L’IA générative et la garantie d’accès à l’internet ouvert : quel est le cadre juridique ?

Le développement sans précédent de l’IA générative représente-t-il un danger pour la garantie d’accès à l’internet ouvert, au sens de l’article 3 du règlement (UE) 2015/2120 du 25 novembre 2015 ? C’est ce que semble considérer l’Arcep dans diverses communications récentes. Cette question mérite d’être discutée au regard de l’AI Act¹.

L’IA générative est-elle un produit ou un service ?

De façon schématique, l’IA générative est présentée dans le règlement sur l’intelligence artificielle ou AI Act comme un produit², imposant à ses fournisseurs (développeurs) et à ses déployeurs (utilisateurs professionnels) un ensemble d’interdictions et d’obligations de diligence pour limiter les risques selon différents niveaux de gravité (risques inacceptables, haut risque, risques systémiques) d’atteinte à la sécurité, à la santé, aux droits fondamentaux, découlant de sa mise sur le marché ou de sa mise en service dans l’Union européenne. Cette vision, centrée sur la notion de « produit », n’embrasse cependant pas toute la complexité de l’IA générative, tant en ce qui concerne son développement que son déploiement.

Au stade de son développement et précisément de son apprentissage, l’IA générative se décompose en une multitude de briques techniques potentielles, mais repose quasi systématiquement sur une brique principale, dénommée « modèle de fondation » ou encore « grand modèle de langage (Large Language Model – LLM) », c’est-à-dire un modèle d’IA dont la phase d’apprentissage est extrêmement coûteuse, dès lors que ces modèles supposent une très grande puissance de calcul et une très grande compétence technique pour être entraînés sur de très grands volumes de données. Ces modèles d’IA, une fois développés sur la base des trois intrants clés que sont la puissance de calcul, les grandes masses de données et l’expertise technique, deviennent ensuite la brique principale d’une grande variété de systèmes d’IA générative, comme des chatbots ou des copilotes.

Or, l’accès à ces trois intrants clés est essentiellement lié à des services et non à des produits, en particulier à des services de cloud computing pour la puissance de calcul et à des services de plateformes de type réseaux sociaux pour la collecte massive des données. L’accès à ces intrants est aujourd'hui singulièrement contraint, ce qui soulève d’importants problèmes concurrentiels, qui ont été bien identifiés³. Ces questions concurrentielles relèveront potentiellement non seulement du règlement sur les données ou Data Act⁴, mais également du règlement sur les marchés numériques ou Digital Markets Act⁵, dès lors qu’ils impliquent des services de plateformes essentiels, fournis par des contrôleurs d’accès, tels que des services de cloud computing et de réseaux sociaux.

Au stade de son déploiement, comme à celui de son utilisation, l’IA générative ne peut pas non plus être centrée uniquement sur la notion de « produit » comme le fait l’AI Act, dès lors que le déploiement des systèmes d’IA générative reposant sur un grand modèle de langage (LLM) est à nouveau extrêmement lié à la notion de « services ». En effet, les systèmes d’IA générative sont le plus souvent mis à disposition des utilisateurs, professionnels ou particuliers, sous la forme d’un SaaS (Software as a Service), c’est-à-dire d’un logiciel fourni sous la forme d’un service en accès distant ; fonctionnant sur des serveurs tiers et recourant également lors de la phase de calcul, notamment pour la formulation de prompts, à des services d’hébergement de type cloud computing – activité qui relève non seulement de nouveau du Data Act et du Digital Markets Act (DMA), mais également du règlement sur les services numériques ou Digital Services Act (DSA)⁶.

Facteur de complexité supplémentaire, les systèmes d’IA générative déployés sous la forme de SaaS concurrencent, mais aussi remplacent ou complètent, d’autres services numériques, tels que les services de moteur de recherche et les services de plateformes en ligne (de type réseaux sociaux), lesquels sont réglementés à la fois par le DMA et le DSA.

