FAQ sur l’intelligence artificielle

Il n’est pas facile de définir l’IA. À ce jour, aucune description n’a d’ailleurs su faire l’unanimité et s’imposer. Voici une définition possible, du Parlement européen:

«L’IA désigne la possibilité pour une machine de reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité.»

Contrairement aux habituels processus automatisés, les cas d’application de l’IA ne sont pas des schémas «si/alors» préprogrammés, mais des algorithmes «d’apprentissage». Par conséquent, la plupart des définitions font elles aussi référence à un certain degré d’autonomie et à une forme de compréhension des facultés cognitives de l’humain.

Les logiciels d’IA sont riches en possibilités. Ils permettent notamment d’accroître fortement l’efficacité, la productivité, la disponibilité et la qualité (par exemple dans le cadre du marketing, du suivi des clients ou de la compliance). Avec les applications multiples et sans cesse nouvelles, le développement technique de l’IA ouvre la voie à de nouvelles opportunités inédites.

L’intelligence artificielle soulève des défis de nature technique, mais touchant aussi aux dimensions éthiques, économiques et juridiques. Concrètement et tout particulièrement, il s’agit de risques quant à la protection des données, du danger de discrimination, de l’utilisation de logiciels d’IA à des fins illicites ou du manque – fréquent – de transparence. Ces défis doivent toujours être pris en considération avant d’utiliser des technologies basées sur l’IA.

À l’heure actuelle, la Suisse ne prévoit pas (encore) de réglementation spécifique pour le développement, la distribution ou l’utilisation de logiciels d’IA. Le Conseil fédéral a cependant chargé le DETEC de lui soumettre, d’ici fin 2024, un rapport présentant les différentes approches possibles pour réglementer l’IA. L’IA fera donc sûrement bientôt l’objet d’un règlement aussi en Suisse. Reste à savoir néanmoins quelle forme il prendra. Une approche «horizontale» ou intersectorielle semble plausible, à l’instar du règlement européen sur l’IA entré en vigueur le 1^er août 2024. Les spécificités des branches n’y sont toutefois pas assez prises en compte et les auteurs estiment qu’il faut suivre une autre voie. Ils préconisent donc d’adopter une approche orientée résultats et de ne réglementer que là où une évaluation préalable des risques l’exige.

Non. Les normes juridiques suisses sont typiquement conçues de manière à s’appliquer indépendamment de la technologie utilisée («neutralité technologique»). Ainsi, une entreprise qui propose du conseil en placement doit déjà respecter les lois applicables (p. ex. LSFin) et ce même si elle recourt à l’IA pour ses analyses financières. Des thèmes transversaux comme le droit de la protection des données sont également essentiels pour les logiciels d’IA.

Les autorités suisses (FINMA, PFPDT notamment) publient déjà régulièrement des informations pratiques et des aides à l’interprétation afin d’accroître la sécurité juridique pour les entreprises.

Le recours à l’IA générative (p. ex. ChatGPT) notamment soulève différentes questions quant au droit d’auteur. Pour les développeurs de telles solutions, par exemple, il est important de savoir quelles données peuvent servir dans le cadre de l’apprentissage. Dans de nombreux pays, la justice s’intéresse à cette question et l’avenir montrera si et dans quelle mesure il en résultera une solution uniforme. Les déployeurs qui exploitent les programmes, eux, doivent savoir quelles données d’entrée peuvent être utilisées pour les «invites». S’il s’agit d’œuvres protégées par des droits d’auteur (textes, images, etc.), il faut se procurer une licence. À noter en outre que les sorties produites par l’IA peuvent également violer les droits d’auteur de tiers, un aspect particulièrement pertinent lorsqu’il est prévu de les mettre à la disposition de tiers. Enfin, la question se pose de savoir si, et dans quelles conditions, les sorties produites par l’IA bénéficient elles aussi de la protection du droit d’auteur. Celle-ci présuppose une «création de l’esprit», faisant généralement défaut aux œuvres produites par l’IA. On peut imaginer des exceptions lorsque le résultat reflète la création intellectuelle du déployeur ou qu’il complète simplement la création intellectuelle d’un être humain (p. ex. lors de traductions). D’autres avis soutiennent l’application du droit d’auteur aux logiciels d’IA sous certaines conditions, arguant que la création de l’esprit est aussi présente dans les sorties produites par l’IA (p. ex. en définissant les paramètres). Vu ces incertitudes, il convient d’évaluer les aspects au cas par cas, en tenant compte des circonstances concrètes, et d’observer les évolutions ultérieures.

