Comment déployer une intelligence artificielle pérenne et conforme au sein de votre organisation ? - compte-rendu de la conférence du cabinet Fidal Avocats du 14 mai 2024
L’intelligence artificielle (IA) - ensemble de théories et de techniques visant à réaliser des machines capables de simuler l’intelligence humaine - prend une part de plus en plus conséquente dans le monde actuel et ne cesse de s'immiscer dans notre quotidien. Aujourd’hui, son explosion s’explique par la multiplication des données, la performance des calculs, l’augmentation des recherches, etc.
Cependant, les IAs n’ont pas été entraînées de la même manière. En effet, les IA n’ont pas forcément reçu le même entraînement. Il peut s’effectuer de différentes formes : à partir de données labellisées (Machine Learning Supervisé), détecter des motifs remarquables dans de grands ensembles de données (Machine Learning Non Supervisé), analyse du contenu à partir d’un texte (Natural Language Processing) ou encore analyser un contenu visuel à partir d'images ou de vidéos (Computer Vision).
Les nouvelles IA dites “génératives” ont été entraînées pour prédire le mot le “plus probable” à partir d’un texte. Pour cela, elles ont dû apprendre la structure du langage humain mais aussi disposer d’un certain nombre de connaissances lors de son entraînement.
Par l’évolution de l’IA, nombreux sont ses atouts notamment par l’augmentation de l’expérience employé (solutions soulageant la charge de tâches chronophages et sans valeur ajoutées), l'optimisation de la performance (optimiser la performance d’une entreprise par les données) et le développement d’un avantage concurrentiel (utilisation de l’IA pour augmenter la valeur ou la performance de produits/service).
Mais l’utilisation croissante de l’IA et son développement, notamment générative - IA capable de générer toute sorte de contenu - met en lumière les risques qu’elle peut entraîner sur les individus, notamment au travers des biais, hallucinations, dérives (drifts en anglais) et empoisonnement de données (data poisoning en anglais). Un cadre juridique établissant des règles harmonisées sur l’IA était nécessaire afin de favoriser le développement, l’utilisation et l’adoption de l’IA, tout en garantissant un niveau élevé de protection des droits fondamentaux des individus. Une réglementation au niveau européen semblait alors évidente, et c’est ce qu’à fait l’Union européenne (UE) avec le Règlement sur l’Intelligence Artificielle (RIA), suite au risque de fragmentation des règles en la matière entre ses différents États-membres.
Le RIA : vue d’ensemble
Définitions et champ d’application
Le RIA est un texte long et complexe, comportant 180 considérants, 113 articles, 68 définitions et 13 annexes. En ce qui concerne les définitions, l’article 3 du RIA expose une liste de définitions ayant pour objectif que chaque État-membre dispose des mêmes définitions afin d’éviter notamment des interprétations différentes d’une même notion.
L’IA n’est pas définie : c’est ce qu’est un système d’IA (SIA) qui l’a été.
“système d'IA : un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels”
Article 3, (1)
La position adoptée par l’UE est assez intéressante car la définition d’un SIA n'est pas rédigée sous le versant de la technique. En effet, un SIA est ici décrit en fonction de ses capacités.
D’autres définitions sont présentes, notamment celles des différents acteurs pouvant intervenir dans un SIA. Ces différents acteurs sont :
“fournisseur : une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui développe ou fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou met le système d'IA en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou gratuit.”
Article 3, (3)
“déployeur : une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.”
Article 3, (4)
“mandataire : une personne physique ou morale située ou établie dans l’Union ayant reçu et accepté un mandat écrit d’un fournisseur de système d’IA ou de modèle d’IA à usage général pour s’acquitter en son nom des obligations et des procédures établies par le présent règlement.”
Article 3, (5)
“importateur : une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers.”
Article 3, (6)
“distributeur : une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union”
Article 3, (7)
“opérateur : un fournisseur, fabricant de produits, déployeur, mandataire, importateur ou distributeur.”
Article 3, (8)
La définition de ces différents acteurs permet de mieux comprendre le champ d’application du RIA décrit dans son article 2. En effet, il va avoir un champ d’application différent en fonction de ces différents intervenants.
