CHATGPT vs. DEEPSEEK

Les technologies d’IA générative, telles que ChatGPT, Ernie Bot ou encore DeepSeek, ouvrent le champ des possibles : dialogue avec l’IA, créations d’œuvres d’art, de musique et documents juridiques… Si ces outils sont porteurs d’innovation, ils soulèvent également des questions d’ordre juridique et éthique. Face à cette situation, les gouvernements du monde entier réagissent de différentes manières : alors que certains s’empressent de réglementer l’IA, d’autres tentent de prendre le temps de la réflexion pour étudier la meilleure approche à adopter.

En Afrique du Sud, une réglementation est en cours d’élaboration et, pour le moment, aucune loi spécifique n’aborde directement l’IA générative. Toutefois, le pays se dirige bel et bien progressivement vers une gouvernance de l’IA.

Cadre national en matière d’IA

Le 14 août 2024, le ministère sud-africain des communications et des technologies numériques (DCDT) a publié un cadre national de politique en matière d’IA. (1) Ce texte a pour objectif d’accompagner le développement d’une IA responsable en Afrique du Sud, dans le sillon des tendances mondiales. Il comprend douze piliers stratégiques axés sur des domaines clés, dont l’IA éthique, la protection des données à caractère personnel, ou encore les infrastructures. Il prend en compte des aspects propres à la nation arc-en-ciel, comme les disparités socio-économiques, en mettant en avant les principes d’équité, d’inclusion sur fond d’innovation.Cette politique, qui couvre l’IA de manière large, peut former le socle de futures réglementations en matière d’IA génératives. En promouvant une IA transparente et centrée sur l’humain, l’Afrique du Sud souhaite traiter les enjeux nationaux, tels que l’inégalité, tout en nourrissant son ambition de devenir un acteur incontournable sur la scène mondiale.

Cadres juridiques existants ayant une incidence sur l’IA

Bien que l’Afrique du Sud ne réglemente pas encore explicitement l’IA générative, plusieurs lois existantes sont susceptibles d’influencer son développement :

• loi sur le droit d’auteur (2) : les œuvres générées par l’IA peuvent être protégées par le droit d’auteur à conditions d’être originales. Cela étant, la loi actuelle ne tient pas pleinement compte des complexités de la création par l’IA. Il sera donc nécessaire de la mettre à jour pour protéger les créateurs et faire en sorte que les innovations issues de l’IA soient légalement reconnues.
• loi sur la protection des données (3) : aux termes de la loi sur la protection des données personnelles (POPIA), les systèmes d’IA doivent traiter les données personnelles de manière transparente et licite. Le consentement, la sécurité et la minimisation des donnée figurent parmi les principes clés de ce texte. Les dispositions de la POPIA pourraient être amenées à changer au fur et à mesure de l’évolution des technologies d’IA. L’Autorité de protection des données (The Information Regulator) a d’ailleurs indiqué qu’elle envisage de jouer un rôle plus actif dans la régulation de l’IA.
• Constitution : la Constitution sud-africaine, en particulier sa Déclaration des droits (4), qui consacre les principes de dignité humaine, d’égalité et de non-discrimination contient des principes directeurs fondamentaux qui doivent présider à une future réglementation de l’IA. Ces valeurs sont en effet essentielles pour garantir que les technologies d’IA bénéficient à la société dans sa globalité, tout respectant les droits individuels.

*****

(1) https://www.michalsons.com/focus-areas/artificial-intelligence-law/national-ai-policy-guidance-and-overview

(2) https://www.michalsons.com/blog/the-situation-with-copyright-and-generative-ai/65303

(3) The Protection of Personal Information Act, 2013.

(4) Constitution of the Republic of South Africa, 1996 – Chapter 2: Bill of Rights

JOHN GILES

southafrica@lexing.network

Principes éthiques de l’IA

Si, pour le moment, l’Australie n’a pas encore adopté de lois ou de règlements spécifiques régissant directement l’intelligence artificielle, plusieurs mesures ont été engagées en ce sens, particulièrement dans l’optique d’assurer la protection et la sécurité des données à caractère personnel exploitées par cette technologie, à l’instar du RIA, le récent règlement européen qui constitue le tout premier cadre juridique au monde sur l’IA. (1)

Derniers développements

Le 5 septembre 2024, le gouvernement australien a publié deux documents importants :

• « Proposition de garde-fous obligatoires lors de l’utilisation de l’IA dans des situations à haut risque » (2). Ce document recommande l’adoption de dix garde-fous obligatoires, c’est-à-dire de mesures que les développeurs et les utilisateurs seraient impérativement tenus de respecter pour garantir que leurs systèmes d’IA à haut risque soient utilisés de manière responsable et en toute sécurité. Il a fait l’objet d’une consultation publique, recueillant plus de 300 contributions consultables en ligne (3) ;
• « Normes volontaires de sécurité en matière d’IA » (4). Ce texte formule dix garde-fous optionnels, sous la forme de conseils pratiques que les développeurs et déployeurs d’IA sont libres d’appliquer pour assurer un développement et un déploiement sûrs et responsables de leurs systèmes d’IA.
• Comité restreint sur l’adoption de l’IA. En mars 2024, le Sénat australien a créé un comité restreint sur l’adoption de l’IA (5) et lui a confié pour mission d’étudier les avantages et inconvénients liés à l’adoption des technologies d’IA en Australie. Le comité a présenté son rapport final au Parlement en novembre 2024 (6), après avoir bénéficié d’une extension de délai pour rendre ses conclusions, et ce afin de pouvoir étudier les impacts de l’IA générative sur les élections fédérales de 2024 aux États-Unis. Le rapport contient 13 recommandations, dont une recommandation visant à introduire une législation spécifique pour réglementer les usages à haut risque de l’IA en Australie.

Focus sur les Etats de Nouvelle-Galles du Sud et de Victoria

• L’Etat de Nouvelle-Galles du Sud s’est engagé dans un programme d’élaboration de politiques d’utilisation de l’IA et a produit plusieurs documents à destination de l’administration (NSW Artificial Intelligence Assurance Approach (7) et NSW AI Assessment Framework (8), qui s’inscrivent dans un cadre global pour le numérique (NSW Digital Assurance Framework) visant à la mise en œuvre efficace et efficiente des projets numériques du gouvernement de la Nouvelle-Galles du Sud.
• Dans l’État de Victoria, le bureau du commissaire à l’information a publié, à l’attention des organisations du secteur public victorien, sa position sur l’utilisation de données dans ChatGPT. (9). Dans ce document, il les exhorte à s’assurer que leur personnel et leurs prestataires de services n’utilisent pas de données à caractère personnel l’outil d’IA générative d’OpenAI. En effet, étant donné que ChatGPT conserve indéfiniment les informations saisies, une telle divulgation serait contraire non seulement aux principes de confidentialité de l’État de Victoria, mais également à sa loi de 1973 sur les archives publiques.

Conclusion

Il reste à voir si, et surtout dans quelle mesure, l’Australie va adopter une approche similaire à celle de l’UE. Actuellement, le législateur concentre ses actions sur la réforme de la loi sur la protection de la vie privée (Privacy Act 1988), qui entrera en vigueur de manière échelonnée à compter de 2026. Celle-ci prendra sans aucun doute en compte certains éléments liés à l’IA, du moins du point de vue de la protection des données et de la prise de décision automatisée. Une réglementation autonome relative à l’utilisation appropriée et efficace de l’IA devrait voir le jour dans un avenir proche. Au vu des derniers documents publiés (garde-fous, normes de sécurité, rapport du comité restreint), le gouvernement manifeste clairement la volonté de légiférer en faveur d’une IA sûre et responsable en Australie.