Le respect du droit de la protection des données mérite une attention particulière, car les logiciels d’IA traitent régulièrement des données personnelles – sans oublier que la violation de certaines dispositions de la (nouvelle) loi sur la protection des données est passible de sanctions (p. ex. devoir d’information).

Lorsque des logiciels d’IA sont fournis par un prestataire (p. ex. système à la demande (SaaS)) qui a accès à des données personnelles et les traite pour le compte du client, il faut en outre s’assurer que les clarifications requises quant à la garantie de la sécurité des données soient menées et qu’un dispositif contractuel adéquat soit conclu avec ledit prestataire (p. ex. contrat de sous-traitant).

Lorsque des logiciels d’IA aident à prendre des décisions (commerciales), il faut vérifier dans chaque cas s’il s’agit d’une «décision individuelle automatisée» au sens de la loi sur la protection des données. C’est le cas si elle est prise exclusivement sur la base d’un traitement de données personnelles automatisé, qu’elle a des effets juridiques sur la personne concernée ou l’affecte de manière significative et qu’elle présente un certain degré de complexité (p. ex. sélection de candidats, octroi de crédit). Une telle décision peut notamment impliquer des devoirs d’information spéciaux.

Dans la pratique, d’autres dispositions sectorielles s’appliquent en outre souvent. Celles-ci doivent d’abord être identifiées selon le contexte dans lequel l’IA est utilisée.

L’utilisation de logiciels d’IA peut rapidement entraîner des conséquences juridiques. On l’a vu, entre autres, lors du procès entre le conseiller national Andreas Glarner (UDC) et la conseillère nationale Sibel Arslan (Verts). Le premier a publié une vidéo de la seconde modifiée à l’aide de l’IA, dans laquelle la conseillère nationale appelle notamment à voter pour lui. Sibel Arslan a entamé des démarches juridiques et obtenu gain de cause.

Pour prévenir d’éventuelles conséquences négatives, il faut toujours analyser les risques avant d’utiliser un logiciel d’IA, par exemple en vérifiant si le logiciel fournit des résultats fiables et non discriminatoires, si le fournisseur du système peut garantir la sécurité des données et si les droits d’utilisation d’éventuelles données d’entrée et de sortie sont réglés. D’autres points à trancher avec le fournisseur concernent en particulier la confidentialité en matière de secrets d’affaires et les questions de responsabilité.

Il est recommandé de tenir un registre des logiciels d’IA utilisés dans l’entreprise et d’y noter les responsabilités internes et les mesures (contractuelles) prises (p. ex. au sujet de la sécurité des données). En cas de besoin, ce répertoire peut être intégré à un éventuel registre existant sur le traitement des données personnelles («registre des activités de traitement»).

Enfin, il faut vérifier si l’utilisation du logiciel d’IA tombe sous le coup du règlement européen sur l’intelligence artificielle. En cas d’incertitude quant au rôle de votre entreprise dans le cadre de cette législation, consultez l’outil d'auto-évaluation de l'IA. Il se peut, notamment lors de l’utilisation de «systèmes d’IA à haut risque», que votre entreprise soit soumise à des exigences strictes de compliance.

a. Quels sont les objectifs et le contenu du règlement sur l’IA de l’UE?

Avec son règlement sur l’IA (entré en vigueur le 1^er août 2024), l’Union européenne veut promouvoir le développement et l’utilisation de systèmes d’IA tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux.

Son texte adopte une approche fondée sur les risques pour réglementer les logiciels d’IA. Il convient d’évaluer le niveau de risque au cas par cas et en détail, ainsi que les obligations à respecter en conséquence.