“(a) aux fournisseurs établis ou situés dans l’Union ou dans un pays tiers qui mettent sur le marché ou mettent en service des systèmes d’IA ou qui mettent sur le marché des modèles d’IA à usage général dans l’Union;
(b) aux déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans l’Union;
(c) aux fournisseurs et aux déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans un pays tiers, lorsque les sorties produites par le système d’IA sont utilisées dans l’Union;
(d) aux importateurs et aux distributeurs de systèmes d’IA;
(e) aux fabricants de produits qui mettent sur le marché ou mettent en service un système d’IA en même temps que leur produit et sous leur propre nom ou leur propre marque;
(f) aux mandataires des fournisseurs qui ne sont pas établis dans l’Union;
(g) aux personnes concernées qui sont situées dans l’Union”
Article 2, (1).
Si on résume, le champ d’application est le suivant :
- Pour les fournisseurs : s'ils mettent sur le marché des SIA et des modèles d'IA général dans l'UE, ou mettent en service des SIA, ou si les résultats produits par ces systèmes sont utilisés au sein de l'UE.
- Pour les déployeurs : s’ils sont établis ou situés dans l’UE ou lorsque les résultats générés par le SIA sont utilisés dans l’UE.
- Pour les fabricants : s’ils mettent sur le marché ou en service un SIA en même temps que leur produit et sous leur propre nom ou leur propre marque.
- Pour les importateurs et les distributeurs : s’ils mettent sur le marché ou en service un SIA en UE.
L’approche par les risques du RIA
L’approche adoptée lors de la rédaction du RIA est une approche par les risques. De sorte que plus une IA est considérée comme risquée, plus les normes à respecter sont strictes.
Les différents risques pris en compte dans le RIA sont de plusieurs ordres :
- Risques inacceptables : ces SIA contreviennent aux valeurs de l’UE. Exemples : notation sociale, exploitation de la vulnérabilité due à l’âge ou au handicap d’un groupe, technique visant à manipuler les personnes.
- Hauts risques : Un SIA est considéré comme à “haut risque”, s’il remplit plusieurs conditions cumulatives : système utilisé comme un composant de sécurité (ou s’il est lui même un composant de sécurité), le composant de sécurité est soumis à une évaluation de conformité par un tiers pour sa mise en circulation et si le produit fait partie de l’annexe 1 (aviation, véhicule agricole, équipements, radioélectriques, etc). Ces SIA pouvant avoir une incidence négative sur la santé, la santé, les droits fondamentaux des personnes. Exemples : SIA qui filtre les candidatures dans le cadre d’un recrutement, SIA limitant l’accès à des formations professionnelles ou des SIA a des fins de scoring de crédit.
- Risques modérés : ce sont des IA générales à risque systémique c’est-à-dire des SIA pouvant avoir des effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique et les droits fondamentaux.
- Risques faibles ou minimaux : SIA n’entraînant que peu de risques, comme par exemple les chatbots ou les IA générales sans risque systémique.
L’application du RIA était prévue pour les prochains jours - il est sorti le 13 juin 2024. En effet, le 21 mai, le Conseil européen a signé la dernière version du RIA. Le texte devra ensuite être publié au journal officiel européen et entrera en vigueur 20 jours après la publication - il a été publié au Journal officiel européen le 12 juillet 2024.
Cependant, en fonction des risques qu'occasionnent les usages de l’IA, le texte s’appliquera à des dates différentes. En effet, pour le cas des IA interdites le RIA s’appliquera 6 mois après sa mise en vigueur. Tandis que les IAs à usage général devront se mettre en conformité 12 mois après. Pour les autres applications, le RIA devra être appliqué 24 après sa mise en vigueur.
Les différentes obligations en fonction des SIA
Le RIA dispose de plusieurs obligations en fonction des risques qu’une IA peut occasionner.
Une distinction est faite entre les obligations des IAs à risque inacceptable, haut risque et les autres IAs :
- Risque inacceptable : interdiction de la mise en circulation du SIA.
- Haut risque : mise en place d’un système de réglementation des risques, gouvernance de la donnée, documentation technique, transparence, contrôle humain et enregistrement.
- Autres IAs :
- Pour les SIA destinés à interagir avec des personnes physiques : obligation d’information que des personnes interagissent avec un SIA.
- Pour les SIA génératives : il faut que les informations soient lisibles par une machine et identifier que le contenu a été généré par une IA.
- Pour les IA réalisant des “hypertrucage” : il faut mentionner que les contenus ont été générés ou manipulés par une IA.
- Pour les SIA de reconnaissance des émotions : il faut informer les personnes physiques.