*****

(1) Règlement sur l’intelligence artificielle (Règlement (UE) 2024/1689, disponible à l’adresse : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32024R1689)

(2) « Proposed Guardrails for the Mandatory Use of AI in High-Risk Settings »: https://www.industry.gov.au/news/mandatory-guardrails-safe-and-responsible-ai-have-your-say

(3) https://consult.industry.gov.au/ai-mandatory-guardrails/submission/list

(4) « Voluntary AI Safety Standards » https://www.industry.gov.au/publications/voluntary-ai-safety-standard

(5) « Select Committee on Adopting Artificial Intelligence » : https://www.aph.gov.au/Parliamentary_Business/Committees/Senate/Adopting_Artificial_Intelligence_AI

(6) https://www.aph.gov.au/Parliamentary_Business/Committees/Senate/Adopting_Artificial_Intelligence_AI/AdoptingAI/Report

(7) https://www.digital.nsw.gov.au/sites/default/files/2022-12/ict-digital-assurance-framework_1.pdf

(8) https://www.digital.nsw.gov.au/sites/default/files/2022-12/ict-digital-assurance-framework_1.pdf

(9) V. par exemple, « Public Statement: Use of personal information with ChatGPT” disponible à l’adresse : https://ovic.vic.gov.au/privacy/resources-for-organisations/public-statement-use-of-personal-information-with-chatgpt/

DUDLEY KNELLER

australia@lexing.network

Quelle est la législation applicable à l’intelligence artificielle en Belgique ?

Il n’existe actuellement aucune règle, loi ou directive spécifiquement applicable à l’IA au niveau national, mais en tant que membre de l’UE, la Belgique applique naturellement le Règlement sur l’intelligence artificielle (« RIA ») qui établit des règles harmonisées concernant l’IA (entré en vigueur le 1er août 2024) (1).

Comment est défini l’IA générative dans le RIA ?

Le RIA ne contient pas de définition de l’IA générative, mais la mentionne à titre d’exemple au sein de la définition de « modèle d’IA à usage général », qui est la suivante :

• « un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché ».

Quelles sont les règles applicables aux systèmes d’IA défectueux ?

Le RIA traite des risques liés aux systèmes d’IA défectueux en imposant une obligation de transparence aux termes de laquelle les fournisseurs de modèles d’IA à usage général doivent : (2)

• établir la documentation technique du modèle, contenant notamment des éléments sur ses processus d’entraînement, de test et d’évaluation ;
• communiquer aux fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle de système d’IA à usage général (« GPAI ») dans leurs produits des informations et de la documentation pour leur permettent d’avoir une bonne compréhension des capacités et des limites de ce modèle et ainsi de se conformer aux obligations qui leur incombent en vertu du RIA ;
• mettre à la disposition un résumé détaillé du contenu utilisé pour entraîner le modèle GPAI ;
• adopter une politique visant à se conformer à la législation européenne en matière de droit d’auteur.

Les modèles GPAI susceptibles de présenter des risques systémiques sont soumis à des exigences supplémentaires, notamment en ce qui concerne l’évaluation des modèles, l’évaluation et l’atténuation des risques systémiques et la notification des incidents. Les règles générales régissant les produits ou services défectueux peuvent s’appliquer aux systèmes d’IA concernant :

• la responsabilité du fait des produits défectueux ; (3)
• la protection des consommateurs et la garantie légale ; (4)
• la défaillance ou le dysfonctionnement des systèmes d’IA destinés à être utilisés comme composants de sécurité dans la gestion et l’exploitation d’infrastructures numériques critiques ; (5)
• la protection de la vie privée et des données. (6)

Quelles sont les règles applicables en matière de responsabilité civile et pénale en cas de dommages causés par un système d’IA ?

En droit belge, il n’existe pas de règles spécifiques sur ces points pour les systèmes d’IA. Ce sont donc les dispositions du droit commun qui s’appliquent, notamment pour la responsabilité du fabricant (7), la responsabilité du vendeur et le régime de garantie (8), la responsabilité délictuelle de l’utilisateur (9), et la responsabilité contractuelle de l’utilisateur. (10)

Au niveau de l’UE, la directive sur la responsabilité en matière d’IA (11) a été mis en échec dans le cadre des tensions entre l’UE et les États-Unis.

*****

(1) Règlement (UE) 2024/1689 du Parlement Européen et du Conseil du 13 juin2024 établissant des règles harmonisées concernant l’intelligence artificielle (règlement sur l’intelligence artificielle)

(2) Articles 53 et 55 du RIA

(3) Loi du 25 février 1991

(4) Les directives (UE) 2019/770 relative à certains aspects concernant les contrats de fourniture de contenus numériques et de services numériques et 2019/771 relative à certains aspects concernant les contrats de vente de biens, ont été transposées dans le code civil belge au sein des articles 1649bis à 1649octies et du livre III, titre VIbis

(5) Directive (EU) 2022/2557 sur la résilience des entités critiques

(6) RGPD et loi du 30 juillet 2018 relative à la protection des personnes physiques à l’égard des traitements de données à caractère personnel

(7) Aux termes des articles 1582 et suivants de l’ancien code civil, le vendeur est tenu de livrer un bien conforme au contrat.

(8) Article 1649bis de l’ancien code civil

(9) Article 1384 de l’ancien code civil, bientôt remplacé par l’article 6.16 du code civil, et article 1382 de l’ancien Code civil, remplacé par les articles 6.5 et suivants du nouveau code civil (entré en vigueur le 1er janvier 2025)

(10) Article 5.230 du code civil

(11) Proposition de directive relative à l’adaptation des règles en matière de responsabilité civile extracontractuelle au domaine de l’intelligence artificielle (Directive sur la responsabilité en matière d’IA)

ANNE-VALENTINE RENSONNET

belgium@lexing.network

Le 16 mars 2023, Baidu, le géant chinois de l’IA, a lancé Ernie Bot, défini comme un « modèle de langage de nouvelle génération et un produit d’IA générative », et l’a rendu accessible au grand public à partir du 31 août 2023. Ernie Bot, ainsi que les autres chatbots développés par des entreprises chinoises d’IA, ont conduit les autorités nationales à renforcer la réglementation sur les services d’IA générative, notamment pour garantir la qualité et la sécurité des données utilisées pour l’entraînement de ces outils. Plusieurs textes réglementaires sur l’IA générative ont ainsi été publiés. Le présent article fait le bilan des principaux textes récemment adoptés dans ce domaine.

1. Mesures provisoires pour la gestion des services d’IA générative du 13 juillet 2023 (1)

Aux termes de ces mesures, les données traitées par les modèles génératif doivent impérativement provenir de sources légitimes et ne pas enfreindre les droits de propriété intellectuelle d’autrui. En outre, en cas d’utilisation de données à caractère personnel, le consentement de la personne concernée doit, le cas échéant, être obtenu. Le fournisseur de services d’IA générative est par ailleurs tenu d’étiqueter les images et vidéos générées conformément aux textes applicables. Les mesures définissent cinq critères à respecter concernant les données d’entraînement, dont la provenance légale des données et la prise de mesures pour renforcer la véracité, l’exactitude, l’objectivité et la diversité des données utilisées.

2. Normes de sécurité pour les services d’IA générative du 29 février 2024 (2)

La section 5 de ces normes fixe des exigences de sécurité relatives aux données d’entraînement.

Afin de sécuriser la provenance de ces données, elles imposent au fournisseur de services d’IA générative de :

• a) prendre des mesures pour assurer la traçabilité des données ;
• b) réaliser une évaluation de sécurité sur les sources de données spécifiques et de rejeter celles présentant un taux de non-conformité supérieur à 5 % ;
• c) mettre en place des mesures pour accroître la diversité des données d’entraînement, notamment sur le plan linguistique.

Les normes définissent également des exigences détaillées pour la gestion sécurisée du contenu des données d’entraînement, notamment :

• a) l’élimination des « éléments illégaux et nuisibles » afin d’assurer la qualité des données d’entraînement ;
• b) la mise en place de mesures organisationnelles et techniques pour prévenir et atténuer les risques d’atteinte aux droits de propriété intellectuelle ;
• c) l’obtention du consentement des personnes lorsque les données d’entraînement contiennent des données personnelles ou sensibles.
• Enfin, les normes imposent des exigences en matière d’étiquetage des données.

3. Règlement administratif sur la sécurité des données en réseau (« NDSR ») du 30 août 2024 (3)

Ce règlement administratif majeur publié par le gouvernement central exige que les responsables du traitement (4) fournissant des services d’IA générative renforcent la sécurité des données d’entraînement et du traitement des données, et prennent des mesures efficaces pour prévenir et gérer les risques liés à la sécurité des données. En particulier, ce règlement prévoit que tout responsable du traitement qui souhaite accéder ou collecter des données via un réseau à l’aide d’outils automatisés doit effectuer une analyse d’impact afin d’éviter toute intrusion illégale ou perturbation des réseaux tiers. Si, malgré les précautions prises, les données d’entraînement collectées contiennent encore des données personnelles, celles-ci doivent être rapidement supprimées ou anonymisées.

