Rawf8 - stock.adobe.com

AI Act : un « Brussels effect » moins retentissant

Bien que les autorités européennes se posent en fer de lance de la régulation sur l’IA et inspirent les régulateurs, ses effets seront limités outre-Atlantique. Le texte n’aurait pas la force du RGPD, tandis que les divergences entre les États membres de l’UE sont de plus en plus visibles.

Cet article est extrait d'un de nos magazines. Téléchargez gratuitement ce numéro de : Applications & Données: Applications et données 24 – AI Act : un « Brussels effect » moins marqué que le RGPD

En attendant la pleine application de l’AI Act, la Commission européenne a mis en place un pacte européen sur l’IA. Cet engagement volontaire à appliquer les mesures de la réglementation européenne avant l’heure servirait à « combler un vide juridique ». C’est pour la même raison que le Conseil de l’Europe, organisme défenseur des droits de l’homme et de la démocratie, invite les pays membres de l’UE et d’autres à ratifier un traité international sur l’IA.

En clair, il faudrait comprendre qu’avant l’intervention de l’UE, le marché de l’intelligence artificielle était un « far-west ». Une idée fausse. « De nombreuses lois qui ne sont pas spécifiques à l’IA s’appliquent déjà [aux applications d’intelligence artificielle] », rappelle Scott Starbid, chef des affaires publiques chez Databricks, lors d’une table ronde organisée dans le cadre de l’événement Data + AI Summit, ayant eu lieu en juin 2024. « Il existe des lois qui protègent les consommateurs comme le RGPD, des lois dans le domaine des services financiers, des lois sur les droits d’auteur, des lois qui protègent contre les infractions, et toutes sortes de crimes ».

Si le besoin d’une législation spécifique se fait sentir, c’est pourtant qu’il existe des trous dans la raquette. Un sentiment partagé dans différents pays extraeuropéens, dont le Canada, le Brésil, le Maroc, le Royaume-Uni, l’Arabie Saoudite, la Chine, le Pérou, Israël, la Nouvelle-Zélande, le Japon, le Bangladesh ou encore la Colombie. Tous ces pays et d’autres ont – a minima – établi une stratégie nationale en matière d’IA et légifèrent ou prévoient de légiférer dans ce domaine dans les années à venir.

Les États-Unis, du fait de la croissance des systèmes d’IA, se sont également engagés dans la régulation de l’intelligence artificielle. Le président Joe Biden a publié le 30 octobre 2023 un Executive Order consacré au « développement et à l’utilisation sûre, sécurisée et digne de confiance de l’intelligence artificielle ». Le document incite à évaluer l’impact de l’IA dans les pratiques des agences fédérales suivant les risques, à renforcer l’application des lois existantes ou encore à surveiller le développement des « modèles frontières », souvent de grands modèles de langage.

Aux États-Unis encore, le Congrès et certains États comme la Californie et New York ont adopté des lois « très ciblées », en particulier pour encadrer l’usage de l’IA dans le recrutement ou le traitement de données biométriques (empreintes digitales, reconnaissance faciale, etc.), estime le chef des affaires publiques chez Databricks.

Des ersatz d’AI Act dans les États américains

Deux États américains ont pris de l’avance en la matière. Le Colorado et le Connecticut ont déjà leur AI Act. Il y a d’abord le Colorado Artificial Intelligence Act (CAIA), entré en vigueur le 17 mai 2024.

Largement inspiré de son homologue européen, il prendra effet dès le 1er février 2026. La même année, la plupart des dispositions de l’AI Act européen entreront en application. Certaines règles du SB 2 2024 (« An Act Concerning Artificial Intelligence ») de l’État du Connecticut, également très inspirés du cadre européen, sont appliquées depuis le 1er octobre 2024, mais l’ensemble des mesures devraient être appliquées dans deux ans.

Le CAIA et le SB 2 2024 reprennent la pyramide des risques de la réglementation de l’IA européenne. Cependant, les législateurs locaux se sont concentrés sur les systèmes d’IA à haut risque dans des domaines comme l’éducation, l’emploi, la finance, les services de santé, les services publics ou d’assurance. Les fournisseurs d’IA auront le devoir d’éviter les discriminations, en sus de documenter les mesures prises pour ce faire, les objectifs des algorithmes, les données utilisées pour les entraîner, leurs limitations, les usages recommandés et « toute autre information qui pourrait aider les entreprises qui les déploient à respecter le cadre légal ». Les organisations qui les exploitent devront mettre un programme de gouvernance basé sur les risques et réaliser une étude d’impact concernant le système à haut risque qu’elles comptent déployer. Elles devront également informer leurs clients sur les fonctions d’IA en question. Quelques exceptions s’appliquent, par exemple, pour des usages de recherche ou ceux des forces de l’ordre.

