Le 14 février 2024, la Commission des lois de l’Assemblée nationale a déposé un rapport (“le Rapport”) portant sur les défis de l’intelligence artificielle générative (“IAG”) en matière de protection des données personnelles et d’utilisation du contenu généré, présenté par les Députés Philippe Pradal et Stéphane Rambaud[1].

Ce rapport, qui n’est pas le premier travail parlementaire portant sur l’intelligence artificielle, constitue néanmoins le premier rapport parlementaire spécifiquement dédié à l’IAG[2].

Dans leur rapport, les Députés définissent l’IAG comme un sous domaine de l’intelligence artificielle (“IA”), notion qui existe depuis plusieurs décennies[3], qui connaît un développement exponentiel[4] et qui peut être définie comme “un procédé qui permet à une machine de produire un résultat intellectuel reproduisant ou simulant l’intelligence humaine”, ayant pour particularité “de répondre à une situation nouvelle à partir de situations antérieures, simulant ainsi l’apprentissage humain”[5].

Aux termes du Rapport, l’IAG pourrait, quant à elle, être définie comme une technologie ayant pour “caractéristiques de produire rapidement des contenus originaux, visuels, sonores ou écrits, parfois grâce à une interface simple n’exigeant pas de compétences informatiques particulières”, étant ici précisé que celle-ci comprend “les modèles de langage (large language model ou LLM en anglais) [qui] permettent de converser dans une langue humaine avec l’IAG”[6].

Le Rapport souligne que la mise à disposition du grand public de l’IAG, au travers d’outil comme ChatGPT, a mis sur le devant de la scène certaines problématiques, nouvelles ou préexistantes. Elle soulève en effet de nombreuses interrogations relatives à la conformité de ces outils avec la législation en matière de protection de données personnelles, à l’utilisation du contenu généré en matière de responsabilité civile voire pénale, ou encore à la protection des libertés fondamentales au regard du potentiel de ces technologies en matière de manipulation de l’information[7].

En témoignent par exemple l’usage de plus en plus fréquent de ces technologies par les forces de police et les questionnements en matière d’usage éthique en découlant, ayant conduit à des initiatives de Soft Law tels que le Toolkit for responsible AI Innovation in Law Enforcement, publié conjointement en 2023 par Interpol et l’Institut interrégional de recherche des Nations Unies sur la criminalité et la justice[8].

Les Députés adoptent ainsi dans leur rapport une approche pragmatique en notant que l’IAG est autant créatrice d’opportunités – en ce qu’elle peut permettre un accroissement de la productivité, l’enrichissement de la créativité humaine ou encore l’apparition de nouvelles ressources pour communiquer, former et éduquer – que porteuse de risques. Ils notent parmi ceux-ci, des risques pour la vie privée, des risques de biais et d’influences extérieures, des risques d’erreur ou encore des risques sociaux comme la suppression d’emplois consécutive aux gains de productivité que l’IAG permet[9].

Les pouvoirs publics sont donc aujourd’hui confrontés à un dilemme : celui de ne pas restreindre l’éventail des opportunités offertes par l’IAG, tout en ne négligeant pas l’étendue des risques potentiels que représente cette technologie pour les citoyens. Le travail des Députés a eu pour objectif de rechercher le juste équilibre entre encadrement de l’IAG et stimulation de l’innovation, tout en assurant une protection effective des personnes et de la société[10].

Ce rapport est donc intéressant en ce qu’il propose un état des lieux de l’appréhension par le pouvoir législatif du fonctionnement des technologies d’IAG et des défis posés par celles-ci, ainsi que de la manière dont elles sont régulées aujourd’hui, et offre un aperçu de la manière dont elles le seront dans le futur, tant au niveau européen (I) que national (II).

I. Au niveau européen, un corpus législatif en voie de renforcement

Le rapport relève en premier lieu que l’approche européenne, qui n’est pas uniquement centrée sur l’IAG, appréhende l’IA comme un ensemble à réguler[11].

