Réguler l’intelligence artificielle: le délicat pari de l’Europe

En proposant un règlement inédit pour une intelligence artificielle « digne de confiance », l’Europe espère montrer la voie, comme elle l’a fait avec l’utilisation des données personnelles. En est-elle capable? Est-ce nécessaire? Voici pourquoi le texte fait débat.

C’était il y a cinq ans déjà. En dépeignant un monde où les citoyens se notent les uns les autres sur une échelle de 0 à 5, l’épisode « Chute libre » de la série d’anticipation Black Mirror ne pointait pas les dérives d’un futur si lointain. Au contraire: deux ans plus tôt, la Chine validait un projet visant à établir un « système de crédit social », pour classer les individus comme les entreprises en fonction de leurs bonnes ou mauvaises actions. Le tout grâce à une surveillance renforcée par la combinaison de différentes technologies. Si la mise en place intégrale de ce système se voit sans cesse reportée, en raison de problèmes liés à la centralisation des données, les notations auraient déjà empêché plusieurs millions de citoyens chinois de se déplacer en avion ou en train depuis 2018. Et les projets pilotes se comptent par dizaines dans les principales villes du pays.

Pour se prémunir entre autres d’une logique où certaines technologies assouviraient de tels desseins autoritaires, la Commission européenne a publié, le 21 avril dernier, une proposition de règlement « établissant des règles harmonisées concernant l’intelligence artificielle » (IA). Concrètement, le texte prévoit un cadre pour établir une IA « digne de confiance » et « éthique », en identifiant trois seuils de risque selon les usages: inacceptable, élevé et faible ou minimal. Dans la liste des risques inacceptables, c’est-à-dire des développements à interdire en Europe, figure bel et bien la « notation sociale fondée sur l’IA effectuée à des fins générales par les autorités publiques ». Pour les systèmes dits à haut risque (aviation, surveillance par des autorités répressives, identification biométrique, évaluation d’étudiants ou de candidats, aide au recrutement, contrôles aux frontières…) les développeurs et les utilisateurs doivent respecter des critères stricts en matière de transparence, de suivi des risques et de gestion de la qualité.

Inédite, cette proposition illustre la volonté de l’Europe de montrer une nouvelle fois l’exemple, comme elle l’avait déjà fait avec le Règlement général sur la protection des données (RGPD), entré en vigueur en mai 2018. Sur le principe, les experts et acteurs concernés accueillent plutôt positivement cette pro- activité européenne, d’autant que le recours croissant à l’IA suscite des craintes légitimes. « Disposer d’une innovation majeure ne constitue pas nécessairement un progrès au sens sociétal du terme, estime Antonin Descampe, professeur de journalisme à l’UCLouvain, spécialisé en IA dans les médias. Celui-ci suppose de maximiser le bien-être de la collectivité, de répartir les bénéfices de cette innovation de manière équitable et de protéger précisément le citoyen des possibles écueils de l’intelligence artificielle. L’Europe a déjà entrepris des démarches en ce sens depuis de nombreuses années, via les travaux du Helg (High-Level Expert Group on Artificial Intelligence). Dans ce contexte, cette proposition est une excellente chose, puisqu’elle combine un plan ambitieux de financement et un cadre de régulation pour une IA de confiance. »

Une définition trop vague

En Belgique, le secteur de l’intelligence artificielle compte quelque cinq cents entreprises selon Agoria, la fédération de l’industrie technologique. Il s’agit principalement de PME et de start-up. « De manière générale, nous accueillons positivement cette proposition de règlement européen, commente Floriane de Kerchove, conseillère générale digital chez Agoria. Elle va permettre de renforcer la confiance dans les applications et de clarifier ce qui peut être fait ou non. » Mais la fédération émet plusieurs grandes critiques, partagées par bon nombre d’experts. La première porte sur le champ d’application du texte européen. Celui-ci définit un système d’intelligence artificielle comme un logiciel « qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ». Une définition plutôt vague, qui ne permet pas d’identifier précisément les types de technologies censées respecter le futur cadre européen. « Elle pourrait inclure pratiquement tous les producteurs de softwares, poursuit Floriane de Kerchove. Nous attendons de la Commission qu’elle soit plus précise dans sa définition. » Une mission particulièrement compliquée alors que le monde scientifique lui-même ne parvient pas à s’accorder sur une définition commune.