« Il suffirait d’une cinquantaine de consommateurs ou de transactions concernés au Colorado pour atteindre une amende civile maximale de 1 million de dollars ».
International Association of Privacy Professional

Le Colorado et le Connecticut ont également prévu des pénalités financières, ce qui n’est pas forcément le cas des mesures à l’étude au Congrès américain.

« Les violations de la loi sur l’IA du Colorado sont traitées comme des violations de la loi du Colorado sur la protection des consommateurs, qui prévoit une amende civile maximale de 20 000 dollars par violation », précise l’International Association of Privacy Professionals (IAPP). « Il est important de noter que les violations sont comptabilisées séparément “pour chaque consommateur ou transaction concerné”. Ainsi, il suffirait d’une cinquantaine de consommateurs ou de transactions concernés au Colorado pour atteindre une amende civile maximale de 1 million de dollars ».

Dans le Connecticut, chaque violation des éléments du S 2 2024 pourrait entraîner une amende comprise entre 3 000 et 7 000 dollars.

Outre le CAIA et le S 2 2024, le représentant des affaires publiques de Databricks considère que le texte européen fait des émules.

« Au moment de réguler l’IA, les décideurs s’entendent sur des thèmes communs », indique Scott Starbid. Les régulateurs veulent favoriser la sécurité, ainsi que protéger la confidentialité des données des consommateurs et la propriété intellectuelle des entreprises. Ils souhaitent, selon lui, éviter les discriminations dans différents domaines (recrutement, éducation, santé, finance, etc.) et la génération de contenus nocifs et illégaux.

« L’AI Act a sans doute fixé la tendance concernant les actions préparatoires [avant de déployer des modèles d’IA] ».
Scott StarbidChef des affaires publiques, Databricks

Les exigences sont souvent du même acabit. Planification et mitigation des risques, garde-fou, documentation, publication, supervision et modification des systèmes d’IA… voilà les éléments à retenir de la plupart des projets de loi entérinés ou en cours d’étude. « L’AI Act a sans doute fixé la tendance concernant les actions préparatoires [avant de déployer des modèles d’IA] », considère Scott Starbid. « Ce sont des sujets qui risquent de revenir dans différentes législations ».

Dans le cadre de la table ronde du Data+AI Summit, Scott Starbid avait invité Aaron Cooper, vice-président des politiques mondiales de BSA. BSA ou Business Software Alliance est « un organisme de défense et de promotion de l’industrie du logiciel auprès des Administrations gouvernementales et sur le marché international ». Pour rappel, cette association présente dans une trentaine de pays a été fondée en 1988 pour lutter contre la contrefaçon logicielle (et prôner le respect des contrats de licences) et promouvoir les intérêts des grands éditeurs américains, dont Microsoft, Adobe ou IBM.

« Il y a toujours un Brussels Effect »

Aaron Cooper connaît de près le fonctionnement des institutions américaines. Il a été conseiller en chef du droit de la propriété intellectuelle et des lois antitrust au sein du comité judiciaire du Sénat américain. Et comme il a pu le constater avec le RGPD, « il y a toujours un Brussels Effect », s’exclame-t-il.

Cette expression inventée par Anu Bradford, un professeur de la faculté de droit de Columbia, s’inspire elle-même du California Effect, théorisé par David Vogel, professeur distingué en éthique des affaires à l’Université de Californie de Berkeley.

« Après l’adoption du RGPD dans l’Union européenne, les gouvernements du monde entier, et aujourd’hui ceux des 50 États américains, ont adopté des lois similaires sur la protection de la vie privée ».
Aaron CooperV-P politiques mondiales, BSA.

À l’instar du California effect qui décrit les changements légaux opérant dans les États américains vers des standards législatifs plus stricts pour la première fois entrés en vigueur en Californie, le Brussels Effect « fait référence au pouvoir unilatéral de l’UE de réglementer les marchés mondiaux ». « Après l’adoption du Règlement général sur la protection des données (RGPD) dans l’Union européenne, les gouvernements du monde entier, et aujourd’hui ceux des 50 États américains, ont adopté des lois similaires sur la protection de la vie privée. Ces lois ne sont pas identiques, mais elles sont très proches. Je pense que nous allons assister à une approche similaire avec la loi européenne sur l’IA », considère Mr Cooper.

Interrogé sur ce phénomène par LeMagIT lors de l’événement Dreamforce 2024, Sebastian Niles, président-directeur juridique de Salesforce le reconnaît également : « Bruxelles est l’un des lieux les plus influents en matière d’élaboration des réglementations ».

Dans un billet de blog, Eric Loeb, vice-président directeur des Affaires gouvernementales chez Salesforce, reflète la position du groupe. « Nous pensons qu’en créant des cadres fondés sur les risques, tels que la loi européenne sur l’IA, en encourageant les engagements en faveur d’une IA éthique et digne de confiance, et en réunissant des groupes multipartites, les régulateurs peuvent avoir un impact positif substantiel. Salesforce félicite les institutions européennes pour leur leadership dans ce domaine », écrit-il.

