Edition 41 - L'AI Act est un règlement de la peur
#41 Le mot risque apparaît 439 fois en 119 pages
Si vous aimez mon contenu, cliquez sur le ❤ au-dessus et à côté de mon nom pour m’aider à remonter sur Substack ou Gmail et parce que ça me donne encore plus envie de faire mieux la prochaine fois 😊
C’est jeudi, le jour d’EthicGPT ! 😊 Je suis très heureux de vous retrouver pour cette 41e édition !
Si quelqu’un vous a transféré cette édition et que le contenu vous plaît, n’hésitez pas à vous abonner et à la transférer également. Cela m’aidera beaucoup pour faire connaître mon travail 😌
Quelques liens utiles si jamais vous débarquez ici pour la première fois :
Vous souhaitez sponsoriser cette newsletter ? C’est par ici
La présentation et les archives de cette newsletter
Enfin, si vous souhaitez une formation d’une demi-journée ou d’une journée pour vos équipes, vous pouvez réserver un créneau via ce lien. Merci de bien lire la description avant de réserver :)
Prêt(e) à consacrer ces quelques sur l’IA avec moi ? C’est parti 🚀
Quelques mois sont passés depuis le triomphe “historique” selon le commissaire européen Thierry Breton. Ce triomphe ? Non, ce n’est pas une réussite économique, une victoire sportive ou la fin de la guerre en Ukraine. C’est encore mieux que ça.
La chose “historique” est l’adoption d’un règlement européen sur l’IA ! Oui, dans l’UE, c’est historique quand on adopte un règlement. J’ai encore du mal à réaliser. Pour les nouveaux abonnés, voici l’édition que j’avais consacrée à l’information.
Aujourd’hui, la proposition de règlement, appelé AI Act, est couchée sur un papier. Oui, c’est toujours une proposition et elle n’est pas encore entrée en vigueur. Mais cette proposition fait froid dans le dos, au moins sur la forme. Et un exemple suffit, c’est celui des termes utilisés ou non. Et lorsqu’ils le sont, c’est avec quels autres termes ils sont associés.
Par exemple, le mot “opportunité” ou “opportunités” apparaît zéro fois. Quant au mot “risque”, au singulier ou au pluriel, il apparaît 439 fois en 119 pages ! Oui, presque 3 fois par page en moyenne.
Cette façon d’écrire en dit long sur ce règlement et ses objectifs, que les ayatollahs de la régulation le veuillent ou non. Voici mon analyse dans cette édition et je vais essayer de ne pas me répéter par rapport à l’édition déjà rédigée.
PS : les commentaires sont ouverts à la contradiction, mais jamais à la déformation de propos.
PPS : je n’ai pas été regardé les annexes pour aller à l’essentiel.
Bref rappel de ce qu’est l’AI Act
La proposition de règlement européen est ici.
Elle ne date pas de ChatGPT, mais de 2021, année où les négociations pour l’adoption d’un règlement se sont ouvertes. Cependant, ChatGPT a fait brusquement accélérer les choses.
Aujourd’hui, l’AI Act est né et c’est la première réglementation du genre dans le monde. Pour le meilleur, mais aussi (surtout) pour le pire.
Mon analyse du jour est principalement fondée sur quelque chose que je ne fais jamais habituellement : sur la sémantique. Pour moi, la sémantique est faite pour les écrivains et romanciers.
Néanmoins, les bureaucrates européens sont de meilleurs écrivains que leurs supposées fonctions réelles, signifiant que la sémantique a ici un rôle important à jouer !
La notion d’IA à haut risque
La première chose qui saute aux yeux dans cette proposition de règlement, c’est l’emploi du mot “risque”, au singulier ou au pluriel. Le retrouver 439 fois en 119 pages est assez hallucinant pour reprendre une expression chère à nos IA génératives. Le voir aussi souvent, cela signifie objectivement que ce règlement sera principalement consacré aux risques de l’IA.
Pis, l’expression “IA à haut risque”, au singulier ou au pluriel, revient 290 fois, soit plus de 2 fois par page en moyenne. Or, passer du risque à au haut risque, c’est un changement de gap. C’est dans le Titre III que l’on retrouve toutes les informations nécessaires relatives à ces IA dignes de Terminator, avec les obligations à respecter.
Tout d’abord, qu’est-ce qu’une IA à haut risque selon l’UE ? Comme souvent, la définition est plus que floue.
Pour être à haut risque, le système d’IA est “destiné à être utilisé comme composant de sécurité d’un produit couvert par les actes législatifs d’harmonisation de l’Union énumérés à l’annexe II, ou constitue lui-même un tel produit” et “le produit dont le composant de sécurité est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de la conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément”.
