IA : entre régulation et innovation, les recommandations oscillent

La mise en application de l’AI Act dans les pays de l’UE s’étalera sur 36 mois, selon cinq niveaux d’usages, entre « permis » et «inacceptables », entre « risque minimal » et «risque élevé », jusqu’à l’interdiction pure et simple (reconnaissance faciale, collecte de visages sur Internet, reconnaissance d’émotions, notation sociale, identification biométrique en temps réel : tout cela est proscrit). Les amendes pourront atteindre 35 M€ ou 7 % du chiffre d’affaires mondial. Les organisations de recherche et les institutions de police et de défense peuvent sortir du cadre - sous certaines conditions.

La Commission européenne va créer un « Bureau de l’IA », constitué d’experts indépendants, qui supervisera les modèles d’IA à usage général et veillera à la bonne application du règlement dans l’UE.

Cette réglementation européenne sur l’IA constitue une première mondiale, comme ce fut le cas avec la réglementation des données personnelles (RGPD), puis les deux autres règlements, le DMA (Digital markets act) et le DSA (Digital services act) pour préserver des droits fondamentaux et la souveraineté des pays de l’UE face, entre autres, aux GAFAM (Google, Apple, Facebook, Microsoft).

La nouvelle donne Chat GPT

Ce cadrage européen sur l’IA a été remis plusieurs fois sur le métier. Il est vrai que l’irruption, en 2023, de Chat GPT de l’américain Open AI (contrôlé par Microsoft), précurseur de l’IA « générative », a changé la donne. Car elle a banalisé l’accès en libre-service à des ressources très puissantes. D’autres plateformes avec modèles LLM (Large language model) ont suivi comme Claude 3 d’Anthropic, Gemini 1.5 de Google, Llama2 de Meta, Mistral 7B…

Tous ces développements d’IA générative ont confirmé divers risques : « hallucinations » ( le système échafaude des déductions ou affirmations fausses), biais cognitifs, discrimination, pillage de données privées ou de textes ou œuvres protégées - sans oublier les manipulations de ‘deep fakes’ (possibilité de propos falsifiés ou faux en audio/vidéo, avec usurpation du timbre de la voix, mouvement des lèvres…).

Pour le niveau « risque élevé », l’AI Act exige l’enregistrement des activités, l’information des utilisateurs et une surveillance humaine. Les données d’entrée sont exposées à un contrôle, les documents en développement sont conservés ; ils sont interdits d’usage en cas de non-conformité.

Cette réglementation peut-elle freiner l’innovation et les gains de productivité escomptés ? Thierry Breton, commissaire européen au Marché intérieur, déclarait récemment au journal La Tribune : « Le texte finalisé (…) trouve le point d'équilibre entre, d'un côté, la préservation de l'Etat de droit et des libertés fondamentales propres à nos démocraties et, de l'autre, le développement de l'innovation ».

Dissonance de la Commission de l’IA

Lors de leur audition, le 26 mars dernier, devant un cercle de parlementaires, les deux coprésidents de la Commission IA – Anne Bouverot (Ecole Normale Supérieure) et l’économiste, Philippe Aghion (Collège de France) - ont pris quelque distance avec la réglementation sur les données. Ils ont résumé ainsi leur rapport en mentionnant sept recommandations sur les 25 proposées : il faut favoriser une appropriation collective de l’IA grâce à des plans de formation par secteurs (science, santé, etc.). Un fonds d’investissement IA de 5 milliards d’euros par an (pendant cinq ans) permettrait de pousser massivement des financements dans les entreprises de toutes tailles. « Il est essentiel de mieux articuler la concurrence et la politique industrielle, avec des aides sectorielles ».

Pour que la France conforte sa compétitivité, il faut construire un pôle (ou plusieurs ?) de puissance de calcul et faciliter l’accès aux données. L’Open source (logiciel libre) et la mutualisation des ressources sont à privilégier.

S’agissant des données personnelles et de santé, les rapporteurs remettent en question le règlement en vigueur : ils préconisent de supprimer les autorisations préalables soumises à la Cnil, « qui est débordée ». En contrepartie, il faut lui donner plus de moyens pour permettre des contrôles a posteriori. « Le règlement RGPD doit être contrebalancé par des ouvertures, des innovations, spécifiquement dans le secteur de la santé ». Sinon, un risque pèse aussi sur la souveraineté : « des entreprises iront choisir des innovations chez des acteurs étrangers ».

C’est également vrai pour la culture et les métiers de la création : « ils ne doivent pas dépendre de modèles anglo-saxons ou américains ». Il s’agit « d’assurer le rayonnement de la culture française ». Ainsi, les données d’archives de l’INA (Institut national de l’Audiovisuel), pour certains sujets offriraient 100 fois plus que le web sur Internet. Et pour l’utilisation et la rémunération des créations, une plateforme pourrait permettre de connaître les ayants-droit et leurs droits.

S’agissant des chercheurs et développeurs en IA, « pour éviter le débauchage par des grandes entreprises étrangères, souvent américaines, il faut mettre en place une expérimentation de recherche publique au niveau européen ». « La France est un des pays qui, avec l’Allemagne, insistent le plus sur la souveraineté. Cela concerne les données et les calculateurs - français, européens ».

Une initiative diplomatique doit être prise pour inciter à la mise en place d’une gouvernance mondiale (« qui pourrait conduire à une contribution des géants AWS, Amazon Web services, Google, Microsoft »). Il faut profiter du fait que la France va accueillir le prochain sommet mondial sur l’IA, à la suite du AI Safety Summit tenu à Londres, en novembre 2023.

Enfin, la septième recommandation, citée parmi les 25 du rapport, invite à « être transparent sur l’impact environnemental des calculateurs et favoriser les solutions les plus sobres ».

Pierre MANGIN