Le règlement sur l’IA distingue les catégories de risque suivantes:

• Les systèmes d’IA qui permettent des pratiques interdites comme la notation sociale doivent être interdits.
• Les systèmes d’IA à haut risque sont, dans le cadre d’un système de gestion des risques, soumis à des exigences spécifiques qui visent surtout leurs fournisseurs, mais en partie aussi leurs déployeurs.
• Les systèmes d’IA à risque limité, qui interagissent notamment avec des humains (p. ex. dialogueurs) ainsi que les systèmes d’IA générative sont soumis à certaines obligations de transparence.
• Les systèmes d’IA à risque minimal sont exclus du champ d’application du règlement sur l’IA.

Le règlement sur l’IA est entré en vigueur le 1^er août 2024, mais prévoit des délais de transition pour la mise en œuvre de ses dispositions: les interdictions entreront en vigueur après six mois, les règles et exigences relatives aux systèmes d’IA à haut risque après 36 mois, toutes les autres règles après deux ans.

b. À qui le règlement sur l’IA s’applique-t-il?

Le règlement sur l’IA vise en premier lieu les fournisseurs et déployeurs de systèmes d’IA. Les fournisseurs sont des personnes ou entreprises qui développent des systèmes d’IA et les mettent sur le marché de l’UE, les déployeurs sont eux des personnes ou entreprises qui exploitent ces systèmes sous leur propre responsabilité. Le domaine personnel non professionnel n’est en revanche pas couvert.

c. Le règlement sur l’IA s’applique-t-il également aux personnes et entreprises de Suisse?

Tout comme le règlement européen sur la protection des données (RGPD), le règlement sur l’IA a une portée extraterritoriale. Les fournisseurs et déployeurs de logiciels d’IA dans des pays tiers comme la Suisse peuvent également y être assujettis, par exemple si le logiciel d’IA concerné ou les sorties produites sont utilisés en Europe.

Au regard des systèmes d’IA qu’elles choisissent, les entreprises de Suisse doivent dès lors vérifier au cas par cas s’il y a un tel lien avec l’espace de l’Union européenne. C’est à cela que sert l'outil d'auto-évaluation de l'IA.

J’ai la charge de la campagne publicitaire pour un nouveau produit et je veux utiliser un logiciel d’IA pour créer une affiche avec une image et un slogan. À quoi dois-je faire attention?

Clarifiez d’abord en interne s’il existe des directives spéciales régissant l’acquisition et/ou l’utilisation de logiciels d’IA. Si ce n’est pas le cas, le projet est l’occasion de mettre en place une gouvernance appropriée de l’IA au sein de votre entreprise, notamment en définissant les responsabilités et les processus (mot-clé «directives»).

Pour choisir le prestataire du logiciel d’IA, il faut impérativement tenir compte des points suivants, entre autres:

• Est-ce que le prestataire accorde à l’entreprise les droits de la propriété intellectuelle nécessaires ou le droit d’utiliser le résultat produit par le logiciel d’IA à des fins commerciales (design de l’affiche, slogan, etc.)?
• Lorsque les données d’entrée pour utiliser le logiciel d’IA sont des données personnelles (p. ex. de clients ou de collaborateurs): est-ce que le prestataire garantit la sécurité de ces données (confidentialité, intégrité, disponibilité) et est-ce qu’il existe un contrat écrit de sous-traitance selon la législation applicable en matière de protection des données (LPD et RGPD le cas échéant)?
• Lorsqu’il faut fournir des données commerciales (p. ex. savoir-faire) de l’entreprise comme données d’entrée: est-ce que le prestataire garantit la confidentialité en matière de secrets d’affaires?

Voici ce dont il faut en outre tenir compte si l’utilisation du logiciel d’IA est soumise au règlement sur l’IA (voir point 8 plus haut: p. ex. si la campagne est également menée dans l’UE et que les résultats y sont donc utilisés): si le contenu de l’affiche est une image dite hypertruquée («deepfake», manipulation audiovisuelle créant des trucages ultraréalistes), il faut indiquer qu’elle a été créée ou manipulée grâce aux techniques de l’IA. Les personnes physiques concernées (ici le public cible de la campagne publicitaire) doivent, de manière claire et bien visible, ainsi être informées en ce sens au plus tard au moment de la première présentation.

