L'Europe parviendra-t-elle à contenir les IA comme ChatGPT ?
ChatGPT est-il à l'intelligence artificielle ce qu'est la « surprise stratégique » au domaine de la défense ?
Or, ce texte (proposition de règlement établissant des règles harmonisées concernant l'IA) ne traiterait pas avec assez de précision l'émergence récente des plateformes génératives. La plus connue est l'incontournable ChatGPT, spécialisée dans la production de texte, mais il y a aussi Bard (son rival, inventé par Google) et les solutions Midjourney, Stable Diffusion et DALL-E dans les images.
« ChatGPT, GPT et les grands modèles de langage mettent une dynamite à la loi européenne sur l'intelligence artificielle », avance sur Twitter Lukasz Olejnik, un expert en sécurité informatique. Selon lui, le surgissement de ces outils dans le paysage fait que les parlementaires sont maintenant dans l'urgence de l'actualiser, pour éviter d'approuver un texte obsolète ou insuffisant.
Sans dire si le règlement européen sur l'IA constitue un cadre adapté face à ces nouveaux outils, le commissaire européen au marché intérieur et au numérique, Thierry Breton, a reconnu que l'émergence de ChatGPT et d'autres plateformes démontre le besoin urgent d'établir des règles.
« Les solutions d'IA peuvent offrir de grandes opportunités aux entreprises et aux citoyens, mais peuvent aussi présenter des risques. C'est pourquoi nous avons besoin d'un cadre réglementaire solide pour garantir une IA digne de confiance basée sur des données de haute qualité », a-t-il souligné, dans des propos rapportés par Reuters début février.
Le bond en avant des IA génératives a-t-il été mal anticipé ?
Les outils générant du contenu avec des algorithmes d'IA existent depuis des années, mais leur notoriété était anecdotique au sein du grand public. Les bases techniques sur lesquelles fonctionnent ChatGPT, par exemple, sont apparues peu avant la publication (GPT-2 est sorti début 2019, GPT-3 l'année suivante, et GPT-4 est attendu cette année) par Bruxelles de sa proposition de règlement.
Cette législation sur l'IA a été partagée en avril 2021, à une période où les outils qui font le plus parler d'eux sortaient à peine (c'est le cas de DALL-E, avec une première version en janvier 2021) ou étaient encore en gestation : Midjourney a fait ses débuts à la mi-2022 et ChatGPT a été rendu public fin novembre 2022 avec une version établie sur GPT-3.5.
Or, il est reproché au texte, et à travers lui au législateur, de ne pas avoir su voir l'arrivée de ces plateformes. Elles posent d'importants défis sur l'emploi (les illustrateurs et les designers se sentent menacés par Midjourney ou DALL-E, par exemple) et produisent de nouvelles difficultés (photomontages, trucages, erreurs ou bien désinformation).
Avant l'arrivée de l'AI Act, l'Europe avait ménagé une large place à la réflexion : en 2018, des dizaines d'experts ont été sollicités pour penser les effets indésirables de ces avancées techniques, en se focalisant sur les droits fondamentaux. Des lignes directrices ont été produites pour tracer le chemin vers une IA digne de confiance. En 2019, sept grands principes ont été dégagés.
Les craintes d'aujourd'hui sont d'autant plus exacerbées que l'on parle d'outils très facilement accessibles et commodes d'emploi : n'importe qui peut s'en saisir et avoir des résultats. Certes, leurs éditeurs ont posé des limites techniques pour ne pas faire faire n'importe quoi, mais ces restrictions sont parfois enjambées. Surtout, de futurs outils pourraient ne pas avoir ces garde-fous.
Quel est le bon risque pour ChatGPT : limité ou élevé ?
Lorsque la législation sur l'IA a été présentée en 2021, la Commission a proposé un travail autour de quatre niveaux de risque : minime, limité, élevé et inacceptable. Pour les chatbots comme ChatGPT, c'est-à-dire ces agents conversationnels capables de simuler une discussion comme si l'on échangeait avec un individu, le seuil retenu alors était « risque limité ».
Le risque limité impose aux systèmes d'IA « des obligations spécifiques en matière de transparence ». Par exemple, ils doivent se déclarer aux personnes pour leur dire qu'ils sont des machines. En somme, un chatbot comme ChatGPT doit dire qu'il est un programme informatique. Les personnes peuvent ainsi décider de poursuivre ou non, en toute connaissance de cause.
Mais, aujourd'hui, au regard des avancées technologiques de l’IA, la classification des chatbots au niveau deux de l'échelle qui en compte quatre est contestée. C'est ce que montrait Le Monde dans son édition du 15 février. Courant 2022, des voix ont commencé à plaider pour revoir le cadre visant les logiciels répondant à toutes sortes de requêtes d'internautes.
Paris, en particulier, est favorable à imposer à ces systèmes des obligations issues du seuil de risque élevé, rapportaient nos confrères, en ciblant les grands modèles de langage sur lesquels reposent ChatGPT et Bard. Et, aussi toutes les autres applications futures, notamment celles qui pourraient jaillir de Meta (qui a annoncé LLaMA), d'Amazon ou d'une startup très talentueuse.