En d’autres termes, à ce stade de leur déploiement, les systèmes d’IA générative, loin d’être uniquement centrés sur la notion de « produit », traduisent, en réalité, l’avènement à côté ou à la place des services d’intermédiation, de diffusion, d’amplification et d’invisibilisation algorithmiques de contenus humains et/ou synthétiques (que proposent les fournisseurs de services de plateformes en ligne et de moteurs de recherche) d’un nouveau type de service : le service de fabrication algorithmique de contenus synthétiques (IA générative sous forme SaaS).

« Produit » ou « service », la question du cadre juridique de l’IA générative se pose : peut-elle être réglementée, de manière exclusive, par l’AI Act, alors que ce texte l’envisage de manière étroite, au travers de la notion de « produit » ? Ou doit-elle être soumise au règlement sur l’accès ouvert à l’internet, en complément du DSA, du DMA et du Data Act, dès lors que les services à travers lesquels l’IA générative se déploie intéressent le principe de neutralité de l’internet ?

L’IA générative menace-t-elle la garantie d’accès à l’internet ouvert ?

L’IA générative pourrait remettre en question le principe de neutralité des réseaux, car la puissance économique des principaux fournisseurs de services d’IA générative est suffisante pour impacter les pratiques des principaux fournisseurs d’accès à internet, à l’instar de ce qui a d’ores et déjà pu être envisagé avec les fournisseurs de plateformes en ligne. Ce faisant, elle pourrait fragiliser l’exigence d’un accès juste et raisonnable au réseau. L’article 3.3 du règlement (UE) 2015/2120 du 25 novembre 2015 qui établit les mesures relatives à l’accès à un internet ouvert⁷ (voir également les lignes directrices du BEREC 2022⁸) énonce ainsi : « Dans le cadre de la fourniture de services d’accès à l’internet, les fournisseurs de services d’accès à l’internet traitent tout le trafic de façon égale et sans discrimination, restriction ou interférence, quels que soient l’expéditeur et le destinataire, les contenus consultés ou diffusés, les applications ou les services utilisés ou fournis ou les équipements terminaux utilisés. »

Si ce premier aspect du règlement 2015/2120 est important, c’est néanmoins un deuxième aspect de ce même texte qui doit être souligné, au regard des récentes communications de l’Arcep (Autorité de régulation des communications électroniques, des postes et de la distribution de la presse). Pour illustrer le positionnement de l’Autorité sur ce deuxième aspect, il est possible de citer une tribune publiée dans le journal Le Monde⁹ en juillet 2024 émanant de sa présidente : « Imaginez : comme chaque jour, vous vous rendez chez votre kiosquier pour acheter Le Monde. Plein d’enthousiasme, il vous annonce ce matin : "Je vais vous simplifier les choses, j’ai lu Le Monde, d’ailleurs j’ai lu toute la presse dans la nuit, j’ai même avalé toute l’actualité internationale ! Je vais vous faire un résumé de ce que j’ai retenu en quelques minutes." Et ce kiosquier vous égrène une somme d’actualités dont il imagine qu’elles peuvent vous intéresser. Comment a-t-il choisi ces informations parmi tout ce qu’il a lu ? Sait-il reconnaître des fausses informations ? Quels sont ses biais idéologiques ? Et, finalement, quelle confiance pouvez-vous accorder à ce résumé ? »

D’après l’analyse de l’Arcep¹⁰, développée dans une contribution datant de mars 2024 à une consultation de la Commission européenne¹¹ : « L’ouverture de l’internet est l’un des piliers du fonctionnement, de la diversité et de la résilience du réseau, la pierre angulaire de l’autonomisation des utilisateurs en ligne. » La garantie d’accès à un internet ouvert est consacrée par l’article 3.1 du règlement (UE) 2015/2120 du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert, aux termes duquel : « Les utilisateurs finals ont le droit d’accéder aux informations et aux contenus et de les diffuser, d’utiliser et de fournir des applications et des services et d’utiliser les équipements terminaux de leur choix, quel que soit le lieu où se trouve l’utilisateur final ou le fournisseur, et quels que soient le lieu, l’origine ou la destination de l’information, du contenu, de l’application ou du service, par l’intermédiaire de leur service d’accès à l’internet » (voir également l’article 40 de la loi 2016-1321 du 7 octobre 2016¹²).

