Après un parcours législatif s’étalant sur des années, le Parlement européen a approuvé la première régulation globale sur l’intelligence artificielle au niveau mondial. Bien qu’il s’agisse d’une étape majeure pour encadrer une technologie en plein essor, l’AI Act opère de concessions importantes au profit des intérêts des entreprises et des autorités de l’ordre et de la sécurité.
Bienvenue dans le futur, où les scénarios de science‑fiction ne se cantonnent plus à l’écran. Depuis la mise à disposition publique de ChatGPT en novembre 2022, l’intelligence artificielle (IA) a infiltré de nombreux aspects de nos vies, que ce soit dans les soins de santé, l’éducation ou, inévitablement, la politique. Et ce n’est là que le premier acte.
Du recours des étudiants à l’IA pour rédiger leurs dissertations à la confiance des médecins dans les diagnostics générés par l’IA, l’influence de l’intelligence artificielle est indéniable. En Europe, cette tendance se manifeste aussi dans les communications politiques, où les outils pilotés par l’IA sont devenus courants. Les vidéos deepfake peuvent brouiller les limites entre réalité et tromperie, avec des répercussions potentielles sur la perception publique. En Belgique, par exemple, le parti chrétien-démocrate flamand a « ressuscité » l’ancien Premier ministre Jean-Luc Dehaene dans une vidéo de campagne en deepfake. De manière troublante, des outils de harcèlement comme les « deep nudes » et les deepfake porn ont émergé, comme l’ont illustré des incidents impliquant des personnalités telles que la Première ministre italienne Giorgia Meloni.
Alors que l’“essor” de l’IA se déployait, l’Europe se retrouvait face à un vide réglementaire, poussant les États membres à solliciter l’UE pour une législation globale et cohérente. Le résultat est l’AI Act de l’Union européenne, adopté par le Parlement européen en mars 2024 et salué comme la première réglementation horizontale, globale et contraignante sur l’IA au monde.
Le long chemin vers la régulation
Contrairement à l’accélération spectaculaire des avancées de l’IA, le parcours réglementaire n’a pas été un long fleuve tranquille. Bruxelles avait d’abord proposé des règles sur l’IA dès 2019, dans l’objectif de prendre les devants à l’échelle mondiale pour surveiller les technologies émergentes. Ce fut une promesse majeure du président de la Commission européenne, Ursula von der Leyen, qui se décrit comme une « optimiste de la tech ». Cette promesse s’est concrétisée avec l’introduction de l’AI Act en avril 2021.
Les premiers brouillons de la loi ciblaient des systèmes d’IA effectuant des fonctions précises, comme le dépouillement de CV et de candidatures. Or, la montée inattendue des modèles d’IA à usage général, en particulier ChatGPT d’OpenAI, a surpris les décideurs européens, ce qui a conduit à des ajustements précipités et au déclenchement d’un AI Act révisé.
Avec l’IA se trouvant à la croisée des chemins entre des bénéfices immenses et des risques importants, une question clé a émergé et dominé le débat autour de l’AI Act : faut‑il encourager l’innovation ou se limiter à prévenir les dommages potentiels ?
Les lobbies faisaient du lobbying
Dès le départ, le Parlement européen a penché pour une régulation préventive. Sa position de juin 2023 sur l’AI Act appelait à une régulation étroite des modèles de base comme GPT dans ChatGPT, quelles que soient leur catégorie de risque ou leur finalité — une position motivée par les inquiétudes liées à l’ampleur des données d’entraînement requises et à leur impact sur la vie privée.
Conscients des menaces potentielles pour leurs modèles économiques, les géants de la tech ont tenté d’influencer ce processus. Alors qu’ils plaident publiquement en faveur d’une régulation de l’IA, ils s’opposent en privé à toute restriction majeure des modèles fondamentaux. Des recherches récentes du Corporate Europe Observatory révèlent que 66 % des réunions liées à l’IA impliquant des députés européens en 2023 concernaient des parties prenantes d’entreprise, contre 56 % entre 2019 et 2022. Reconnaissant le Parlement européen comme une cible difficile, les géants du numérique ont rapidement déplacé leur attention vers la Commission européenne et les États membres : 86 % des réunions d’IA avec des hauts responsables de la Commission en 2023 concernaient des représentants de l’industrie.
