qui sont raisonnablement prévisibles ?
06:18Donc, c'est cet ensemble de documentation qui doit être fourni par les différents acteurs,
06:23auprès des autorités qui le demanderaient, mais aussi entre eux. Parce qu'en amont de la chaîne,
06:29vous avez des fournisseurs, puis parfois, comme je le disais, vous avez des déployeurs.
06:32Bien sûr.
06:32Donc, une entreprise qui développe un moteur et une entreprise qui va l'utiliser parfois même
06:37en interne auprès de ses propres employés. Il y a des informations qui doivent être communiquées
06:43entre les deux pour savoir comment fonctionnent ces systèmes qui sont soit en boîte noire complète,
06:47soit avec des possibilités un peu plus d'audit et de...
06:51Le but, c'est de s'assurer d'une certaine transparence dans toute la chaîne, c'est ça ?
06:55Oui. En tout cas, la possibilité de rendre des comptes de la façon dont ces systèmes
06:59fonctionnent qui sont assez complexes. Et la communication d'informations entre les
07:03différents acteurs n'est pas si simple. Pourquoi ? Parce qu'il y a aussi du secret des affaires,
07:07il y a des informations qu'on ne peut pas complètement révéler quand on est un acteur
07:11qui fournit. Puis, vous avez des acteurs qui fournissent et qui sont verticalisés sur toute
07:15la chaîne et qui vont aussi le déployer. Donc, en fonction des offres qu'ils ont,
07:19il y a potentiellement aussi de la concurrence avec la cannabilisation avec leurs propres offres.
07:24Alors, on a vu les obligations qui incombent justement à tous ces services d'intelligence
07:30artificielle. Quelles sont les sanctions prévues par le règlement en cas de non-respect de ces
07:34obligations ? Alors, vous avez différents niveaux de sanctions. C'est un texte qui est assez différent
07:38du règlement européen, du RGPD. Mais souvent, l'analogie est faite parce que dans le RGPD,
07:44vous aviez des niveaux de sanctions qui allaient à 4% du chiffre d'affaires. Et pendant longtemps,
07:46ça marquait l'imagination des interlocuteurs. Là, ça va plus haut. Le RGPD, c'était 4%,
07:5520 millions. Là, vous pouvez monter jusqu'à ces 7%. Exactement, 7%, 35 millions. Après,
08:01en quelques minutes, je ne vais pas aller dans toutes les différentes sanctions,
08:06des manquements. Mais vous pouvez avoir des manquements du fait que vous n'avez pas
08:09communiqué des informations lors d'un contrôle par une autorité ou que vous avez communiqué des
08:15informations qui étaient erronées ou trompeuses. Là, les niveaux sont moins hauts, mais sont quand
08:21même assez significatifs. Puis, vous avez le fait d'avoir déployé un système, par exemple,
08:26là au risque sans avoir au préalable l'avoir déclaré dans la base de données de l'Union
08:32européenne, avoir cherché le marquage CE, avoir documenté tout ce qu'il fallait en termes de
08:36robustesse, de sécurité ou autre. Et là, vous pouvez potentiellement aller sur des niveaux
08:42de sanctions un peu plus importants jusqu'à ces 7%. L'analogie, là où c'est similaire avec des
08:48textes européens qu'on a pu voir et connaître, c'est sur l'extraterritorialité. Donc, c'est
08:53toute personne qui, en fait, vise le marché européen ou dont les résultats de sortie vont
08:57avoir un effet sur les personnes qui sont au sein de l'Union européenne, ça va s'appliquer. Mais
09:00c'est beaucoup plus un règlement qui emprunte une logique de mise sur le marché, de mise en
09:07service. C'est beaucoup moins un règlement sur des droits personnels fondamentaux de personnes
09:12concernées, même si vous pouvez aussi, en tant qu'individu, faire des... Utiliser cette base
09:19juridique avec d'autres pour faire éventuellement des actions en justice. On va conclure là-dessus.
09:25Merci d'être venu sur notre plateau. Merci beaucoup.