Alors que le débat sur la réglementation de l’IA s’intensifie dans le monde entier, le ministère australien de l’Industrie, de la Science et des Ressources a récemment annoncé IA sûre et responsable en Australie : document de propositions visant à introduire des garde-fous obligatoires pour l’IA dans les contextes à haut risque. Le document de propositions est fortement influencé par la loi de l’UE sur l’IA, qui est citée à de nombreuses reprises, et vise à établir des normes horizontales contraignantes pour toutes les technologies d’IA à haut risque. Le document propose 10 garde-fous pour l’IA dans les contextes à haut risque, les garde-fous 3 et 6 étant particulièrement pertinents dans le contexte de la loi sur le droit d’auteur.
Garde-corps 3 : divulgation d’informations sur les ensembles de données d’entraînement
« Le garde-corps 3 du document de propositions exige que les organisations développent ou déploient des systèmes d’IA à haut risque »[p]« protéger les systèmes d’IA et mettre en œuvre des mesures de gouvernance des données pour gérer la qualité et la provenance des données ». À cet égard, le Guardrail suggère que «[d]Les données doivent (…) être obtenues légalement. Les ensembles de données utilisés pour entraîner les systèmes d’IA ou les modèles GPAI ne doivent pas contenir de matériel illégal et préjudiciable tel que du matériel d’abus sexuel sur des enfants ou des images intimes non consensuelles. Les sources des données doivent être divulguées. En outre, « [c]Conformément à la norme ISO/IEC 42001 et à l’EU AI Act, cette protection couvrira : l’origine et la légalité de l’ensemble de données et des processus de collecte ; documentation de la provenance des données » – c’est-à-dire comment les données ont été collectées, quelle est leur source.
Le garde-corps proposé devrait être généralement bien accueilli car il favorise la transparence et la provenance des données de formation, ce qui est essentiel pour les titulaires de droits souhaitant obtenir une licence ou faire valoir leurs droits sur leur contenu utilisé comme données de formation d’IA. Gardant à l’esprit que l’Australie n’a ni utilisation équitable ni exceptions spécifiques à l’IA, comme l’exception TDM, ces obligations de transparence sont particulièrement importantes. Dans le même temps, de nombreuses questions devront être clarifiées avant que ce garde-fou ne soit finalisé. Par exemple, que signifie « obtenu légalement » dans le contexte du droit d’auteur et en vertu de quelle loi cette exigence doit-elle être jugée ? Si une entreprise américaine récupère des données de sources en ligne sans l’autorisation des titulaires de droits, elle peut faire valoir qu’elle a obtenu les données légalement car elle s’est appuyée sur la doctrine de l’utilisation équitable aux États-Unis (en supposant que l’utilisation équitable s’applique à un scénario donné, ce qui est une question actuellement contestée devant les tribunaux américains) ? Ou la « légalité » sera-t-elle évaluée sur la base des lois australiennes sur le droit d’auteur ?
Deuxièmement, que signifie « obtention légale » de données en vertu de la loi australienne ? En gardant à l’esprit l’absence d’exceptions spécifiques à l’IA, les développeurs ou les déployeurs d’IA devront-ils démontrer qu’ils disposent des autorisations/licences des titulaires de droits australiens (ou de tous) ? Que se passe-t-il s’ils ne disposent pas de telles autorisations ? Exiger une autorisation pour toute utilisation d’œuvres (et d’autres objets) dans un contexte de formation à l’IA est-il pleinement justifié, en particulier en gardant à l’esprit qu’il n’existe actuellement aucun mécanisme viable pour obtenir des licences pour de grandes quantités de contenu requis pour de tels processus ? Ou l’Australie devrait-elle introduire certaines exceptions spécifiques à l’IA, comme l’exception TDM qui existe actuellement au Royaume-Uni, dans l’UE et au Japon – même si elle était plus limitée ?
Garde-corps 6 : divulguer l’utilisation de l’IA pour générer du contenu synthétique
Une autre disposition pertinente du point de vue du droit d’auteur est la proposition Guardrail 6. Elle exige «[i]nformer[ing] utilisateurs finaux concernant les décisions basées sur l’IA, les interactions avec l’IA et le contenu généré par l’IA. Selon la partie 3 de ce garde-corps, «[o]Les organisations doivent faire de leur mieux pour garantir que les résultats générés par l’IA, y compris le texte synthétique, les images, le contenu audio ou vidéo, puissent être détectés comme générés ou manipulés artificiellement.
Encore une fois, même si la tentative du gouvernement australien d’assurer plus de transparence autour de l’utilisation de l’IA, y compris dans la génération de contenu synthétique, doit être saluée, elle devra être élaborée davantage avant que le garde-fou ne soit terminé. Premièrement, le Guardrail actuellement proposé semble suggérer que l’utilisation de l’IA doit être divulguée dans tous cas. On peut toutefois se demander si la divulgation est nécessaire lorsque l’IA est utilisée dans un contexte limité ou minimal (par exemple, à des fins de montage, ou lorsque le matériel généré par l’IA ne constitue qu’une partie relativement petite d’une œuvre complexe, comme un film) ou lorsque les membres du public pourraient ne pas avoir intérêt à savoir si l’IA a été utilisée pour générer un contenu spécifique (par exemple, utilisation de l’IA pour créer un message ou une affiche marketing). Notre enquête publique a montré que les membres du public ont des attentes moindres en matière de divulgation lorsque l’utilisation de l’IA est minime. De plus, cette obligation de divulgation s’applique-t-elle au contenu généré par l’IA mais ensuite modifié de manière significative par un humain (et qu’est-ce qui serait considéré comme une modification « significative ») ? Deuxièmement, quel devrait être le format de divulgation attendu, et en quoi cette obligation différera-t-elle selon le type de contenu (image, vidéo, texte) ? En outre, comment garantir que les filigranes et autres identifiants ne sont pas « perdus » ou intentionnellement supprimés lorsque le contenu est transféré et modifié par les utilisateurs ultérieurs ? Enfin, qui devrait être chargé de garantir la divulgation de l’utilisation de l’IA ? Outre les développeurs et/ou les déployeurs d’IA, les décideurs politiques pourraient également envisager certaines obligations ou interdictions pour les utilisateurs de contenu (par exemple, une interdiction de supprimer les étiquettes ou autres identifiants d’IA).
Dans l’ensemble, même si le gouvernement australien est sur la bonne voie dans l’élaboration de normes juridiques contraignantes pour l’IA, des discussions plus approfondies sont nécessaires pour finaliser et peaufiner les normes proposées avant leur mise en œuvre dans la pratique.