Le règlement IA adopté, la fuite en avant techno-solutionniste peut se poursuivre

La Quadrature du Net

#surveillance #technopolice #IA #laquadraturedunet

Article mis en ligne le 26 janvier 2025

dernière modification le 24 janvier 2025

Réunis au sein du Conseil de l’Union européenne, les États-membres ont adopté hier le règlement IA, dédié à la régulation des systèmes d’Intelligence Artificielle. Cette étape marque l’adoption définitive de cet édifice législatif en discussion depuis 2021, et présenté au départ comme un instrument de protection des droits et libertés face au rouleau compresseur de l’IA. À l’arrivée, loin des promesses initiales et des commentaires emphatiques, ce texte est taillé sur mesure pour l’industrie de la tech, les polices européennes et autres grandes bureaucraties désireuses d’automatiser le contrôle social. Largement fondé sur l’auto-régulation, bardé de dérogations, il s’avère totalement incapable de faire obstacle aux dégâts sociaux, politiques et environnementaux liés à la prolifération de l’IA.

L’histoire avait commencé avec de belles promesses. En avril 2021, au moment de présenter sa proposition de règlement relatif à l’Intelligence Artificielle, la Commission européenne nous écrivait pour nous rassurer : elle porterait la « plus grande attention » à la pétition européenne lancée à l’époque contre la reconnaissance faciale. Le texte présenté quelques jours plus tard par la Commission s’accompagnait d’une proposition de moratoire sur certains de ces usages, au milieu d’un ensemble de mesures conçues pour mettre un minimum d’ordre dans un marché de l’IA en plein essor.

Deux ans plus tard, le Parlement européen poussait le texte un cran loin, étendant diverses interdictions relatives aux usages policiers des techniques d’IA, ou contre les systèmes de « scoring » et autres formes de « notation sociale ». Mais après les coups de butoir des gouvernements des États-membres, au premier rang desquels les autorités françaises, rien ou presque des promesses initiales ne subsiste. Reste un « paquet législatif » certes volumineux, voire bavard, mais aussi très flou. Le règlement fait la part belle à l’auto-régulation et s’avérera incapable de protéger l’intérêt général face à la prolifération programmée des systèmes d’IA.
Une loi pour faire proliférer l’IA

Comme nous l’avions craint, plutôt que d’élever les garanties en matière de droits fondamentaux, le règlement IA vise à faire proliférer la production de données et leur collecte au bénéfice de l’industrie. Les textes européens comme le Règlement européen sur la protection des données (RGPD), entrés en vigueur en 2018, se retrouvent en partie affaiblis par ces nouvelles règles spéciales applicables aux systèmes d’IA.

Mais pour les acteurs publics et privés ayant poussé à l’adoption de ce texte, l’enjeu prioritaire n’a jamais été de protéger les droits fondamentaux. Le règlement est fondé sur une approche « par les risques », classant les types de systèmes d’IA ou leurs domaines d’application (police, santé, emploi, etc.) en fonction de quatre catégories de risque (risque faible non ciblé par le règlement ; risque limité pour certains systèmes soumis aux seules mesures de transparence prévues par l’article 50 ; risque élevé soumis aux obligations diverses du règlement ; risque inacceptable pour les quelques pratiques interdites par l’article 5).

À travers cet édifice législatif destiné à réguler un sous-secteur de l’industrie informatique en pleine expansion, et alors que les controverses autour de l’IA se multiplient – qu’il s’agisse de ses effets déshumanisants sur le travail, de son coût environnemental, de son impact sur les droits fondamentaux –, l’objectif est avant tout de poser les conditions d’une plus grande « acceptabilité sociale » de ces technologies pour mieux les imposer.

Dans ce processus, Emmanuel Macron et le gouvernement français auront joué à merveille leur partition. (...)

La stratégie française est assumée. Elle se poursuit aujourd’hui à travers le projet de loi « simplification de la vie économique », qui vise notamment à accélérer les procédures de construction de data centers en faisant obstacle aux contestations locales. (...)

L’argument de la souveraineté numérique avancé par la France pour abaisser les exigences du règlement IA a donc bon dos, puisqu’en pratique l’État s’accommode très bien du renforcement des positions dominantes des multinationales de la tech.

En vertu du règlement adopté hier, ce sont les entreprises qui conçoivent les systèmes d’IA qui seront les premières compétentes pour de prononcer sur le niveau de risque que présentent leurs produits (article 43). (...)

De manière générale, les formes de régulation promues par le règlement s’assimilent essentiellement à de l’auto-régulation et au suivi de « bonnes pratiques », le tout sous l’égide d’organismes de standardisation de droit privé (le CEN-CENELEC au niveau européen ou l’AFNOR en France) au sein desquels l’industrie aura toutes latitudes2. Et si un peu de transparence est permise, pas question qu’elle mette pour autant en cause le sacro-saint « secret des affaires », mentionné à de multiples reprise dans le texte. (...)

Autre signe des considérations dont l’industrie fait l’objet, le chapitre VI contient un grand nombre de dispositifs réglementaires censés « soutenir l’innovation », afin de permettre au secteur privé d’entraîner ses modèles d’IA avec un soutien renforcé des pouvoirs publics.
La Technopolice en roue libre (...)

