Régulation de l’IA : entre ambition européenne et réalités du terrain

La première table ronde de cette conférence avait pour thème « le règlement sur l’IA est-il déjà dépassé par les usages de l’IA ? » Le cadre réglementaire européen sur l’intelligence artificielle est basé sur le risque, souvent présenté sous la forme d’une pyramide, principalement pour des raisons pédagogiques. Alexandra Bensamoun a ouvert la réflexion et rappelé : « à la base de cette pyramide, on trouve les risques minimes qui ne sont pas régulés, où l’éthique peut cependant être recommandée. Juste au-dessus se situait une catégorie de risques modérés, notion aujourd’hui abandonnée. Au sommet figure la catégorie des risques élevés, au cœur de la régulation européenne ». Celle-ci comprend des secteurs où des obligations strictes sont imposées, notamment en matière de gestion des données et de compliance. Enfin, la couche la plus étroite concerne les risques inacceptables, où les usages sont strictement interdits dans l’Union européenne, par exemple les techniques subliminales ou la surveillance de masse via la reconnaissance faciale. 

Le rôle du législateur et les limites de l’approche par les risques

Julie Groffe-Charrier s’est ensuite interrogée sur la capacité du législateur à devenir un expert technique. Selon, elle, il ne devrait pas quitter son rôle traditionnel de garant des règles et des principes, comme ce fut le cas lors de la révolution industrielle. « Le législateur ne peut, ni ne doit se transformer en technicien, ce qui poserait des difficultés quant à l’efficacité et la légitimité de la régulation », commente-t-elle.

Yann Lechelle a, pour sa part, apporté un point de vue pragmatique. Tout en reconnaissant que l’approche par les risques est bonne en théorie, elle est aujourd’hui dysfonctionnelle face à la réalité du marché. « Le véritable objet de la régulation devrait être la distribution et la concentration du pouvoir entre quelques acteurs majeurs, cinq entreprises qui touchent 5 milliards de personnes », exprime-t-il. En effet, prenons l’exemple de Microsoft qui a investi des milliards de dollars dans OpenAI, et c’est bien lui qui exploite ses infrastructures matérielles. 

La table ronde n°2 se penchait, quant à elle, sur la question suivante : « le cadre juridique adopté est-il impraticable ? » Lorsque l’on compare les approches américaine et européenne, la différence est fondamentale. Stéphane Grynwajc a expliqué : « Aux États-Unis, la structure repose sur des principes de gouvernance et non sur une approche par les risques ou par les produits. De plus, les acteurs sont multiples et éparpillés, avec une multitude de niveaux de régulation ». Pour Alexander Blumrosen, le système américain serait un « Far West juridique » : on agit après coup, une fois que les dérives sont constatées. Les États fédérés émettent leurs propres réglementations ; le paysage est très fragmenté. Sur le droit d’auteur, la question centrale est celle de la «copyrightabilité». Pour qu’une œuvre soit protégée, il faut une intervention humaine, une originalité minimale et une fixation sur un support matériel. Le dépôt est nécessaire aux États-Unis. Mais l’IA rend floue cette frontière. Le débat s’organise autour de quatre critères : l’objectif et la nature de l’utilisation, la nature de l’œuvre copiée, la quantité et l’importance de l’extrait utilisé, l’impact de cette utilisation sur le marché de l’œuvre initiale. Dès lors, si l’on donne une instruction précise à une IA, par exemple 3 000 prompts, et qu’il y a derrière une intentionnalité humaine, cela devient un outil comme un autre, et l’œuvre générée pourrait être déposée au titre du droit d’auteur. Ce débat jurisprudentiel sur l’effort créatif de l’utilisateur est crucial pour l’avenir du copyright.

La complexité d’un règlement encore en devenir, indigeste et difficile à appliquer

Enfin, Grégoire Loiseau a insisté sur la technicité extrême du règlement, qui emprunte des mécanismes juridiques complexes issus du RGPD, comme l’analyse d’impact (article 27). 

De plus, le cheminement juridique pour savoir si un système est à haut risque (article 6) s’avère ardu. Le texte est structuré autour de principes généraux, assortis de nombreuses dérogations et exceptions visant aussi bien les fournisseurs que les déployeurs, qui compliquent considérablement la navigation juridique. « Dès lors, la question majeure reste de savoir si l’objectif affiché de sécurité juridique pourra être réellement atteint. Or, le règlement n’est pas encore pleinement applicable : si l’article 5, qui énonce les usages inacceptables, est entré en vigueur, les autres dispositions ont été reportées à août 2026, notamment à la suite de la demande de la Pologne de retarder l’entrée en application », énonce Grégoire Loiseau, d’autant que les PME sont exemptées du régime des systèmes à haut risque. Une exemption qui, selon le professeur, suscite une certaine perplexité dans la logique d’application. « On ne peut juger de la praticabilité d’un règlement qui n’est pas encore pleinement entré en vigueur », a-t-il précisé avant de poursuivre : « L’effectivité de la norme dépend non seulement de sa conception, mais aussi de sa mise en œuvre concrète ». De plus, l’absence de précisions sur des points essentiels comme la gestion des prompts et les sanctions associées aux IA interdites, qui peuvent atteindre 35 M€ ou 78 % du chiffre d’affaires, complexifie davantage la lecture. « Cette complexité va à l’encontre de l’un des objectifs fondamentaux du droit européen :
la sécurité juridique par l’accessibilité des normes, principe constitutionnel au sein de l’Union ». 

En somme, si ce texte représente un premier cadre ambitieux pour réguler l’intelligence artificielle, son architecture très technique, ses nombreuses dérogations et son entrée en vigueur partielle font naître de nombreuses interrogations quant à son effectivité réelle.