À la fin de 2023, les entreprises technologiques ont accentué les pressions, tant en privé qu’en public. Des controverses ont culminé lorsque le patron d’OpenAI, Sam Altman, a laissé entrevoir la possibilité de retirer ChatGPT d’Europe (une position qu’il a ensuite rétractée), mettant en évidence l’équilibre délicat entre les attentes en matière de régulation et les intérêts de l’industrie.
Les efforts de lobbying ne se sont pas limités aux entités offshore; des startups européennes d’IA comme Mistral AI et Aleph Alpha ont intensifié la pression sur leurs gouvernements nationaux, notamment en France et en Allemagne. En conséquence, ces États membres ont plaidé en faveur d’une approche plus favorable à l’innovation et d’une intervention plus légère, craignant qu’une régulation excessive ne freine la compétitivité et l’innovation européenne. Ils ont même proposé d’importantes exemptions pour les modèles de base des règles de l’AI Act.
Souveraineté perdue dans les nuages ?
Les préoccupations de la France illustrent une problématique plus vaste : les règles strictes de l’AI Act pourraient encore affaiblir la souveraineté numérique, poussant à recourir à des solutions d’IA non européennes. Ironie du sort, malgré ces inquiétudes, la France continue de dépendre d’entreprises internationales pour le stockage des données, soulignant la tension persistante entre autonomie et mondialisation dans le domaine numérique. Récemment, Mistral AI, basé à Paris, a annoncé que son modèle Large, concurrent de GPT‑4, sera hébergé sur la plateforme cloud Azure de Microsoft plutôt que sur le fournisseur français OVHcloud.
Le côté humain
Au‑delà des considérations techniques et économiques, l’AI Act aborde des questions éthiques et relatives aux droits humains de grande envergure. En Europe et ailleurs, les systèmes d’IA sont de plus en plus déployés dans des formes de surveillance étatique nuisibles, allant de l’identification biométrique à la reconnaissance des émotions, en passant par la police prédictive. Ces technologies affectent souvent de manière disproportionnée les communautés marginalisées, donnant à ceux qui les contrôlent un pouvoir sans contrôle, limitant les libertés démocratiques, facilitant une surveillance généralisée, et renforçant les droits et les inégalités existants.
Conscients de la menace que ce type de technologie fait peser sur la démocratie, même avant la publication de la proposition initiale de loi sur l’IA, des organisations de la société civile ont constamment plaidé pour une approche centrée sur l’humain, visant à placer les droits fondamentaux au cœur de la législation et à mener le combat contre la surveillance biométrique de masse. En novembre 2021, plus de 100 organisations de la société civile ont appelé à des changements concrets dans le texte proposé pour privilégier les droits fondamentaux.
Sur la base de ces préoccupations, lors des premiers brouillons de la loi, le Parlement européen préconisait des restrictions biométriques plus strictes. Or la France, souhaitant recourir à l’IA dans la lutte contre le crime et le terrorisme, a mené une campagne intense, exerçant des pressions importantes sur le Parlement pour assouplir les mesures proposées.
À mesure que les débats s’intensifiaient et que le processus traçait son chemin, la société civile s’est inquiétée des retards supplémentaires dans l’adoption de l’AI Act. Une étude récente du European Council on Foreign Relations prévoit un « basculement majeur à droite, avec des partis populistes gagnant des voix et des sièges » lors des élections européennes de juin. Alors que les États membres sous le mandat actuel montrent déjà leur réticence à des restrictions et à une surveillance de l’utilisation de l’IA dans ce processus, on s’attend à ce que cette opposition s’intensifie.
