Les défaillances du projet de loi de l’UE sur l’intelligence artificielle

Une nouvelle critique juridique du projet de loi de l’Union européenne sur l’intelligence artificielle, intitulé « Acte IA », formule une large gamme de critiques à l’encontre des réglementations proposées publiées en avril, concluant que une grande partie du document est « cousue » à partir de réglementations de consommation des années 80 peu applicables ; qu’il promeut en réalité un environnement d’intelligence artificielle déréglementé en Europe, plutôt que de soumettre le secteur à une réglementation cohérente ; et – parmi une multitude d’autres critiques – que les propositions définissent un cadre réglementaire futur pour l’intelligence artificielle qui a « peu de sens et d’impact ».

Intitulé Démystifier le projet de loi de l’UE sur l’intelligence artificielle, la pré-impression est une collaboration entre des chercheurs de l’UCL de Londres et de l’Université Radboud de Nijmegen.

Le document s’ajoute à un corpus croissant d’opinions négatives sur la mise en œuvre proposée (plutôt que l’intention très appréciée) d’un cadre réglementaire pour l’intelligence artificielle, y compris la contestation en avril de l’un des contributeurs au projet de réglementation, selon lequel les lignes directrices proposées sont « tièdes, à courte vue et délibérément vagues », ce qui caractérise le document de la Commission européenne comme un partisan de la « fausse éthique ».

Systèmes d’intelligence artificielle manipulateurs

Le nouveau document soutient que les restrictions proposées par l’Acte IA sur les « systèmes manipulateurs » sont entravées par une définition vague et même contradictoire de « préjudice », commentant que « [u]n cynique pourrait penser que la Commission est plus intéressée par la valeur rhétorique des interdictions que par leur effet pratique ».

Les réglementations proposées définissent deux pratiques interdites présumées :

(a) la mise sur le marché, la mise en service ou l’utilisation d’un système d’intelligence artificielle qui utilise des techniques subliminales au-delà de la conscience d’une personne pour déformer de manière significative le comportement d’une personne de manière à causer ou à être susceptible de causer un préjudice physique ou psychologique à cette personne ou à une autre personne ;

(b) la mise sur le marché, la mise en service ou l’utilisation d’un système d’intelligence artificielle qui exploite les vulnérabilités d’un groupe spécifique de personnes en raison de leur âge, de leur handicap physique ou mental, afin de déformer de manière significative le comportement d’une personne appartenant à ce groupe de manière à causer ou à être susceptible de causer un préjudice physique ou psychologique à cette personne ou à une autre personne ;

Les chercheurs soutiennent que ces restrictions ne traitent pas de la question de savoir si les services ou les logiciels d’un fournisseur d’intelligence artificielle sont efficaces pour atteindre leurs objectifs, mais uniquement si l’utilisateur final subit un « préjudice » au cours du processus. Ils ajoutent que la définition de préjudice dans le projet de loi est limitée de manière fatale aux utilisateurs individuels, plutôt qu’au type de préjudice collectif ou sociétal qui peut être raisonnablement déduit d’un certain nombre de controverses liées à l’intelligence artificielle au cours des dernières années, telles que le scandale de Cambridge Analytica.

Le document observe que « Dans la vie réelle, le préjudice peut s’accumuler sans qu’un seul événement ne dépasse le seuil de gravité, ce qui rend difficile la preuve ».

Systèmes d’intelligence artificielle nuisibles autorisés, mais pas pour la consommation de l’UE

L’Acte IA propose de mettre en œuvre une interdiction des systèmes biométriques en temps réel dans les espaces publics par les forces de l’ordre. Bien qu’une certaine scepticisme du public ait été dirigée vers les exceptions prévues pour la lutte contre le terrorisme, la traite des enfants et la poursuite d’un mandat d’arrêt européen, les chercheurs notent également que rien n’empêcherait les fournisseurs de vendre des systèmes biométriques contraires à des régimes oppressifs.

Le document observe que c’est déjà une pratique historique, comme le révèle un rapport de 2020 d’Amnesty International.

Il déclare en outre que la spécification de « systèmes biométriques en temps réel » dans l’Acte IA est arbitraire et exclut les systèmes d’analyse hors ligne, tels que le traitement ultérieur de la vidéo de manifestations.

En outre, il est noté que les propositions n’offrent aucun mécanisme pour restreindre les systèmes biométriques qui ne sont pas liés aux forces de l’ordre, qui sont plutôt différés de manière paresseuse au RGPD ; et que le RGPD lui-même « impose une exigence de consentement de haute qualité, individuel, pour chaque personne scannée, ce qui est effectivement impossible à remplir ».

La formulation de cette section de l’Acte IA fait également l’objet de critiques de la part des chercheurs. Le projet de loi stipule que la pré-autorisation sera requise pour le déploiement de systèmes biométriques pour l’utilisation individuelle de ces systèmes par les autorités compétentes – mais ne clarifie pas ce que signifie « utilisation individuelle » dans ce contexte. Le document note que les mandats controversés peuvent être thématiques et se rapporter à des organisations, des objectifs et des lieux larges.

En outre, les réglementations proposées ne stipulent pas de mécanisme de transparence pour le nombre et le type d’autorisations délivrées, ce qui rend la surveillance publique problématique.

Externalisation de la réglementation aux « normes harmonisées »

La recherche déclare que les entités les plus importantes dans l’Acte IA ne sont en fait pas mentionnées une seule fois dans le projet de réglementation : le CEN (Comité européen de normalisation) et le CENELEC (Comité européen de normalisation électrotechnique) – deux des trois organisations européennes de normalisation (ESO) que la Commission européenne peut charger d’élaborer des normes harmonisées, qui, dans de nombreux cas, resteraient les cadres réglementaires gouvernants pour certains types de services et de déploiements d’intelligence artificielle.

Cela signifie effectivement que les producteurs d’intelligence artificielle peuvent choisir de suivre les normes de ce qui sont en effet des réglementations concurrentes plutôt que complémentaires, plutôt que de répondre aux exigences essentielles énoncées dans l’Acte IA. Cela permet aux fournisseurs d’interpréter de manière plus lâche les réglementations proposées lorsqu’elles entreront en vigueur en 2024-5.

Les chercheurs du document estiment également que les années d’intervention de lobbying industriel parmi les organismes de normalisation sont susceptibles de redéfinir considérablement ces « normes essentielles », et suggèrent que les réglementations « idéales » devraient commencer à un niveau éthique et de clarté législative plus élevé, ne serait-ce que pour tenir compte de ce processus inévitable d’usure.

Légitimer la fausse croyance des systèmes de reconnaissance des émotions

L’Acte IA comporte une disposition contre le déploiement de systèmes de reconnaissance et de catégorisation des émotions – des cadres qui peuvent ne pas nécessairement identifier un individu, mais prétendent comprendre ce qu’il ressent ou être en mesure de le catégoriser en termes de sexe, d’ethnie et de divers autres signifiants économiques et sociaux.

Les chercheurs soutiennent que cette clause est inutile, puisque le RGPD oblige déjà les fournisseurs de tels systèmes à fournir aux utilisateurs des informations claires sur l’utilisation de ces systèmes, afin que les utilisateurs puissent choisir de ne pas les utiliser (ce qui peut impliquer de ne pas utiliser un service en ligne ou de ne pas entrer dans une zone où de tels systèmes sont annoncés comme existant).

Plus important encore, le document affirme que cette clause légitime une technologie démentie, et va jusqu’à caractériser les systèmes de reconnaissance des émotions de type FACS à la lumière de l’histoire honteuse de la phrénologie et d’autres approches quasi chamaniques de catégorisation sociale de l’ère industrielle précoce.

« Ceux qui prétendent détecter les émotions utilisent des taxinomies simplistes, discutables ; supposent à tort l’universalité à travers les cultures et les contextes ; et risquent de « nous ramener au passé phrénologique » d’analyse des traits de caractère à partir de structures faciales. Les dispositions de l’Acte relatives à la reconnaissance des émotions et à la catégorisation biométrique semblent insuffisantes pour atténuer les risques ».

Une proposition trop modeste

Outre celles-ci, les chercheurs abordent d’autres lacunes perçues dans l’Acte IA en ce qui concerne la réglementation des deepfakes, le manque de surveillance des émissions de carbone des systèmes d’intelligence artificielle, la duplication de la surveillance réglementaire avec d’autres cadres, et la définition inadéquate des entités juridiques pénales.

Ils exhortent les législateurs et les militants à prendre des mesures pour remédier aux problèmes identifiés et notent en outre que même leur déconstruction extensive des réglementations proposées a dû omettre de nombreuses autres zones de préoccupation, en raison du manque d’espace.

Néanmoins, le document félicite l’Acte pour sa tentative pionnière d’introduction d’un système de réglementation horizontale des systèmes d’intelligence artificielle, en citant ses nombreux « éléments sensés », tels que la création d’une hiérarchie de niveaux d’évaluation des risques, l’engagement à introduire des interdictions et la proposition d’une base de données publique de systèmes auxquels les fournisseurs devraient contribuer afin d’obtenir une légitimité européenne, bien que notant les dilemmes juridiques que cette dernière exigence est susceptible de soulever.