Hot AI Summer Pt. 2 : L'UE et la Chine

Par : Laurent Carbonneau

C'est le mois d'août : les oiseaux gazouillent, le soleil brille, la bière est fraîche, l'eau est chaude. Et les gens, l'été AI ? Il est chaud. En juillet, nous avons examiné la façon dont le Royaume-Uni et les États-Unis abordent la réglementation de l'intelligence artificielle. Le mois prochain, nous nous pencherons sur l'approche du Canada.

Pour l'instant, examinons l'Europe et la Chine.

‍

L'UE : Une réglementation qui a du plomb dans l'aile

L'Union européenne n'a pas hésité à légiférer et à mettre en œuvre une stratégie numérique ambitieuse. Le règlement général sur la protection des données est souvent salué comme l'étalon-or mondial en matière de protection de la vie privée. Si l'on compare avec les États-Unis, qui ne se sont aventurés dans la réglementation technologique qu'au coup par coup et de manière quelque peu désordonnée, la différence est comme le jour et la nuit.

Il n'est donc pas surprenant que l'UE se soit empressée de réglementer l'IA. La loi sur l'intelligence artificielle a commencé à suivre le tortueux processus législatif européen en 2021 et a fait l'objet d'un vote crucial en deuxième lecture en juin de cette année. Il s'agit là d'une rapidité étonnante : en effet, au cours de la législature 2014-2019, l'examen des projets de loi a duré en moyenne 40 mois pour être adoptés. Bien que le processus ne soit pas terminé avant l'entrée en vigueur de la loi, celle-ci a probablement franchi l'obstacle le plus important sur sa route avant son entrée en vigueur en 2026.

Ce contexte étant posé, entrons dans les détails.

La loi s'articule autour de quatre niveaux pour les systèmes d'IA en fonction du risque qu'ils représentent pour la sécurité, les moyens de subsistance et les droits de l'homme : inacceptable, élevé, faible et minimal. (Les systèmes à risque minimal ne sont pas du tout réglementés par le nouveau cadre et doivent seulement respecter les règles existantes en matière de protection de la vie privée et des consommateurs).

La première catégorie comprend les utilisations gouvernementales orwelliennes telles que la "notation sociale" ou le suivi constant de la reconnaissance faciale en public, et ces utilisations sont tout simplement interdites, tout comme les applications du secteur privé qui amènent les gens à nuire à autrui.

L'essentiel de la nouvelle loi concerne les applications et les systèmes considérés comme présentant un risque élevé. Il s'agit d'une catégorie très large, qui comprend tous les systèmes utilisés dans des produits couverts par les lois européennes sur la sécurité des produits, ainsi que les cas d'utilisation prescrits dans une annexe à la loi qui peut être élargie par la Commission européenne (l'organe exécutif de l'UE). Il s'agit actuellement d'utilisations qui correspondent à des prises de décision ayant des conséquences directes pour les personnes et susceptibles d'entraîner une discrimination injuste ou de causer un préjudice, comme les demandes d'emploi, l'admission dans les établissements d'enseignement, l'identification biométrique et les applications de maintien de l'ordre, par exemple.

Selon la loi, les systèmes à haut risque doivent disposer de leurs propres systèmes de gestion des risques afin d'identifier, d'évaluer et d'atténuer ces impacts, ainsi que d'une documentation technique démontrant leur conformité. Au nom de la transparence, les systèmes à haut risque doivent également tenir des registres des décisions et fournir de manière transparente aux utilisateurs des informations de base sur les paramètres d'utilisation et les risques. La législation européenne impose également une surveillance humaine et une cybersécurité adéquate, et les fournisseurs de services d'IA à haut risque doivent informer les gouvernements nationaux de leur mise à disposition.

À l'autre extrémité du spectre, les systèmes d'IA considérés (du fait de leur exclusion des deux autres catégories) comme présentant un risque limité ne seront pas régis de manière aussi méticuleuse. Cela s'appliquerait également aux systèmes d'IA qui génèrent des images ou d'autres contenus, lorsqu'ils représentent des personnes réelles d'une manière telle que les spectateurs pourraient supposer qu'il s'agit de personnes réelles - par exemple, le pape François dans une veste bouffante. Si la loi européenne sur l'IA avait été en vigueur au moment où cette tenue papale alimentée par l'IA est devenue virale, elle aurait dû être accompagnée d'une grande notification "PAS RÉEL". Cela peut sembler frivole ou stupide, mais cela s'applique également à des "deepfakes" plus néfastes.