Sous la pression de toutes parts, le Parlement européen est arrivé aux négociations trilogues finales avec les États membres et la Commission avec une proposition ferme. En fin de compte, toutefois, les garanties relatives aux droits humains ont été considérablement diluées ou entièrement omises, avec d’importants échappatoires pour les autorités publiques et une régulation relativement faible des plus grands modèles de base qui dominent la sphère numérique (et qui posent le plus grand danger).
Le texte de la loi décortiqué
Dans sa forme finale, l’AI Act adopte une approche « fondée sur le risque » des produits ou services. Il classe les systèmes d’IA en fonction de leur impact sociétal potentiel : plus le risque est élevé, plus les règles sont strictes, certains usages étant même interdits en raison de leur dangerosité. Le résultat est un ensemble complexe de règles — presque une « salade réglementaire ».
Des usages inacceptables (en quelque sorte)
Au cœur du texte, l’AI Act vise à protéger contre les usages de l’IA qui manipulent discrètement les processus de décision ou exploitent des vulnérabilités par des techniques trompeuses, comme les messages subliminaux ou la reconnaissance des émotions sur les lieux de travail ou dans les écoles. En interdisant ces usages et d’autres « usages inacceptables », la loi fixe une limite éthique claire.
Cependant, la loi est entourée de controverses et marquée par des compromis significatifs. Malgré sa position ferme sur certaines pratiques, elle introduit des exemptions, notamment pour les forces de l’ordre et les autorités en matière d’immigration. Les technologies de reconnaissance des émotions, interdites dans les contextes généraux, sont autorisées à des fins de contrôle migratoire. La société civile soutient que cela pourrait conduire à des abus de surveillance, en particulier envers les communautés marginalisées et les personnes en mouvement, faisant echo aux préoccupations d’un profilage racial facilité par l’IA et d’une surveillance injustifiée.
Les technologies de reconnaissance des émotions pourraient conduire à des abus de surveillance, en particulier envers les communautés marginalisées et les personnes en mouvement.
De plus, la loi interdît la reconnaissance faciale biométrique en temps réel dans les espaces publics — également appelée balayage du visage — mais prévoit des exceptions pour les autorités policières dans des scénarios impliquant des crimes graves comme le terrorisme ou la recherche de personnes disparues, sous réserve d’un aval judiciaire. Cette utilisation apparemment contrôlée a été fortement critiquée, surtout quand on sait qu’en 2021, plus de 6 000 suspects avaient été ciblés par des mandats d’arrêt européens, ce qui indique une application potentiellement vaste. Comme l’a souligné Ella Jakubowska d’European Digital Rights (EDRi), cela est particulièrement inquiétant à l’aune de la tendance mondiale à décrire à tort des militants des droits humains, des journalistes et même des activistes climatiques comme des terroristes. Amnesty International a affirmé que les échappatoires du texte autorisent une « surveillance numérique dystopique ».
Surveillance régulée
Au‑delà des risques inacceptables, l’AI Act classe certaines utilisations comme à haut risque, nécessitant le respect des orientations de la Commission européenne et des normes pertinentes. Les applications à haut risque, telles que les dispositifs médicaux et les infrastructures critiques (eau, électricité), ainsi que dans l’éducation et l’emploi, doivent respecter des exigences strictes, notamment l’utilisation de données de haute qualité et la clarté pour les utilisateurs.
Alors que l’identification biométrique en temps réel est interdite sauf dans certaines circonstances, l’identification biométrique via des vidéos enregistrées entre dans la catégorie à haut risque — autorisée sous réglementation stricte mais pas entièrement interdite. Cette distinction repose sur des nuances techniques et procédurales : le balayage en temps réel est perçu comme trop intrusif, tandis que l’examen des images enregistrées permet un meilleur contrôle et une supervision plus étroite.
