Un traité sur l'utilisation de l'IA, négocié par les représentants de 57 pays, a été dévoilé jeudi, mais sa formulation est si générale qu'il n'est pas certain que les DSI des entreprises puisse y piocher un quelconque élément concret leur permettant d'assurer la conformité de leurs traitements via l'IA. Parmi les premiers signataires du traité, on retrouve le Royaume-Uni, Israël, les États-Unis et l'Union européenne. Cet effort, essentiellement européen, vient s'ajouter à une longue liste d'initiatives visant à encadrer les usages de l'IA.

Dans son communiqué, le Conseil de l'Europe explique qu'il existe « des risques et des dangers graves tout au long du cycle de vie de l'intelligence artificielle, tels que la discrimination dans divers contextes, l'inégalité entre les sexes, la remise en cause des processus démocratiques, l'atteinte à la dignité humaine ou à l'autonomie individuelle, ou encore l'utilisation abusive des systèmes d'intelligence artificielle par certains États à des fins répressives, en violation du droit international relatif aux droits de l'homme ».

Ce que dit le traité

Le traité, appelé Convention-cadre sur l'intelligence artificielle et les droits de l'homme, la démocratie et l'État de droit, souligne que les entreprises doivent indiquer clairement aux utilisateurs s'ils communiquent avec un être humain ou une intelligence artificielle. Et « procéder à des évaluations des risques et des impacts en ce qui concerne les conséquences réelles ou potentielles sur les droits de l'homme, la démocratie et l'État de droit ».

Les entités doivent également documenter au maximum les usages de l'IA et être prêtes à mettre ces informations à la disposition de toute personne qui le demande. L'accord stipule que les entités doivent « documenter les informations pertinentes concernant les systèmes d'IA et leur utilisation et les mettre à la disposition des personnes concernées. Ces informations doivent être suffisantes pour permettre aux personnes concernées de contester la ou les décisions prises grâce à l'utilisation du système ou fondées en grande partie sur celui-ci, et de contester l'utilisation du système lui-même ». Cette documentation doit aussi permettre aux utilisateurs de « déposer une plainte auprès des autorités compétentes ».

Secteur public, secteur privé : deux poids, deux mesures

Francesca Fanucci, spécialiste juridique à l'ECNL (European Center for Not-for-Profit Law Stichting), observatrice du processus de négociation, explique que le traité a été « édulcoré », principalement en ce qui concerne les entreprises privées et la sécurité nationale. « La formulation des principes et des obligations dans cette convention est tellement large et pleine de réserves qu'elle soulève de sérieuses questions quant à leur sécurité juridique et à leur applicabilité effective », a-t-elle déclaré à Reuters. Le document final exclut ainsi explicitement les questions de sécurité nationale, qui « n'entrent pas dans le champ d'application de la présente convention.

Comme nous l'explique Francesca Fanucci, la version finale du traité considère par ailleurs les entreprises très différemment des gouvernements. Le traité « établit des obligations pour les États parties, et non pour les acteurs privés directement. Ce traité impose aux États d'appliquer ses règles au secteur public, mais de choisir si et comment elles s'appliqueront au secteur privé via leur législation nationale. Il s'agit d'un compromis obtenu par les pays qui avaient spécifiquement demandé l'exclusion du secteur privé, parmi lesquels les États-Unis, le Canada, Israël et le Royaume-Uni », souligne la juriste, pour qui « ce double standard est décevant ».

Attention aux effets pervers

Tim Peters, dirigeant de la société spécialisée dans la conformité Enghouse Systems au Canada, fait partie de ceux qui ont applaudi l'idée du traité tout en s'interrogeant sur ses spécificités. « Le traité sur l'IA du Conseil de l'Europe est une tentative bien intentionnée, mais fondamentalement erronée, de réglementer un espace en évolution rapide avec des outils d'hier. Bien que le traité se targue d'être technologiquement neutre, cette neutralité pourrait bien être son talon d'Achille », dit-il. « L'IA n'est pas une solution unique, et tenter d'appliquer des règles générales qui régissent tout, des robots de service à la clientèle aux armes autonomes, pourrait étouffer l'innovation et placer l'Europe dans une camisole de force réglementaire. »

Tim Peters ajoute que cela pourrait en fin de compte saper les efforts des entreprises en matière d'IA. « Les responsables informatiques des entreprises devraient s'inquiéter des conséquences non anticipées [de ce texte, NDLR] : étouffer leur capacité d'adaptation, ralentir le développement de l'IA et pousser les talents et les investissements vers des régions plus favorables à l'IA », souligne Tim Peters. « En fin de compte, ce traité pourrait créer un fossé concurrentiel entre les entreprises qui jouent la carte de la sécurité en Europe et celles qui repoussent les limites ailleurs. Les entreprises qui veulent prospérer doivent réfléchir de manière critique à l'impact à long terme de ce traité, non seulement sur l'éthique de l'IA, mais aussi sur leur capacité à innover. »

Un autre dirigeant de l'industrie, Andrew Gamino-Cheong, directeur technique de Trustible (qui propose une solution de gouvernance de l'IA), remet également en question la pertinence de l'accord. « Le contenu du traité n'est pas particulièrement fort et se résume à des déclarations de principes de haut niveau. Mais je pense qu'il s'agit surtout d'un effort d'unification des pays pour affirmer leurs droits en tant qu'entités souveraines dans le monde numérique. Pour mieux comprendre ce que je veux dire, je vois ce qui se passe entre Elon Musk et le Brésil comme un bon exemple des défis auxquels les gouvernements sont confrontés avec la technologie », dit-il. « Il est technologiquement difficile de bloquer Starlink au Brésil, qui peut à son tour permettre l'accès à X, ce dernier étant alors en mesure de fixer ses propres règles en matière de contenu et de contourner ce que le Brésil veut lui imposer. De même, même si Clearview AI n'opère pas légalement dans l'UE, le fait qu'elle possède des données de citoyens européens est suffisant pour qu'elle soit poursuivie en vertu du GDPR. »

De l'absence de règles au trop plein

Brian Levine, directeur général d'Ernst & Young, a abordé les questions relatives à l'applicabilité de ce traité, en particulier pour les entreprises américaines. Bien que les États-Unis soient l'un des signataires, il n'est pas rare de voir les entreprises américaines ignorer les amendes et pénalités européennes. « Un pas après l'autre. Il n'est pas possible d'appliquer des règles et des normes communes tant que l'on ne s'est pas mis d'accord sur la nature de ces règles et de ces normes », dit le dirigeant. « Nous sortons rapidement de l'époque 'Far West' de l'IA. Préparez-vous à passer d'une réglementation et de cadres insuffisants à une réglementation et à des règles excessives. »

Le traité entrera en vigueur « le premier jour du mois suivant l'expiration d'une période de trois mois après la date à laquelle cinq signataires, dont au moins trois États membres du Conseil de l'Europe, l'auront ratifié », précise le communiqué du Conseil de l'Europe. « La Convention-cadre est un traité ouvert, de portée potentiellement mondiale. J'espère que ces signatures seront les premières d'une longue série et qu'elles seront rapidement suivies de ratifications, afin que le traité puisse entrer en vigueur dans les meilleurs délais », explique la Secrétaire Générale du Conseil de l'Europe, Marija Pejčinović Burić.