La Convention-cadre sur l’IA approche : quelles conséquences pour votre organisation ?

Par Phil Muncaster • 15 octobre 2024

La vitesse à laquelle l’innovation en matière d’IA évolue a surpris de nombreuses personnes. Dans certains pays, les législateurs ont du mal à suivre le rythme, oscillant entre l’autorégulation (dont les États-Unis sont partisans) et une approche plus pragmatique (par exemple, la loi européenne sur l’IA). Mais la plupart reconnaissent désormais le potentiel de cette technologie à porter atteinte aux droits de l’homme et à l’État de droit. Convention-cadre du Conseil de l'Europe sur l'intelligence artificielle répond à ces préoccupations.

Elle vise à compléter les normes mondiales existantes en matière de droits de l’homme, de démocratie et d’État de droit, tout en comblant les lacunes juridiques découlant des avancées technologiques rapides de l’IA. Mais son approche, formulée en termes vagues et agnostique de la technologie, est-elle susceptible d’avoir le type d’impact que ses partisans prétendent ?

Qu'est-ce que c'est et pourquoi maintenant ?

Après cinq ans de travail, cette convention est décrite comme le « premier traité international juridiquement contraignant » régissant l’IA. Elle a été rédigée par les 46 États membres du Conseil de l’Europe (dont le Royaume-Uni), l’UE et 11 États non membres, dont l’Australie, le Japon et les États-Unis.

On peut le constater dans le contexte d'un nombre croissant d'efforts divers du gouvernement pour réglementer l'IA de manière à atténuer les risques émergents. Il s'agit notamment de la loi du président Biden Décret sur l'IA à partir d'octobre 2023, le Déclaration de Bletchley un mois plus tard (novembre 2023), et le Annonce du discours du roi que le gouvernement britannique prévoit d’introduire une législation sur l’IA pour réglementer les modèles d’IA puissants.

En quoi diffère-t-il de la loi européenne sur l’IA ?

Selon le Conseil de l’Europe, la convention comprend plusieurs principes fondamentaux qui doivent régir le cycle de vie des systèmes d’IA :

Dignité humaine et autonomie individuelle
Égalité et non-discrimination
Respect de la vie privée et protection des données personnelles
Transparence et surveillance
Imputabilité et responsabilité
Fiabilité
Innovation sûre

Les signataires doivent documenter les informations pertinentes sur les systèmes d’IA et les mettre à la disposition de toute personne concernée. Ces informations doivent être suffisamment détaillées pour que les personnes puissent contester les décisions prises via l’IA ou même l’utilisation de l’IA elle-même. Elles doivent également pouvoir déposer une plainte auprès des autorités. Ces dernières doivent fournir « des garanties procédurales, des protections et des droits effectifs » à toute personne concernée par l’IA qui pourrait avoir un impact sur ses droits et libertés. Le Conseil indique que les utilisateurs de l’IA doivent également être informés qu’ils interagissent avec des renseignements non humains.

La convention exige également que les États procèdent à des évaluations des risques et des impacts liés à l’impact de l’IA sur les droits de l’homme, la démocratie et l’État de droit. En conséquence, ils doivent mettre en place des « mesures de prévention et d’atténuation suffisantes » et même introduire des interdictions ou des moratoires sur certaines applications de l’IA.

En quoi cette loi diffère-t-elle de la loi européenne sur l’IA ? Elle s’applique bien évidemment aux États-nations plutôt qu’aux entreprises privées, même si elle a également des répercussions sur les entités privées agissant au nom des gouvernements. Bien que toutes deux visent à protéger les droits de l’homme dans le contexte de l’utilisation de l’IA, elles constituent « des textes législatifs distincts avec des bases juridiques très différentes », selon Sarah Pearce, associée chez Hunton Andrews Kurth.

« La loi européenne sur l’IA est une loi promulguée par l’Union européenne qui sera appliquée directement. Le traité sur l’IA est une convention internationale signée par plusieurs États-nations. Les signataires s’engagent à respecter certains principes/obligations et à travailler avec les législateurs et les régulateurs au niveau national pour mettre en œuvre et faire respecter ces principes/exigences », explique-t-elle à ISMS.online.

« Les principes de la Convention sur l’IA semblent assez larges et requièrent des mesures supplémentaires de la part des États-nations pour assurer leur mise en œuvre et leur application. Son efficacité est donc discutable à ce stade. En revanche, la loi européenne sur l’IA est une loi en vigueur qui contient un ensemble d’exigences juridiques que les organisations concernées doivent respecter sous peine de sanctions en cas de non-respect. Elle comprend également des dispositions sur la manière dont la législation sera appliquée. »

Cela fera-t-il une difference?

Selon un expert, la convention présente plusieurs défis potentiels. Oiseau et analyse des oiseaux :

Les États peuvent choisir la manière dont ils appliquent leurs règles aux acteurs privés – directement ou par le biais d’« autres mesures appropriées ». Cela pourrait entraîner des disparités dans la manière dont elles sont appliquées à travers le monde, tout comme le fait que le terme « autorité publique » ne soit pas défini dans le texte.
En général, la convention s’en tient à des principes généraux plutôt qu’à des exigences spécifiques, ce qui signifie que lorsqu’elle est transposée dans les lois locales, il peut y avoir une grande variation dans les réglementations.
Bien que la déclaration de conformité soit obligatoire, l’absence de critères stricts d’application rend la convention quelque peu inefficace.
Aucune mesure corrective, telle que des amendes, n’a été suggérée pour les violations des droits de l’homme liés à la convention – ce qui signifie que celles-ci pourraient également varier considérablement d’une juridiction à l’autre.

« Il est fort probable que la plupart des organisations trouveront difficile de se conformer à la convention en raison du langage imprécis et des obligations étendues », explique Matthew Holman, associé de Cripps, à ISMS.online.

« L’UE affirme avoir fait cela en mettant en œuvre la loi sur l’IA, et elle a fondamentalement raison sur ce point. Le gouvernement britannique affirme que les lois nationales existantes traitent déjà des points découlant de la convention, de sorte qu’aucune loi autonome n’est nécessaire. La question de savoir si elle a raison sur ce point est sujette à débat, mais je serais enclin à ne pas être d’accord. »

Quelles sont les prochaines étapes?

Le gouvernement britannique semble désireux de maintenir L’organisation affirme que les lois et mesures existantes seront « renforcées » une fois le traité ratifié et qu’elle travaillera en étroite collaboration avec « les régulateurs, les administrations décentralisées et les autorités locales » pour mettre en œuvre les nouvelles exigences.

D'ici là, déclare Holman, les organisations des secteurs public et privé potentiellement impactées par la convention doivent s'assurer que tout développement de l'IA soit conforme aux valeurs fondamentales du Conseil de l'Europe en matière de droits de l'homme, de démocratie, d'état de droit et de transparence.

« Les autorités publiques et les acteurs privés devraient s’efforcer d’améliorer la transparence des processus et collaborer avec les autorités publiques pour créer un cadre pour des pratiques éthiques conformes aux normes de l’industrie », conclut-il.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster

La cyber-sécurité 27 Janvier 2026

L'importance de la protection de la vie privée : ce que les équipes de conformité peuvent attendre en 2026

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Le 28 janvier est la Journée mondiale de la protection des données – l’occasion de célébrer le droit à la confidentialité et à la protection des données que beaucoup d’entre nous tiennent aujourd’hui pour acquis.

Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster