Article réservé aux abonnés Archimag.com

Ébauche du code de bonnes pratiques pour l’IA : une fenêtre sur le modèle réglementaire européen

Le

  • ebauche-code-bonnes-pratiques-intelligence-artificielle-modele-reglementaire-europeen.jpg

    Incapable de rivaliser avec les géants américains et chinois, l’Europe s’inscrit dans une logique du « tout normatif » pour tenter de substituer nos lois à celles du numérique (Freepik).
    • La Commission européenne a dévoilé, le 14 novembre dernier, une première ébauche d’un code de bonnes pratiques pour l’intelligence artificielle, avant un deuxième projet, rédigé par des experts indépendants, le 19 décembre 2024. Cette étape cruciale vers une réglementation renforcée est l’occasion d’une prise de recul sur la façon dont les nouvelles réglementations européennes sur l’IA risquent d’affecter la compétitivité des entreprises européennes sur le marché global.

    enlightenedCEarchimag_381_hd_couv_20250130_page-0001_1_13.jpgT ARTICLE A INITIALEMENT ÉTÉ PUBLIÉ DANS ARCHIMAG N°381 - Protection des données en entreprise: quelle stratégie à l'ère de l'IA ?

    mail Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.

    Approximativement quatre mois après l’entrée en vigueur de l’AI Act, la réglementation européenne applicable en matière d’intelligence artificielle (IA), la Commission européenne publiait un projet de code de bonnes pratiques pour l’IA, sous l’impulsion de sa présidente, Ursula von der Leyen, qui a souligné l’importance d’un cadre permettant une utilisation éthique et responsable de l’IA, tout en préservant les valeurs et les droits fondamentaux européens.

    Rédigé par des experts indépendants, ce document (Second Draft of the General-Purpose AI Code of Practice published, written by independent experts, 19 décembre 2024.) a pour objectif d’aider les fournisseurs de modèles d’IA à usage général à se conformer à leurs obligations réglementaires.

    Suite à une consultation publique (Selon la Commission européenne, 354 documents comportant des commentaires écrits ont été soumis, outre ceux présentés par des fournisseurs de modèles d’IA à usage général, dans des ateliers dédiés.), un second projet a été publié le 19 décembre 2024. Les obligations en matière de transparence et de droit d’auteur sont notamment détaillées, de même que les mesures d’évaluation et d’atténuation des risques systémiques, pour les quelques fournisseurs à être concernées par l’article 51 dudit règlement.

    Parce qu’elle est symptomatique de la complémentarité entre « droit dur » et « droit souple » et de la recherche de compromis du modèle réglementaire européen, cette publication nous invite à redécouvrir la tension qui existe entre innovation et contrôle à l’ère de l’IA.

    Penser l’encadrement juridique du marché numérique, c’est tenter de concilier des enjeux d’articulation contraire : protection des droits fondamentaux, impératifs de sécurité et de souveraineté, logique économique et compétitivité, etc.

    Incapable de rivaliser avec les géants américains et chinois, l’Europe s’inscrit dans une logique du « tout normatif » pour tenter de substituer nos lois à celles du numérique, pour une autonomie stratégique partagée faite de dépendances acceptées avec des partenaires de confiance. Mais, en pratique, cet encadrement réglementaire peut parfois s’avérer illusoire.

    Lire aussi : La France crée l'Institut national pour l'évaluation et la sécurité de l'intelligence artificielle (INESIA) pour sécuriser le développement de l'IA

    1. Le "tout normatif" européen, un standard de protection et d’innovation

    Des réglementations européennes promotrices de l’innovation

    Qu’il s’agisse de réglementation dite de droit dur ou de régulation par le droit souple, l’objectif commun est la promotion d’un marché de l’intermédiation de la donnée personnelle et non personnelle dans un cadre normatif harmonisé pour promouvoir la confiance, avec, comme principes directeurs, l’équité, la transparence et la loyauté (Emmanuelle Claudel, « Les régulations européennes du numérique et le droit du Marché : quelles articulations », Colloque, La Rochelle, 2023.).

    Il est ainsi question d’une profusion de règlements et d’acronymes divers : le DMA, le DSA, le Data Act, le DGA, le RIA et le pilier, le RGPD, sans oublier les lois de surveillance en cybersécurité.

    Bien que nombreux, ces textes ne sont pas aussi contraignants que ce que prétendent nombre d’acteurs, notamment états-uniens, qui cherchent à imposer leurs standards et à accentuer la dépendance numérique de l’Union européenne (UE) en menant une campagne de désinformation, exagérant l’impact de nos régulations pour affaiblir notre écosystème et faciliter l’acquisition de nos start-up.

    Concernant l’AI Act, la majorité des systèmes d’IA relève de catégories à faible risque, n’imposant qu’une autoévaluation et des obligations de transparence. Par ailleurs, les réglementations européennes prévoient souvent des mesures pour favoriser l’innovation, qu’il s’agisse de partage, de réutilisation ou d’altruisme de la donnée, ou de favoriser des cadres d’expérimentation souples et sécurisés. À cet égard, l’AI Act instaure notamment des bacs à sable réglementaires, des essais en conditions réelles ou encore des mesures plus favorables pour les PME et les jeunes pousses.