*****

(1) Publiées conjointement par sept ministères chinois

(2) Publiées par la Commission nationale de normalisation de la cybersécurité

(3) Publié par le Conseil d’État

(4) Il convient de bien maîtriser la terminologie de la PIPL, qui peut inclure un certain nombre de faux amis. En effet, dans la version anglaise de la PIPL, le « data processor » correspond au « controller » européen (responsable du traitement (Cf. Lexing Insights #39 et #34).

YUNG YANG

china@lexing.network

Introduction

Alors que les technologies d’intelligence artificielle (IA) telles que ChatGPT, Ernie Bot et DeepSeek, continuent de se propager, dans le monde entier, les législateurs s’attèlent à adapter leurs règles nationales afin de pouvoir bénéficier, en toute sécurité, des opportunités que présentent ces outils puissants. En Finlande, la réglementation de l’IA générative est naturellement fortement influencée par la législation de l’Union européenne, mais elle prend également en compte des spécificités nationales, caractérisées par un engagement fort en faveur d’un développement éthique de l’IA.

L’influence de l’Union européenne sur la législation finlandaise en matière d’IA

La Finlande, en tant que membre de l’UE, aligne ses réglementations en matière d’IA sur la législation européenne.

Premièrement, l’acte législatif le plus important dans ce domaine est bien entendu le Règlement sur l’IA (« RIA »), entré en vigueur le 1er août 2024 (1). Bien que le RIA soit désormais en vigueur, ses dispositions ne seront pleinement applicables qu’après une période de transition de deux ans, à partir du 2 août 2026. Le RIA réglemente les systèmes d’IA en fonction de leur niveau de risque. Ainsi, des exigences plus strictes sont imposées aux systèmes d’IA à haut risque, comme ceux utilisés par les professionnels de santé, les services de police ou encore les infrastructures critiques. En fonction de leurs cas d’usage, les IA génératives (tels que l’emblématique ChatGPT) peuvent être qualifiées des systèmes d’IA à haut risque, ce qui les obligeraient à respecter de normes rigoureuses en matière de sécurité, de transparence et de responsabilité. Les IA génératives peuvent même être prohibées si elles sont utilisées pour des pratiques explicitement interdites par le RIA, ce qui serait par exemple le cas si elles ont recours à des techniques délibérément manipulatrices. Les IA génératives constituant des systèmes d’IA à haut risque, par exemple lorsqu’elles sont utilisées pour le recrutement, sont autorisées sous réserve du respect de certaines exigences et d’une procédure préalable évaluation de la conformité. Le RIA impose également des obligations de transparence, se matérialisant notamment par le fait d’informer les personnes physiques de l’existence d’une interaction avec un dialogueur (« chatbot ») ou de la présence d’hypertrucages (« deep fake »).

La Commission européenne a récemment lancé un processus de consultation portant sur un Code de bonnes pratiques destiné aux fournisseurs de modèles d’IA à usage général (GPAI). Ce Code, qui constitue un élément phare du RIA, a trait à des aspects essentiels tels que la transparence, le respect des droits d’auteur et la gestion des risques. Toutes les personnes exploitant ou utilisant des modèles GPAI au sein de l’UE (entreprises, membres de la société civile, titulaires de droits, universitaires), sont invitées à participer à cette consultation pour aider à finaliser ce document. Les règles encadrant les modèles GPAI entreront en vigueur dans 12 mois, et la Commission européenne s’est fixée pour but de finaliser le Code de bonnes pratiques en avril 2025. Par ailleurs, le Bureau de l’IA pourra utilement utiliser les retours recueillis lors de cette consultation dans le cadre de sa supervision de l’application des dispositions du RIA relatives aux GPAI.

Deuxièmement, la directive européenne révisée sur la responsabilité du fait des produits (est entrée en vigueur le dimanche 8 décembre 2024. Cette législation mise à jour, qui va être transposée dans les lois nationales des Etats membres, renforce le cadre juridique permettant aux personnes d’obtenir réparation en cas de dommages causés par un produit défectueux. Elle apporte également une plus grande clarté juridique pour les entreprises. Cette nouvelle réglementation couvre une large gamme de produits, allant des appareils domestiques aux technologies numériques et aux innovations avancées, telles que les systèmes d’IA.

Troisièmement, le règlement général sur la protection des données (RGPD) (2) joue un rôle de premier plan dans l’élaboration du paysage juridique de l’IA générative en Finlande. Le RGPD définit des exigences strictes pour la collecte, le traitement et la conservation de données à caractère personnel, l’idée-force étant la protection de la vie privée des personnes physiques. Tout système d’IA fonctionnant en Finlande, y compris ChatGPT, Ernie Bot et DeepSeek, doit adhérer aux normes du RGPD et veiller à ce que les données des utilisateurs soient traitées avec le plus grand soin et la plus grande transparence.

Législation nationale et développement éthique de l’IA en Finlande

Au-delà de la réglementation européenne, la Finlande a élaboré ses propres politiques et lignes directrices nationales pour régir l’utilisation des technologies d’IA. Le programme finlandais d’IA (3) décrit l’approche du pays en la matière. L’innovation, la compétitivité et l’utilisation responsable de l’IA sont au cœur de ce programme. L’éthique reste la valeur cardinale qui doit guider l’IA pour des systèmes équitables, transparents et responsables. Dès 2019, la Finlande a introduit des lignes directrices en ce sens (4). Ces lignes directrices, qui promeuvent l’utilisation éthique des systèmes d’IA dans l’administration publique, s’alignent sur le cadre de l’UE, mais reflètent également les valeurs culturelles et sociétales spécifiques de la Finlande, telles qu’un engagement fort en faveur de l’égalité.

La législation nationale sur l’IA reste néanmoins encore relativement balbutiante, malgré la participation active du gouvernement finlandais aux actions de l’UE en matière d’IA et la mise en œuvre de programmes visant à aider les entreprises dans leur « double transition » (combinaison de la transition verte et de la transition numérique) et leur adoption de l’IA. Hormis le RIA, le RGPD est la principale source de règles actuelles sur l’utilisation de l’IA, qui explique que l’accent soit mis sur l’utilisation des données personnelles dans l’IA plutôt que sur la technologie de l’IA elle-même. Ainsi, à ce jour, la Finlande, ne dispose d’aucune loi spécifique régissant la responsabilité liée à l’IA, les limitations de l’utilisation de l’IA ou l’utilisation de technologies d’IA avancées pour traiter des données, qu’elles soient personnelles ou non.

Les lois relatives à l’IA dans tous les États membres de l’UE sont fortement influencées par le RIA, la proposition de directive sur l’adaptation de la responsabilité civile non contractuelle à l’IA (COM/2022/496, « directive sur la responsabilité en matière d’IA ») (5) et les modifications éventuelles de la directive sur la responsabilité du fait des produits défectueux (COM/2022/495) (6). C’est la raison pour laquelle le gouvernement finlandais a choisi de repousser l’adoption de toute nouvelle législation nationale jusqu’à ce que le RIA soit mis en œuvre et qu’une nouvelle jurisprudence se forme. La législation nationale devra, à terme, intégrer ces dispositions, soit par l’adoption de lois entièrement nouvelles, soit par la modification des lois existantes.

La Finlande a tout de même adopté des lois relatives à la prise de décision automatisée. En 2023, une nouvelle loi générale sur la prise de décision automatisée dans l’administration publique est entrée en vigueur. Il s’agissait en fait de deux paquets législatifs distincts : d’un côté, une législation générale permettant la prise de décision automatisée dans l’administration à grande échelle (nouveau chapitre 8b du code administratif sur les motifs de la prise de décision automatisée et un certain nombre de dispositions à ajouter à la loi sur la gestion des données et à certaines autres lois) et de l’autre côté, une législation spécifique sur la prise de décision automatisée dans les domaines de la fiscalité, des douanes et de certaines autres questions (amendements de plusieurs lois, et plus particulièrement de la loi sur la procédure fiscale). Par le passé, les règles applicables étaient différentes selon les autorités concernées. Les nouvelles lois autorisent dorénavant les décisions automatisées de manière générale, sous réserve du respect des exigences légales applicables. En outre, la législation aborde les questions de responsabilité et confirme que, conformément à la loi sur la gestion de l’information dans l’administration publique, l’autorité qui recourt à la prise de décision automatisée en assume la responsabilité.