Dans ce cadre, les Députés relèvent que le cadre législatif européen existant, constitué du règlement européen sur la protection des données (“RGPD”)[12], du Digital Markets Act (“DMA”)[13] et du Digital Services Act (“DSA”)[14] permet dans une certaine mesure de réguler l’IA[15].

S’agissant du RGPD, celui pose ainsi un certain nombre de principes, parmi lesquels[16] :

• Le traitement licite, équitable et transparent des données ;
• La finalité limitée de la collecte des données ;
• L’intégrité et la confidentialité des données collectées ;
• Le respect des droits des personnes concernées sur leurs données.

Les violations de ces principes sont par ailleurs assorties de lourdes sanctions, la CNIL ayant en France la charge de la mise en œuvre du RGPD[17].

S’agissant du DMA, le Rapport indique que celui-ci vise à mettre un terme à la domination des grandes entreprises de l’Internet, en particulier les GAFAM, en introduisant des règles strictes pour favoriser la concurrence, protéger les petites entreprises et stimuler l’innovation sur le marché numérique européen, tout en prévoyant des sanctions sévères en cas de non-respect[18].

Le DSA, quant à lui, vise à surveiller et responsabiliser les plateformes en ligne et à protéger les droits des internautes, ainsi qu’à soutenir les petites entreprises européennes dans ce secteur, en luttant contre la diffusion de contenus illégaux ou préjudiciables, tels que la haine en ligne, la désinformation ou la vente de produits illégaux[19].

Enfin, s’agissant du Data Act[20] qui doit entrer en vigueur en septembre 2025[21], le Rapport rappelle qu’il vise à garantir une équité entre les acteurs économiques dans l’utilisation des données générées par les objets connectés, et à permettre aux utilisateurs de tirer pleinement parti des données numériques qu’ils génèrent[22].

Le rapport souligne néanmoins que ce corpus législatif européen est insuffisant. En effet, les textes en question ne s’appliquent que de manière indirecte à l’IA et ne couvrent donc ni toutes les problématiques posées par cette technologie, ni l’ensemble des usages de celle-ci. En particulier, si le RGPD encadre l’utilisation des données personnelles par les IA, il ne permet pas d’imposer un étiquetage des contenus, ni de contrôler les biais introduits par un algorithme ou une méthode d’entraînement de l’IA. De la même manière, si le Data Act, est en mesure de faciliter l’accès des développeurs d’IA à des données dans le but d’innover dans ce secteur, il ne suffit pas à garantir la qualité des IA ainsi conçues[23].

Devant ces limites, les Députés constatent que l’Union Européenne souhaite se doter d’une réglementation adaptée, ce à quoi l’IA Act doit permettre de parvenir[24]. Les négociations portant sur ce règlement, proposé en avril 2021 par la Commission Européenne et prévoyant un cadre réglementaire qui suggère de classer les systèmes d’IA en fonction des risques qu’ils présentent pour les utilisateurs et la société, déterminant ainsi le niveau de réglementation adéquat, ont donné lieu à un accord politique en décembre 2023[25]. Le texte définitif a été formellement approuvé par le Parlement européen le 13 mars 2024[26] et ne devrait pas entrer en vigueur avant 2026[27].

Les nouvelles règles prévues par le règlement seront applicables dans tous les États membres. Elles suivent une approche fondée sur les risques[28] :