La loi crée une exception limitée pour promouvoir l'innovation par la création de bacs à sable réglementaires, des tests supervisés de changements réglementaires pour collecter des preuves pour une nouvelle réglementation ou pour les développer pour de nouveaux biens et services d'une manière collaborative visant à mettre les innovations sur le marché rapidement et en toute sécurité. La loi européenne accorde un accès prioritaire à cet outil aux start-ups et aux "fournisseurs à petite échelle" et demande aux États membres de fixer des frais d'accès à ces programmes proportionnellement à leur échelle. Enfin, la loi crée un Conseil européen de l'IA, composé des autorités nationales chargées de l'IA et du contrôleur européen de la protection des données, afin de conseiller la Commission sur les questions liées à l'IA et de promouvoir les meilleures pratiques.

La loi est exhaustive et se veut technologiquement neutre (c'est-à-dire qu'elle régit les types d'utilisation et les risques, plutôt que des produits et services spécifiques). Les dirigeants de 150 grandes entreprises européennes ont publiquement critiqué la loi dans une lettre avant son adoption, estimant qu'elle menaçait la compétitivité de l'Europe dans le domaine des applications de l'IA, en particulier de l'IA générative, et ont demandé que la législation "[énonce] de grands principes dans le cadre d'une approche fondée sur les risques", les détails étant laissés à l'appréciation des autorités de régulation.

L'une des faiblesses de l'approche de l'UE basée sur les niveaux de risque est qu'elle ne laisse pas beaucoup de place au caractère glissant inhérent à une famille de technologies et de modèles dont la valeur ajoutée fondamentale est leur capacité à assimiler en permanence de nouvelles informations et à ajuster leurs résultats en conséquence. L'un des moyens d'y remédier est de prévoir la reconnaissance de normes, ce que fait la loi - il s'agit en fait d'un atout majeur par rapport au projet de loi canadien actuel sur l'IA. L'autre moyen est la modification, et l'UE a déjà commencé à modifier la loi - un vote en première lecture réussi sur un énorme paquet d'amendements a eu lieu le même jour que le vote en deuxième lecture sur la loi elle-même. Mais comme nous l'avons vu plus haut, il ne s'agit pas d'un processus rapide.

Nous examinerons plus en détail les compromis inhérents à la prescription, à la certitude et à la flexibilité le mois prochain, lorsque nous étudierons de plus près notre propre ACRA.

Une dernière remarque sur l'UE : si la législation est lente, les accords peuvent être plus rapides. Fin mai, l'UE et les États-Unis ont convenu de rédiger un code de conduite (volontaire) pour l'IA qui servira de point de départ à l'élaboration de normes internationales devant être approuvées par les gouvernements du G7 (y compris le Canada). Bien que ce code n'ait pas de poids réel, il sera intéressant de voir comment un code de conduite façonne les approches d'autres pays et dans quelle mesure il peut être efficace pour établir des normes réelles.

‍

Chine : Contrôle stratégique

Je conclurai Hot AI Summer par un petit mot sur la Chine, un acteur important dans le monde de l'IA dont les politiques n'ont pas fait l'objet d'autant d'attention. Dans une certaine mesure, c'est normal. La Chine n'est pas une démocratie, il n'y a donc pas autant de leçons directes applicables à notre contexte politique et institutionnel.

D'autre part, c'est à nos risques et périls que nous ignorons l'évolution de la situation dans ce pays. La Chine n'est pas seulement un marché titanesque, elle se taille aussi la part du lion en matière de brevets d'IA : Les inventeurs et entreprises chinois ont déposé 389 571 brevets au cours de la dernière décennie, soit 74,7 % du total mondial. Dans le même temps, les efforts déployés par les États-Unis pour exclure la Chine des capacités de semi-conducteurs avancés pourraient compliquer leurs efforts pour tirer parti de ces capacités - le besoin de calcul ne fera que croître à mesure que la technologie de l'IA arrivera à maturité et que les utilisations proliféreront.

Ne disposant pas de l'espace nécessaire pour entrer dans les détails, je recommande cet article d'un expert sur la gouvernance de l'IA en Chine. Il y a des points communs intéressants - l'étiquetage des images produites par l'IA et l'enregistrement des systèmes d'IA, par exemple - mais aussi des différences profondes (et des difficultés pratiques), comme l'obligation pour les données d'entraînement et les résultats des produits d'IA générative d'être "vrais et exacts".

Profitez du reste de l'été, et nous vous retrouverons en septembre pour un examen plus approfondi de l'ACRA du Canada.

‍

Mooseworks est la série sur les politiques d'innovation du Conseil canadien des innovateurs. Pour recevoir des articles comme celui-ci dans votre boîte de réception deux fois par mois, inscrivez-vous à la lettre d'information du CCI ici.

‍