Autre aspect notable du paysage juridique finlandais : l’absence totale de jurisprudence concernant l’IA. Ce vide est toutefois tout à fait compréhensible, car la législation européenne est toute récente et le champ d’application des lois nationales est étroit. Les modes alternatifs de règlement des litiges ne sont également pas à négliger pour la résolution de ce type de différends.

Mécanismes de conformité et de surveillance

En Finlande, l’application des réglementations relatives à l’IA est supervisée par plusieurs agences nationales. Le médiateur chargé de la protection des données est responsable du respect du RGPD et de la protection de la vie privée des personnes physiques. Tout système d’IA qui traite des données personnelles en Finlande, y compris les modèles d’IA générative comme ChatGPT, se doit de respecter les limites du RGPD, sous peine de s’exposer à de sévères sanctions. L’Agence finlandaise des transports et des communications (Traficom) supervise, quant à elle, les applications d’IA, en particulier dans les domaines liés à la communication et à l’infrastructure numérique. Traficom veille à ce que les systèmes d’IA soient sûrs, fiables et accessibles, contribuant de ce fait à l’objectif plus large d’instaurer la confiance numérique dans la société finlandaise.

Conclusion

La réglementation de l’IA générative en Finlande se compose d’une combinaison de lois européennes, et de législations et de directives éthiques nationales. Ce cadre juridique, axé sur la confidentialité, la transparence et la responsabilité, exprime l’engagement de la Finlande en faveur d’un développement responsable de l’IA. Alors que les technologies d’IA telles que ChatGPT, DeepSeek et Ernie Bot continuent d’évoluer, il est plus que jamais essentiel pour les développeurs et les entreprises souhaitant opérer en Finlande de s’assurer que bien comprendre et respecter ces spécificités juridiques locales et européennes. En effet, si les technologies d’IA sont mondiales, les règles juridiques régissant leur utilisation peuvent varier au niveau local ou au régional, pour traduire les valeurs, les priorités et les objectifs sociétaux de chaque pays.

*****

(1) Règlement sur l’intelligence artificielle (Règlement (UE) 2024/1689, disponible à l’adresse : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32024R1689)

(2) Règlement général sur la protection des données, accessible à l’adresse : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32016R0679

(3) https://digital-skills-jobs.europa.eu/en/actions/national-initiatives/national-strategies/finland-artificial-intelligence-programme

(4) https://vm.fi/documents/10623/162999475/Tekoäly-huoneentaulu-en.pdf/9ef4bf55-7c06-4861-2680-aa39c7b8357a/Tekoäly-huoneentaulu-en.pdf?t=1685604530697

(5) Suivre son statut à l’adresse : https://commission.europa.eu/business-economy-euro/doing-business-eu/contract-rules/digital-contracts/liability-rules-artificial-intelligence_en

(6) Directive sur la responsabilité du fait des produits : https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024L2853

JAN LINBERG

finland@lexing.network

En Grèce, c’est la loi 4961/2022 (1), entrée en vigueur le 27 juillet 2022 et prenant effet le 1er janvier 2023, qui a introduit un cadre réglementaire national pour le développement, le déploiement et l’utilisation des technologies d’intelligence artificielle (IA). Ce cadre est aligné sur le Règlement européen sur l’IA (« RIA ») (2) et s’appuie sur une « approche fondée sur les risques » pour garantir l’utilisation responsable et transparente de l’IA dans les secteurs public et privé.

S’agissant du secteur public (3), le droit grec prévoit que, à l’exclusion des ministères de la défense nationale et de la protection du citoyen, les systèmes d’IA ne peuvent être utilisés sans être autorisés par la loi. Avant tout déploiement de systèmes d’IA, les organismes publics doivent procéder à une évaluation d’impact algorithmique et à une analyse d’impact relative à protection des données conformément au règlement européen sur la protection des données (RGPD). Ces évaluations ont pour but d’évaluer les risques pour les droits et libertés des personnes affectées par les systèmes d’IA. La loi impose également des exigences de transparence, qui se traduisent notamment par l’obligation pour les organismes publics de publier des informations sur le fonctionnement de leurs systèmes d’IA et sur toute décision prise par ou au moyen de ces derniers (4). Les personnes concernées ont le droit déposer plainte auprès de l’autorité nationale pour la transparence. En outre, les organismes publics doivent tenir un registre des systèmes d’IA qu’ils utilisent (5).

S’agissant du secteur privé, la loi réglemente l’utilisation de l’IA dans le monde du travail, et impose aux entreprises d’informer leurs employés des systèmes d’IA qui affectent leurs conditions de travail, leur recrutement ou leur évaluation (6). Il en est de même pour les plateformes numériques qui utilisent l’IA pour la prise de décisions liées à l’emploi. Les entités privées, en particulier les moyennes et grandes entreprises, qui ont recours à des systèmes d’IA doivent adopter des politiques sur l’utilisation éthique des données (7). Elles sont également soumises à l’obligation de tenir un registre de tous les systèmes d’IA qu’elles déploient (8).

Dans le cadre des marchés publics, les entreprises qui développent des systèmes d’IA pour le secteur public sont tenus de fournir les informations nécessaires à la transparence, de garantir la conformité du système d’IA avec les lois applicables et de permettre au pouvoir adjudicateur d’étudier et d’améliorer ces systèmes (9). Toute utilisation doit se faire dans le respect des droits fondamentaux, tels que la vie privée, la non-discrimination et la dignité humaine.

Enfin, pour superviser la réglementation et la stratégie en matière d’IA en Grèce, la loi a créé un comité de coordination pour l’IA, avec pour mandat d’élaborer la stratégie nationale pour l’IA, ainsi qu’un comité de surveillance chargé de veiller à sa mise en œuvre (10). L’Observatoire national de l’IA a, quant à lui, pour mission de fournir à ces comités les données et informations nécessaires pour leur permettent de suivre l’évolution de l’IA.

*****

(1) Gov. Gaz. Α’ 146/27.07.2022

(2) Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (règlement sur l’intelligence artificielle)

(3) Art. 4, loi 4961/2022

(4) Art. 6, loi 4961/2022

(5) Art. 8, loi 4961/2022

(6) Art. 9, loi 4961/2022

(7) Art. 10 (2), loi 4961/2022

(8) Art. 10 (1), loi 4961/2022

(9) Art. 7, loi 4961/2022

(10) Art. 11, loi 4961/2022

GEORGE BALLAS
&
NIKOLAOS PAPADOPOULOS

greece@lexing.network

Introduction

L’intelligence artificielle (« IA ») est aujourd’hui un outil utile dans de nombreux aspects de notre vie quotidienne. La mise à disposition au public de systèmes d’IA utilisant des transformateurs génératifs préentraînés (GPT) dans de grands modèles de langage (LLM) a entraîné une adoption massive et populaire des outils d’IA générative, qui a forcément attiré l’attention des législateurs et des régulateurs. Ceux-ci se sont donné pour mission de trouver le cadre juridique adéquat afin de maximiser les bénéfices apportés par l’IA tout en en atténuant les risques.

Cela étant, les approches utilisées pour atteindre ce but peut varier d’un pays à l’autre. Par exemple, l’Union européenne a adopté, en juin 2024, un Règlement sur l’IA (« RIA »), qui constitue le tout premier cadre réglementaire mondial. Il s’agit d’un texte global, reposant sur une approche fondée sur les risques, applicable à tous les États membres de l’UE (1). En revanche, les États-Unis n’ont pas suivi la même direction : ils ne disposent pas d’une réglementation unique sur l’IA, et préfèrent une approche au cas par cas, avec de nombreuses lignes directrices au niveau fédéral. En Chine, les régulateurs ont, quant à eux, mis en place des règles ciblées et spécifiques à certains secteurs.