Pour les entreprises en Suisse qui ne sont pas soumises au règlement sur l’IA, le droit suisse en vigueur ne prévoit pas d’obligation explicite d’apposer une telle mention. Si la campagne publicitaire se limite à un public essentiellement suisse, le règlement sur l’IA ne s’applique pas. Le préposé fédéral à la protection des données et à la transparence (PFPDT) exige cependant des entreprises que l’utilisation de systèmes d’hypertrucage soit toujours aisément repérable pour les personnes concernées. Un marquage en conséquence peut aussi être requis en vertu des dispositions actuelles du droit de la concurrence déloyale.

J’ai la charge de l’acquisition et introduction d’un système d’IA propre à l’entreprise qui doit, dans le cadre de notre processus de recrutement, effectuer une présélection assistée par l’IA des candidatures provenant d’Allemagne, du Liechtenstein et de Suisse ainsi que nous proposer des profils adaptés et informer les candidates et candidats retenus sur la suite du processus de recrutement. Les autres candidatures reçoivent automatiquement une réponse négative. Devons-nous remplir des obligations particulières?

Pour déterminer les obligations éventuelles en vertu du règlement sur l’IA (s’il s’applique), il faut d’abord examiner: (1) le rôle de l’entreprise dans le cadre du logiciel d’IA; (2) l’existence éventuelle d’un lien avec l’UE; (3) la catégorie de risque du logiciel d’IA. Le règlement sur l’IA est un dispositif complexe et il est donc fortement recommandé de faire appel à des experts juridiques pour régler ces questions.

• 1. Est considéré comme fournisseur – et donc soumis au règlement sur l’IA – quiconque développe ou fait développer un logiciel d’IA et le met sur le marché ou en service sous son propre nom ou sa propre marque (dans l’UE). Lorsque le logiciel d’IA est développé par un tiers selon les besoins spécifiques et les instructions de votre entreprise, l’activité de développement est imputée à celle-ci. Lorsque votre entreprise «acquiert» un système d’IA existant et en adapte juste la présentation à sa propre identité visuelle, l’on peut estimer qu’il n’y a pas d’activité de développement. Au sens strict, le règlement sur l’IA n’envisage pas le rôle de fournisseur sans mise sur le marché ou en service dans l’UE, ce qui va pourtant à l’encontre de la volonté claire du législateur européen de soumettre aussi les «fournisseurs et déployeurs» de pays tiers au règlement sur l’IA «lorsque les sorties produites par le système d’IA sont utilisées dans l’Union». En raison de la différence actuelle entre le texte et la volonté du législateur, il vaut mieux – par précaution – partir du principe que les entreprises qui mettent sur le marché ou en service un logiciel d’IA en dehors de l’UE sous leur propre nom ou leur propre marque sont également considérées comme fournisseurs si les sorties produites par le logiciel d’IA sont utilisées dans l’UE.
• 2. Dans le cas présent, le logiciel d’IA est censé, selon sa finalité, examiner les candidatures reçues, proposer des candidatures appropriées et informer les candidats d’une réponse positive ou négative, sans intervention humaine. Une fois les décisions communiquées avec succès, il est raisonnable de supposer que les sorties produites par le logiciel d’IA seront utilisées dans l’UE et qu’il y a un lien suffisant avec l’Union. Par cette utilisation dans l’UE des sorties produites par le logiciel d’IA, les critères quant au rôle de fournisseur sont remplis et il faut donc respecter les obligations correspondantes.
• 3. L’étendue des obligations de votre entreprise en tant que fournisseur d’un système d’IA dépend notamment de la catégorie de risque pertinente. Les fournisseurs de logiciels d’IA à haut risque se voient imposer les exigences et obligations les plus complètes. Les systèmes d’IA à haut risque selon le règlement sur l’IA sont, entre autres, ceux destinés à être utilisés pour le recrutement ou la sélection de personnes physiques tout en analysant et filtrant les candidatures, soit exactement la tâche prévue ici. En conséquence, le logiciel d’IA entre dans la catégorie «à haut risque» et votre entreprise doit se conformer à de vastes exigences et obligations (gestion du risque, gouvernance de données, documents techniques, supervision humaine, cybersécurité, évaluation de la conformité, etc.). Les délais de transition laissent certes du temps pour assurer la compliance, mais il convient d’être prévoyant pour la mise en œuvre des mesures nécessaires (définition de responsabilités et processus).

