L’AI Act dans sa version finale – provisoire –, une hydre à trois têtes

Après d’âpres négociations initiées par une proposition de la Commission européenne le 21 avril 2021 (proposition de règl. du 21 avr. 2021 établissant des règles harmonisées concernant l’IA [législation sur l’IA], COM/2021/206 final), qui a été suivie d’une orientation générale du Conseil le 6 décembre 2022, soit une semaine après la mise sur le marché mondial du système d’IA générative à usage général ChatGPT (J. Sénéchal, L’IA Act déjà obsolète face aux IA de nouvelle génération ? L’exemple de ChatGPT, Dalloz actualité, 1^er févr. 2023), d’amendements parlementaires très éloignés des versions initiales de la Commission et du Conseil (J. Sénéchal, Vote des Parlementaires européens sur l’AI Act : vers une réglementation accrue des IA, des modèles de fondation et des IA génératives, s’inspirant du DSA, du Data Act et du RGPD ?, Dalloz actualité, 22 juin 2023), d’un accord politique en trilogue le 8 décembre 2023, d’une version finale provisoire (le caractère concerne en particulier la numérotation des articles de l’AI Act qui a encore vocation à évoluer) rendue publique le 2 février 2024, n’ayant pas entraîné de remise en cause de l’accord interinstitutionnel préalablement obtenu, ni par le Conseil, ni par le Parlement européen, le règlement sur l’IA a vocation à être voté par le Parlement européen dans son ensemble le 13 mars 2024 et à faire l’objet d’une version finale définitive le 22 avril 2024, en vue d’une publication ultérieure au Journal officiel de l’Union européenne (ce texte sera ensuite complété par de nombreux actes délégués, actes d’exécution, lignes directrices, normes standardisées, lois nationales d’adaptation, et désignations d’une pluralité d’autorités au niveau national et européen…).

La négociation de cet instrument a été ardue, car celle-ci portait au départ sur une nouvelle législation relative à la sécurité des produits, dans le prolongement du « nouveau cadre législatif » (les principaux aspects de ce « nouveau cadre législatif » sont présentés dans la communication de la Comm. UE du 29 juin 2022 concernant le « Guide bleu » relatif à la mise en œuvre de la réglementation de l’UE sur les produits 2022 [2022/C 247/01]) applicable à la commercialisation des produits sur le marché européen et spécifiquement applicable aux systèmes d’intelligence artificielle (SIA).

Cette optique initiale, envisageant le SIA comme un produit, à l’instar des jouets, des ascenseurs ou des dispositifs médicaux qui bénéficient d’ores et déjà d’une telle législation sur la prévention des atteintes à la sécurité, a été bousculée par la mise sur le marché mondial en novembre 2022 d’un système d’intelligence artificielle à usage général, générant du texte et du code, ChatGPT, lui-même développé sur la base d’un modèle de fondation à usage général (Center for Research on Foundation Models (CRFM) at the Stanford Institute for Human-Centered Artificial Intelligence (HAI), On the Opportunities and Risks of Foundation Models, arXiv:2108.07258 [cs.LG], 12 juill. 2022), fournis l’un et l’autre par l’entreprise Open AI, suivis de la mise sur le marché de plusieurs autres modèles d’IA à usage général, aux rangs desquels les Large Langage Models de la société Mistral et de plusieurs autres systèmes d’IA génératifs, aux rangs desquels le tout récent système de génération de vidéos, Sora.

La rupture technologique découlant de la capacité d’« usage général » de ces nouveaux SIA et de l’engouement des utilisateurs qui en a immédiatement découlé, a, en premier lieu, éloigné ces « systèmes » de la notion classique de produit, envisagé comme un simple « outil » (J. Sénéchal, Les dynamiques actuelles de la future régulation de l’IA, aux niveaux européen et français, oscillant entre complexité et angle mort : l’IA générative, en tant que substitut au langage humain, peut-elle être régulée comme un simple « outil » ?, Dalloz actualité, 19 oct. 2023) technique doté d’un certain nombre de fonctions déterminées, pour se rapprocher de notions plus souples et polyvalentes, telles que celles de services numériques et de contenus illicites au sens du Digital Services Act (DSA) (Règl. [UE] 2022/2065 du 19 oct. 2022 relatif à un marché unique des services numériques et modifiant la dir. 2000/31/CE, JO L 277 du 27 oct. 2022, p. 1), et ce pour une double raison. D’un premier côté, ces systèmes d’IA à usage général ont immédiatement été proposés comme des services complémentaires par des fournisseurs de services numériques de moteur de recherche, de réseaux sociaux, ou de places de marché au sens du DSA (DSA, art. 3). D’un second côté, ces systèmes d’IA à usage général, en tant qu’IA génératives, peuvent produire, au titre de leurs résultats en sortie, des deep fakes (AI Act, art. 3 (numérotation provisoire), « deep fake means AI generated or manipulated image, audio or video content that resembles existing persons, objects, places or other entities or events and would falsely appear to a person to be authentic or truthful ») ou « hypertrucages » qui pourraient, pour certains, être qualifiés de contenus illicites (DSA, art. 3) et qui auront, en outre, potentiellement vocation à circuler massivement sur les services de plateformes en ligne. L’on pense par exemple aux deepfakes pornographiques de la chanteuse américaine Taylor Swift qui ont récemment fait l’objet de 47 millions de vues en quelques heures sur un service numérique de réseau social (Taylor Swift victime de fausses images pornographiques, l’intelligence artificielle en accusation, Le Monde, 26 janv. 2024.

En second lieu, cette capacité d’usage général des IA génératives, couplée à une capacité d’interaction avec l’humain, a créé des préoccupations accrues pour la protection des droits fondamentaux chez les parlementaires européens, qui se sont traduites par un accroissement, au sein de la version finale de l’AI Act, de leur prise en compte.

Cette approche initiale centrée sur la sécurité des produits, complétée par deux niveaux de préoccupation supplémentaires, a abouti à un texte tricéphale, hydre à trois têtes, d’une lecture complexe et suscitant, ce faisant, autant d’espoirs que de regrets (K. Zenner, Some personal reflections on the EU AI Act: a bittersweet ending, 14 févr. 2024), et reposant sur un premier socle stable et transversal, trouvé dans la généralité de la définition du système d’IA et de la protection des droits fondamentaux de l’humain confronté à ce système, suivi d’un second niveau de réglementation envisageant le SIA comme un produit (à l’instar d’un jouet, d’un ascenseur ou d’un dispositif médical), dans une logique de prévention des « hauts risques » d’atteinte à la sécurité, dans une longue lignée d’initiatives européennes sur ce thème, puis complétée d’un troisième niveau de réglementation, qui fut le plus débattu en trilogue, inspiré du Digital Services Act et consacré à la prévention de « risques systémiques », attachés au développement et au déploiement de modèles et systèmes d’IA génératifs à usage général, et découlant, non pas de la circulation et de la diffusion de données, mais de la production, de la génération de données nouvelles, qui pourront ensuite être diffusées au public. 

Premier niveau de réglementation : généralité de la définition du système d’IA et de la protection des droits fondamentaux

Une définition large du système d’IA, ne faisant référence ni à la notion de produit, ni à celle de service

La définition des SIA trouvée dans la version finale du texte à l’article 3.1 (numérotation provisoire) : « "AI system" is a machine-based system designed to...