Pour sa part, Hong Kong suit également une approche sectorielle et n’a donc pas de cadre législatif général unique comme dans l’UE. Conformément à cette approche, les régulateurs hongkongais ont publié des réglementations et des lignes directrices qui d’encadrent l’utilisation de l’IA en fonction du contexte spécifique concerné. Ces réglementations sectorielles partagent des principes communs mais, grâce à une démarche flexible, elles sont chacune adaptées aux besoins du secteur concerné. Par exemple, les exigences pour le secteur des communications sont différentes de celles pour le secteur de l’énergie, qui diffèrent à leur tour de celles pour le secteur des services financiers. Cette règlementation sectorielle n’empêche pas l’autorité de protection des données, le Privacy Commissioner for Personal Data (PCPD), de jouer un rôle. Ce régulateur sectoriel a, en effet, pris l’initiative de fournir des orientations intersectorielles sur la protection des données personnelles dans le cadre du développement, de la fourniture et de l’utilisation des systèmes d’IA à Hong Kong.

Il convient de rappeler que Hong Kong est une région administrative spéciale de Chine. Cela signifie que bien que Hong Kong fasse partie de la Chine, elle dispose toutefois de son propre système juridique et réglementaire, y compris en matière de gouvernance des systèmes d’IA. Le présent article présente les développements législatifs en matière d’IA à la fois en Chine continentale et à Hong Kong.

De Ernie Bot à DeepSeek

Le 16 mars 2023, le géant technologique chinois Baidu a officiellement lancé son chatbot, baptisée « Ernie Bot ». Il s’agit de l’un des premiers chatbots d’IA générative à avoir obtenu une approbation réglementaire en Chine continentale. A l’instar de son principal concurrent ChatGPT, les utilisateurs peuvent interagir avec Ernie Bot via du texte pour générer du contenu. Il fonctionne principalement en mandarin mais peut, dans une moindre mesure, répondre à des requêtes en anglais. Bien qu’Ernie Bot soit téléchargeable dans le monde entier, son inscription nécessite de posséder un numéro de téléphone chinois. Par conséquent, il est principalement utilisé par la population chinoise.

En avril 2024, Baidu a annoncé qu’Ernie Bot comptait plus de 200 millions d’utilisateurs. Mais l’émergence d’une autre application d’IA chinoise, DeepSeek, démontre que les chatbots d’IA en Chine continentale sont confrontés à une concurrence de plus en plus rude.

La popularité croissante d’Ernie Bot et d’autres chatbots d’IA a conduit la Chine à envisager de muscler son cadre législatif pour garantir que le développement, la fourniture et l’utilisation de l’IA se fassent dans l’intérêt national.

Réglementation de l’IA en Chine continentale

Ces dernières années, la Chine continentale a adopté et mis en œuvre plusieurs lois et mesures majeures pour réguler l’IA :

• Mesures sur l’IA générative: les Mesures provisoires pour la gestion des services d’IA (2) ont été publiées conjointement par la CAC (Cyberspace Administration of China) et la Commission nationale du développement et de la réforme, ainsi que par cinq autres ministères clés, le 13 juillet 2023. Elles sont entrées en vigueur le 15 août 2023. Ces mesures constituent la première réglementation administrative sur la gestion des services d’IA générative en Chine continentale et s’appliquent à toute personne utilisant une technologie d’IA générative pour fournir des services au public en Chine.
• Réglementation sur les recommandations algorithmiques: les Dispositions sur la gestion des recommandations algorithmiques dans les services d’information sur Internet (3) sont la première législation chinoise régulant l’utilisation des technologies de recommandation algorithmique dans la fourniture de services en ligne en Chine. Entrées en vigueur le 1er mars 2022, elles interdisent aux fournisseurs de services de recommandation algorithmique de générer de fausses informations ou de diffuser des contenus issus de sources non autorisées.
• Réglementation sur les hypertrucages (« deepfake »): les Dispositions sur l’administration des services d’information sur Internet utilisant les hypertrucages (4) sont entrées en vigueur le 10 janvier 2023, après leur adoption par la CAC, le ministère de l’industrie et des technologies de l’information et le ministère de la Sécurité publique le 25 novembre 2022. Elles visent à lutter contre les risques liés à cette technologie basée sur l’IA, qui peut générer ou modifier une image ou un contenu audio ou vidéo pouvant être perçu à tort comme authentique.
• Principes et cadres éthiques: les Mesures (expérimentales) d’examen de l’éthique scientifique et technologique sont entrées en vigueur le 1er décembre 2023. Elles imposent aux entreprises utilisant l’IA et certaines autres technologies de se soumettre à des examens éthiques scientifiques et technologiques.

Les textes énumérés ci-dessus montrent que les autorités chinoises ont adopté des règles ciblées et spécifiques à certains secteurs pour encadrer le développement des technologies d’IA. Le but est de ne pas surréglementer afin de ne pas porter atteinte à l’essor de l’IA en Chine continentale. Dans son rapport sur le travail du gouvernement 2025, présenté lors réunions parlementaires chinoises, communément appelées « les Deux Sessions », le Premier ministre chinois Li Qiang a cité l’IA comme l’une des industries d’avenir essentielles à la réalisation des objectifs économiques du pays et s’est engagé à faire progresser l’initiative « AI Plus » de la Chine.

Toutes ces réglementations et mesures ne s’appliquent pas à Hong Kong qui, bien que faisant partie de la Chine, dispose d’un cadre juridique propre.

Réglementation de l’IA à Hong Kong

Hong Kong n’a pas de législation globale unique régissant l’IA. En effet, les autorités ont préféré s’appuyer sur la législation existante en la complétant de réglementations sectorielles formulées par les régulateurs pour traiter les risques et enjeux liés à l’IA.

En 2021, le PCPD a publié ses premières recommandations générales sur l’IA dans son « Guide sur le développement et l’utilisation éthique de l’intelligence artificielle » (5). Ce document présente un cadre général de gouvernance de l’IA et adopte une perspective plus large que la seule protection des données personnelles, positionnant ainsi le PCPD comme un acteur clé sur ce sujet à Hong Kong.

Ensuite, le 11 juin 2024, le PCPD a publié le « Modèle de cadre de protection des données personnelles pour l’IA » (6), qui vient compléter le guide susmentionné en se concentrant spécifiquement sur la protection des données personnelles. En conformité avec l’Ordonnance sur la protection des données personnelles (Chapitre 486 des lois de Hong Kong) (7), ce cadre propose un ensemble de recommandations sur les bonnes pratiques à suivre par les organisations qui achètent, implémentent et utilisent des systèmes d’IA impliquant des données personnelles

Selon ce document, les organisations sont encouragées à élaborer des politiques, pratiques et procédures lors de l’acquisition et de l’utilisation des technologies d’IA sur les thématiques suivantes :

• stratégie et gouvernance de l’IA : mise en place d’une stratégie interne de gouvernance incluant (i) une stratégie d’IA, (ii) des critères de gouvernance pour l’acquisition de solutions d’IA et (iii) un comité de gouvernance de l’IA pour superviser le processus ;
• évaluation des risques et supervision humaine : adoption d’une approche fondée sur les risques, incluant une évaluation approfondie pour identifier, analyser et gérer les risques liés à l’utilisation des technologies d’IA ;
• personnalisation des modèles d’IA et gestion des systèmes d’IA : tests et validations rigoureux des modèles IA, proportionnels aux risques encourus, pour garantir leur bon fonctionnement ;
• communication et dialogue avec les parties prenantes : dialogue régulier et efficace avec les parties prenantes sur l’utilisation de l’IA.

Par ailleurs, d’autres régulateurs sectoriels ont également publié leurs propres directives sur la gouvernance de l’IA. Par exemple, le régulateur du secteur bancaire, l’Autorité monétaire de Hong Kong (HKMA), a émis des directives sur l’IA en général (8), l’IA générative (9) et l’utilisation de l’IA dans la surveillance des transactions (10). Elle a également mis en place un bac à sable permettant de tester des systèmes et applications d’IA sous sa supervision. Il en est de même dans les secteurs professionnels, où des organisations ont publié des recommandations pour leurs membres (c’est le cas de la Law Society of Hong Kong pour les avocats, par exemple) (11).