Selon l’Arcep, « l’utilisation croissante de l’IA générative en tant que nouvelle interface homme-machine pour accéder au contenu de l’internet, comme – mais pas seulement – les requêtes de recherche en ligne, pourrait créer de nouveaux défis pour l’ouverture de l’internet et cette question n’a pas été spécifiquement abordée par la réglementation de l’UE (ni le règlement sur les marchés numériques – DMA – ni le règlement sur l’intelligence artificielle – AI Act) ».

L’AI Act présente-t-il des lacunes ?

La prise de position de l’Arcep entraîne des interrogations importantes et complémentaires : l’AI Act est-il lacunaire ? Les articles 51, 52, 55 et 56 de l’AI Act imposant des obligations de diligence à la charge des fournisseurs de modèles d’IA à usage général présentant des risques systémiques prennent-ils en compte les nouveaux défis de l’IA générative pour l’ouverture de l’internet ? Et, dans l’affirmative, de quelle manière l’article 3.1 du règlement 2015/2120 s’articulerait-il avec les articles 51, 52, 55 et 56 de l’AI Act ?

Les articles 51 et suivants de l’AI Act consacrent des obligations de diligence à la charge des fournisseurs de modèles d’IA à usage général présentant des risques systémiques, supervisées par la Commission européenne, et précisément par le bureau de l’Intelligence artificielle ou AI Office. L’article 55 de l’AI Act, en particulier, impose à ces fournisseurs d’identifier et d’atténuer de tels risques. Tout l’enjeu est, à ce stade, de déterminer si la violation de la garantie d’un internet ouvert pourrait constituer un tel risque.

La notion de « risque systémique » apparaît dorénavant dans deux textes européens : le règlement sur les services numériques (DSA) et l’AI Act. Selon le DSA, le risque systémique ne fait pas à proprement parler l’objet d’une définition, mais il correspond à une liste d’atteintes potentielles dressée à l’article 34. En revanche, l’AI Act définit la notion de « risque systémique » à l’article 3.65 : « un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur ». En outre, l’article 56 charge un texte de droit souple – le code des bonnes pratiques des modèles d’IA à usage général – d’en dresser une taxinomie.

Il est important de noter que la liste des risques systémiques de l’article 34 du DSA est assez différente de celle en cours de rédaction pour le code des bonnes pratiques. Si les atteintes aux droits fondamentaux des hommes sont encore au centre de l’article 34 du DSA, le code des bonnes pratiques se concentre davantage sur les dommages de masse, comme les cyberattaques de masse, la manipulation de masse, la désinformation de masse ou la perte de contrôle de l’IA. Ces divergences s’expliquent en partie par le fait que le risque n’est pas appliqué au même type de dispositifs numériques dans les deux textes. Dans le premier, le risque systémique est attaché aux très grandes plateformes en ligne ou aux très grands moteurs de recherche et, en particulier, à leurs systèmes de recommandation, de modération et de publicité ciblée. Tandis que, dans le second texte, ce sont les modèles d’intelligence artificielle à usage général eux-mêmes qui sont appréhendés comme des risques systémiques.

Ces divergences proviennent essentiellement du fait que ces deux textes ne puisent pas aux mêmes sources. En particulier, le concept de « risque systémique » dans l’AI Act comme dans le DSA est inévitablement influencé par les concepts juridiques analogues inscrits dans ces deux textes. Les sources d’inspiration légales sont nombreuses : la charte des droits fondamentaux de l’Union européenne, la prohibition des dark patterns des plateformes en ligne à l’article 25 du DSA, la prohibition des pratiques d’IA manipulatrices ou trompeuses à l’article 5 de l’AI Act.

Au-delà de ces divergences de définition, la violation de la garantie d’accès à un internet ouvert pourrait être rattachée au risque de désinformation de masse qui avait été considéré comme un risque systémique pour la démocratie et les droits humains dans la première version du guide des bonnes pratiques pour les modèles d’IA à usage général¹³. Les risques liés à la désinformation de masse ne sont malheureusement plus aussi clairement envisagés au sens de l’AI Act dans la deuxième¹⁴ et la troisième¹⁵ version provisoire de ce code. La version définitive n’est pas encore arrêtée, et ce, même si l’article 56 de l’AI Act prévoyait qu’elle soit établie pour le 2 mai 2025.

