Une régulation de l'intelligence artificielle en pleine effervescence
Alors que la Suisse peut sembler attentiste sur la régulation de l'IA, les entreprises suisses sont en réalité déjà confrontées à un paysage juridique complexe et en rapide évolution. Elles doivent s'armer d'une gouvernance robuste pour faire face et assurer une utilisation responsable de l'IA.
Le Conseil fédéral planche sur la régulation de l'IA
En novembre 2023, le Conseil fédéral a annoncé qu'il travaillait sur un «aperçu des approches réglementaires possibles» de l'IA, qui devrait être publié d'ici fin 2024. Cette initiative peut donner l'impression qu'il n'existe actuellement pas de réglementation de l'IA en Suisse et qu'il n'y en aura pas de sitôt. C'est en partie vrai: à la différence de l'Union européenne, qui a récemment adopté son «règlement sur l'IA», la Suisse ne dispose pas pour le moment d'une législation spécifique à l'IA.
Les règles existent – mais encore faut-il les appliquer
Néanmoins, il existe déjà toute une série de législations applicables en la matière, même si leur application peut laisser à désirer. En premier lieu, la loi fédérale sur la protection des données (LPD) est applicable dès que des données personnelles sont concernées, ce qui sera souvent le cas. Cette loi restreint par exemple la possibilité de réutiliser des données personnelles pour des finalités non anticipées, telles que l'entraînement de modèles d'IA. Elle impose également des obligations de transparence, en particulier en cas de décisions automatisées. Et il peut être nécessaire de réaliser des analyses d'impact avant de déployer de nouveaux outils.
La loi sur le droit d'auteur (LDA) s'applique également directement à l'IA, en restreignant l'utilisation d'œuvres protégées pour l'entraînement des modèles d'IA. Ces restrictions sont d'ailleurs plus strictes en Suisse qu'en Europe ou aux États-Unis, ce qui pourrait réserver de mauvaises surprises. Il faut au demeurant être conscient lors de l'utilisation d'outils d'IA que la protection octroyée par la LDA sur les contenus générés de cette manière est limitée : le plus souvent, ces contenus ne seront pas protégés contre une réutilisation, même dans les cas où beaucoup d'efforts ont été investis dans leur génération.
Il faut ensuite prendre garde à la manière et au contexte dans lequel on commercialise un système d'IA. Ainsi, si l'on survend les performances de son système d'IA – ou invente de l'IA là où il n'y en a pas vraiment – l'on pourrait tomber sous le coup de la loi sur la concurrence déloyale (LCD) ou engager sa responsabilité contractuelle. Et si on indique pouvoir répondre à des questions médicales, alors le système sera probablement soumis aux règles très strictes applicables aux dispositifs médicaux.
L'utilisation de systèmes d'IA peut enfin enfreindre des normes pénales. Ainsi, l'IA générative peut servir à commettre des escroqueries, des atteintes à l'honneur, ou encore à usurper l'identité de tiers (une disposition pénale nouvellement prévue). De manière plus générale, les risques de mauvaise utilisation des outils d'IA que l'on déploie ou utilise devraient systématique être évalués.
Vers une convention internationale sur l'IA
Au niveau international, nous l'avons déjà mentionné, l'UE a finalement adopté le 21 mai 2024 son règlement sur l'IA, un texte imposant dont les effets en Suisse se feront sans aucun doute ressentir. Quelques jours plus tôt, le Conseil de l'Europe a adopté la première convention internationale sur l'IA. La Suisse ayant été activement associée à sa genèse, il est probable qu'elle ratifie cette convention, auquel cas elle devra être mise en œuvre dans la législation suisse.
Mettre en place une gouvernance appropriée
On le voit : le cadre législatif de l'IA, loin d'être inexistant, est en pleine effervescence. Les législations actuelles sont réinterprétées « façon IA », pendant que de nouvelles règles sont concoctées. Pour se préparer à un paysage en constante mutation et éviter les mauvaises surprises, les entreprises doivent amorcer dès à présent une réflexion générale sur l'utilisation de l'IA et mettre en place une gouvernance appropriée pour s'assurer que leur utilisation de l'IA est et restera légale, éthique et robuste. Heureusement, il existe de nombreuses références, lignes directrices, et autres framework sur lesquels les entreprises peuvent s'appuyer pour assurer un déploiement responsable de l'IA.
