L’adoption de l’AI Act promet de bouleverser la conception et les usages des innovations à base d’IA. Il faut en même temps en démystifier l’impact en en comprenant les contours. Cécile Théard-Jallu et Georgie Courtois, tous deux associés au sein du cabinet De Gaulle Fleurance, se penchent sur certains points clés.
De Gaulle Fleurance : "L’adoption de l’AI Act positionne l’Europe comme la pionnière de la régulation de l’IA"
Décideurs. La récente adoption de l’AI Act concrétise la volonté de régulation des 27 États membres de l’UE. Que retenez-vous principalement de ce nouveau cadre réglementaire ?
Georgie Courtois. Après près de trois ans de discussions, l’adoption de l’AI Act positionne l’Europe comme la pionnière de la régulation de l’IA. Cette réglementation aura un rayonnement mais également un retentissement au-delà de nos frontières. Si certains craignent que la législation freine l’innovation, je pense, au contraire, qu’elle instaura un cadre aux enjeux philosophiques et éthiques que l’Europe souhaite faire respecter, notamment aux Gafam. Dans le prolongement, les "bacs à sables" réglementaires [dispositif qui confère à des acteurs la possibilité de tester leur technologie ou service innovant sans respecter l’ensemble du cadre réglementaire en application pour une durée déterminée, Ndlr] libèreront les innovations des plus petits entrepreneurs. Enfin, l’Office de l’IA assurera l’adaptation de la réglementation simultanément aux avancées en IA. À cette heure, il faut avoir confiance en l’IA en la voyant comme une opportunité plutôt qu’une menace.
Avec son guide d'auto-évaluation pour les systèmes d’IA et son service dédié (SIA), la Cnil avait pris les devants face à l’AI Act. Qu’apporte-t-elle en matière de cybersécurité et de protection des données des solutions d’IA ?
Cécile Théard-Jallu. Au printemps dernier, la Cnil avait annoncé un plan d’action dédié à l’IA qui mêle sensibilisation, soutien à l’innovation et pédagogie. Outre ses multiples collaborations avec ses homologues européens, elle produit une base documentaire récurrente et pratique constituée notamment de méthodologies ou de questionnaires d’évaluation. Au fil de ses publications, la Cnil a réalisé un véritable travail de fond pour accompagner au mieux les acteurs de l’IA, notamment les éditeurs de solutions. À titre d’exemple, elle a consacré une fiche technique à l’identification et l’évitement des attaques de cyberpirates en fonction des systèmes d’apprentissage utilisés par les applications d’IA. La Cnil contrôle l’ensemble des acteurs et les fédère par la même occasion. Une partie de nos clients se constituent ainsi un "panaché" entre le recours à des services juridiques externes et des outils utilisant le corpus de la Cnil. Le guide de la sécurité des données personnelles, qui peut s’appliquer à l’IA, est notamment très employé par les entrepreneurs, mais aussi les services informatiques et techniques des entreprises. L’enjeu est de taille si l’on considère le duo ambivalent que forment l’IA et la cybersécurité : l’IA en soutien de la cybersécurité versus l’IA qui rend plus efficace les attaques !
"Il faut voir l’IA comme une opportunité plutôt qu’une menace"
G. C. Compte tenu de toutes ces actions, la Cnil se positionne en tête pour incarner l’autorité en charge des sujets d’IA en plus de ses missions en matière de données. Un rôle qui sera pertinent si elle s’inscrit dans un esprit d’accompagnement de l’innovation pour l’écosystème français.
Aux États-Unis, différentes solutions d’IA générative font face à des contentieux dont l’enjeu repose sur les droits de propriété intellectuelle des sources. Pensez-vous qu’un meilleur respect des droits d’auteurs et voisins en résultera ?