À ce stade, le doute persiste, donc, sur la possibilité de qualifier la violation de la garantie d’accès à un internet ouvert en tant que « risque systémique » au sens de l’AI Act. Si ce doute était levé en faveur de la qualification de cette violation en risque systémique, le régime du règlement 2015/2120 céderait devant celui de l’AI Act. En effet, il convient de rappeler que le second alinéa de l’article 3.1 du règlement 2015/2120 relatif à la garantie d’accès à un internet ouvert énonce que « le présent paragraphe s’entend sans préjudice du droit de l’Union ou du droit national qui est conforme au droit de l’Union, en ce qui concerne la légalité des contenus, des applications et des services ».

À l’inverse, si le code des bonnes pratiques des modèles d’IA à usage général, dans sa version définitive, ne retenait plus la désinformation de masse au sein de la taxinomie des risques systémiques au sens de l’AI Act, alors ce règlement n’aurait plus vocation à traiter de la violation de la garantie d’accès à un internet ouvert et l’article 3.1 du règlement 2015/2120 reprendrait tout son intérêt, afin d’assurer l’effectivité de cette règle et de répondre aux défis que l’IA générative pose en cette matière.

Sources :

1. « Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle », Journal officiel de l’Union européenne, 12 juillet 2024.
2. « Communication de la commission le "Guide bleu" relatif à la mise en œuvre de la réglementation de l’UE sur les produits 2022 », Journal officiel de l’Union européenne, C/2022/3637, 29 juin 2022.
3. Autorité de la concurrence, « Informatique en nuage ("cloud") : l’Autorité de la concurrence rend son avis sur le fonctionnement concurrentiel du secteur du cloud », avis n° 23-A-08, 29 juin 2023. Autorité de la concurrence, « Intelligence artificielle générative : l’Autorité rend son avis sur le fonctionnement concurrentiel du secteur de l’intelligence artificielle générative », avis n° 24-A-05, 28 juin 2024. Union européenne, « Une initiative de l’UE sur le web 4.0 et les mondes virtuels : prendre de l’avance pour la prochaine transition technologique », COM/2023/442 final, 11 juillet 2023.
4. « Règlement (UE) 2023/2854 du Parlement européen et du Conseil du 13 décembre 2023 concernant des règles harmonisées portant sur l'équité de l’accès aux données », Journal officiel de l’Union européenne, 22 décembre 2023.
5. « Règlement (UE) 2022/1925 du Parlement européen et du Conseil du 14 septembre 2022 relatif aux marchés contestables et équitables dans le secteur numérique »,  Journal officiel de l’Union européenne, 12 octobre 2022.
6. « Règlement (UE) 2022/2065 du Parlement européen et du Conseil du 19 octobre 2022 relatif à un marché unique des services numériques », Journal officiel de l’Union européenne, 27 octobre 2022.
7. « Règlement (UE) 2015/2120 du Parlement européen et du Conseil du 25 novembre 2015 établissant des mesures relatives à l’accès à un internet ouvert », Journal officiel de l’Union européenne, 26 novembre 2015.
8. BEREC, « Lignes directrices du BEREC sur la mise en œuvre du règlement sur l'Internet ouvert », n° BoR (22) 81, 14 juin 2022.
9. Laure de La Raudière, « Les IA génératives menacent notre liberté de choix dans l’accès aux contenus en ligne », Le Monde, 2 juillet 2024.
10. « Arcep’s contribution to the call for contributions on competition in generative AI », March 2024.
11. Union européenne, « La Commission lance des appels à contributions sur la concurrence dans les mondes virtuels et l’A générative », communiqué de presse, 9 janvier 2024.
12. « Loi n° 2016/1321du 7 octobre 2016 pour une République numérique », Journal officiel de la République française, n° 0235, 8 octobre 2016.
13. Commission européenne, « First Draft of the General-Purpose AI Code of Practice published, written by independent experts », November 14, 2024.
14. Commission européenne, « Second Draft of the General-Purpose AI Code of Practice published, written by independent experts », December 19, 2024.
15. Commission européenne, « Third Draft of the General-Purpose AI Code of Practice published, written by independent experts », March 11, 2025.