Cependant, dans le cadre des droits humains, l’impact des deux types de surveillance est tout aussi inquiétant. Le réseau des droits numériques EDRI a souligné que « la crainte d’être observé et traqué de manière omniprésente ne s’estompe pas si les autorités ou les entreprises prennent plus de temps pour examiner les images. En réalité, la menace pour les libertés individuelles et la démocratie pourrait être encore plus grave avec le traitement post-visionnage » — les gouvernements, les forces de police, les entreprises ou des entités malveillantes pouvant accéder à des données personnelles extrêmement sensibles pendant des années.
Deepfakes, lois superficielles
Autre technologie d’IA qui a échappé à une régulation stricte, les deepfakes — capables de créer des images, des vidéos ou des audios mensongers mais ressemblant à des personnes réelles, des lieux ou des événements. Malgré leur classification par beaucoup comme à haut risque, l’AI Act actuel les considère comme présentant un risque limité et exige seulement qu’ils soient étiquetés comme artificiellement manipulés. La législation reste insuffisante pour offrir un cadre exhaustif visant à rendre les créateurs de technologies deepfake responsables. Plutôt que de privilégier des mesures répressives, elle privilégie des stratégies préventives, suggérant que les développeurs pourraient devoir intégrer des garde-fous solides, comme des filigranes avancés ou des algorithmes de détection contre les usages malveillants.
Et ChatGPT ?
L’AI Act cible les « modèles » à usage général — c’est‑à‑dire la technologie en coulisses qui alimente des outils comme ChatGPT ou Bard de Google — plutôt que les applications grand public. Les développeurs de ces modèles doivent maintenir une documentation technique détaillée et aider les entreprises ou les particuliers qui déploient leurs outils à comprendre leur fonctionnement et leurs limites. Ils doivent aussi résumer les matériaux protégés par le droit d’auteur (par exemple des textes, des images) utilisés pour l’entraînement des modèles, et coopérer avec la Commission européenne et les autorités nationales de l’application pour assurer la conformité.
Certains modèles à usage général sont désignés comme présentant un « risque systémique » en raison de leur influence étendue et de leur potentiel à déclencher des événements catastrophiques. Les développeurs de ces modèles doivent prendre des mesures supplémentaires pour minimiser ces risques, mettre en place des mesures de sécurité et signaler tout incident au « Bureau de l’IA » nouvellement créé par la Commission, chargé de veiller au respect des règles.
Effet Bruxelles ?
L’AI Act a été critiqué non seulement pour les potentielles atteintes aux droits humains en Europe, mais aussi pour ses limites géographiques, car il néglige les conséquences mondiales d’une technologie développée au sein du bloc. Cette omission suggère un déséquilibre sous-jacent : les réglementations d’IA détaillées de l’UE contrastent fortement avec l’absence de directives pour l’application externe de ces technologies. À l’heure actuelle, il existe une discordance frappante entre les efforts réglementaires internes de l’UE et ses obligations internationales en matière de droits humains.
Les régulations sur l’IA établies à Bruxelles pourraient finir par devenir la norme mondiale.
Cependant, cette inquiétude peut être moins importante qu’elle n’y paraît. En pratique, de nombreuses entreprises préfèrent conformer l’ensemble de leurs produits aux normes strictes de l’UE plutôt que de concevoir des fonctionnalités séparées uniquement pour le marché européen. En conséquence, les régulations mises en place à Bruxelles pourraient finir par devenir la norme mondiale.
Réinventer la gouvernance de l’IA
Le parcours législatif de l’AI Act dans l’UE a mis au jour des failles importantes dans l’élaboration des politiques de l’UE. Les intérêts des gouvernements nationaux, des services de sécurité et des lobbies de Big Tech ont souvent réussi à éclipser l’intérêt général et les droits humains, poussant le Parlement européen à renoncer à des protections essentielles. Cette situation souligne une question plus large : comme le sociologue Evgeny Morozov le formule, la législation sur l’IA tend vers des approches guidées par le marché et centrées sur le profit qui privilégient la surveillance.