Il est donc important d’effectuer une analyse d’impact en amont afin de limiter les risques sur la société et les personnes afin d’éviter que l’IA soit interdite. Pour les IA à haut risque, la réalisation d’une étude d’impact peut entraîner la “déclassification” d’une IA dès lors qu’elle ne présente pas un risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques.
IA et propriété intellectuelle
Le problème que peut causer l’IA par rapport à la propriété intellectuelle est qu’elle peut utiliser certains contenus qui sont protégés par le droit d’auteur et qu’ils peuvent les alimenter pendant les phases d'apprentissage.
Un manque de compensation financière des titulaires des droits de propriété intellectuelle est donc à constater notamment au regard des contenus qui sont utilisés sans autorisation.
La question se pose donc sur la protection et la titularité des droits sur les résultats générés par l’IA.
Les normes françaises de propriété intellectuelle
En droit français, le Code de la propriété intellectuelle protège l’auteur de ses œuvres sous toutes ses formes. Cependant, ce droit n’est pas perpétuel car il s’éteint 70 ans après le décès de l’auteur.
Il accorde plusieurs typologies de droits :
- Les droits moraux, avec le droit la paternité de l'œuvre, le droit au respect de l'œuvre, le droit à la divulgation et le droit de retrait et de repentir. Ces droits sont rattachés à une personne et ils sont perpétuels, inaliénables et imprescriptibles.
- Les droits patrimoniaux, avec le droit de représentation, le droit de reproduction et le droit d’adaptation et de traduction. L’auteur décide à lui seul de décider les modalités d’exploitation de son œuvre et d’en tirer des revenus.
L’auteur de l'œuvre décide entièrement les modalités d’exploitation de son œuvre et de ses revenus.
En cas de non-respect du droit d'auteur des sanctions sont prévues telles que des sanctions civiles (dommages et intérêts déterminés en fonction des bénéfices réalisés par le contrefacteur et l'atteinte au droit moral) mais également pénales (pouvant aller jusqu’à 3 ans d’emprisonnement et 300 000 euros d'amende).
Exception du droit d’auteur : la fouille de textes ou de données (Text and Data Mining)
Il y a une exception au droit d’auteur avec la fouille de textes et de données, qui consiste en la “mise en œuvre d’une technique automatisée de texte et données sous forme numérique afin d’en dégager des informations, notamment des constantes, des tendances et des corrélations” (définition issue du code de la propriété intellectuelle). L’emploi de cette technique fait donc exception au droit d’auteur, car l’auteur ne peut interdire les copies ou reproductions numériques d’une œuvre en vue de la fouille de texte et de données.
L’auteur ne pourra donc pas s’opposer à la fouille de textes et de données, sauf s’il s’est opposé expressément en amont (principe de l’opt-out).
Les modalités de l’opposition peuvent s’effectuer de plusieurs manières : déclaration sur site internet, balise html, logo sur une œuvre ou encore par l’inscription d’une clause dans les conditions générales).
Cependant cette exception au monopole du droit d’auteur ne peut s’appliquer que dans certains cas qui ne portent pas atteinte à l’exploitation normale de l’œuvre ou autre objet protégé.
RIA et propriété intellectuelle
Deux dispositions sont intéressantes concernant les fournisseurs de modèles d’IA à usage général dans le RIA :
- L’obligation de mettre en place des mesures qui respectent les droits d’auteur, avec notamment une réserve de droits (opt-out)
- L’obligation de mettre à disposition au public un résumé des données utilisées pendant l'entraînement de l’IA (obligation de transparence)
La question de la protection des œuvres générées par l’IA
La protection des œuvres générées par l’IA suscite beaucoup de questions, notamment sur la protection des œuvres générées par une IA, le cas échéant sur le bénéficiaire de cette protection et les suites possibles en cas de contrefaçon.
En droit français, le droit d’auteur ne peut bénéficier qu’à une personne physique, c’est-à-dire humaine et lorsque les œuvres sont originales. Par conséquent, l'œuvre doit représenter l’empreinte de la personnalité de l’auteur qui s’illustre par des choix libres et créatifs.