G. C. La propriété intellectuelle des sources utilisées pour alimenter les solutions d’IA constitue une question majeure. Sans source, pas d’entraînement et, par conséquent, pas d’IA. Aux États-Unis, les logiciels Stable Diffusion et Midjourney sont notamment accusés de créer des contenus reproduisant des œuvres déjà existantes sans avoir eu les autorisations pour ce faire. Ce risque de contrefaçon s’étend jusqu’à l’utilisateur du programme qui génère des résultats dans un cadre opaque. Sur ce point, plusieurs stratégies sont possibles. La Sacem a exercé son droit d’opt-out accordé par l’exception de text and data mining afin que l'exploitation du répertoire de ses 200.000 membres par des outils d'IA passe par des négociations financières. Effet inverse au Japon avec une libéralisation du marché et l’impossibilité de s’opposer à l’utilisation de ses œuvres. La citation des sources reste l’un des enjeux de l’AI Act. Une obligation de transparence à ce titre à été ajoutée à la dernière version de l’IA Act. En parallèle, émettre la preuve de l’utilisation de certains contenus restera difficile.
Les procès à répétition vont forcément garantir une forme de régulation sur le marché sur l’IA. Parmi les possibilités, la création de licences globales pour que les développeurs de modèles d’IA rémunèrent les sociétés collectives pour utiliser leurs catalogues de droit. Les litiges actuels, quant à eux, se solderont sans doute par des accords entre les parties. Enfin, il faudra enseigner aux utilisateurs d’IA générative comment vérifier que les résultats obtenus ne sont pas protégés par des droits d’auteurs ou autre droit de PI. Un impératif qui concerne aussi les Compliance officers, qui ne mettent pas toujours la PI en haut de la pile de la conformité.
La France représente l’un des premiers pays à avoir pris en main le principe de garantie humaine, notamment en santé. Quels en sont les principes et les perspectives ?
C. T.-J. Le principe de garantie humaine est notamment né à travers les travaux du Comité consultatif national d’éthique (CCNE) pour les sciences de la vie et de la santé et du renouvellement de la loi sur la bioéthique. Si ce principe est déjà prévu dans le Code de la santé publique français pour les dispositifs médicaux à base d’IA, il est duplicable dans bien d’autres domaines. Le premier label européen de garantie humaine, lancé par Ethik-IA sous l’impulsion de son fondateur David Gruson, et le Digital Medical Hub (DMH) de l’AP-HP, a la capacité de s’ouvrir progressivement à des secteurs de services divers. Avec l’article 14 de l’IA Act, qui a été adopté par le Parlement européen le 2 février 2024, le principe de garantie humaine passe à une échelle beaucoup plus vaste en s’appliquant à toutes les IA à haut risque peu importe le secteur et la technologie. Les répercussions se feront sentir sur tout le cycle de vie du produit, que ce soit notamment la conception, la production, l’utilisation, l’assurance ou les services qui sont liés à toutes ces phases. Il faudra notamment être vigilant et créatif au niveau des flux et des contenus contractuels.
"Pour beaucoup, en IA, les mots d’ordre sont devenus stratégie, adaptation et valorisation"
En termes de prise en main, comment aller plus loin que l’AI Act selon vous ?
C. T.-J. Ces dernières années, le droit européen, notamment numérique, a progressé à une vitesse inédite. L’enchevêtrement des textes représente un défi pour les organisations, dont certaines ont malheureusement laissé l’innovation de côté faute de moyens suffisants pour gérer tous les fronts. Pour contrer ce phénomène, il faut savoir s’entourer des bons conseils, s’appuyer sur les outils pertinents et être agile. Au-delà des aspects réglementaires, la transformation devra passer par la formation. Chez les juristes, il faut notamment imaginer des modules consacrés à l’usage de l’IA dès le début du cursus puis en formation continue. Dans le même esprit, il est intéressant d’observer l’évolution de DPO de plus en plus nombreux vers une double mission entre la protection des données personnelles, d’un côté, et l’IA, de l’autre, au fil des nouveaux textes juridiques et normes techniques. Emerald de Leeuw, Global Head of Privacy au sein de la société Logitech a par exemple lancé un blog pour évoquer sa propre mutation. Pour beaucoup en IA, les mots d’ordre sont devenus stratégie, adaptation et valorisation.