    Ainsi, la régulation ne s’oppose pas nécessairement à l’innovation. Mieux, elle crée de la confiance auprès des partenaires et des consommateurs, constitue un avantage compétitif — et la non-conformité une concurrence déloyale (Cass. com., 27 sept. 2023, n° 21-21.995 ; CJUE, 4 octobre 2024, affaire C-21/23.) — et protège les droits des personnes. L’innovation a besoin de règles. Sans normes, les entreprises naviguent dans un vide juridique limitant leur capacité d’innovation responsable.

    En revanche, il y a une nécessité d’harmoniser les positions des autorités de contrôle européennes et de ne pas surtransposer les textes européens. La principale problématique reste la capacité des entreprises à digérer cet arsenal de normes et à entrer dans la chaîne de valeur qui est, pour l’heure, captée par des opérateurs pour la plupart états-uniens.

    Ce n’est donc pas de nouvelles normes dont nous avons besoin, mais d’un choc de simplification et d’un accompagnement renforcé pour nos entreprises. La priorité doit être de centraliser nos efforts sur l’harmonisation et la lisibilité des réglementations pour éviter qu’elles n’entravent l’innovation.

    La protection des droits fondamentaux : un cadre juridique existant

    La protection des droits fondamentaux apparaît comme l’un des principaux objectifs des réglementations précitées. En la matière, le RGPD fait office de figure de proue pour avoir octroyé ou renforcé de nombreux droits au bénéfice des personnes concernées par le traitement de leurs données personnelles (droits d’accès, de rectification, d’opposition, d’effacement, etc.).

    D’ailleurs, parce qu’il est neutre sur le plan technologique et qu’il s’applique aux traitements de données, carburant essentiel de l’IA, il constituera la pierre angulaire de la réglementation sur l’IA. Il s’articulera cependant avec un empilement de textes, comme le RIA, lequel ne reconnaît pas de droit, mais seulement des obligations à l’encontre des opérateurs (fournisseurs, déployeurs, etc.).

    En clair, le cadre protecteur des droits fondamentaux existe déjà, et, malgré la plasticité des réglementations en vigueur, il continue de s’adapter grâce aux régulateurs par le biais de leurs publications (avis, lignes directrices, etc.) et actions.

    À titre d’exemple, le Comité européen de la protection des données (CEPD), qui réunit les Cnil européennes, a adopté le 19 décembre 2024 la première position européenne harmonisée sur le traitement de données personnelles pour le développement et le déploiement de modèles d’IA (EDPB, Opinion 28/2024 on certain data protection aspects related to the processing of personal data in the context of AI models, 2024.).

    Deux mois plus tôt, il publiait également ses lignes directrices (EDPB, Guidelines 1/2024 on processing of personal data based on Article 6(1)(f) GDPR, 2024.) sur l’utilisation de la base légale de l’intérêt légitime et considérait que celle-ci était valable, sous conditions, pour le développement et le déploiement de modèles d’IA. En réalité, la protection des droits fondamentaux souffre moins d’un manque de fondements juridiques que d’un manque de moyens ou de volonté d’agir.

    Lire aussi : Lucie Termignon : l'IA, les data, la culture, et le reste

    2. L’illusion du "contrôle", obstacle à la protection et à l’innovation

    Les disparités dans la conformité et le contrôle

    Une critique émerge quant à l’intensification des normes et standards aussi flous qu’inatteignables, en pratique, pour nos acteurs européens. D’un certain point de vue, la conformité n’est qu’une question de moyens (financiers, matériels, humains, etc.), tout ce dont disposent les Gamam (Google, Apple, Meta, Amazon et Microsoft.), et probablement moins les TPE et les PME de nos régions.

    L’efficacité réelle de ces mesures est également questionnée, car elles sont souvent perçues comme des réponses cosmétiques axées sur des sanctions apparentes plutôt que sur une régulation substantielle. À l’analyse, les sanctions prononcées par la Cnil semblent insuffisamment nombreuses et/ou élevées pour être dissuasives. Par exemple, la Cnil indique avoir prononcé seulement 28 sanctions entre janvier et septembre 2024 dans le cadre de la procédure simplifiée.

    La portée limitée de l’action des autorités de contrôle apparaît également dans le cadre des bras de fer que certaines d’entre elles engagent avec les géants du numérique, comme celui ayant opposé le Garante (autorité italienne de protection des données) et OpenAI.

    Si la société américaine a finalement été condamnée, cette sanction met en lumière l’absence de coordination harmonisée au niveau européen des différentes autorités de régulation. Il a en effet suffi à la société américaine d’engager quelques mesures correctrices après la suspension de son chatbot pour que son utilisation soit de nouveau autorisée en Italie.

    Ainsi, les grands acteurs de l’IA peuvent adapter leurs pratiques de manière minimale pour se conformer aux exigences spécifiques de chaque pays, sans adopter une approche globale de protection des données.