En décembre, alors que toute l'attention médiatique était tournée sur ChatGPT, la présidence du Conseil européen (alors sous présidence tchèque, succédant à celle de Paris), a néanmoins limité la portée de cette proposition française. Le détail des obligations devait être renvoyé un texte ultérieur, mais les députés ne l'ont pas entendu de cette oreille.
Début février, les générateurs de texte comme GPT-3 ont été classés directement au seuil élevé. Dans le cadre d'une IA à haut risque (par exemple, en cas d'emploi de la biométrie), des obligations strictes doivent être respectées pour pouvoir accéder au marché européen ; le texte doit s'appliquer à tous les acteurs de l’IA opérant en Europe, qu’ils soient étrangers ou non. Ces obligations sont :
systèmes adéquats d'évaluation et d'atténuation des risques ;
qualité élevée des ensembles de données alimentant le système afin de réduire au minimum les risques et les résultats ayant un effet discriminatoire ;
enregistrement des activités afin de garantir la traçabilité des résultats ;
documentation détaillée fournissant toutes les informations nécessaires sur le système et sur sa finalité pour permettre aux autorités d'évaluer sa conformité ;
informations claires et adéquates à l'intention de l'utilisateur ;
contrôle humain approprié pour réduire au minimum les risques ;
niveau élevé de robustesse, de sécurité et d'exactitude.
Constituer un cadre protecteur, mais ne pas brider l'innovation (européenne)
Ce revirement sur la classification de ces chatbots illustre la difficulté de trouver une ligne de crête qui satisfasse tout le monde : offrir un cadre de régulation protecteur pour ne pas laisser les dérives s'installer, mais ne pas brider l'innovation et la tech, surtout si cela nuit aux startups européennes. En la matière, le législateur a souvent été critiqué pour la rigidité de ses textes.
C'est la problématique que soulevait L'Opinion fin février, en relayant les craintes de jeunes pousses françaises. Or, le temps manque au Parlement européen pour avoir du recul sur les implications et les enjeux éthiques. Les élus doivent rendre leur copie dans les semaines à venir, ce qui limite les options pour bien considérer les nouveaux risques posés par des IA génératives.
Les contraintes opposées qui se concentrent dans le texte apparaissent ainsi au fil des amendements. Euractiv, dans son édition du 28 février, relevait qu'une mesure sur la vérification des données nourrissant les algorithmes a été supprimée. Elle obligeait les développeurs d'IA à contrôler que ces ensembles ont bien été obtenus légalement.
Nos confrères ajoutaient toutefois qu'une note en marge du texte promet une mise à jour du préambule du texte. L'idée est de rappeler que ce processus de collecte doit être conforme aux règles relatives aux secrets commerciaux, à la propriété intellectuelle et à la protection des données. Les IA génératives sont justement entraînées à partir d'énormes quantités de données prises sur Internet.
Les diverses modifications au texte témoignent d'une certaine pression du calendrier parlementaire et illustrent un texte « soumis à des volontés contradictoires », notait Alexei Grinbaum, physicien, philosophe et membre du Comité national d’éthique du numérique, cité par Le Monde. Ce faisant, il apparaît difficile de savoir ce qui ressortira dans le texte quand il atteindra la ligne d'arrivée.
« Le député européen type et ses assistants peuvent-ils vraiment effectuer une évaluation des risques sensée ? », s'interroge à ce titre Lukasz Olejnik. « Il est peut-être trop tôt pour avoir une bonne compréhension du sujet. » La réflexion n'est pas finie néanmoins : elle va se poursuivre cette année en trilogue, c'est-à-dire entre la Commission, le Parlement et le Conseil, pour un compromis. Objectif ? Que l'IA Act puisse être promulguée avant 2024.
Reste une question : cette législation arrive-t-elle trop tôt, ou trop tard ?
« Nous avons besoin d'une réglementation », a commenté auprès de Deutsche Welle Lilian Edwards, professeur de droit, d'innovation et de société à l'université britannique de Newcastle. Et, de règles contraignantes, d'ailleurs. D'autres plaident également pour une sensibilisation accrue du public, ainsi que des cours, peut-être dès l'école, pour se préparer à un monde dans lequel l'IA sera partout.
Reste que le cas des IA génératives n'est probablement que l'arbre qui cache la forêt. Il y a des développements dans l'intelligence artificielle qui avancent à bas bruit, mais qui pourraient être beaucoup plus critiques. L'IA Act, qui couvre des thématiques bien plus élargies que les seuls outils de génération de texte, sera-t-elle aussi assez armée pour y faire face ?
Un avertissement a été émis par le fondateur d'OpenAI, la société derrière ChatGPT et DALL-E, car ce que l'on a vu des problèmes avec l'IA n'est rien avec les défis futurs. « Bien que les outils d'IA de la génération actuelle ne soient pas très effrayants, je pense que nous ne sommes potentiellement pas très loin de ceux qui pourraient l'être », a écrit Sam Altman le 19 février.
Or, « la société a besoin de temps pour s'adapter à quelque chose d'aussi grand », a ajouté Sam Altman. Cela vaut aussi pour le législateur. « Il est essentiel d'avoir le temps de comprendre ce qui se passe, comment les gens veulent utiliser ces outils et comment la société peut co-évoluer. »