• Risque minime : Les applications à risque minime, telles que les systèmes de recommandation ou les filtres anti-spam reposant sur l’IA, seront exemptées de toute obligation, dans la mesure où elles ne présentent qu’un risque minime ou nul pour les droits ou la sécurité des citoyens. Les entreprises pourront néanmoins, de manière volontaire, s’engager à adopter des codes de conduite supplémentaires pour ces systèmes d’IA.
• Risque élevé : les systèmes d’IA considérés comme à haut risque devront respecter des exigences strictes, notamment en ce qui concerne les systèmes d’atténuation des risques ; la qualité des ensembles de données utilisés, l’enregistrement des activités ; la documentation détaillée ; la fourniture d’informations claires à l’utilisateur ; le contrôle humain, ainsi qu’un niveau élevé de performances en matière de robustesse, d’exactitude et de cybersécurité. Ces systèmes se retrouvent dans certains secteurs tels notamment ceux de l’eau, le gaz, l’électricité, la médecine, le maintien de l’ordre, le contrôle des frontières, l’administration de la justice ou encore de l’identification biométrique.
• Risque inacceptable : les systèmes d’IA considérés comme une menace évidente pour les droits fondamentaux des personnes seront interdits. Il s’agit notamment des systèmes ou applications d’IA qui manipulent le comportement humain pour priver les utilisateurs de leur libre arbitre, tels que les jouets qui utilisent une assistance vocale incitant des mineurs à avoir un comportement dangereux, ou des systèmes qui permettent la notation sociale par les États ou les entreprises, et de certaines applications de police prédictive. En outre, certaines utilisations des systèmes biométriques seront interdites, par exemple les systèmes de reconnaissance des émotions utilisés sur le lieu de travail et certains systèmes de catégorisation des personnes ou d’identification biométrique à distance en temps réel à des fins répressives dans des espaces accessibles au public (à de rares exceptions près).

Le règlement prévoit également qu’indépendamment de cette approche par risques, des obligations spécifiques devront être mise en œuvre en matière de transparence. Ainsi, les utilisateurs devront avoir conscience qu’ils interagissent avec des robots conversationnels. Les trucages vidéo ultraréalistes et les autres contenus générés par IA devront être signalés comme tels, et les utilisateurs devront être informés de l’utilisation de systèmes biométriques de catégorisation ou de reconnaissance des émotions. Ces obligations d’information seront à la charge des fournisseurs[29].

Le règlement prévoit enfin que les entreprises non respectueuses des règles pourront se voir infliger une amende, dont le montant variera en fonction des infractions commises : 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les violations relatives aux applications d’IA interdites ; 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial pour manquement aux autres obligations prévues ; et 7,5 millions d’euros ou 1,5 % du chiffre d’affaires annuel mondial pour fourniture d’informations inexactes[30].

S’agissant des systèmes d’IAG spécifiquement, ceux-ci devront obéir au cadre global, mais devraient se voir imposer des obligations de transparence spécifiques en raison “des risques spécifiques de manipulation qu’ils présentent”, le texte proposé prévoyant notamment que lorsque des personnes interagissent avec un système d’IA ou que leurs émotions ou caractéristiques sont reconnues par des moyens automatisés, elles doivent en être informées, ou encore que si un système d’IA est utilisé pour générer ou manipuler des images ou des contenus audio ou vidéo afin de produire un résultat qui ressemble sensiblement à un contenu authentique, il devrait être obligatoire de déclarer que le contenu est généré par des moyens automatisés[31].

Les auteurs du rapport saluent donc l’avancée que représente ce projet de règlement européen, tout en soulignant la nécessité que celui-ci prenne en compte les éventuelles conséquences économiques néfastes pour les acteurs européens émergents que pourrait avoir une régulation trop restrictive[32], qui renforcerait par ailleurs l’avantage d’acteurs extra-européens dominant déjà le marché.

II. Au niveau national, vers un double renforcement du rôle joué par le régulateur et de la protection des libertés fondamentales des citoyens

Le rapport propose également qu’en parallèle de l’élaboration d’une réglementation européenne, certaines modifications soient apportées au droit interne pour permettre une meilleure régulation des IAG, afin que celles-ci soient respectueuses de l’État de droit[33].