Vous n’avez rien compris ? Moi non plus. C’est pourtant la “définition” de l’article 6. Si on traduit et qu’on prend en compte le reste du règlement, c’est une IA qui présente un risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes. Pour être autorisés, ces outils d’IA doivent respecter certaines exigences.
On sait juste que c’est la finalité de l’outil qui fait que c’est une IA à haut risque. Mais, seul problème, le règlement ne donne aucun exemple précis d’IA à haut risque.
On sait juste que ce n’est pas une IA interdite, car les IA interdites sont :
Des IA “manipulatrices” d’esprit des personnes,
Des IA qui classent les personnes en fonction de “classements” comportementaux ou sociaux,
Des IA à des fins d’identification biométrique en temps réels à des fins répressives, sauf exceptions,
Des IA qui exploitent les déficiences physiques ou mentales des personnes, ainsi que les enfants.
Spoiler : je suis moi aussi pour l’interdiction de ces IA, qui des IA à la chinoise. Seul problème, on ne sait toujours pas ce qu’est une IA à haut risque.
Midjourney est-elle une IA à haut risque, parce qu’elle peut générer des photos pouvant engendrer des deepfakes ? HeyGen est-elle une IA à haut risque, parce qu’elle peut générer des avatars de personnes plus vraies que nature ? Je ne sais pas.
Or, ce serait bien de savoir, parce que les exigences en matière de sécurité pour ces IA à haut risque sont hallucinantes. Je vous le dis tranquillement : aucun acteur, même puissant, ne peut réellement tenir les exigences du règlement, qu’on trouve à partir de l’article 7.
Les rares mesures de soutien à l’innovation
Je l’avais déjà évoqué dans l’édition précédente sur le sujet et je le maintiens ici. Tout n’est pas à jeter dans ce règlement et il y a quelques mesures de soutien à l’innovation. On les retrouve dans le titre V. Seul problème, le mot “innovation” apparaît… 17 fois. En comparaison aux 439 fois du mot “risque”, c’est à pisser de rire.
C’est notamment ce passage que je trouve intéressant : “Des mesures supplémentaires sont aussi proposées dans le but de soutenir l’innovation, notamment par l’établissement de bacs à sable réglementaires sur l’IA et d’autres mesures visant à réduire la charge réglementaire et à soutenir les petites et moyennes entreprises (PME) et les start-up.”
Alors, un bac à sable réglementaire (regularoty sandbox), c’est en gros de pouvoir développer un produit ou une idée avec moins de contraintes réglementaires voire aucune contrainte. Cependant, ce titre V ne comporte que 3 articles, avec un article 55 favorisant seulement l’accès à ces bas à sable aux petites structures, sans pour autant lâcher du lest dans les obligations.
Quand on lit entre les lignes, les articles 53 et 54 ne dérogent pas tellement aux principes juridiques existants. Le paragraphe 4 de l’article 53 résume tout : “Les participants au bac à sable réglementaire de l’IA demeurent responsables, en vertu de la législation applicable de l’Union et des États membres en matière de responsabilité, de tout préjudice infligé à des tiers en raison de l’expérimentation menée dans le bac à sable.”
Non seulement, une autorité de contrôle dirige en quelque sorte ces bacs à sable, ce qui n’est toutefois pas anormal. Mais en plus, les participants demeurent responsables de tout. Bah oui, “tout préjudice infligé à des tiers en raison de l’expérimentation menée dans le bac à sable”, ça veut dire responsable de tout !
Donc, à quoi bon créer des bacs à sable réglementaire, qui ont pourtant comme objectif premier de permettre de tester des technologies sans avoir à craindre la législation, sauf les infractions les plus graves ? Je vous le donne en mille : à rien.
L’approche réglementaire selon les bureaucrates européens
Tout au long du règlement, on sent une déconnexion totale entre le régulateur européen et les acteurs du secteur, ce que je vais développer dans le paragraphe suivant. Dans celui-ci, je vais me focaliser sur cette approche réglementaire.
En fait, l’AI Act reprend la structure des autres règlements européens touchant les acteurs du numérique au sens large. Je pense notamment au RGPD, à DMA (Digital Market Act) et à DSA (Digital Service Act). Dans tous ces règlements, le législateur européen évoque constamment, de manière directe ou indirecte, les notions de mise en conformité, d’autorités de contrôle, de limitation des risques, de renforcement de la confiance, de sécurité juridique et d’harmonisation au sein de l’UE.