Le recours à l’IA implique en outre un traitement de données relevant de la LPD ou du RGPD. Le logiciel d’IA analyse les candidatures soumises – et donc des données personnelles – avant de décider, sans intervention humaine, si elles doivent être transmises pour y donner suite ou si une réponse négative doit être envoyée aux personnes concernées. S’agissant de traitements de données incluant des décisions individuelles automatisées, il se peut que des dispositions particulières s’appliquent (p. ex. information sur le droit d’être entendu et le droit de s’exprimer). D’autres obligations demeurent réservées.

J’ai la charge de l’acquisition et introduction d’un agent conversationnel (chatbot) sur notre site web, lequel fournira au public suisse et étranger des renseignements sur nos produits et prestations et répondra à des questions simples à leur sujet. À quoi dois-je faire attention au niveau réglementaire?.

La mise en œuvre sur le site web d’un chatbot s’adressant aussi à un public qui se trouve dans des pays de l’UE entraîne sans doute l’application du règlement sur l’IA (cf. conditions à l’exemple II). Un chatbot n’est, en soi, pas un logiciel d’IA à haut risque. Les fournisseurs et déployeurs concernés ne sont donc pas soumis à de vastes directives et obligations. Néanmoins, eux aussi doivent remplir certaines exigences, surtout en matière de transparence. Le règlement sur l’IA stipule que les personnes physiques doivent être avisées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement des circonstances. Cette obligation ne concerne toutefois que les fournisseurs et non les déployeurs. Si l’entreprise développe ou fait développer elle-même le dialogueur, il faut prévoir une telle information dans le cadre de la conception et du développement. En revanche, si vous achetez le dialogueur à un tiers, sous la forme de «solution standard», elle pourrait, sous certaines conditions, être qualifiée de simple déployeur du logiciel d’IA et ne pas être soumise à l’obligation de transparence.

Il n’est pas (encore) entièrement clair où commence l’activité de développement – et donc la qualité de fournisseur au sens du règlement sur l’IA. La question de savoir dans quelle mesure un «chatbot standard» d’un fournisseur peut être adapté aux besoins d’une entreprise sans que ces ajustements ne fassent d’elle un fournisseur aura, sans nul doute, une grande importance pratique. Il existe de nombreuses possibilités d’adapter un logiciel d’IA aux besoins individuels d’une entreprise (p. ex. consignes pour les «invites», apprentissage sur données spécialisées («fine-tuning»), utilisation de modèles fondés sur des «invites» («Retrieval-Augmented Generation» (RAG)). L’aspect déterminant sera de savoir si les adaptations contribuent à développer (plus loin) le logiciel d’IA à proprement parler, ce qui pourrait être le cas avec le fine-tuning, où l’on intervient dans le modèle à la base du système. En revanche, le raisonnement pourrait être différent avec la RAG, car ce n’est alors pas le logiciel d’IA lui-même qui est adapté, mais juste les données auxquelles l’on peut recourir dans le cadre du logiciel d’IA.

Avant d’acquérir et d’introduire un chatbot, il faut clarifier – le cas échéant avec le fournisseur – la question de la qualité de fournisseur, y c. l’exécution des devoirs s’y rapportant. Une fois mis en place, le chatbot ne devrait pas être adapté sans concertation préalable avec le service juridique. Les ajustements peuvent en effet, selon les circonstances, changer le rôle de l’entreprise (de déployeur en fournisseur) et, par conséquent, entraîner de nouvelles obligations. Afin de clarifier les logiciels d’IA utilisés dans l’entreprise et le rôle revenant alors à l’entreprise, il est recommandé de tenir un registre. Outre les cas d’usage et le rôle ou devoir en vertu du règlement (européen) sur l’IA, celui-ci peut contenir des informations sur le propriétaire du logiciel concerné, les contrats avec des tiers, le traitement des données et l’évaluation des risques.

Enfin, il est là encore utile d’émettre des directives et/ou des consignes d’utilisation sur la manière de se servir du logiciel d’IA ou du chatbot, afin de garantir la compliance et de sensibiliser les collaborateurs.