Conclusion

L’approche réglementaire adoptée en Chine continentale et à Hong Kong illustre bien les différentes stratégies mondiales qui peuvent être déployées en matière de réglementation de l’IA. Aucun des deux n’a adopté un modèle réglementaire général et unifié comme l’UE. Compte tenu de sa large population, les risques potentiels pour la stabilité sociale et le bien-être sont plus importants Chine continentale et le pays est donc davantage susceptible de développer des mesures législatives supplémentaires. De son côté, Hong Kong a opté pour un modèle de régulation sectoriel, s’appuyant sur la législation et les cadres réglementaires déjà en place.

Cette divergence entre la Chine continentale et Hong Kong témoigne également de la pertinence et l’application de la politique « un pays, deux systèmes », qui permet à Hong Kong d’opérer sous un régime juridique distinct fondé sur les principes de la common law.

Ernie Bot, DeepSeek, Gemini, Copilot et de nombreux autres systèmes d’IA générative, sont disponibles à Hong Kong. Ce n’est pas le cas en revanche de ChatGPT d’OpenAI (du moins officiellement, car des solutions de contournement existent). De manière générale, les législateurs et les régulateurs en Chine continentale et à Hong Kong restent attentifs aux opportunités et aux défis que posent les technologies d’IA générative pour la société.

*****

(1) https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX%3A32024R1689

(2) https://www.cac.gov.cn/2023-07/13/c_1690898327029107.htm

(3) https://www.gov.cn/zhengce/zhengceku/2022-01/04/content_5666429.htm

(4) https://www.cac.gov.cn/2022-12/11/c_1672221949354811.htm

(5) https://www.pcpd.org.hk/english/resources_centre/publications/files/guidance_ethical_e.pdf

(6) https://www.pcpd.org.hk/english/resources_centre/publications/files/ai_protection_framework.pdf

(7) https://www.elegislation.gov.hk/hk/cap486

(8) https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2019/20191101e1.pdf

(9) https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2024/GenAI_research_paper.pdf

(10) https://www.hkma.gov.hk/media/eng/doc/key-information/guidelines-and-circular/2024/20240909e1.pdf

(11) https://www.hklawsoc.org.hk/-/media/HKLS/Home/News/2024/LSHK-Position-Paper_AI_EN.pdf?rev=77bf900208614367b9cbb15fd10aaa58

PÁDRAIG WALSH
&
STEPHANIE SY

hongkong@lexing.network

Introduction

L’essor rapide des technologies d’IA générative a, partout dans le monde, provoqué un débat sur la nécessité de disposer de cadres juridiques solides pour réglementer leur développement et leur utilisation. Au Kenya, comme ailleurs, l’IA générative s’accompagne d’autant de défis que d’opportunités, dans tous les pans de la société : santé, finance, droit, éducation, commerce… Or, les arsenaux juridiques existants, principalement axés sur la protection des données et des droits de propriété intellectuelle et la cybersécurité, ne sont pas forcément adéquats pour répondre efficacement aux questions complexes induites, par exemple, par l’utilisation (potentiellement abusive) des contenus générés par l’IA. Le législateur doit donc s’emparer des implications éthiques, juridiques et sociétales de l’IA générative, notamment en termes de responsabilité, de transparence et de protection de la vie privée.

Alors que le Kenya a pour ambition de devenir un acteur important dans le domaine de l’innovation numérique, les décideurs politiques et les experts juridiques du pays ont engagé une réflexion afin de trouver un équilibre et tirer parti des avantages créés par l’IA générative tout en préservant les intérêts publics.

Pour l’heure, le développement et l’utilisation d’IA génératives au Kenya sont encadrés par les lois suivantes :

Loi sur la protection des données de 2019

Les données à caractère personnel, qui jouent bien souvent un rôle central dans le développement et le déploiement des IA génératives, sont protégées par la loi de 2019 (1). En vertu de cette loi, les entreprises, les développeurs et les utilisateurs d’IA sont tenus de s’assurer que toutes les données personnelles utilisées par leurs systèmes d’IA sont collectées et utilisées de manière licite, loyale et transparente, ainsi que de recueillir le consentement informé des personnes concernées. L’objectif est d’empêcher toute collecte de données qui se ferait à l’insu des personnes concernées ou de manière contraire à l’éthique. Ceci est indispensable au regard des capacités de l’IA à analyser et à générer des informations à partir de données personnelles. En outre, les organisations qui utilisent l’IA générative doivent s’assurer que leurs traitements de données à caractère personnel reposent bien sur une base juridique claire (consentement explicite des personnes, poursuite d’intérêts légitimes qui ne prévalent pas sur le droit à la vie privée des personnes concernées etc.)

La loi définit les rôles et responsabilités des responsables du traitement et les sous-traitants. Elle leur impose notamment le respect des principes de minimisation, d’exactitude et de limitation des finalités, dans le but d’empêcher toute collecte excessive de données qui pourrait conduire à des atteintes à la vie privée. Ils sont tenus de s’assurer que les données personnelles sont exactes et tenues à jour, ce qui ce qui n’est pas une mince affaire pour les modèles d’IA génératifs, qui peuvent produire des résultats basés sur des données obsolètes ou non pertinentes. Des exigences strictes sont posées en matière de protection des données à caractère personnel contre l’accès et l’utilisation non autorisés. Les sanctions importantes appliquées en cas de non-respect de ces dispositions ne peuvent qu’inciter à faire de la protection de la vie privée et de la sécurité des données personnelles une priorité absolue.

Enfin, la loi de 2019 a institué le Bureau du commissaire à la protection des données (Office of the Data Protection Commissioner) et lui a donné pour mandat de contrôler le respect de ses dispositions et d’en sanctionner les violations. Dans le contexte de l’IA générative, cela signifie que les applications utilisant de l’IA doivent respectent les règles juridiques établies en la matière et que les personnes concernées disposent de droits d’accès, de rectification et de suppression concernant leurs données personnelles. Le Commissaire à la protection des données kenyan est habilité à auditer les systèmes d’IA et à prononcer des avis d’exécution si des violations sont identifiées, obligeant ainsi les développeurs et les opérateurs d’IA à lui rendre des comptes.

Loi sur l’utilisation abusive des ordinateurs et la cybercriminalité de 2018

Cette loi (2) pose un cadre pour l’utilisation des systèmes informatiques, met en place des mesures pour lutter contre la cybercriminalité, prévoit des sanctions à l’encontre des cybercriminels et protège le droit à la vie privée, à la liberté d’expression et d’accès à l’information.

Parce qu’elle définit les différents types de cybercrimes et les sanctions correspondantes, cette loi est à prendre dûment en considération dans le cadre du développement et de l’utilisation de systèmes d’IA générative au Kenya. En effet, les développeurs de systèmes d’IA sont tenus, lors du développement de leurs systèmes, de mettre en place des garde-fous afin que ces systèmes ne puissent pas être exploités par des cybercriminels. De leur côté, les utilisateurs d’IA générative doivent s’assurer qu’ils utilisent ces systèmes dans les limites de la loi, sous peine de s’exposer à des sanctions pénales.

Loi sur la propriété industrielle de 2018

Cette loi (3) régit les brevets, les modèles d’utilité, les innovations technologiques et les dessins industriels. Les inventions logicielles peuvent être brevetées si elles répondent aux critères des inventions brevetables énoncés dans ce texte, c’est-à-dire si elles sont nouvelles, présentent une activité inventive et sont susceptibles d’application industrielle. La loi définit les droits et obligations du propriétaire d’une invention, la procédure de demande de brevet et les conditions d’obtention d’un brevet.

Par ailleurs, dans le contexte d’une relation employé-employeur, la loi définit les critères d’enregistrement pour les innovations technologiques créées par un salarié (« technovations »), la procédure de demande d’un certificat reconnaissant les droits du salarié, les modalités d’utilisation de telles innovations et de rémunération accordée au salarié bénéficiant de ce certificat (le « technovateur »). Elle fixe aussi des mécanismes de résolution de litiges relatifs à ce type d’innovations.

Grâce à cette loi, les entreprises et les innovateurs dans le domaine de l’IA générative voient donc leurs innovations protégées par la loi.

