A l’occasion du vote du Parlement européen en faveur de l’AI Act, la première législation au monde encadrant l’utilisation et le développement de systèmes d’intelligence artificielle, voici les commentaires de Chris Vaughan, AVP Technical Account Management, EMEA chez Tanium, qui décrypte les conséquences de ce texte en matière de cybersécurité.
Comment réagissez-vous à l’adoption par l’UE du projet de loi sur l’IA ?
« Globalement, il s’agit d’une bonne décision. L’IA est un outil puissant qui a besoin d’être légiféré. Bien sûr, cette technologie peut être utilisée à de nombreuses fins, mais nous avons déjà constaté de nombreux exemples d’utilisation contraire à l’éthique, notamment de terribles abus de la technologie “deepfake”. Il y a également eu des incidents avec des activités dangereuses d’une IA concernant la vie privée, la fraude et la manipulation d’informations.
L’IA n’est pas une chose qui peut être encadrée par une loi de manière rétroactive. L’adoption de ce projet crée une base solide pour le développement futur de l’IA et du droit qui l’entoure. Il indique que l’une des instances dirigeantes les plus influentes a reconnu les risques liés à ces développements et qu’elle n’ignorera pas ces menaces. Pour le RGPD, les législateurs ont pris du recul avant d’intervenir – dans ce contexte, les entreprises de médias sociaux sont un excellent exemple de la raison pour laquelle les procédures réglementaires réactives ne sont pas la bonne approche.
Cette législation n’est pas la solution parfaite aux abus de l’IA. La loi sur l’IA ne couvrira que les activités liées à l’IA au sein de l’Union européenne, de sorte qu’il est fort possible que des paradis de l’IA se développent là où l’utilisation malveillante de cette technologie ne sera pas interdite. »
Quelles seront les conséquences des innovations liées à l’IA dans la cybersécurité ?
« Les innovations autour de l’IA compliquent la cybersécurité. Des technologies telles que ChatGPT sont aujourd’hui capables de réécrire des logiciels malveillants, ce qui signifie que les programmes de détection traditionnels sont incapables de les identifier.
La législation se concentre sur les aspects technologiques de l’IA qui pourraient nuire aux individus. Si l’IA est développée pour être utilisée de manière défensive, l’innovation ne sera pas freinée.
Les innovations en matière d’IA pourraient devenir plus difficiles. Les algorithmes des IA sont basés sur des données qui doivent provenir de quelque part. Auparavant, il n’était pas nécessaire de s’enquérir de la source des données. Avec la nouvelle législation, les innovateurs devront déclarer leurs sources et expliquer comment les données ont été utilisées pour entraîner leur algorithme. Cette mesure entraîne des formalités administratives supplémentaires pour les entreprises, mais elle protège en fin de compte les individus. Un léger retard dans l’innovation est un sacrifice acceptable pour la sécurité.
La cybersécurité et l’innovation en matière d’IA se livreront au jeu du chat et de la souris pour savoir qui se développera le plus rapidement. Par exemple, à mesure que les logiciels malveillants, le phishing et les cyberattaques évoluent, les moyens de défense doivent se développer en parallèle. Les outils d’IA générative vocale peuvent créer des appels téléphoniques ressemblant à ceux d’un proche en détresse et potentiellement infliger des dommages émotionnels et financiers importants à leurs victimes. Pour limiter ces escroqueries et leurs conséquences, il sera nécessaire de télécharger sur son téléphone mobile un logiciel de reconnaissance vocale, aidé par l’IA, capable de détecter et d’identifier un message audio comme étant un faux. »
Cela va-t-il avoir un impact mondial comme l’a eu le RGPD ?
« L’impact des technologies de l’IA continuera de croître à mesure qu’elles deviendront omniprésentes. À l’instar de l’impact de la législation du RGPD, les organisations du monde entier vont commencer à prendre en compte cette nouvelle législation lorsqu’elles prendront conscience qu’elle englobe toute utilisation de l’IA au sein de l’UE.
Comme pour le RGPD, les entreprises doivent se préparer à l’arrivée de cette réglementation et mettre en œuvre tous les changements nécessaires en avance de phase. Les grandes entreprises peuvent tenter de repousser les limites de la législation sur l’IA, comme elles l’ont fait avec le RGPD. Cependant, comme le montant des amendes ne cesse d’augmenter, et que toute contravention à la loi sur l’IA est actuellement fixée à 6 % du chiffre d’affaires annuel, cela représente une forte dissuasion.
L’AI Act obligera de nombreuses organisations commerciales à travailler dans le cadre législatif de l’UE. Il s’agit d’un marché puissant et bien établi au sein duquel de nombreuses entreprises souhaitent exercer leurs activités. Pour ce faire, elles doivent se conformer à la législation européenne. Cela a un impact immédiat au niveau mondial. »
Quel sera l’impact de cette évolution sur les nouveaux entrants ? La situation est-elle différente pour les acteurs existants ?
