Après d’intenses tractations, le règlement sur l’intelligence artificielle de l’Union européenne a finalement été adopté le 21 mai 2024. Présenté comme la première norme régionale proposant un cadre réglementaire visant spécifiquement les systèmes d’IA, le texte suscite un vif intérêt au-delà des frontières européennes.
A la suite de la diffusion des principes introduits par le règlement général sur la protection des données (RGPD) quelques années plus tôt, cette nouvelle législation européenne essaimera-t-elle également à l’échelle globale ? Lors des négociations autour de ce règlement établissant de nouvelles règles visant les systèmes d’intelligence artificielle (IA), et même dès l’annonce par la Commission européenne de sa proposition législative, l’un des objectifs principaux était bien de définir un standard non seulement pour l’Europe, mais aussi pour le reste du monde. Une approche illustrée par les propos du commissaire européen Thierry Breton en 2022, qui défendait un agenda politique permettant aux normes européennes de devenir « des références mondiales »1.
Assistera-t-on ainsi à l’adoption par de nombreux États et entreprises de règles d’inspiration européenne ? Il faudrait pour cela que l’AI Act soit effectivement fondé sur des principes et sur une architecture facilitant sa « transposition » hors de l’Union européenne.
Pour répondre à cette question, il faut d’abord revenir rapidement sur les fondements de ce texte, avant d’observer comment, avec ce règlement sur l’IA, l’UE a tenté de se placer comme leader global de la régulation de l’IA. Enfin, nous nous demanderons si les obstacles qui contrarient pour l’heure la concrétisation du discours et de la posture européenne actuelle peuvent permettre d’anticiper un « effet Bruxelles » limité au niveau mondial.
Bref rappel des principes clés du règlement sur l’IA
La nouvelle législation européenne sur l’IA est un texte hybride. Elle conjugue en effet des modes de régulation très différents, à commencer par ceux de la sécurité des produits et des droits fondamentaux, et vise des systèmes d’IA, dont les fonctionnements et les usages sont notoirement divers et souvent complexes à anticiper.
L’approche suivie par le règlement sur l’IA est fondée sur les risques2 (voir La rem n°68, p.8). Autrement dit, plus un système d’IA est susceptible de représenter des risques dans le contexte de son utilisation, plus les développeurs, fournisseurs ou utilisateurs de ces systèmes devront se conformer à des obligations pour limiter ces risques. Cette approche est donc asymé- trique, car elle varie en fonction de l’usage et du contexte d’utilisation de ces systèmes, qui modulent ainsi la rigueur des obligations à respecter.
Pour les usages considérés comme les plus « risqués », ce règlement introduit d’ailleurs des interdictions visant certaines catégories spécifiques de systèmes d’IA, dans des contextes précis. Cependant, ces pratiques interdites sont très diverses et leur champ est relativement flou3. Les interdictions concernent notamment la mise sur le marché et l’utilisation de systèmes d’IA délibérément manipulateurs, portant atteinte à la capacité d’une personne à prendre une décision éclairée et susceptible de lui causer un préjudice important. Sont également interdites la mise sur le marché et l’utilisation de systèmes d’IA qui « créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance ». Cette interdiction semble ambitieuse mais le champ du règlement ne s’applique ni aux systèmes d’IA développés à des fins de recherche scientifique, ni à ceux utilisés à des fins militaires, de défense ou de sécurité nationale4. De même, alors que le texte prétendait originellement interdire l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public, le large éventail des dérogations prévues à ce principe d’interdiction pourrait revenir paradoxalement à faciliter l’« autorisation » de la reconnaissance biométrique5.
Au-delà de ces interdictions, le règlement impose de nouvelles obligations pour les systèmes d’IA dits « à haut risque »6 : ceux utilisés dans le contexte de la biométrie, de la gestion d’infrastructures critiques, de l’éducation et de la formation professionnelle, de l’emploi et de la gestion de la main-d’œuvre, de l’accès aux services publics et aux prestations sociales, de la police prédictive, du contrôle des migrations et de l’administration de la justice. Il reste que tout système d’IA utilisé dans ces domaines ne sera pas nécessairement sujet à de nouvelles obligations, car, à la différence de la proposition initiale de la Commission, le texte définitif contient désormais un filtre. Seront considérés à haut risque uniquement les systèmes relevant de ces catégories et susceptibles de poser explicitement des risques importants pour la santé, pour la sécurité ou pour les droits fondamentaux des personnes7. Malgré la difficulté d’une telle évaluation, on estime qu’environ 10 % des systèmes d’IA sur le marché pourraient être soumis à ces nouvelles obligations.