En pratique, toutes les formes d’IA policières contre lesquelles nous nous battons dans le cadre du projet Technopolice semblent permises par le règlement, de la VSA à la police prédictive. Tout au plus pourront-elles être considérées comme « à haut risque », car relevant de certains domaines d’applications sensibles définis dans l’annexe III3. Elles seront alors soumises à des obligations renforcées de transparence et de standardisation : les responsables de ces systèmes devront ainsi identifier, évaluer et traiter les « risques raisonnablement prévisibles (…) pour la santé, la sécurité ou les droits fondamentaux » (article 9.2), mettre en place des bonnes pratiques en matière de gouvernance des données (article 10), et tenir des registres liés aux activités de leurs systèmes (article 12). Standardisation et auto-régulation, sous l’égide d’agences publiques chargées d’organiser le tout, seront donc de mise.

La transparence des systèmes à haut risque restera extrêmement limitée en matière technopolicière. Car si de tels systèmes doivent normalement être répertoriés dans un registre public, les forces de l’ordre et les services d’immigration ont obtenu une dérogation (articles 49.4 et 71). Ils n’auront pas non plus à publier les études d’impact, ce qui est normalement obligatoire pour les systèmes à haut risque.

Enfin, même lorsqu’ils seront effectivement classés à haut risque, encore faut-il que les systèmes IA n’échappent pas à l’autre dérogation léonine ajoutée au texte. (...)

Toutes ces notions juridiques paraissent particulièrement larges et laissent la porte ouverte à tous les abus, a fortiori dès lors qu’elles sont laissées à l’appréciation d’acteurs privés.

Quant aux systèmes de police prédictive basés sur le calcul de scores de risque par zones géographiques, dont nous soulignions récemment les dangers en terme de discrimination, il semble qu’ils échappent à la définition très restrictive proposée en la matière dans l’annexe III relative aux systèmes à haut risque, et donc aux obligations prévues pour cette catégorie4.

Algos de contrôle social et greenwashing en embuscade (...)

La « notation sociale » – par exemple celle pratiquée par les Caisses d’allocations familiales que nous documentons depuis des mois – reste permise dès lors qu’elle ne relève pas, à l’instar des systèmes expérimentés en Chine, d’un système centralisé captant des données issues de contextes sociaux différents (police, travail, école, etc.) (considérant 31). Les notations sectorielles utilisées par les organismes sociaux pourront donc continuer de plus belle : bien qu’il les classe dans les applications à haut risque, et en dehors de quelques obligations procédurales déjà évoquées, le règlement n’apporte rien pour lutter efficacement contre les algorithmes discriminatoires des administrations sociales en matière de notation et de flicage des bénéficiaires.

Restent des déclarations de principe, dont la nature contradictoire devrait pourtant sauter aux yeux. (...)

À l’arrivée, loin de protéger les valeurs de démocratie, d’État de droit et de respect pour l’environnement que l’Union européenne prétend encore incarner comme un phare dans la nuit, le règlement IA reste le produit d’une realpolitik désastreuse. Face à l’étau formé par la Chine et les États-Unis, il doit en effet permettre de relancer l’Europe dans la course aux dernières technologies informatiques, perçues comme de véritables étalons de puissance. Non seulement cette course paraît perdue d’avance mais, ce faisant, l’Union européenne participe à légitimer une fuite en avant techno-solutionniste dangereuse pour les libertés et insoutenable au plan écologique.

La généralisation de l’IA, en tant que paradigme technique et politique, a pour principal effet de démultiplier les dégâts engendrés par la sur-informatisation de nos sociétés. Puisqu’il est désormais clair que ce règlement ne sera d’aucune utilité pour enrayer l’emballement actuel, c’est d’autres moyens de lutte qu’il va nous falloir collectivement envisager.

Le contrat d’engagement républicain, outil de mise au pas du monde associatif

Créé afin de lutter contre « l’islamisme radical » et « tous les séparatismes », le contrat d’engagement républicain (CER) n’a, à ce jour, jamais en réalité été invoqué à l’égard d’associations confessionnelles, qu’elles soient islamistes ou liées à d’autres mouvements radicaux ou séparatistes, révèle un décompte réalisé par l’Observatoire des libertés associatives.

Et sur les vingt-quatre cas relevés, seuls trois portent sur des faits liés à la religion musulmane au sein d’associations telles qu’une section locale du Planning familial, accusée d’avoir représenté une femme voilée sur une affiche, une MJC, à laquelle on a reproché d’avoir embauché des femmes voilées, et une association d’aide aux femmes, accusée sans preuve de « prosélytisme religieux ».