    À noter que l’UE compte une centaine de lois axées sur les technologies et plus de 270 régulateurs dans le numérique, ce qui laisse tout le loisir aux Gamam et consorts de jouer sur les failles des réglementations nationales ou les sensibilités des autorités de contrôle pour orienter leur stratégie.

    La fragmentation des régulateurs pousse également certains d’entre eux à se livrer à une bataille d’influence en prononçant des sanctions visibles contre des entreprises de premier plan — comme on vient de le voir avec le Garante, mais c’est aussi le cas de la Cnil (On pense notamment aux sanctions contre Google ou Amazon.).

    Cependant, cette quête de visibilité peut détourner l’attention des violations moins spectaculaires (acteurs locaux, pratiques commerciales spécifiques, etc.) mais tout aussi nuisibles, et ainsi créer une disparité dans la régulation.

    Sur le plan judiciaire aussi, le contrôle peut s’avérer insuffisant. On pense notamment aux arrêts récents de la CJUE, pour qui la présentation d’excuses (CJUE 4 octobre 2024 affaire 507/23.) ou le paiement d’une somme de 400 euros de compensation pour une violation de données (CJUE, 8 janvier 2025.) peut constituer une réparation adéquate.

    Lire aussi : Data : une vigilance à chaque étape du cycle de vie

    L'opportunité de construire une compétition loyale grâce à l’éthique européenne

    Nous l’aurons compris, la lutte pour une protection réelle des données ne pourra aboutir qu’avec une gouvernance claire et cohérente, capable de dépasser les luttes d’influence et de restaurer la confiance des utilisateurs.

    Pour contrer l’apparence trompeuse d’un encadrement efficace, il est essentiel de développer une gouvernance algorithmique qui renforce réellement l’autonomie des individus et assure une utilisation éthique des technologies.

    Nous avons besoin de mutualiser nos efforts, d’avoir des lignes directrices claires au niveau européen, de dépasser la « guéguerre » entre régulateurs et de permettre à nos acteurs d’être rentables. Seules des actions conjointes et soudées face aux Big Tech américaines et chinoises nous permettront de diffuser notre vision commune pour relever les défis à venir.

    En tant qu’Européens, notre meilleure carte est probablement l’éthique :

    • faire preuve de sobriété, en se demandant « quand » utiliser l’IA, et non pas « comment » ;
    • promouvoir plus largement la durabilité, en défendant la santé et la sécurité, l’écologie et la protection des droits fondamentaux ;
    • se battre pour la liberté cognitive, l’esprit critique et contre la désinformation.

    Dans cette perspective, le « tout-normatif » européen peut nous aider à créer un cadre global de confiance, avec pour objectif le développement et le déploiement d’une IA respectueuse des valeurs européennes.

    L’AI Act, soutenu par l’ancien commissaire européen au Marché intérieur, Thierry Breton, qui a insisté sur la nécessité de faire de l’Europe une référence mondiale en matière de régulation, pourrait devenir un modèle international, établissant un équilibre entre innovation et éthique.

    Ainsi, assisterait-on à un « Brussels effect » de l’IA. Pour maximiser cet effet, le rapport Draghi avertit sur la nécessité d’éviter une surenchère bureaucratique et de privilégier des normes simplifiées et harmonisées. L’objectif étant de créer un corpus de normes compatible avec un écosystème d’innovation compétitif. Si elle parvient à respecter ces exigences, l’Europe pourrait bien façonner l’avenir de l’IA sur la scène internationale.

    France Charruyer

    Avocat associée Altij & Oratio Avocats
    Numérique, Tech & Données
    Présidente de l’association d’intérêt général Dataring 

    Sur le même sujet: 
    Panorama récent du droit du numérique : évolutions et perspectives en matière de cybersécurité
    Comprendre et gérer les données sensibles : définition, caractéristiques, et cadre légal
    0 Commentaire
    Intelligence artificielle
    381
    droit
    confiance numérique
    commission européenne
    À lire sur Archimag
    Les podcasts d'Archimag
    L’intelligence artificielle s’infiltre partout. Dans nos recherches en ligne, dans nos recommandations culturelles, dans nos trajets quotidiens… Elle s’adapte, apprend, et devient une force invisible qui façonne nos décisions, souvent à notre insu. Mais que sait-on vraiment de ces IA qui nous entourent ? Pour les podcasts d’Archimag, et pour mieux comprendre leur influence sur nos vies et sur notre rapport à l’information, nous avons rencontré Laura Sibony. Enseignante à HEC et à Sciences Po, elle est l’auteure de Fantasia : contes et légendes de l'intelligence artificielle, publié en 2024 aux éditions Grasset. Dans son livre, Laura Sibony nous invite à regarder au-delà du spectacle de l’IA pour en comprendre les rouages invisibles. C'est pourquoi elle a choisi d’explorer l’IA à travers une approche originale plutôt que par la voie technique ou théorique.
    Lire la suite...