Pour autant, Sabastian Niles et l’équipe légale de Saleforce observent une grande différence entre l’UE et les États-Unis. « Contrairement à l’approche centralisée de l’UE, les États-Unis assistent à une prolifération de la législation sur l’IA – nous avons recensé 600 textes dans 45 États – en raison de l’absence d’un cadre fédéral », note-t-il.

« Même s’il y a beaucoup d’étapes à venir et qu’il faut encore préciser la mise en œuvre, la réglementation européenne sur l’IA offre une structure générale. »
Aaron CooperV-P politiques mondiales, BSA

Les porte-parole de Salesforce et Aaron Cooper du BSA sont clairement les partisans d’une même approche. La cohérence des réglementations en matière d’IA entre les différentes juridictions, tant aux États-Unis qu’à l’échelle internationale, est un effet qu’ils recherchent « afin de faciliter la mise en conformité des entreprises qui développent et déploient des systèmes d’IA ». « Même s’il y a beaucoup d’étapes à venir et qu’il faut encore préciser la mise en œuvre, la réglementation européenne sur l’IA offre une structure générale », note Aaron Cooper.

L’AI Act, une fondation plutôt qu’un sommet

Or l’impact de l’AI Act semble plus limité que celui du RGPD. Alors que le règlement sur la protection des données personnelles est considéré comme un standard de haut niveau, l’EU AI Act fait davantage figure de base réglementaire.

« Malgré un processus long de trois ans, l’UE a réglementé l’IA plus tôt que pour la protection des données privées et le texte est moins solide », estime le représentant de la BSA. « Je pense qu’il y aura plus de questions qui seront soulevées et plus que les décideurs politiques du monde entier voudront aborder. C’est ce que nous avons vu dans le Colorado et le Connecticut ».

Les deux textes mettent davantage l’accent sur la protection des consommateurs et contre les discriminations raciales que ne le fait l’AI Act.

« Les deux États ont pris la loi européenne sur l’IA comme base et ont ensuite essayé d’identifier les autres questions qu’ils voulaient aborder, et ils continueront à le faire », ajoute Aaron Cooper.

A contrario, la CCPA, le règlement sur la protection des données personnelles californien est « une variante édulcorée » du RGPD, selon Ivana Bartoletti, global chief Privacy & AI Governance officer chez Wipro.

De plus, si le gouverneur californien Gavin Newsom a approuvé 17 lois locales consacrées à l’IA générative en 30 jours, il a apposé le 29 septembre son veto au SB 1047. Ce projet visait à imposer un protocole de sécurité supplémentaire pour l’entraînement et le déploiement de modèles d’intelligence artificielle entraînés avec une puissance de calcul de plus de 10^26 FLOPS dont le pré-entraînement a coûté plus de 100 millions de dollars et le fine tuning plus de 10 millions de dollars.

Il s’agissait de contrôler leur capacité à générer des contenus dangereux pouvant permettre à un tiers de créer des bombes « chimiques ou radiologiques », de provoquer des cyberattaques d’ampleur ou tout autre événement provoquant plus de 500 millions de dollars de dommages. Le texte prévoyait de rendre les développeurs responsables, et avait suscité l’opposition de startups et de grands groupes.

Outre la menace que représentait le texte pour l’innovation et les modèles open weight, les soutiens au veto, dont OpenAI, ont expliqué que la décision de prévenir ces grands risques incombe davantage au pouvoir fédéral et implique l’intervention du Congrès.

De manière générale, les régulateurs américains s’entendent pour contrôler les usages dangereux, mais pas question de toucher au sujet d’innovation. Le lobbying des géants du Web se fait clairement sentir, tandis que la grande peur de se faire dépasser par la Chine domine les discussions des responsables politiques.

C’est en ce sens que l’Administration Biden a promulgué un cadre juridique imposant des restrictions sur l’export de puissance de calcul, en définissant des quotas de puces pouvant être vendus et déployés dans différents pays du monde. Les mêmes mesures s’appliqueront à l’export de modèles d’IA propriétaires entraînés avec une puissance de calcul de… 10^26 FLOPS. Encore une fois, ce texte a provoqué un tollé.

L’UE critiquée pour les divergences de vision des États membres

Jusqu’alors, aux États-Unis, le membre de la BSA considérait que les échanges entre la Chambre des représentants et du Sénat américains étaient « souvent très complexes » du fait de la difficulté à réunir des coalitions bipartisanes.