En premier lieu, et dans la mesure où la réglementation européenne en préparation mettra en œuvre des mécanismes de régulation, le Rapport indique que la Commission nationale de l’informatique et des libertés (“CNIL”) apparaît comme l’autorité française la plus à même de réguler les IAG[34]. En effet, le Rapport souligne que les données personnelles occupent une place prépondérante dans les problématiques relatives aux IAG, dès lors qu’elles interviennent au stade de l’entraînement du modèle, de son apprentissage, de l’utilisation des données fournies par les usagers et de l’usage des données produites. Or, comme le rappellent les Députés, la CNIL dispose déjà d’une expertise pointue dans ce domaine, acquise dans le cadre de son évaluation de la conformité des systèmes d’IAG au RGPD[35].

Le Rapport préconise à cet égard que les moyens de la CNIL évoluent afin de lui permettre de remplir ce rôle à l’avenir, et recommande que celle-ci devienne une “Haute Autorité en charge de la protection des données et du contrôle de l’intelligence artificielle”, dotée “d’un grand nombre d’experts et techniciens en mesure de contrôler des algorithmes complexes”[36].

En second lieu, le Rapport préconise l’adaptation de la réponse pénale aux nouveaux risques induits par l’utilisation des IAG. En effet, ces systèmes peuvent permettre, entre de mauvaises mains, de faciliter la commission d’infractions existantes en fournissant une aide à leurs auteurs ou en massifiant et/ou automatisant les opérations délictueuses, mais également être la source de nouveaux comportements mal appréhendés par les incriminations existantes[37].

A cet égard, faisant le parallèle avec la circonstance aggravante existant lorsqu’une infraction est commise à l’aide d’un moyen de cryptologie[38], le Rapport préconise son élargissement aux infractions commises en lien avec l’usage d’un contenu généré par traitement algorithmique[39].

Par ailleurs, le Rapport recommande d’adapter certaines incriminations pour appréhender les nouveaux comportements découlant de l’utilisation des IAG. Ainsi, le Rapport préconise la modification de l’article 226-8 du code pénal, réprimant les montages réalisés sans le consentement d’une personne, et l’introduction d’un nouvel article 226-8-1 au sein du même code, afin de pénaliser les deepfakes réalisés sans le consentement de la personne représentée[40]. Les Rapporteurs appuient ici deux amendements proposés par le Gouvernement le 3 juillet 2023 dans le cadre de l’évaluation de la loi visant à sécuriser et réguler l’espace numérique, actuellement en navette parlementaire[41].

Enfin, le Rapport recommande d’anticiper les conséquences que pourraient engendrer les systèmes d’IAG sur les mécanismes de responsabilité civile et pénale. En effet, tout en notant que cette problématique dépasse le seul champ des IAG et concerne l’IA en général, les Députés relèvent que cette question est particulièrement prégnante en matière d’IAG dès lors qu’en raison de l’opacité de la phase d’apprentissage de ces systèmes, des algorithmes et des données utilisés, la responsabilité de l’auteur du système d’IAG n’est pas toujours certaine en cas de dommage[42].

Dans cette optique, le Rapport préconise notamment d’adapter le régime de responsabilité des IAG à leurs spécificités, notamment en introduisant un allègement de la charge de la preuve pour limiter l’asymétrie entre utilisateurs et fournisseurs, d’entamer une réflexion portant sur la responsabilité des fournisseurs de service s’appuyant sur une IAG qu’ils n’ont pas conçue eux-mêmes, et de réformer le régime juridique de l’action de groupe prévue en matière de protection des données personnelles, afin d’élargir la qualité pour agir et étendre son champ matériel à tous les préjudices en lien avec un système d’IAG[43].

Ce rapport démontre une nouvelle fois l’intérêt que suscitent l’IA et l’IAG auprès des pouvoirs publics français, l’Assemblée nationale ne faisant pas figure d’exception en la matière, le gendarme boursier français s’étant lui aussi récemment intéressé aux apports de cette technologie. Il reste à observer si cet intérêt se traduira par des avancées législatives et réglementaires concrètes dans les mois et années à venir.