L’IA Act à la loupe

L’IA Act à la loupe

#DigitalTrends | 06/11/24 | Compte-rendu

De l’intention à la pratique

L’IA Act devra coexister demain avec des lois déjà en vigueur

Alors que le règlement européen sur l’intelligence artificielle (IA Act) sera pleinement applicable en 2026, les débats à son sujet demeurent vifs.

La villa numeris invite les entreprises à participer aux échanges sur ce texte qui entre en vigueur en différentes phases. Lors du rendez-vous #DigitalTrends qui s’est tenu le 6 novembre 2024, nos grands témoins ont passé l’IA Act en revue.

Des questions qu’on se (re)pose

«Un texte inédit et précurseur dont l’Union européenne s’enorgueillit», annonce David Lacombled qui préside La villa numeris en introduisant la rencontre. Il évoque là «le long passé de l’Union européenne (UE) en matière de réglementation». En effet, l’IA Act va, rappelle-t-il, «s’ajouter à d’autres textes existants comme le RGPD. Ces lois s’enchevêtrent, au risque de compliquer la vie des entreprises». Pour Yann Padova, avocat, associé du cabinet Wilson Sonsini Goodrich & Rosati à Bruxelles et ancien secrétaire général de la CNIL, «l’IA Act est sans préjudice des autres réglementations».

Ce nouveau texte pleinement applicable en 2026 a des points communs avec le RGPD. Tous deux ont «une portée extraterritoriale», note Yann Padova, avocat, associé du cabinet Wilson Sonsini Goodrich & Rosati à Bruxelles et ancien secrétaire général de la CNIL. Il revient également sur le code de bonnes pratiques sur les obligations incombant aux fournisseurs de modèles d’IA à usage général prévu par l’article 56 du règlement sur l’IA, «un outil à la mode» que l’on retrouve avec le DSA et le RGPD. S’il souligne l’approche collaborative de l’outil, il relève aussi «qu’il est lourd et coûteux».

L’IA Act adopte une approche par les risques. Cela est également le cas pour le RGPD. Pour autant, Yann Padova explique que la pratique de ce dernier règlement est «beaucoup plus conservatrice. Les décisions trop conservatrices font l’objet de contentieux dans les cours nationales». Il rappelle que «l’approche par les risques est une autre façon de parler du principe de proportionnalité». Yann Padova évoque le secteur RH particulièrement concerné par le règlement. Cela ne date pas d’aujourd’hui. «Dans le domaine des RH, les questions sont posées depuis longtemps».

Quelles parties prenantes?

«On mobilise des ressources et pas uniquement du service juridique», considère Frédéric Grelier, Chief data officer de Weborama pour qui il est nécessaire de «se mobiliser sur la cartographie des systèmes d’IA qu’on met en place pour nous et pour nos clients. Les data scientists vont devoir comprendre l'impact du système d’IA qui est mis en place.» Les parties prenantes sont mobilisées. Frédéric Grelier évoque ainsi «les discussions avec l’écosystème» et ses clients.

«Quelle autorité de régulation sera désignée?» une question qui fait couler beaucoup d’encre. Yann Padova met en perspective les possibles autorités pouvant être désignées. «Il y a beaucoup de débats politiques. Tout le monde veut s’occuper d’IA». Si l’IA Act entrera en application par phases, «des problématiques s’appliquent déjà. Beaucoup d’autorités veulent être désignées comme autorités de surveillance. Des autorités cognent très fort pour montrer aux gouvernements et aux opinions qu’elles vont protéger les citoyens». Yann Padova cite ainsi la Grèce et l’Italie qui «a suspendu ChatGPT sur les fondements du RGPD». Au contraire, «la CNIL et l’autorité allemande sont en phase de co-construction du cadre». Les débats ont aussi lieu au sein même des entreprises. Il s’agit d’«une bataille politique».

Avec l’IA Act, il y a trois types de risques: «interdits», «acceptés», «mineurs». «Les risques se concentrent essentiellement sur les fournisseurs IA», analyse Yann Padova. Il souligne que «l’approche est duale dans la régulation», relevant que la structure est «complexe».