« La nouvelle administration [américaine] est susceptible de réviser en profondeur, voire de remplacer complètement, le décret Biden sur l’IA. »
Perkins CoieCabinet d'avocats

« Avec la victoire du président élu Donald Trump et la prise de contrôle des deux chambres du pouvoir législatif par les Républicains, on s’attend à des changements politiques importants en matière de réglementation de l’IA », considère le cabinet d’avocats Perkins Coie spécialisé dans le droit international, dans un billet de blog.

« La nouvelle Administration est susceptible de réviser en profondeur, voire de remplacer complètement, le décret Biden sur l’IA, en particulier ses dispositions relatives à la prévention de la discrimination, des préjugés et du changement climatique », poursuivent les autrices et auteurs. « L’accent sera plutôt mis sur la sécurité nationale et la concurrence économique, en mettant l’accent sur la promotion de l’innovation et la réduction des obstacles réglementaires ».

Le président Donald Trump considère le choix de confier à la NIST des capacités de supervision de l’IA de confiance comme nocif. En revanche, ce n’est pas dit qu’il raye le cadre légal limitant l’export de la puissance de calcul. Il est clair qu’il voudra protéger les intérêts économiques des États-Unis. Il est aussi de plus en plus clair qu’avec Elon Musk à ses côtés, le cofondateur et propriétaire de xAI, (et d’autres, dont Mark Zuckerberg), Donald Trump ne souhaitera pas limiter « l’innovation » et la liberté d’expression. Toutefois, ces personnages semblent avoir à cœur d’interdire les usages de l’IA pouvant causer des catastrophes majeures.

Or, si la nouvelle Administration Trump pourrait chercher à détricoter les mesures les plus restrictives au niveau national, les États américains tiennent leur propre agenda. Au grand dam des éditeurs.

Par exemple, Giovanni Capriglione, le gouverneur du Texas, a déposé le 23 décembre le Texas Responsible AI Governance Act. Ce texte, qui sera étudié au début de l’année, pourrait entrer en vigueur en septembre 2025. Il embrasse le concept de systèmes d’IA à haut risque pouvant affecter les décisions des autorités ou encore les politiques de recrutement des employés. Le brouillon reprend peu ou prou les éléments décrits dans le règlement sur l’IA du Colorado, mais prévoit des sanctions financières supérieures, allant de 40 000 à 100 000 dollars par violation.

Et à l’alliance BSA de suggérer à l’Administration Trump de pousser en faveur de l’innovation, mais aussi de l’harmonisation du cadre légal concernant la réglementation des systèmes d’IA à haut risque. Tout en recommandant à l’Union européenne d’être mesurée et claire dans son implémentation de l’AI Act.

« Ce qui est également frappant, c’est qu’en parallèle, des divergences majeures persistent au sein même de l’UE ».
Ivana BartolettiGlobal chief Privacy & AI Governance officer, Wipro

La politique américaine n’a pas forcément d’influence sur le fédéralisme européen. Toutefois, les représentants de Salesforce n’ont pas manqué de noter les divergences entre les États membres de l’UE.

« Certains États membres de l’UE, dont la France et l’Allemagne estiment qu’il faut des garanties concernant les risques que pose l’IA, mais veulent aussi une certaine flexibilité dans l’implémentation du texte pour voir leur tissu d’entreprises prospérer dans ce domaine », souligne Eric Loeb, lors d’un point presse.

Un phénomène qui n’est pas nouveau, selon Ivana Bartoletti. « L’Union européenne aspire à devenir un super régulateur mondial, ce qui s’explique par des motivations économiques et géopolitiques évidentes », affirme-t-elle. « Toutefois, ce qui est également frappant, c’est qu’en parallèle, des divergences majeures persistent au sein même de l’UE ».

« Les pays continuent d’interpréter différemment des principes essentiels de la protection des données et des lois sur la vie privée », s’exclame-t-elle. Ces divergences affectent des sujets « comme le partage des données ou la question de savoir si les grands modèles de langage (LLM) traitent des données personnelles ».

C’est d’ailleurs le point principal de la fronde menée par Meta au travers d’une lettre ouverte publiée le 15 septembre. Le texte, signé par les dirigeants de groupe comme SAP, Criteo, Spotify et d’autres, prône l’harmonisation des réglementations sur l’IA, notamment celles qui affectent les données des Européens et de l’UE. Le géant des réseaux sociaux a par ailleurs décidé de restreindre l’usage de certains de ses LLM en Union européenne au nom d’un manque de cohérence dans l’application des régulations par les pays membres de l’UE.

« C’est un problème de grande ampleur », poursuit Ivana Bartoletti. « Si nous reproduisons ce schéma avec l’intelligence artificielle, l’Union européenne risque de manquer une occasion majeure de tirer parti de son influence, celle de disposer d’un vaste marché unique ».

Article publié dans le cadre de l’Ezine Applications & Données 24, mis à jour les 17 et 20 janvier 2025.

Pour approfondir sur Réglementations et Souveraineté