Dès lors, l’on peut se demander qui pourrait être le titulaire du droit d’auteur en cas d’œuvre générée par une IA. Aux États-Unis, l’US copyright office a refusé la protection des œuvres par l’IA en raison d’une intervention humaine insuffisante. En Chine, une œuvre générée par une IA a bénéficié de la protection du droit d’auteur. En France, il n’y a pas encore de décision de justice par rapport à la protection des œuvres générées par une IA… L’auteur du prompt sera-t-il considéré comme l’auteur de l'œuvre ? Il faudra apporter la preuve que la rédaction du prompt porte l’empreinte de la personnalité de l’auteur. De plus, des questionnements se posent sur la reconnaissance d’un droit d’auteur à partir du moment où l’image générée par l’IA peut ensuite être retravaillée par l’auteur…
Les risques de l’utilisation des données personnelles dans les œuvres générées par une IA
Plusieurs risques peuvent survenir quant à l’utilisation de données personnelles par l’IA, tels que la collecte illicite de données, les biais et risques de discriminations, ou encore la cybersécurité contre l'empoisonnement des données.
En avril 2024, La CNIL expose plusieurs recommandations afin d’accompagner les acteurs dans le développement du SIA en conformité avec le RGPD : définir la finalité du système d’IA, déterminer les responsabilités/qualification des acteurs, définir la base légale, vérifier la possibilité de réutiliser certaines données personnelles, respecter le principe de minimisation, définir une durée de conservation, ou encore réaliser une analyse d’impact.
IA et contrat
Le contrat de proof of concept (POC)
Le contrat de POC est défini comme le test de faisabilité d’un projet. C’est souvent la première étape de contractualisation entre une société et un client. Il constitue une phase cruciale pour établir un dialogue durable. En somme, le POC dans un projet d’IA permet de vérifier si l’IA répond aux attentes d’un client.
Les clauses essentielles dans ce type de contrat sont notamment la définition des critères de réussite du projet, la répartition des rôles entre les parties, le sort des droits de propriété intellectuelle sur les résultats, la confidentialité des éléments sensibles ou stratégiques transmis par les parties, ou encore la relation entre les parties à l’issue du POC.
Le contrat de build
Le contrat de build permet à la bonne mise en œuvre du SIA conformément aux spécifications techniques et fonctionnelles convenues entre les parties, au calendrier prévu, au budget prévu, au RIA et autres réglementations en vigueur (RGPD, DGA, NIS 2, etc.).
Les clauses essentielles dans ce type de contrat sont notamment la description fonctionnelle du SIA, la définition des jeux de données, la répartition des rôles, les critères de la recette, la propriété intellectuelle (encadrer les droits de PI sur les données utilisées pour entraîner le SIA, les résultats générés et le système d’IA en lui-même) ou encore la responsabilité (encadrer la responsabilité des parties au contrat notamment en cas de retard dans la mise en œuvre du SIA, la non conformité du dysfonctionnement et les hallucinations répétées).
Le contrat de run
L’objectif poursuivi par le contrat de run est relatif à l’exploitation de l’IA : il s’agit de s’assurer du bon fonctionnement du SIA et des modalités de correction ou d’évolution en cas de bais, d’hallucinations ou de mauvaises performances.
Les clauses essentielles dans ce types de contrat sont notamment la sécurité (preuve de résilience en cas d’erreurs, de défaillances ou d’incohérences pouvant survenir au sein du SIA ou dans l’environnement dans lequel il fonctionne par exemple en raison de son interaction avec des personnes physiques ou d’autres systèmes), l’explicabilité (veiller à ce que la conception et le développement du SIA soient compréhensibles pour le client : le fournisseur devra préciser les mesures techniques et organisationnelles mises en œuvre et les décrire dans le contrat), les SLA (service level agreement - ce sont des indicateurs clefs de la performance qui doivent être précisés dans le contrat et adaptés au regard du SIA concerné) ou encore le contrôle humain (veiller à un contrôle effectif par des personnes physiques).
La gouvernance de l’IA
La gouvernance de l’IA permet de mettre en place des règles et des processus afin d’avoir la maîtrise de l’IA. Elle constitue une valeur ajoutée car elle permet d’apporter une certaine structure de l’IA. Elle a d’ailleurs plusieurs enjeux, notamment l'accélération de la mise à l’échelle de l’IA (attribution des rôles de chacun en établissant des processus, en les formant et en identifiant leurs responsabilités), l’engagement des collaborateurs (permettant un travail transversal avec diverses compétences pour avoir un regard expert), la mise en conformité de l’IA (prévention des risques avec les réglementations actuelles) ou encore en analysant les risques, prises de décision, alertes (permettant une vue d’ensemble pour prendre des décisions fiables avec une perspective globale des risques et initiatives).