L’IA Act, une alchimie réussie combinant règles de droit et normes éthiques ?

Ethique (bas latin ethica, morale, du grec êthikon) : nom féminin ; 1. Partie de la philosophie qui envisage les fondements de la morale ; 2. Ensemble des principes moraux qui sont à la base de la conduite de quelqu'un.
‍
Intelligence artificielle : nom féminin ; ensemble des théories et des techniques mises en œuvre pour réaliser des machines dont le fonctionnement s'apparente à celui du cerveau humain.

‍

Le Règlement européen sur l’intelligence artificielle (« IA Act »), en vigueur à partir d'août 2024, établit un cadre juridique visant au développement et à l'utilisation éthique de l'intelligence artificielle (IA), dont l'application sera progressive entre 2025 et 2026. Mais comment ce règlement aborde-t-il les questions éthiques dans le cadre d’un développement et d’une utilisation plus responsable de l’IA ? En réalité, l’IA Act est non seulement ancrée dans les valeurs fondamentales de l’Union européenne (UE) mais aborde l’éthique comme partie intégrante du cadre légal, bien au-delà d’une simple invitation des opérateurs à l’auto-régulation.  

‍

1. Discrimination et biais, une lutte contre les pratiques d’IA jugées inacceptables

En 2018, un rapport¹ a révélé que l'algorithme de recrutement d'Amazon discriminait les candidatures féminines. Formé sur 10 ans de données internes, l'algorithme avait appris à partir de tendances historiques où les hommes dominaient, surtout dans les postes techniques. En conséquence, il pénalisait systématiquement les CV contenant des termes associés aux femmes, comme des références à des écoles ou clubs féminins, reproduisant ainsi des biais sexistes favorisant les hommes pour ces postes.

Comment l’IA Act lutte-t-il contre les discriminations et biais ?

• Les articles 5, 9 et 10 de la loi sur l'IA interdisent certaines pratiques d'IA notamment celles qui exploitent les vulnérabilités de groupes spécifiques ou qui pourraient conduire à des discriminations ;
• Le Règlement encourage les développeurs et les utilisateurs à évaluer les risques potentiels, y compris les risques de discrimination. L’IA Act impose un système de gestion des risques pour les systèmes d'IA à haut risque, exigeant une évaluation continue tout au long de leur cycle de vie. Ce système doit identifier, analyser et gérer les risques potentiels pour la santé, la sécurité ou les droits fondamentaux, en veillant à ce que les risques restants soient acceptables et en mettant en œuvre des mesures pour les réduire au minimum.

‍

2. Manipulation de l’opinion et du consentement, une lutte renforcée contre la désinformation

Durant les élections municipales à Delhi, début 2024, des vidéos manipulées attribuant de fausses déclarations à des candidats politiques ont circulé sur les réseaux sociaux, nécessitant l'intervention de la Commission électorale indienne.

Que préconise l’IA Act ?

• L'article 50 impose la transparence aux entreprises, qui doivent informer leurs utilisateurs lorsqu'ils interagissent avec un système d'IA ou lorsqu'une image est générée ou manipulée par un système d'IA. Cette information doit être donnée à l'utilisateur de manière claire et distincte, en précisant que le contenu a été créé ou manipulé artificiellement, en étiquetant le résultat de l'IA en conséquence et en divulguant son origine artificielle.

‍

3. Atteinte à la vie privée, à l'image et aux données personnelles, des risques d’abus

Un exemple d'abus aux États-Unis est l'accusation portée en mai 2024 par l'actrice américaine Scarlett Johansson contre OpenAI et son PDG, Sam Altman, pour avoir délibérément copié sa voix sans son consentement après qu'elle a refusé de participer au système actuel ChatGPT 4.0. Cependant, par respect pour Scarlett Johansson et peu de temps après sa critique publique, l'entreprise a retiré la voix. Ces évolutions récentes permettent une utilisation contrôlée et plus sûre de l'IA.

Que prévoit l’IA Act ?

• L‘article 18 impose une conservation de la documentation. Les fournisseurs doivent conserver une documentation complète sur les systèmes d'IA à haut risque, y compris des informations sur la collecte et l'utilisation des données, afin de garantir la transparence et la conformité.
• À nouveau, l’article 50 de l’IA Act sur la transparence fait office de bouclier : les fournisseurs et déployeurs de tous les systèmes d'IA doivent garantir la transparence des processus et de l'utilisation des données, en rendant ces données accessibles.

N.B. Les questions relatives aux données à caractère personnel sont principalement couvertes par le RGPD, à l'exception des questions spécifiques liées à l'IA, ce qui implique une approche cumulative des deux réglementations.

‍

4. Enfin, l’absence de supervision humaine, un enjeu aux conséquences significatives

Retournons à notre exemple concernant l’algorithme de recrutement d’Amazon. De manière autonome, l’algorithme s’est auto-appris à pénaliser systématiquement les CV de femmes. Sans supervision humaine, les systèmes d'intelligence artificielle (IA) déployés dans des secteurs sensibles, tels que les services de santé, de transport, de recrutement ou les services bancaires, peuvent provoquer des failles de sécurité graves. Par exemple, une IA utilisée pour interagir avec les clients pourrait accidentellement divulguer des informations personnelles ou financières à des tiers non autorisés.

Quelles sont les exigences de l’IA Act concernant la supervision humaine des systèmes d’IA ?

• Qu’elle soit à haut risque ou non, la responsabilité s'étend à toute la chaîne de valeur de l'IA (article 25). Certains systèmes d'IA à haut risque (y compris l'IA biométrique) doivent répondre à certaines normes et les fournisseurs doivent être évalués (article 43).
• La supervision humaine est garantie dans l’IA Act par : un code de pratique (article 56) ; un Office de l'IA supervisant l'application de la réglementation (article 64) ; des groupes d'experts (articles 67 et 68) donnant des conseils sur les questions éthiques, techniques et sociétales.

Au-delà de la question des grands principes éthiques théoriques, l’utilisation responsable de l’IA pose des problématiques éminemment concrètes, techniques et complexes. Elles se traduiront souvent par des normes techniques imposées aux opérateurs ou volontairement choisies par ces derniers dans le cadre d’une auto-régulation.

Ces principes éthiques, transcrits dans des normes techniques (par ex. anonymisation ou pseudonymisation des données, etc.), auront la flexibilité suffisante pour s’adapter aux caractéristiques de chaque secteur économique ; par exemple, on admettra aisément que les normes techniques qui garantiront les grands principes éthiques susmentionnées seront très différentes pour l’industrie des drones militaires, pour l’industrie cosmétique, ou encore pour la presse. Fort heureusement, le juriste aura toujours un rôle à jouer dans ce processus d’endiguement de l’IA (cf. la théorie de Mustapha Suleymann) et de « customisation » des principes éthiques avec des normes techniques évolutives et spécifiques à chaque secteur – celui de rédacteur de chartes éthiques « sur mesure » pour une utilisation responsable de l’IA, dans un cadre légal européen visionnaire.

‍

Un remerciement chaleureux à Noa Arfi, stagiaire DDG, pour son aide précieuse à la préparation de cet article.