Loi sur le droit d’auteur

La loi sur le droit d’auteur (4), qui règlemente les droits d’auteur et leur enregistrement, constitue pour les entreprises et les innovateurs dans le domaine de l’IA générative un autre levier pour garantir leurs droits de propriété intellectuelle.

Cette loi a créé la Commission du droit d’auteur du Kenya (KECOBO) qui a notamment pour mission de superviser la mise en œuvre des lois et traités internationaux sur le droit d’auteur auxquels le Kenya est partie, ainsi que de fournir des licences et des certificats de droit d’auteur. Par l’intermédiaire de cette commission, les entreprises étrangères et les innovateurs peuvent protéger de manière adéquate leurs systèmes d’IA lorsqu’ils sont utilisés au Kenya.

*****

(1) The Data Protection Act of 2019, Chapter 24 Laws of Kenya

(2) The Computer Misuse and Cybercrimes Act of 2018, Chapter 5 Laws of Kenya)

(3) The Industrial Property Act of 2018, Chapter 509 Laws of Kenya

(4) The Copyright Act, Chapter 130 Laws of Kenya

NELSON MATENDO NKARI
&
RUTH KAVITHE MUASYA

nigeria@lexing.network

Au Mexique, 57 % des internautes déclarent avoir déjà utilisé une application d’intelligence artificielle (IA), 30 % admettent ne pas l’avoir fait et 13 % ne savent pas s’ils l’ont déjà fait. En outre, 55 % considèrent l’IA comme un outil utile pour la prise de décision, 23 % sont incertains de son utilité et 22 % sont préoccupés par cette technologie.

Ces chiffres sont tirés de la « 19e étude sur les habitudes des utilisateurs d’Internet au Mexique en 2023 » (1), réalisée par l’Internet Association MX.

L’influence croissante de l’IA dans divers aspects de la vie quotidienne a entraîné la nécessité d’établir des cadres réglementaires solides dans le monde entier. Le Mexique ne fait pas exception et, ces dernières années, plusieurs initiatives législatives ont été prises dans le but de réglementer le développement et l’utilisation de cette technologie.

Pourquoi est-il important de réglementer l’IA ?

Il est essentiel de réglementer l’IA pour plusieurs raisons :

• la protection des droits de l’homme : l’IA peut avoir des répercussions importantes sur des droits tels que le droit à la vie privée, à la non-discrimination et à la liberté d’expression.
• la sécurité : il est nécessaire de veiller à ce que les systèmes d’IA soient sûrs et fiables, pour éviter les risques qu’ils comportent, tels que la manipulation d’informations ou la prise de décision biaisée.
• la responsabilité : il est essentiel d’établir un régime clair de responsabilités en cas de dommages causés par les systèmes d’IA.
• l’innovation : une réglementation adaptée constitue le terreau d’une innovation responsable et d’une concurrence loyale dans le secteur de l’IA.

Initiatives législatives au Mexique

Au Mexique, plusieurs projets de loi ont été proposés pour réglementer l’IA. Les plus notables sont les suivants :

• projet de loi fédérale régissant l’IA : proposé par le sénateur Ricardo Monreal, ce texte, qui s’inspire des mesures prises par l’Union européenne et le Chili, jette les bases d’un cadre réglementaire de l’IA. Il prévoit un système d’autorisations et fixe des amendes en cas de violation de ses dispositions.
• projet de loi sur la réglementation éthique de l’IA et de la robotique : proposé par le député Ignacio Loyola Vera, ce texte vise à réglementer l’utilisation de l’IA à des fins gouvernementales, économiques, commerciales, administratives, financières et de communication, dans le respect de l’éthique et de la loi.

Points clés de ces initiatives

• définition de l’IA : ces textes cherchent à établir une définition claire et compréhensible de ce qui est considéré comme de l’IA.
• principes éthiques : les principes éthiques tels que la transparence, la responsabilité et la non-discrimination sont érigés en piliers de la réglementation.
• autorisation : une autorisation préalable est requise pour le développement et la commercialisation de certains systèmes d’IA.
• supervision : un organisme de réglementation est créé pour surveiller le respect de la loi et imposer des sanctions en cas de non-respect.
• responsabilité : les responsabilités des développeurs, des fournisseurs et des utilisateurs de systèmes d’IA sont définies.

Défis et opportunités

Le chemin qui mène vers une réglementation de l’IA est semé de nombreux écueils : l’évolution rapide des technologies, leur complexité technique ou encore l’impératif de trouver un équilibre entre innovation et protection. Le jeu en vaut toutefois la chandelle, car le Mexique pourrait ainsi se positionner en tant que leader dans le développement d’une IA éthique et responsable.

Aspects à prendre en compte pour une réglementation de l’IA au Mexique

• adaptabilité: les règles doivent être souples pour s’adapter au gré des innovations technologiques dans un domaine en constante évolution.
• collaboration: l’instauration d’une collaboration entre le gouvernement, les universités, le secteur privé et la société civile est essentielle pour abouti à un consensus.
• gestion des risques : les risques associés à l’IA doivent être atténués, mais sans entraver l’innovation.
• protection des données personnelles: la réglementation de l’IA doit nécessairement être étroitement liée à la protection des données personnelles.

Conclusion

La régulation de l’IA est au cœur de l’actualité au Mexique. Les projets de loi proposés jusqu’à présent constituent une première étape vers la création d’un cadre réglementaire solide et adapté. Cependant, le Sénat a annulé l’analyse de ces projets de loi lors de la législature précédente (période de débat qui s’est achevée le 31 août 2024).

La nouvelle session législative, débutée en septembre 2024, a introduit des mesures significatives reflétant l’importance croissante de l’IA dans la réglementation, au premier rang desquelles l’établissement, par le Sénat, de la Commission de l’Innovation et de l’IA le 8 octobre 2024. En outre, une proposition présentée le 29 octobre 2024, qui vise à créer un cadre réglementaire pour l’utilisation de l’IA dans les activités numériques, inclut la mise en place d’un Centre National de l’IA chargé de coordonner l’application d’une politique nationale en matière d’IA. Elle s’inspire du modèle fondé sur les risques du Règlement européen sur l’IA de l’Union européenne et souligne l’importance de la régulation de l’IA pour relever les défis de la transformation numérique. Elle intègre des principes directeurs qui en dessine les contours, tels que le respect de l’éthique, la légalité, la transparence, la gouvernance ouverte et la prévention de l’utilisation de l’IA à des fins de manipulation sociale ou de biais idéologique. Cette, proposition en cours d’examen par les commissions législatives depuis le 13 décembre 2024.

*****

(1) https://irp.cdn-website.com/81280eda/files/uploaded/19%20Estudio%20sobre%20los%20Hai-bitos%20de%20Usuarios%20de%20Internet%20en%20Mei-xico%202023%20.pptx.pdf

ENRIQUE OCHOA DE GONZÁLEZ ARGUELLES
&
MITZY FERNANDA PÉREZ GALICIA
&
OMAR ALEJANDRI RODRÍGUEZ

mexico@lexing.network

I. Contexte

Les modèles d’IA générative tels que OpenAI, Gemini, Microsoft Copilot, Meta AI, Claude, sans oublier DeepSeek, le petit dernier qui a fait une entrée fracassante sur le marché, redéfinissent le paysage technologique.

La Suède, nation engagée pour l’innovation et le bien-être social, compte bien encadrer les transformations provoquées par l’IA pour adapter les opportunités qu’elle offre (optimisation des processus, amélioration de l’expérience utilisateur etc.) à l’aune de la réglementation nationale, particulièrement en termes d’éthique et de droits des travailleurs. Le présent article se penche sur les opportunités, les défis et les règles nécessaires pour une adoption responsable de l’IA en Suède.

II. Vue d’ensemble de la situation en Suède

En Suède, les IA génératives suscitent un fort intérêt tant dans le secteur privé que public. En effet, cette technologie permet d’optimiser les processus et d’améliorer les services dans des domaines tels que le service client, l’éducation et la santé, et les entreprises suédoises cherchent tout naturellement à intégrer ces IA génératives à leurs activités pour accroître leur productivité et améliorer l’expérience client.