Les nombreuses exemptions risquent d’affaiblir les objectifs de la loi, en particulier en matière de transparence et de supervision des systèmes d’IA à haut risque utilisés par les forces de l’ordre et les autorités de migration. L’exemption relative à la sécurité nationale est particulièrement notable, permettant aux États membres de déroger aux régulations pour des activités liées à la sécurité nationale. En particulier, les autorités policières et les autorités de migration, dotées de ces exemptions, pourraient instaurer une culture d’impunité et poursuivre le déploiement d’IA nuisible contre les communautés marginalisées.
Rejeter ce statu quo est essentiel, car il perpétue les dynamiques politiques existantes et aggrave les inégalités. Le récit de longue date de « l’innovation contre la régulation », porté par les géants de la tech pour éviter une responsabilité significative, révèle une concentration inquiétante du pouvoir. Les plateformes technologiques devraient être ouvertes, accessibles, et gouvernées démocratiquement plutôt que dominées par quelques entités. Passer de Big Tech à « Big Democracy » suppose de repenser notre contrat social numérique pour mettre en avant la justice sociale et environnementale, corriger les inégalités et promouvoir la citoyenneté numérique, la souveraineté des données et la protection de la vie privée.
La législation sur l’IA tend vers des approches guidées par le marché et centrées sur le profit qui privilégient la surveillance.
L’orientation politique numérique de l’Europe devrait activement bâtir une société numérique qui privilégie le bien-être collectif plutôt que les intérêts privés. Cela inclut l’exigence de transparence sur les données d’entraînement de l’IA et sur la production du contenu numérique afin de protéger les droits des personnes et des auteurs, et de favoriser un environnement propice à l’innovation et à la créativité collective.
Pour l’avenir, la coalition de la société civile Access Now, qui œuvre pour ces principes, suggère que des actions immédiates soient nécessaires tant au niveau de l’UE qu’au niveau national pour documenter et atténuer les dommages liés à l’IA, notamment dans des domaines tels que les migrations et la police, afin de protéger contre les violations des droits. Il est temps de réévaluer l’allocation des ressources vers des technologies qui soutiennent les droits plutôt que de les violer, et de promouvoir une approche centrée sur l’humain dans notre engagement avec l’IA.
Et maintenant ?
Alors que l’intelligence artificielle évolue rapidement, la mise en œuvre de l’AI Act se profile, et l’on attend un cadre réglementaire complet d’ici la mi‑2026. Pourtant, d’importantes incertitudes subsistent, en particulier quant à l’application pratique de la loi et à la finalisation des normes techniques et des lignes directrices
En matière d’application, des actions immédiates viseront certains usages de l’IA, notamment l’identification biométrique, qui feront l’objet d’un contrôle strict et d’une interdiction potentielle. De plus, chaque État membre mettra en place son propre organisme de surveillance de l’IA, où les citoyens pourront déposer des plaintes s’ils estiment avoir été victimes d’un manquement à la réglementation. De son côté, le Bureau de l’IA de Bruxelles aura pour mission d’appliquer et de superviser la loi pour les systèmes d’IA à usage général.
Si l’AI Act offre une certaine certitude pour aujourd’hui, le paysage dynamique de l’IA laisse penser que le parcours réglementaire, lancé en 2019 (à une époque où les capacités de l’IA actuelle étaient difficilement imaginables), est loin d’être terminé. Compte tenu de l’évolution rapide de la technologie face à un processus législatif et de mise en œuvre de l’UE qui avance lentement, se pose une question cruciale : les régulations établies aujourd’hui resteront-elles pertinentes demain, ou serviront-elles de cadre flexible capable de guider l’UE à travers les développements technologiques futurs ? Les révisions périodiques prévues pour assurer la pertinence continue de l’AI Act seront-elles suffisantes ?
En fin de compte, le succès de l’AI Act — et, par extension, l’avenir de la gouvernance de l’IA en Europe — dépendra non seulement de la capacité de ces dispositions à résister à l’épreuve du temps, mais aussi de la volonté des décideurs européens et des sociétés de diriger le développement de l’intelligence artificielle vers le bien public, en veillant à ce que la technologie serve l’humanité — et non l’inverse.
