Alors qu’une proposition de règlement européen sur l’IA est déjà sur la table, le Comité européen de la protection des données met sur pied un groupe de travail sur l’IA générative. Dans la foulée de l’interdiction de ChatGPT en Italie, un renforcement des règles européennes n’est plus exclu. (Photo Unspash/A.Larionov)
Le European Data Protection Board, ou Comité européen de la protection des données (CEPD), souhaite mettre en place un groupe de travail chargé d’examiner de plus près les outils d’IA tels que ChatGPT, ce qui est interprété comme une indication de la volonté des délégués européens à la protection des données d’établir des règles plus strictes pour l’utilisation de l’IA.
Les autorités italiennes ont d’ailleurs pris une longueur d’avance il y a quelques semaines. Étant donné que l’opérateur de ChatGPT, OpenAI, n’a pas été en mesure de prouver que la vérification de l’âge des utilisateurs était bien opérationnelle, et que les modèles qui sous-tendent l’outil d’IA ont été entraînés avec des données provenant de citoyens italiens à leur insu, les autorités transalpines ont interdit ChatGPT sans autre précision et ont fixé à l’opérateur un délai courant jusqu’à la fin du mois d’avril pour présenter des plans d’amélioration.
ChatGPT menacé d’interdiction dans toute l’Europe
D’autres pays européens pourraient prendre des mesures comparables. En Allemagne, par exemple, le commissaire fédéral à la protection des données et à la liberté d’information, Ulrich Kelber, a annoncé que son agence suivait de près l’évolution de la situation en Italie et qu’un groupe de travail, composé de responsables de la protection des données s’était saisi de la question.
Plus au sud, une interdiction pourrait également se profiler en Espagne si les experts locaux parviennent à la conclusion que ChatGPT viole le règlement européen sur la protection des données (EU-DSGVO). Les responsables de la protection des données de ce pays ont donc également annoncé une enquête préliminaire afin de faire la lumière sur les pratiques d’OpenAI.
En prenant en considération les différentes approches, le groupe de travail de l’EDPB vise à promouvoir la coopération et l’échange d’informations entre les différentes autorités de protection des données. Les États membres espèrent également aligner leurs positions politiques, a déclaré une source au sein d’une autorité de contrôle nationale, citée par Reuters. Le processus prendra du temps. L’objectif affiché n’est pas de punir les propriétaires d’OpenAI ChatGPT ou d’édicter des règles, mais plutôt de créer des lignes directrices rendant l’utilisation de l’IA plus transparente.
Entre-temps, l’Union européenne travaille actuellement à l’élaboration d’un nouveau cadre juridique qui permettra non seulement de tirer parti des possibilités offertes par l’IA, mais aussi de renforcer la confiance dans ces technologies en rapide évolution. Il s’agira également de réglementer au mieux les effets potentiels sur les individus, la société et l’économie, et de créer un environnement économique au sein duquel la recherche, l’innovation et l’esprit d’entreprise pourront s’épanouir. L’objectif de la Commission européenne : porter les investissements privés et publics dans l’IA à 20 Md€ par an.
L’autorégulation ne suffit pas
La complexité de la mise en place d’un tel ensemble de règles encadrant l’IA fait que le sujet mobilise les régulateurs depuis des années déjà. Tant et si bien que les règles prévues jusqu’à présent, regroupées dans la proposition de règlement sur l’IA publiée en avril 2021 (AI Act), pourraient être encore renforcées avant que quoi que ce soit n’entre en vigueur.
Malgré la dynamique d’un secteur en constante évolution, le Parlement européen a l’intention de promulguer les réglementations les plus strictes au monde en matière d’utilisation de l’IA. « Le devoir de diligence des entreprises ne suffit pas », déclare Dragoș Tudorache, membre du Parlement européen et co-négociateur, dans un récent article du Financial Times.
Pour atteindre cet objectif, le Parlement européen prévoit d’obliger les développeurs d’IA à divulguer les données qu’ils utilisent pour entraîner leurs algorithmes et leurs modèles. La reconnaissance faciale utilisant l’IA dans les espaces publics sera totalement interdite, ce qui risque de susciter un débat houleux avec les autorités de police de l’Union. En outre, le texte précise que les fabricants d’IA devraient être tenus pour responsables de l’utilisation abusive de leurs solutions, et non les utilisateurs.
Toutefois, les organes de l’UE à Strasbourg et à Bruxelles ne parviendront pas à un accord du jour au lendemain. Si le Parlement européen propose un projet, celui-ci fera l’objet d’une coordination avec la Commission européenne, les États membres et les députés européens, avant qu’un projet de loi final n’émerge de ces négociations. L’objectif est d’adopter cette loi au cours de la législature actuelle, qui dure jusqu’en 2024.
Les craintes de l’industrie européenne
En attendant, les représentants de l’industrie des technologies de l’information mettent en garde contre des règles trop strictes et des interdictions d’usage. « Nous devons faire avancer le développement technologique de l’IA en Allemagne et élaborer un ensemble de règles pratiques pour son application en Europe et dans le monde », explique ainsi Achim Berg, le président de Bitkom, le syndicat patronal allemand des ESN et éditeurs de logiciels. « Le débat actuel sur l’interdiction, lancé par le commissaire fédéral à la protection des données, ne va pas du tout dans la bonne direction. »
Début mars, Numeum, la chambre patronale de l’industrie du numérique en France, et le même Bitkom s’inquiétaient déjà des risques qu’une régulation trop stricte ferait peser sur l’économie européenne : « nous appelons les co-législateurs à maintenir l’approche fondée sur le risque afin de garantir que l’Union européenne renforce la compétitivité et le potentiel d’innovation de l’écosystème européen de l’IA », écrivaient les deux organismes professionnels.
Martin Bayer, IDG NS (adapté par Reynald Fléchaux)