Signature d’un premier traité à portée internationale sur l’IA
L’UE, le Royaume-Uni, Israël et les États-Unis sont parmi les premiers signataires d’une convention-cadre contraignante sur l’IA concoctée sous la houlette du Conseil de l’Europe. L’organisation espère que le traité, consacré à la supervision des systèmes d’IA par les États qui le ratifieront, devienne une norme internationale.
Le 5 septembre à Vilnius en Lituanie, le Conseil de l’Europe a ouvert à la signature ce qu’il a désigné comme le premier traité « international juridiquement contraignant visant à garantir une utilisation des systèmes d’intelligence artificielle pleinement conforme aux droits humains, à la démocratie et à l’État de droit ».
Contrairement à l’Union européenne, le Conseil de l’Europe est une organisation internationale créée au sortir de la Seconde Guerre mondiale (en 1949) en vue de promouvoir et de défendre les droits de l’homme, la démocratie et le droit en général.
Ainsi, la Norvège, l’Islande, Andorre, la République de Moldova, Saint-Marin et le Royaume-Uni ont signé la convention-cadre sur l’IA, tout comme l’Union européenne. Les États-Unis et Israël, deux États non membres du Conseil, l’ont également paraphée.
Le Conseil de l’Europe précise que ses 46 États membres ont participé à la négociation du traité sur l’IA aux côtés de 11 États non membres, à savoir l’Argentine, l’Australie, le Canada, le Costa Rica, les États-Unis d’Amérique, Israël, le Japon, le Mexique, le Pérou, le Saint-Siège et l’Uruguay. « Des représentants [68, N.D.L.R.] du secteur privé, de la société civile et du monde universitaire y ont contribué en qualité d’observateurs », indique le Conseil de l’Europe.
Après un examen de faisabilité débuté en 2019, les négociations ont débuté en 2022.
Un traité qui se distingue par la protection de l’État de droit, de la démocratie et des citoyens
Huit chapitres, 36 articles, 12 pages : la convention-cadre entend engager les États signataires à respecter de grands principes. Protection des droits de l’homme et des données à caractère personnel, maintien de l’intégrité des processus démocratiques, luttes contre les discriminations, transparence et contrôle des activités du cycle de vie des systèmes d’IA, promotion de leur fiabilité et mise en avant d’une innovation sûre. Voilà dans les grandes lignes le contenu du traité qui engage les signataires à prendre toutes les mesures nécessaires, à s’assurer de la bonne application des lois existantes et à en faire un état des lieux auprès du Conseil de l’Europe. Cela implique également l’identification des contenus générés par des systèmes d’IA.
« Les parties devront adopter des mesures pour identifier, évaluer, prévenir et atténuer les risques éventuels et évaluer la nécessité d’un moratoire, d’une interdiction ou d’autres mesures appropriées concernant l’utilisation de systèmes d’IA, lorsque cette utilisation est susceptible de présenter des risques incompatibles avec les normes relatives aux droits de l’homme », énonce le Conseil de l’Europe.
Malgré quelques similarités avec l’AI Act, il faut bien distinguer le traité international du règlement européen sur l’IA, souligne Ivana Bartoletti, Chief Privacy & AI chez Wipro et conseillère auprès du Conseil de l’Europe sur l’IA.
« Si vous comparez le traité avec l’AI Act, les deux mettent l’accent sur les droits humains et adoptent une approche basée sur les risques », note-t-elle. « Dans l’Acte européen sur l’IA, un produit est considéré comme à haut risque s’il peut potentiellement porter atteinte aux droits fondamentaux, aux droits humains et aux libertés. Cependant, ce que cet acte n’aborde pas aussi fortement, c’est la démocratie et l’État de droit », nuance-t-elle.
Ivana BartolettiChief Privacy & AI, Wipro et conseillère auprès du Conseil de l’Europe sur l’IA
La convention-cadre du Conseil de l’Europe « se distingue par un accent global sur ces valeurs et par son caractère contraignant (une fois ratifiée), en faisant ainsi le premier véritable traité sur l’IA », poursuit-elle.
« Un autre aspect clé, selon moi, est le droit à la réparation. Contrairement à l’AI Act, qui accorde peu d’attention à ce sujet, cette convention insiste sur le fait que les citoyens doivent obtenir réparation lorsque leurs droits sont violés. Cela me semble crucial », souligne Ivana Bartoletti.
En comparaison, l’AI Act demeure une réglementation pour harmoniser le marché européen. Il protège avant tout les entreprises et les consommateurs européens.
En clair, le traité pourrait se présenter comme une ombrelle par-dessus l’AI Act dans les 27 États membres de l’Union européenne.
« La Convention-cadre couvre l’utilisation des systèmes d’IA par les pouvoirs publics – y compris les acteurs privés qui agissent pour leur compte – et les acteurs privés », souligne le Conseil de l’Europe.
« C’est un point important à préciser. Des rumeurs affirmaient que le traité ne concernerait pas les entreprises. C’est faux », renchérit Ivana Bartoletti.
En cas de non-respect de ces dispositions générales après leur entrée en vigueur, la Cour européenne des droits de l’homme peut être saisie par un État signataire de la Convention européenne des droits de l’homme « ou par toute personne s’estimant victime d’une violation des droits garantis par la Convention ».
Ivana Bartoletti Chief Privacy & AI, Wipro et conseillère auprès du Conseil de l’Europe sur l’IA
Pour rappel, il existe quelques exceptions concernant l’application du traité international sur l’IA. Le Conseil de l’Europe ne peut réguler les usages liés à la défense nationale des États signataires. En clair, l’exploitation de l’IA par les armées et les forces de l’ordre des États signataires n’est pas concernée par le traité.
« L’AI Act européen comporte les mêmes limites », rappelle Ivana Bartoletti.
La convention-cadre ne s’applique pas non plus aux projets de recherche qui doivent, de toute manière, respecter le droit international, rappelle le Conseil. Pour autant, dans la note explicative accompagnant le traité, il est précisé qu’il devrait s’appliquer pour les fruits de projets de R&D disponibles publiquement.
Ivana Bartoletti Chief Privacy & AI, Wipro et conseillère auprès du Conseil de l’Europe sur l’IA
La balle dans le camp des signataires
Mais ces signatures ne valent pas ratification.
« La Convention-cadre est un traité ouvert, de portée potentiellement mondiale. J’espère que ces signatures seront les premières d’une longue série et qu’elles seront rapidement suivies de ratifications, afin que le traité puisse entrer en vigueur dans les meilleurs délais » déclare Marija Pejčinović Burić, secrétaire générale du Conseil de l’Europe.
Pour que cette convention-cadre (adoptée le 17 mai) entre en vigueur, il faut au moins cinq ratifications, dont celle de trois des 46 États membres du Conseil de l’Europe. Le traité entrera en vigueur trois mois et 1 jour après cet acte de confirmation des signatures.
Selon le Temps, le Conseil fédéral de Suisse a déjà précisé qu’il ne signerait pas immédiatement la convention-cadre, tant qu’il n’a pas établi une réglementation sur l’IA.
La France ne s’est pas encore prononcée concernant ce texte. Le président de la République, ayant le pouvoir de signature et de ratification des traités internationaux, est occupé ailleurs.
Reuters a rapporté les propos de Francesca Fanucci, experte juridique à l’ECNL (European Center for Not-for-Profit Law Stichting), contributrice au processus de rédaction du traité. Selon elle, l’accord a été dilué et les grands principes sont trop larges pour une « applicabilité effective ».
« Beaucoup de choses vont dépendre de la manière dont les États mettront en place les mécanismes de surveillance et de respect des engagements inscrits dans le traité », considère Ivana Bartoletti. « Le deuxième point qui, selon moi, doit être éclairci, c’est l’application des lois. Il est plausible que les grandes entreprises technologiques, même si elles paient les amendes, continuent leurs activités ».
Le traité du Conseil de l’Europe ne prévoit pas explicitement de sanctions pénales ou financières. Ce pouvoir incombe aux pays signataires.