«Economiques, géopolitiques, sociétaux, sociaux», les enjeux de l’IA sont multiples analyse Judith Mehl, directrice institutionnelle de Docaposte, filiale numérique du groupe La Poste. Le débat sur l’IA Act s’inscrit selon elle dans un moment singulier avec «le déploiement massif de l’IA dans tous les usages et les secteurs». Judith Mehl rappelle combien «l’Union européenne a été rapide pour adopter un texte sur l’IA au regard de sa diffusion très rapide». Elle relève que «l’IA se développe notamment dans des secteurs où les données sensibles sont au cœur des sujets, et que la France a une carte importante à jouer dans ces secteurs». Au cœur de la stratégie de Docaposte le traitement de la donnée sensible et un ancrage important dans l’intérêt général, Docaposte «a déployé une IA générative qui permet de faire un résumé du dossier médical du patient : Dalvia Santé». Celle-ci est «opérationnelle et déployée dans une dizaine d’établissements». Relevant «du champ des IA à haut risque, elle nécessite une mise en conformité, avec notamment la mise en place de la garantie humaine de l’IA, mise en place par design». Pour Judith Mehl, «la gouvernance se met en place, la conformité à l’AI Act en avance de phase aussi et tout se met en ordre de marche dans le même sens».

De la transparence! Elle est cruciale et s’exerce notamment «vis-à-vis du titulaire du droit et est matérialisée par un contrat», explique Marthe Guézennec, directrice juridique d’ETX Majelan, un des leaders de l’audio digitale B2B. La solution proposée «comporte des fonctionnalités IA pratiques et à haute valeur ajoutée comme la conversion de textes et de documents vers l’audio». Elle explique: «on a très vite identifié l’IA comme une opportunité dans le cadre de nos activités et on s’est, tout de suite, posé des questions quant au cadre légal et éthique». Ainsi, celui-ci encadre le recours à la voix à travers «des limites dans le temps, dans l’espace et les finalités d’usage. La voix est un attribut de la personnalité comme l’image».

Des défis

Yann Padova relève 3 défis majeurs. «Le risque d’élargissement du champ matériel» est souligné d’emblée. Il craint que des administrations tentent d’étendre leur pouvoir». A l’issue d’un appel à manifestation d’intérêt initié par la Commission européenne, l’IA office a reçu «1000 contributions dont seules 5% viennent d’entreprises d’IA générale». Il évoque aussi «une sorte d’obligation d’audit des partenaires / des tiers non prévue par le texte. C’est une obligation nouvelle et lourde. Restons concentrés car on a assez de matière pour agir». Autre risque relevé, «la gouvernance» avec la distinction du fournisseur d’IA général et des parties prenantes. Evoquant de nouveau les contributions, il souligne «la volumétrie» de celles-ci, «en dehors des entreprises qui ont le savoir-faire». Enfin, il craint que «le code ne soit pas pratique. Soit cela est trop précis et devient vite obsolète, soit cela est trop vague et cela devient inutile. On va peut-être rentrer dans les deux écueils en même temps». Il note d’ailleurs que «le calendrier est serré».

Face à ces défis, Frédéric Grelier prône «l’éducation des entreprises». Point de vue partagé par Marthe Guézennec: «si on veut que l’IA soit moteur dans l’innovation, il faut passer par une phase de sensibilisation». Autre notion retenue et confirmée «la transparence» et cela pour l’ensemble des parties prenantes: «dans les parcours des patients, des consommateurs et des utilisateurs qui, à un moment, ont recours à l’IA», note Judith Mehl.

:: Nos grands témoins

  • Yann Padova, avocat, associé du cabinet Wilson Sonsini Goodrich & Rosati à Bruxelles
  • Marthe Guézennec, directrice juridique d’ETX Majelan
  • Judith Mehl, directrice des relations institutionnelles de Docaposte
  • Frédéric Grelier, Chief data officer de Weborama

:: Ressources

The AIA Code of Practice – Opportunities & Challenges, Yann Padova and Sebastian Thess.

General-Purpose AI (“GPAI”) has an enormous potential to benefit humankind. But, as a new and cutting-edge technology it is evolving fast, constantly expanding the technological frontiers and challenging traditional regulatory approaches. Consequently, the AI Act relies on a Code of Practice to specify its obligations. Given GPAI’s potential, it is critical to make the Code a success and ensure a broad and effective participation of GPAI providers that have a unique knowledge of this new technology. To that end, 10 recommendations shall be considered.

(English version / .pdf) >> Download

 

:: Notre partenaire hôte

Au rendez-vous des talents et des idées, nos rencontres #DigitalTrends et Digital Mappemonde dans les espaces chaleureux et inspirants de Onepoint live.

>> Découvrir