Pour le reste, le CER, que les associations doivent obligatoirement signer lorsqu’elles demandent une subvention, a été brandi à l’égard de l’association Alternatiba Poitiers accusée de « désobéissance civile » ; d’une association d’aide aux mal-logé·es, l’Atelier populaire d’urbanisme (APU), dont une salariée est accusée de violences verbales envers des agents municipaux ; d’une association d’aide aux immigré·es ayant appelé à une manifestation contre les violences policières interdites ; d’une télévision associative, Canal Ti Zef à Brest, mobilisée dans la lutte contre l’évacuation d’un squat ; ou encore d’une compagnie de théâtre, la compagnie Arlette Moreau à Poitiers, ayant moqué son préfet. (...)

Lors de l’adoption de la loi séparatisme, à l’été 2021, des député·es de l’opposition et des responsables associatifs avaient déjà alerté sur les risques d’un détournement du CER dans un but de répression politique. (...)

Parler de détournement du CER est excessif. Lorsqu’on relit les débats parlementaires, on se rend en effet compte que la majorité assumait, dès le départ, le fait de ne pas viser exclusivement les associations séparatistes radicales mais toute association ayant recours à certains modes d’action liés à la désobéissance civile. (...)

Pourtant, malgré ce champ d’application particulièrement large, le contrat d’engagement républicain est en partie un échec pour le gouvernement. « Le bilan est encore loin d’être concluant », constatait un rapport d’évaluation du Sénat publié au mois de mars, qui soulignait le peu de cas de mobilisation du CER – quatre selon le rapport – et des modalités d’application disparates en fonction des collectivités. « Cette loi ne fait peur à personne. Surtout pas aux islamistes », assénait même sa rapporteuse, Jacqueline Eustache-Brinio.

Comment le gouvernement s’est lui-même piégé (...)

En créant ce contrat, le gouvernement s’est en quelque sorte piégé lui-même. Il n’existe pas en effet de droit à la subvention pour les associations. Chaque collectivité dispose de ce fait d’un droit discrétionnaire en matière d’attribution et elle peut refuser ou accorder telle ou telle subvention sans avoir à se justifier.

En créant le CER, la loi séparatisme a créé un nouvel acte administratif qui offre une prise juridique, un recours possible pour les associations. Or, dans la seule décision visant directement le CER rendue à ce jour, le tribunal administratif de Poitiers a rejeté la demande du préfet de la Vienne visant à obtenir le remboursement d’une subvention versée à l’association Alternatiba pour avoir tenu un atelier de désobéissance civile.

D’autres recours lancés ces derniers mois devraient permettre de préciser cette jurisprudence naissante. (...)

il n’est par exemple qu’évoqué à l’oral dans une réunion ou dans un mail ou brandit comme une menace, sans que l’on sache s’il est vraiment à l’origine d’une sanction à non.

Au mois d’août dernier, Le Monde révélait ainsi qu’il existe une « liste rouge » d’associations basées dans la région du plateau de Millevaches qui seraient privées de subventions par la préfecture sans que cela leur ait été officiellement notifié, leur ôtant ainsi toute possibilité de recours.

Plus récemment, une association d’aide aux immigré·e·s, l’Asti du Petit-Quevilly en Seine-Maritime, s’est vu « rappeler » ses engagements par la préfecture pour avoir appelé à une manifestation contre les violences policières interdite. Celle-ci a transmis cet « avertissement » aux partenaires financiers, dont la métropole de Rouen, qui a en conséquence suspendu l’examen des demandes de subvention de l’Asti. (...)

« Il y a chez certaines collectivités une profonde incompréhension du CER, qui est utilisé à tort et à travers, et notamment comme un moyen de pression, de régulation des relations avec les associations », analyse Claire Thoury, présidente du Mouvement associatif, une organisation regroupant environ 700 000 associations, et qui avait publié, en janvier 2023, un premier bilan de l’application du CER. (...) « Le CER a désormais un effet presque plus symbolique que pratique », ajoute Julien Talpin, chercheur en science politique au CNRS et l’un des fondateurs, en 2019, de l’Observatoire des libertés associatives. « On peut penser que certaines associations n’oseront plus aborder certains sujets comme les violences policières ou en ce moment le conflit israélo-palestinien. Le problème est de réussir à objectiver ces effets indirects et diffus et cette autocensure. » (...)

« Il y a donc une dissonance entre ce que prétend défendre le CER et les conséquences de son application à certaines associations, pointe-t-elle. Cela ne fait en outre qu’ajouter de la confusion à ce que sont les valeurs républicaines. » (...)

L’entrée en vigueur du CER est en outre intervenue dans un contexte de défiance croissante entre le monde associatif et les autorités. « Nous sommes en fait dans un contexte de dérive générale », affirme Claire Thoury. (...)

« Il y a également eu récemment le maire de Saint-Raphaël qui impose à toutes les associations touchant des subventions de participer aux manifestations patriotiques de la ville. C’est hallucinant ! », s’indigne la présidente du Mouvement associatif. (...)

« Les associations ne sont pas là pour faire plaisir aux pouvoirs publics, insiste Claire Thoury. Ce n’est pas leur mission. Mais l’inverse non plus ! Une association peut très bien s’opposer à une collectivité sur un sujet précis et être en accord sur un autre. C’est ce qu’on appelle un contre-pouvoir et c’est tout simplement le cours normal de la vie démocratique. » (...)

Source

Dans la même rubrique