Bref, si je devais le résumer en une phrase, on est face à un organisme qui n’a qu’un seul but : celui de réguler. Il n’y a aucune autre notion qui est mise en parallèle. Pas de notion de souverainisme européen (un gros mot), pas de notion de préférence aux acteurs européens (un double gros mot), pas de notion de développement positif pour les citoyens et résidents de l’UE, etc.
Non.
Tout est vu sous un aspect réglementaire, qui est au mieux neutre, au mieux négatif. L’objectif, ce n’est pas d’accompagner les acteurs européens du secteur vers les sommets, en proposant un cadre réglementaire clair mais innovant et favorable. Non, le but, c’est simplement de réglementer, de manière froide, sans aucune considération sur le devenir des acteurs européens voire de l’Europe elle-même.
On remarquera que le RGPD n’a rien changé à la dominance des acteurs américains et chinois. Il l’a même renforcée. Et croyez-moi, ce sera la même chose pour DSA et DMA. Les seuls acteurs qui souffrent sont les acteurs européens et les petites structures, qui meurent à petit feu. Les GAFAM et TikTok, eux, paient les amendes.
Contrairement à ce que dit le règlement, on peut développer des IA dignes de confiance avec un règlement plus favorable. On évoque même des normes mondiales ! Seul problème, les bureaucrates de Bruxelles n’ont ne semble-t-il pas compris qu’ils ne seraient pas suivis sur ce point, en tout cas pas en étant aussi restrictifs. Au milieu de l’UE, la Suisse ne suit absolument pas Bruxelles pour l’instant.
Une incompréhension totale de l’IA générative
Je vais prendre un seul exemple, que tout le monde connaît : les biais algorithmiques. Le mot “biais” apparaît 11 fois dans la proposition de règlement, ce qui est relativement peu. Cependant, l’approche du législateur européen à son sujet est assez étonnante.
Quand on lit entre les lignes, les biais ne doivent pas exister. Je vais faire une révélation : on est tous d’accord et on aimerait aussi que les biais n’existent pas. Comme certains aimeraient fumer sans craindre le risque d’un cancer du poumon. Ou rouler à 300 km/h sur autoroute sans risque la vie des autres et les amendes.
Ce que je veux dire par là, c’est qu’on ne peut pas avoir d’IA générative sans biais. Le biais fait partie des risques de l’IA, comme le cancer du poumon est le risque premier pour les fumeurs. Les biais et les hallucinations sont ce qui permet à l’IA générative de générer du contenu, parce que sinon, elle serait trop limitée dans son entraînement et dans son usage.
Alors oui, on peut réduire au maximum ces biais, faire de la correction a posteriori si nécessaire. Mais on ne peut pas les éliminer. Alors je ne serai pas mauvaise langue et non, le règlement ne parle pas d’interdiction des biais. Néanmoins, le texte est assez clair : une IA qui a trop de biais ne respecte pas le règlement et son créateur sera sanctionné. La conséquence ? Personne ne prendra le risque de développer un outil d’IA.
Quant au reste, on est face à un gloubi-boulga administratif insupportable, qui oblige les acteurs à recruter une ou plusieurs personnes rien que pour s’occuper des obligations administratives, sous peine de sanctions.
Les sanctions justement, elles ont leur article consacré : l’article 71. Elles peuvent aller jusqu’à 6 % du CA mondial ou 30 millions d’amendes pour les infractions les plus graves. Parmi ces infractions, on retrouve la gouvernance des données, incluant… des mesures pour repérer les biais.
Bref, si votre IA n’a pas repéré les biais et que vous n’avez établi aucune mesure efficace pour le faire, vous savez quelle est votre sanction potentielle.
L’issue logique : l’absence d’écosystème européen
Ce paragraphe sera le plus court, parce que pour moi, c’est évident. L’AI Act ne va pas du tout favoriser l’émergence d’un écosystème européen. Les acteurs vont avoir peur, parce que la moindre erreur pourrait leur être fatale.
Quand on voit l’approche des bacs à sac réglementaire, qui sont tout sauf des bacs à sable, on est face à un législateur qui ne laissera, sur le papier en tout cas, rien passer. Honnêtement, la lecture de ce règlement a renforcé ce que j’en pensais. Ce n’est pas bon pour l’Europe.
Reste à savoir s’il reste assez de marge pour arranger encore les choses avant que la proposition ne devienne un règlement applicable.
Voilà, c’est tout pour aujourd’hui, à la semaine prochaine 😌
merci pour cette analyse fouillée !