En matière de régulation de l’IA, chaque juridiction développe une approche unique qui reflète ses priorités spécifiques et son contexte. Dans cet article, nous allons comparer les initiatives européennes, américaines et chinoises.
Union européenne : mettre en place un cadre global
Forte de son expérience en matière de protection de la vie privée avec le règlement RGPD, l’Union européenne cherche à fixer un cadre qui soit non seulement applicable dans ses frontières, mais qui plus encore s’impose comme une référence mondiale. Elle a été pionnière avec l’entrée en vigueur de l’AI Act le 1er août 2024.
La philosophie générale de l’AI Act met l’accent sur la protection des droits fondamentaux et la sécurité, avec des amendes pouvant aller pour les entreprises jusqu’à 7% du chiffre d’affaires global.
Elle repose sur une double classification :
- Une classification en quatre niveaux de risque (inacceptable, élevé, limité, minimal) ;
- Une classification spécifique s’appliquant aux systèmes et aux modèles d’IA à usage général selon qu’ils sont « standards » ou présentent un « risque systémique ».
Ces classifications, cumulatives, imposent des obligations spécifiques aux entités développant ou déployant des systèmes d’IA, définis avec une grande clarté dans le règlement :
Système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels
AI Act européen
États-Unis : un cadre décentralisé reposant sur le volontariat
L’approche américaine est beaucoup moins contraignante, et repose avant tout sur des engagements volontaires des entreprises technologiques. Sectorielle et décentralisée au niveau des États, elle a toutefois été complétée par un décret présidentiel au niveau fédéral. Ce décret met en avant huit principes directeurs pour guider le développement et l’utilisation de l’IA :
- Sécurité et fiabilité : les systèmes d’IA doivent être évalués de manière robuste et fiable, avant leur mise en service et post-déploiement.
- Innovation responsable, compétition et collaboration : cela passe par le développement d’un écosystème et d’un marché compétitif, équitable et ouvert.
- Soutien aux travailleurs américains : assurer que tous les travailleurs bénéficient des opportunités créées par l’IA, y compris par le biais de la négociation collective.
- Équité et droits civiques : l’IA ne doit pas être utilisée pour désavantager les groupes déjà marginalisés.
- Protection des consommateurs : les entreprises doivent respecter les obligations légales existantes et protéger les consommateurs contre les fraudes, les biais et les atteintes à la vie privée.
- Protection de la vie privée et des libertés civiles : les données personnelles doivent être protégées (confidentialité et sécurité).
- Gestion des risques liés à l’utilisation de l’IA par le gouvernement fédéral lui-même, notamment par la constitution d’équipes d’experts internes.
- Leadership mondial en matière d’IA responsable, en collaborant avec des partenaires internationaux.
Il ressort de la démarche américaine une claire priorité donnée à l’innovation et à la compétitivité internationale, sans négliger la priorité nationale. A ce titre, l’arrivée de Paul Nakasone, ancien directeur de la National Security Agency (NSA), au conseil d’administration d’OpenAI, marque par exemple un rapprochement significatif entre l’entreprise leader en IA et le secteur du renseignement.
Chine : la prime à l’agilité pour ne pas freiner l’innovation
La Chine poursuit une voie originale, cherchant à concilier contrôle étatique fort et mise en œuvre agile des régulations sur des domaines spécifiques au fur et à mesure qu’ils émergent. Le 23 mai 2024, le National Information Security Standardization Technical Committee (NISSTC) a publié un nouveau projet de règlement intitulé Cybersecurity Technology – Basic Security Requirements for Generative Artificial Intelligence (AI). Le projet définit des exigences de sécurité essentielles pour les services d’IA générative, notamment dans le domaine des données d’entraînement et des modèles.
Concernant les données d’entraînement, si une source contient plus de 5% de données illégales ou « néfastes », elle doit être écartée. Les données néfastes sont celles répondant aux critères suivants :
- En violation des valeurs socialistes fondamentales
- Témoignant d’obscénité ou de violence
- Illégales
- Discriminatoires
- En violation des règles commerciales
- En violation des règles de propriété intellectuelle
Concernant les modèles, le projet de régulation recommande :
- D’assurer la sécurité au moment de l’entraînement
- De vérifier les résultats du modèle
- De surveiller en permanence le modèle pour détecter toute attaque
- D’être vigilant au moment des mises à jour
Le tableau suivant propose une comparaison détaillée des approches de l’UE, des États-Unis et de la Chine :
| Critères | Union européenne | États-Unis | Chine |
| Philosophie générale | Approche préventive, exhaustive et harmonisée au niveau européen | Approche décentralisée et sectorielle avec autorégulation encadrée | Approche agile et centralisée avec contrôle étatique fort |
| Objectifs principaux | Leader mondial en IA éthique et sûre, protection des droits fondamentaux, sécurité publique | Innovation technologique, sécurité nationale, protection du consommateur | Leadership mondial d’ici 2030, innovation domestique, contrôle du développement |
| Mécanismes de régulation | Classification en 4 niveaux de risque, plus règles spécifiques pour les systèmes IA à usage général, obligations légales harmonisées, contrôles préalables | Décret présidentiel, engagements volontaires des entreprises, réglemen-tations sectorielles | Dépôt obligatoire des algorithmes, examens éthiques obligatoires |
| Niveau de contrainte | Élevé | Modéré | Très élevé |
| Sanctions prévues | Jusqu’à 7% du CA mondial | Pas de sanctions précisées au niveau fédéral | Le non-dépôt des algorithmes peut entraîner des amendes allant jusqu’à 100 000 RMB. Le cas échéant, des poursuites pénales peuvent être engagées. |
Il ressort de cette proposition de synthèse que la compétition en matière d’IA entre les trois grands blocs, Union européenne, États-Unis et Chine, va bien au-delà de la technologie, pour embrasser également la gouvernance et la régulation.