Considérations juridiques et éthiques. Le 5 février 2025, l’Autorité suédoise de protection des données (IMY) a publié des lignes directrices sur la conformité du RGPD avec les IA génératives, dans lesquelles elle aborde des thématiques telles que les principes de protection des données, la répartition des rôles entre responsables du traitement et sous-traitants, la nécessité de disposer d’une base légale pour l’utilisation de l’IA, l’évaluation de l’impact d’une prise de décision automatisée, les transferts de données, la protection des droits des personnes concernées et la réalisation d’évaluations de risques approfondies.

La Suède a pris des mesures proactives en matière d’éthique de l’IA. L’agence d’innovation suédoise Vinnova a publié des recommandations pour un développement éthique et responsable de l’IA, insistant sur l’importance de la transparence, de l’équité et du respect des droits humains lors de la mise en œuvre des systèmes d’IA générative.

Enjeux et limites.

• (1) Adaptation linguistique : Les IA génératives nécessitent un ajustement pour une utilisation précise des termes techniques et des nuances culturelles en suédois.
• (2) Impact sur le marché du travail : des discussions sont en cours entre syndicats et employeurs suédois pour trouver un juste équilibre entre innovation et droits des travailleurs, y compris pour garantir l’acquisition des compétences techniques nécessaires.

III. Évolutions réglementaires récentes en matière d’IA

Surveillance des employés chez H&M (2020). La société H&M a secrètement enregistré des informations privées sur ses employés à l’aide de systèmes de surveillance utilisant l’IA. Ces faits constituaient une violation des principes de transparence et de minimisation des données prévus par le RGPD, pour laquelle l’enseigne de vêtements suédoise a été sanctionnée (1).

Reconnaissance faciale à l’aide de l’IA par la police nationale (2020). La police suédoise a utilisé, sans base légale, une IA de reconnaissance faciale dans des espaces publics. Ces faits constituaient une violation du RGPD du fait de l’absence d’une finalité claire et légitime pour procéder au traitement de données à caractère personnel. En l’espèce, l’utilisation de cette technologie a donc été jugée illégale (2).

IA à des fins de recrutement – Tribunal du travail suédois (2021). Une entreprise suédoise a utilisé l’IA dans le cadre de ses processus d’embauche afin évaluer les candidatures reçues. Problème : l’entreprise n’a pas informé les candidats de l’utilisation de l’IA dans la prise de décision automatisée, en violation du principe de transparence garanti par le RGPD. Le tribunal a par conséquent conclu que la violation du RGPD était bien caractérisée (3).

Amende RGPD contre Facebook (Meta) (2021). A l’issue d’une enquête menée à l’échelle de l’UE, Facebook (Meta)a écopé d’une amende de 225 millions d’euros pour manque de transparence concernant le traitement des données à caractère personnel effectué au moyen de l’IA à des fins de publicité ciblée (4). En effet, Facebook utilisait l’IA pour analyser le comportement des utilisateurs et personnaliser les publicités sans fournir suffisamment d’informations sur le traitement des données concernées. Cette affaire a établi un précédent en matière de la transparence en cas de recours à l’IA dans toute l’UE, et donc également en Suède.

IV. Cas d’usage de l’IA en Suède

Conseil d’éthique de l’IA dans le secteur de la santé. En réponse à l’utilisation croissante de l’IA dans ce domaine, la Suède a créé en 2024 un conseil national d’éthique de l’IA dans le secteur de la santé. Ce conseil élabore actuellement des lignes directrices sur l’utilisation de modèles de langage (LLM) et les IA génératives, avec pour axes prioritaires la confidentialité et l’exactitude des données ainsi que la relation médecin-patient.

Mesures pour la transparence sur l’IA dans les municipalités. Plusieurs villes suédoises, dont Stockholm et Göteborg, ont pris des mesures en faveur de la transparence de l’IA. Leurs services publics alimentés par l’IA, IA génératives comprises, doivent être clairement étiquetés et leurs processus de décision doivent être expliqués.

Comité européen de la protection des données (CEPD). En 2024, une enquête a révélé que l’Agence suédoise de sécurité sociale (Försäkringskassan) utilisait des IA qui ciblaient de manière disproportionnée les groupes marginalisés, notamment les femmes et les personnes issues de l’immigration, dans les inspections réalisées pour débusquer les fraudes aux prestations sociales. L’association Amnesty International a dénoncé ces pratiques et réclamé l’arrêt immédiat de ces systèmes d’IA, invoquant des violations des droits à la sécurité sociale, à l’égalité, à la non-discrimination et à la vie privée.

V. Débats et controverses en cours sur l’IA

IA et journalisme. Le syndicat suédois des journalistes débat des usages éthiques de l’IA générative dans le secteur de l’information, afin de garantir l’intégrité et la transparence journalistiques.

IA et droit du travail. Les syndicats et les employeurs négocient les conséquences de l’IA sur l’emploi, notamment en ce qui concerne la formation des employés, la suppression de certains postes de travail et l’existence d’une intervention humaine dans les décisions prises par l’IA.

VI. L’IA générative dans le contexte plus large de l’UE

• La stratégie suédoise en matière d’IA générative s’aligne sur l’évolution du cadre réglementaire européen, qui comprend notamment les initiatives suivantes :
• Le règlement sur l’IA (« RIA ») établit un cadre juridique harmonisé. Il classe les systèmes d’IA par niveau de risque et impose des exigences strictes aux applications à haut risque, y compris l’IA générative, dans les secteurs sensibles.
• La stratégie européenne en matière d’IA promeut l’innovation en matière d’IA, tout en garantissant une IA éthique et digne de confiance, les investissements et le développement des compétences.
• La stratégie européenne en matière de données vise à créer un marché unique des données, essentiel pour l’entraînement et le fonctionnement des IA génératives, tout en garantissant la protection des données.
• Les lignes directrices en matière d’éthique pour une IA digne de confiance présentent des exigences pour garantir le contrôle humain, la sécurité, la transparence, la non-discrimination et le bien-être sociétal.
• Le plan coordonné pour l’IA favorise une approche collaborative entre les États membres de l’UE afin d’harmoniser les stratégies nationales et réguler les applications de l’IA en fonction de leur niveau de risque.

VI. Conclusion

La Suède se trouve à un moment charnière de la révolution de l’IA. L’IA générative offre un potentiel considérable, mais son adoption doit se faire en tenant compte des impératifs légaux et éthiques du pays. En respectant le RGPD, et en promouvant l’éthique et la transparence, la Suède peut réussir à concilier innovation et responsabilité. L’alignement sur la stratégie européenne en matière d’IA est également décisif pour favoriser l’exploitation des technologies dans le respect de droits fondamentaux et des valeurs sociétales.

*****

(1) Commissaire à la protection des données et à la liberté d’information de Hambourg, 2020

(2) Autorité de protection des données suédoise 2020

(3) Tribunal du travail suédois, affaire n°2021-08-23

(4) Comité européen de la protection des données (CEPD), Décision de 2021

Références générales :

https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_FR.pdf

https://www.europarl.europa.eu/doceo/document/TA-9-2023-0069_FR.pdf

https://eur-lex.europa.eu/legal-content/FR/TXT/PDF/?uri=CELEX:32016R0679

https://www.ai.se/en/news/update-ai-swedens-legal-expert-group

https://www.ai.se/en/decision-makers/ai-strategy-sweden

https://digital-strategy.ec.europa.eu/fr/library/third-draft-general-purpose-ai-code-practice-published-written-independent-experts

https://iclg.com/practice-areas/digital-business-laws-and-regulations/sweden

https://news.bloomberglaw.com/us-law-week/eu-ai-act-provides-gcs-innovation-guideposts-not-barriers

https://dig.watch/updates/overview-of-ai-policy-in-15-jurisdictions

https://automatingsociety.algorithmwatch.org/report2020/sweden/

https://www.smithlaw.com/newsroom/publications/the-future-of-ai-compliance-preparing-for-new-global-and-state-laws

https://justai.in/ai-regulation-in-sweden/

https://aaronhall.com/legal-challenges-of-ai-generated-content-ownership/

https://www.computerweekly.com/news/366618880/Swedish-commission-delivers-roadmap-to-drive-Artificial-Intelligence-reforms

https://ai-watch.ec.europa.eu/countries/sweden/sweden-ai-strategy-report_en

KATARINA BOHM HALLKVIST

sweden@lexing.network