La loi sur l’IA épargne ainsi d’obligations les développeurs, les fournisseurs et les utilisateurs d’un large spectre de systèmes d’IA représentant a priori des risques limités pour les personnes. Cet état de fait conduit d’ailleurs de nombreux experts et élus au Parlement européen à qualifier la loi sur l’IA de « pro- innovation », dans la mesure où elle n’encadre de facto qu’une portion congrue des systèmes d’IA qui seront déployés dans nos sociétés8.
Concernant les systèmes d’IA que la loi entend encadrer plus strictement, la portée exacte des obligations demeure à définir. En effet, le règlement repose sur la présomption de conformité des entreprises, lesquelles respecteront ce texte par l’application de standards techniques, toutefois en cours d’élaboration. En 2025 ou 2026, l’organisation de standardisation CEN- CENELEC (Comité européen de normalisation – Comité européen de normalisation en électronique et en électrotechnique) devrait établir une dizaine de ces standards, qui permettront aux acteurs mettant sur le marché, ou déployant, des systèmes d’IA de se conformer à la loi. Il reste donc à voir si les spécifications techniques finales, négociées pour partie par les grandes entreprises technologiques au sein des organismes nationaux de normalisation (dont Afnor en France), traduiront les ambitions politiques du texte en instaurant des obligations techniques à la fois réalistes et utiles.
Ces critères et objectifs mettent en lumière toute la complexité de la potentielle diffusion de l’AI Act au-delà des frontières de l’Europe. En mobilisant l’acquis européen en matière de sécurité des produits, en se référant à des standards dont la formulation est déléguée à un acteur tiers, ou encore en ancrant ses interdictions (et leurs dérogations) sur la base du droit européen et de la protection des droits fondamentaux, la loi européenne sur l’IA n’instaure pas a priori un cadre et des principes suffisamment génériques pour être répliqués dans des pays dont les référentiels et le fonctionnement sont significativement différents du cadre européen9.
Les aspirations contrariées d’un leadership européen autour de la régulation de l’IA
En dépit de ces nombreux défis, l’UE n’a eu de cesse de se positionner comme un leader global de la régulation de l’IA. En effet, l’UE fait assurément partie des premiers acteurs à avoir développé un cadre réglementaire concernant le développement, le commerce et l’utilisation de systèmes d’IA. Comme pour le RGPD, l’AI Act pourrait, en tant que texte précurseur, servir de référentiel à de nombreux législateurs hors des frontières européennes. En outre, l’attrait du marché et la nécessité pour les entreprises de s’assurer du marquage « CE » pour y vendre leurs produits laissent d’ores et déjà supposer que le règlement sur l’IA aura un certain effet extra-européen.
L’UE cherche d’ailleurs à favoriser l’exportation de son modèle normatif en matière d’IA, à l’instar de toute une série de nouvelles législations visant l’économie numérique, comme la loi sur les services numériques (ou DSA). Cette ambition d’expansion des standards normatifs européens se matérialise dans les relations bilatérales qu’entretient l’UE avec des pays tiers, à travers des programmes d’investissements et de renforcement de capacités10, mais également à un niveau multilatéral. Parallèlement à la négociation de la loi européenne sur l’IA, avait également lieu l’adoption de la première Convention du Conseil de l’Europe autour de l’IA11. Dans ce cadre12, l’UE a mobilisé tout son capital politique afin de s’assurer que ce nouveau texte international reprendrait bien les principes fondamentaux de son propre texte – au risque d’introduire une architecture et des exemptions problématiques dans le texte du Conseil de l’Europe, dont l’ambition première était de garantir la protection des droits de l’homme à l’ère de l’IA13.
À ce titre, les chercheurs Marco Almada et Anca Radu avancent que l’approche de l’UE sur le plan international pourrait à long terme aller à l’encontre de la promotion de ses propres valeurs européennes14. Ils soulignent ainsi le paradoxe selon lequel, si la loi sur l’IA était appliquée dans un État où l’état de droit est vacillant et la séparation des pouvoirs non respectée, cette loi pourrait faciliter le déploiement de systèmes d’IA invasifs et dangereux pour les droits des personnes. D’autres experts rappellent d’ailleurs que la loi sur l’IA semble largement ignorer son impact sur les individus hors du continent européen15.