« Cette législation rendra l’accès à ce marché plus difficile aux nouveaux entrants et permettra aux acteurs existants disposant des ressources adéquates de capitaliser. Les grandes acteurs établis qui disposent de grandes quantités de données, telles que Google, Meta ou les entreprises du Big Data, auront donc les capacités d’innover plus rapidement.
Tout se résume aux données : si une organisation y a accès, elle a immédiatement une longueur d’avance sur les autres. La nouvelle législation rend plus difficile l’accès aux ensembles de données si vous êtes un nouvel entrant dans l’industrie de l’IA, et les bibliothèques des données accessibles au public se sont révélées, au mieux, problématiques. Une étude récente a entraîné l’IA sur des textes historiques non protégés par des droits d’auteur, ce qui a produit un robot sexiste, raciste et partial. Sans accès à des données de qualité, l’IA ne peut pas progresser. »
Quels sont, selon vous, les avantages et les inconvénients de la loi européenne sur l’IA ?
« Il y a plus d’avantages que d’inconvénients à la loi européenne sur l’IA. Il s’agit d’une loi basée sur le risque, ce qui signifie qu’elle est adaptable. Il est difficile de légiférer sur une technologie qui n’a pas encore été utilisée et qui est difficile à prévoir. L’UE a au moins créé un cadre juridique capable d’évoluer.
Nous avons besoin d’être protégés contre l’utilisation malveillante des technologies de l’IA telles que les “deepfakes”. Nous avons suffisamment de problèmes avec le harcèlement en ligne avec de vraies images, autoriser et donc ajouter de fausses images dans le mélange pourrait avoir des résultats catastrophiques.
Je ne vois pas beaucoup de points faibles dans cette législation, certains groupes ont estimé que l’approche concernant l’interdiction de la collecte des données biométriques est trop limitée. Cependant, je pense que la plupart des gens seraient d’accord pour dire qu’à minima, la loi est un bon point de départ. Elle reconnaît les risques liés aux usages les plus préoccupants tels que la police prédictive et la reconnaissance faciale, ce qui est encourageant.
L’Union Européenne a une longueur d’avance sur les autres gouvernements, car elle a commencé à rédiger la nouvelle législation bien avant que le battage médiatique autour d’applications telles que ChatGPT n’apparaisse. C’est pourquoi elle a déjà adopté un projet de loi solide. Elle est tellement bien placée pour répondre aux questions préliminaires qu’elle a été adoptée sans difficulté par le Parlement européen, avec 499 voix pour et seulement 28 voix contre.
Toutefois, il subsiste un écueil potentiel : le processus pour légiférer est globalement lent, alors que la technologie évolue rapidement. Si la technologie prend le pas sur la législation, il sera peut être difficile pour les entreprises de s’y retrouver.
La loi sur l’IA n’existe pour le moment qu’au sein de l’Union Européenne. Bien que cela puisse forcer de nombreuses entreprises à opérer au sein de ce cadre juridique, les cybercriminels ne prendront pas cette peine. Il est à espérer que cela incitera d’autres instances dirigeantes à suivre ce précédent établi par l’UE. »
Comment les États-Unis pourraient-ils (ou devraient-ils) suivre le mouvement ?
« Il est important de noter que le processus réglementaire américain n’en est qu’à ses débuts et qu’il est loin derrière celui de l’UE. Il reste à voir si les législateurs américains adopteront une approche similaire à celle qu’ils ont adoptée à l’égard des réseaux sociaux dans les premiers temps. Ils ont souvent accordé le bénéfice du doute aux géants des réseaux sociaux et autorisé l’autorégulation. Certains indices laissent penser que l’attitude des législateurs à l’égard de l’IA pourrait être similaire. Par exemple, au lieu de mettre en place de nouvelles règles, nous avons assisté à l’introduction d’un financement au niveau fédéral pour le développement d’une IA ‘éthique’.
Il est également possible que les lois existantes soient utilisées pour réglementer l’IA. L’outil “Algorithmic disgorgement enforcement” de la FTC (Federal Trade Commission) est l’un de ceux que j’ai examinés avec intérêt. Il permet au gouvernement américain de supprimer des ensembles de données ou des algorithmes qui ont été développés à partir de données acquises illégalement. Les règles antitrust pourraient être également invoquées pour réglementer les grands modèles de langage qui permettent à une entreprise d’acquérir un avantage concurrentiel trop important.
Dans l’ensemble, je pense que le gouvernement américain se gardera d’introduire de nouvelles mesures dans un avenir proche. Je m’attends à ce qu’il continue à inviter des experts à se présenter devant le Congrès pour l’aider à en apprendre davantage sur la technologie, mais aussi pour montrer au public et à l’industrie qu’il s’agit d’un sujet qu’il surveille de près. La législation européenne a été élaborée en collaboration avec des experts du domaine qui ont contribué à la discussion. Peut-être que si le congrès continue à entendre les experts, le gouvernement américain suivra une approche similaire. »