Puisqu’il s’agit de prémunir les citoyens contre les dérives des technologies, pourquoi cibler uniquement l’IA? « Ce texte part d’une bonne intention, mais le focus sur l’IA n’a pas beaucoup de sens, analyse Benoît Macq, professeur à l’école polytechnique de l’UCLouvain et coordinateur de l’institut Trail. Celle-ci constitue une méthode possible parmi d’autres. Nous travaillons par exemple en vidéosurveillance pour analyser le trafic routier. Or, pour ce type d’usage, nous utilisons des algorithmes de traitement de signal qui ne reposent pas sur l’intelligence artificielle. La proposition européenne reviendrait donc à réglementer une méthode particulière, alors que l’on peut arriver au même résultat d’une autre manière. » Un constat partagé par Damien Ernst, professeur à l’ULiège et spécialiste de l’IA: « Il faut légiférer sur les usages, et non sur la technologie en tant que telle. C’est un peu comme un couteau: puisque l’on peut en faire usage à bon ou mauvais escient, ce n’est pas l’objet en tant que tel qu’il faut juger. »

Un coût d’1,5 milliard d’euros

Une autre critique d’Agoria concerne la notion de risque élevé, qui implique des obligations supplémentaires pour les développeurs et les utilisateurs. « Certaines d’entre elles, comme le système de gestion de la qualité et la mise en conformité, s’avèrent particulièrement lourdes, surtout pour les PME et les start-up », souligne Floriane de Kerchove. Agoria pointe deux chiffres issus d’une étude sur l’impact du futur cadre légal, publiée par la Commission européenne en mars dernier. Pour une entreprise de 50 employés, le coût total dû au règlement pour le développement d’un produit dit à « haut risque » pourrait osciller entre 216 000 et 319 000 euros dès la première année. Et dans l’hypothèse où 10% des systèmes d’IA seraient à risque élevé, la réglementation pourrait coûter jusqu’à 1,5 milliard d’euros à l’économie européenne.

Logiquement, de nombreuses entreprises du secteur craignent que cette couche régulatrice les pénalise par rapport à des concurrentes nord-américaines ou asiatiques, où les autorités se montrent jusqu’ici bien moins regardantes sur la question. Pour Agoria, il est dès lors crucial de les accompagner humainement et financièrement, vu l’effort à consentir. « Trouver un juste équilibre entre les droits des individus et l’incitation à l’innovation est une tâche difficile, reconnaît Nazanin Gifani, data protection officer chez Eura Nova, une société de consultance spécialisée dans l’intelligence artificielle et notamment active en Belgique. Si des interdictions et certaines mesures de sécurité sont nécessaires, il est tout aussi important de ne pas créer de barrières pour les petits prestataires, confrontés à des contraintes budgétaires qui les désavantageraient injustement. D’autant qu’il y a encore beaucoup d’incertitudes. Le règlement proposé exige par exemple que les systèmes de gestion des risques incluent l’identification de risques connus et prévisibles. Or, dans de nombreux projets d’IA, le développement est incrémentiel et la compréhension des données se précise tout au long du cycle du développement. »

Si le règlement vise à harmoniser les règles, il pourrait toutefois faire double emploi en ce qui concerne certaines applications à « haut risque », soumises de longue date à des règles très strictes de certification. « Tous les logiciels inclus dans les infrastructures critiques sont certifiés par des organismes externes, rappelle Benoît Macq. De l’aviation jusqu’à l’aide au diagnostic médical, les applications recourant à l’IA doivent suivre toute une procédure, semblable aux normes ISO. Cette proposition de règlement est donc très proche de ce qui existe déjà. » Le professeur de l’UCLouvain se montre aussi dubitatif à l’égard d’usages de l’IA censés être interdits par l’Europe, notamment la mise en oeuvre de « techniques subliminales » visant à altérer le comportement d’un individu, « d’une manière qui cause ou est susceptible de causer un préjudice physique ou psychologique à cette personne ou à un tiers ». « L‘IA qui manipule les comportements humains et prive les utilisateurs de leur libre arbitre, c’est déjà ce que font Facebook et bien d’autres. Les systèmes d’IA derrière les réseaux sociaux sont affreusement dangereux. Or, je doute que le futur règlement s’applique à ceux-ci, même si ce serait une belle bataille à gagner. »

En proposant un cadre sur l’intelligence artificielle, l’Europe fait aussi le pari que d’autres continents emprunteront la même direction. « Le RGPD a permis d’influencer plus largement la manière dont les données personnelles sont traitées, constate Antonin Descampe. Mais cette fois, il y a une tension entre ce rôle d’inspiration que l’Europe veut jouer et le poids économique requis pour y parvenir. Elle risque d’être déforcée dans ce rôle par la temporisation nécessaire pour développer une intelligence artificielle porteuse de sens, en particulier si les Etats-Unis ou la Chine innovent de manière accélérée, sans se poser ces questions. »

Avant d’être adopté dans sa version définitive, le texte européen fera encore l’objet de nombreux amendements sur la base des avis rendus à son sujet. D’après un récent rapport de la Banque européenne d’investissement, le déficit annuel d’investissement en IA s’élève à 10 milliards d’euros par an dans l’Union européenne. Pour le combler, la Commission veut investir un milliard par an et compte sur l’aide du secteur privé et des Etats membres, afin d’atteindre un volume annuel d’investissement de 20 milliards d’euros pour la décennie à venir.