Une version préliminaire du projet de loi européen sur l’IA a fuité hier. Elle nomme les usages interdits de l’IA et pose des garde-fous, mais c’est encore trop vague selon plusieurs experts.

Politico a relayé hier le contenu d’une version datant de janvier de la loi sur l’intelligence artificielle qui doit être présentée officiellement par la Commission européenne la semaine prochaine. Le document de 81 pages est disponible publiquement via ce lien.

Des usages interdits de l’IA, ou presque

Un des points les plus importants et controversés à retenir de cette loi est l’article 4. Ce dernier énumère les usages interdits de l’intelligence artificielle au sein de l’Union européenne. Des lignes rouges pour garantir le respect des droits humains.

Seraient interdits :

  • L’utilisation de l’IA dans la manipulation du comportement humain, de la prise de décision et des opinions.
  • L’utilisation de l’IA pour exploiter les vulnérabilités d’une personne ou d’un groupe de personnes.
  • L’utilisation de l’IA dans les méthodes de surveillance des masses sans différenciations et appliquées de façon généralisée, pour traquer et surveiller des individus.

L’article 4 stipule également que ces trois premières interdictions ne s’appliquent pas aux gouvernements de l’UE et aux autorités publiques, à condition de légiférer et dans le but de garantir la sécurité publique. Cela signifie que les autorités pourraient justifier l’usage intrusif et liberticide de l’IA pour des raisons sécuritaires.

Ce passage suscite particulièrement la controverse. Des parlementaires européens avaient déjà rédigé un livre blanc sur le sujet des usages dangereux de l’IA. De plus, 51 associations européennes pour la sauvegarde des droits individuels avaient sommé la commission d’interdire purement et simplement les pratiques de surveillance de masse biométrique. Les associations rappelaient à l’occasion les biais et les préjudices que peut poser l’utilisation d’une IA sur les libertés démocratiques, même faite par les forces de l’ordre : “Pour une législation sur l’IA véritablement centrée sur l’humain, nous réitérons qu’il doit y avoir des utilisations que l’UE n’autorise pas dans une société démocratique”.

Une quatrième utilisation de l’IA sera interdite, purement et simplement :

  • L’utilisation de l’IA pour élaborer des scores sociaux et pour évaluer la loyauté et la fiabilité des individus.

Cette dernière rappelle Black Mirror et, plus tristement, le projet chinois du crédit social. Ce dernier évalue chaque citoyen et entreprise sur leur respect des règles grâce à l’IA, donne des récompenses aux bons élèves et restreint les libertés des mauvais. Cela rappelle aussi le score de crédit qui évalue la solvabilité des citoyens dans plusieurs pays.

Des applications à haut risque contrôlées 

Outre les lignes rouges indiquées dans l’article 4, les législateurs ont prévu toute une série de contrôles de conformité par des tiers à certaines règles sur les applications de l’IA à “haut risque”. Petit hic, on y retrouve notamment l’utilisation de la reconnaissance biométrique des personnes dans les espaces publics. Utilisation controversée qui avait pourtant été décriée par les 51 associations de protection des droits individuels, le livre blanc du parlement européen et la commission elle-même. Ella Jakubowska, responsable des politiques et des campagnes à l’EDRi (European Digital Rights), affirmait à ZDnet qu’une interdiction générale de la reconnaissance biométrique devrait être imposée, peu importe l’utilisation : “Nous pensons que toute utilisation qui cible indistinctement ou arbitrairement des personnes dans un espace public va toujours, et sans aucun doute, enfreindre les droits fondamentaux. Elle n’atteindra jamais le seuil de nécessité et de proportionnalité”.

D’autres utilisations à “haut risque” seront listées, comme par exemple l’usage de l’IA dans les systèmes routiers, de distribution d’eau, d’électricité et de gaz ou encore dans lors d’opérations chirurgicales.

Des contrôles de conformité pour les entreprises à réaliser par elles-mêmes seront aussi mis en place pour certaines utilisations, un peu moins risquées, de systèmes IA. Sont concernés les services d’urgence et les systèmes IA de recrutement ou d’orientation scolaire et professionnelle, par exemple.

Cependant, les critères de contrôle et d’appréciation du risque des IA semblent encore trop vagues et pourraient laisser place à de nombreux vides juridiques.

Un comité de contrôle 

Dans sa proposition de loi, la commission propose également d’établir un “comité européen de l’intelligence artificielle”. Ce dernier sera composé de 27 représentants (un par pays membre), d’un représentant de la commission, et du contrôleur européen de la protection des données. Le comité sera chargé de donner des recommandations à la commission quant aux usages prohibés et à “haut risque” de l’IA.

Les sanctions pour non-respect des règles en vigueur rappellent celles du RGPD (règlement général sur la protection des données) : une amende de 20 millions d’euros ou 4% des revenus globaux de l’entreprise fautive. De plus, les règles s’appliqueront aux entreprises étrangères à l’UE qui opèrent en son sein.

Pour rappel, cette version du projet de loi est préliminaire et date du mois de janvier, il est donc fort probable que des changements aient été faits depuis. Nous en aurons le cœur net le 21 avril prochain, lors de la publication officielle de la proposition de loi. De plus, le règlement devra être voté et approuvé par le parlement avant d’entrer en vigueur. Les jeux ne sont donc pas encore faits.