S’ajoute à cette problématique le fait que l’UE n’est désormais plus le seul acteur politique à se positionner dans la fabrique des normes autour de l’IA. Particulièrement actifs dans ce domaine, les États-Unis et la Chine entendent également définir ce que serait à l’avenir le standard international. Ces initiatives des États-Unis se sont traduites par des négociations au sein du Conseil sur le commerce et les technologies européen UE-États-Unis16 et au sein de l’Organisation de coopération et de développement économiques (OCDE)17. Ces processus visent à trouver un terrain d’entente entre les approches étatsuniennes et européennes, notamment sur la taxonomie utilisée pour qualifier les systèmes d’IA ou pour la définition de certains principes clés, comme celui de la transparence, ainsi que les obligations (relativement minimes) visant les « bacs à sable réglementaires ».
Vers un « effet Bruxelles » limité ?
Ces divers éléments invitent donc à reconsidérer les aspirations européennes de leadership en matière d’IA, même s’il est attendu que cette loi aura un effet global18. Les dissonances observées entre les ambitions et la structure même de la loi, auxquelles s’ajoute le contexte de rivalité techno-politique actuel entre grandes puissances, soulignent les obstacles que pourraient rencontrer l’UE dans son exportation de la loi sur l’IA, ainsi que les problématiques « effets secondaires »19 de ce texte pour l’UE elle-même.
Sources :
- Commission européenne, « Une nouvelle approche pour établir la primauté des normes de l’UE dans le monde en vue de promouvoir des valeurs », france.representation.ec.europa.eu, 2 février 2022.
- Les risques sont ici compris en termes de risques à la santé des personnes, à leur sécurité ainsi qu’aux droits fondamentaux.
- Jakubowska Ella, Noori Kave, Hakobyan Mher, et al., « EU’s AI Act fails to set gold standard for human rights », edri.org, April 3, 2024.
- Parlement européen, rectificatif à la position du Parlement européen arrêtée en première lecture le 13 mars 2024, article 2 du texte de loi « Champ d’application », europarl.europa.eu
- Article 5 « Pratiques interdites en matière d’IA »,
- Les catégories de systèmes à haut risque sont listées dans l’annexe III du texte de loi,
- Friedl Paul, Gasiola Gustavo Gil, « Examining the EU’s Artificial Intelligence Act », Verfassungsblog on matters constitutional, verfassungsblog.de, February 7, 2024.
- Voir par exemple : kaizenner.eu/post/reflections-on-aiact
- À l’inverse, on trouve des reflets du RGPD dans des contextes très divers, comme la loi sur la vie privée en Californie ou dans le nouveau cadre sur la protection des données en Chine : Luo Dora, Yanchen Wang, « China – Data Protection Overview », dataguidance.com, October 2024.
- « Team Europe Initiatives and Joint Programming Tracker », Capacity4dev.
- La Commission européenne a d’ailleurs retardé activement les négociations autour de cette convention afin de donner plus de temps à la procédure législative de la loi sur l’IA : Bertuzzi Luca, « EU Commission postponed AI treaty negotiations with further delays in sight », euractiv.com, October 5, 2022.
- Les États-Unis, le Japon et le Canada ont aussi activement participé à ces négociations en tant qu’observateurs : Gkritsi Eliza, « Council of Europe AI treaty does not fully define private sector’s obligations », euractiv.com, March 15, 2024.
- Conseil de l’Europe, « CAI – Comité sur l’intelligence artificielle », coe.int
- Almada Marco, Radu Anca, « The Brussels Side-Effect: How the AI Act Can Reduce the Global Reach of EU Policy », German Law Journal, February 28, 2024, p. 1-18
- Mügge Daniel, « EU AI sovereignty: for whom, to what end, and to whose benefit? » Journal of European Public Policy, February 28, 2024, p. 1-26. https://doi.org/10.1080/13501763.2024.2318475
- Commission européenne, « Conseil du commerce et des technologies UE-États-Unis (2021-2024) », digital-strategy.ec.europa.eu May 3, 2024.
- OECD, « OECD updates AI Principles to stay abreast of rapid technological devlopments », oecd.org/newsroom, May 3, 2024.
- Engler Alex, « The EU AI Act will have global impact, but a limited Brussels Effect », brookings.edu, June 8, 2022.
- Almada Marco, Radu Anca, « The Brussels Side-Effect: How the AI Act Can Reduce the Global Reach of EU Policy », cit.