Cet article est une contribution de Maître Jaesik Moon du cabinet Choi & Lee. Si vous souhaitez partager du contenu de qualité destiné aux startups, veuillez contacter l'équipe éditoriale de Venture Square à l'adresse editor@venturesquare.net.
À ses débuts, Chat GPT était surtout utilisé pour s'amuser, plaisanter et penser que l'IA n'était qu'une mode passagère. Lancé en novembre 2022, Chat GPT a vu son essor fulgurant, et moins de trois ans plus tard, l'IA semble omniprésente. Elle est déjà utilisée pour créer des documents, des photos, des fichiers audio et vidéo, et même des documents juridiques rédigés par des avocats. Si elle a indéniablement amélioré l'efficacité du travail et du quotidien, comme pour toute nouvelle technologie, les inquiétudes quant à ses conséquences négatives potentielles sont importantes. Le risque d'utilisation de l'IA à des fins criminelles, comme le phishing vocal, est réel, et des cas de personnes ayant fait aveuglément confiance à l'IA pour la rédaction de documents juridiques ont été signalés, aboutissant à des documents soumis citant des précédents erronés, ce qui peut entraîner des préjudices.
Pour faire face aux risques liés au développement et à la diffusion rapides de l'IA, des pays majeurs comme les États-Unis, le Japon et l'Union européenne mettent en place des lois et des systèmes encadrant l'IA. Consciente de la nécessité de telles normes, la Corée du Sud a promulgué en décembre 2024 la loi-cadre sur l'IA (officiellement intitulée « Loi-cadre sur le développement de l'intelligence artificielle et la création d'une fondation de confiance »), dont l'entrée en vigueur est prévue pour janvier 2026. Récemment, le ministère des Sciences et des TIC a élaboré et publié les orientations et le projet de textes d'application de cette loi-cadre et mène actuellement une consultation publique. Compte tenu de l'émergence de nombreuses start-ups spécialisées dans l'IA, et de la clientèle de notre cabinet, nous estimons qu'une bonne compréhension de la loi-cadre sur l'IA est essentielle. Par conséquent, dans cette rubrique, nous présenterons les dispositions et le contenu fondamentaux de cette loi-cadre, tandis que les articles suivants aborderont les orientations et les principaux éléments des textes d'application récemment publiés.
1. Objet et orientation de la promulgation de la Loi fondamentale sur l'IA
L’article 1 de la loi-cadre sur l’IA stipule : « La présente loi vise à protéger les droits et intérêts des citoyens et à contribuer à l’amélioration de leur qualité de vie et au renforcement de la compétitivité nationale en définissant les principes fondamentaux nécessaires au développement harmonieux de l’intelligence artificielle et à l’établissement d’un climat de confiance. » Comme son nom l’indique, elle met davantage l’accent sur le développement et l’établissement d’un climat de confiance et de sécurité dans le secteur de l’IA que sur sa réglementation.
Par conséquent, une part importante de la loi fondamentale sur l'IA concerne la gouvernance des politiques en matière d'IA et le soutien au développement de l'industrie, visant à favoriser l'essor des technologies et des secteurs liés à l'IA. Le reste porte sur les obligations et les responsabilités des entreprises quant à la mise en place d'un environnement sûr et fiable pour l'IA. Cette dernière section sera probablement cruciale pour les entreprises gérant des startups spécialisées dans l'IA.
2. Dispositions clés de la loi fondamentale sur l'IA
Tout d'abord, examinons la mise en place d'une gouvernance nationale des politiques relatives à l'IA, en lien avec le développement des technologies d'IA et des industries connexes. La loi-cadre sur l'IA institue un Conseil national de soutien à l'IA, placé sous l'autorité du Président, et autorise la création de sous-comités et de comités spéciaux chargés de mener à bien les travaux du Conseil par domaine spécialisé ou question spécifique (articles 7 à 10). Elle désigne et gère également un Centre de politiques d'IA et un Institut de recherche sur la sécurité de l'IA (articles 11 et 12), jetant ainsi les bases d'un travail et d'un soutien en matière d'élaboration de politiques d'IA, de recherche et développement, et dans d'autres domaines.
En outre, la loi-cadre sur l'IA a établi une base pour diverses mesures de soutien gouvernementales, notamment le soutien au développement et à l'utilisation sûre de la technologie de l'IA (article 13), la promotion de projets de normalisation de la technologie de l'IA (article 14), le soutien à l'introduction et à l'utilisation de la technologie de l'IA (article 16), le soutien aux petites et moyennes entreprises et aux jeunes pousses (articles 17 et 18) et la promotion de politiques relatives aux centres de données d'IA (article 25), afin que le gouvernement puisse fournir diverses mesures de soutien au développement, à l'introduction et à l'utilisation de la technologie de l'IA pour faire progresser l'industrie de l'IA.
Enfin, en tant que réglementations visant à établir une base sûre et fiable pour l'IA, les dispositions suivantes ont été établies : les principes d'éthique de l'IA (article 27), un comité d'éthique de l'IA privé et autonome (article 28) et le soutien de diverses politiques, inspections et certifications pour garantir la sécurité et la fiabilité.
Examinons maintenant les obligations et les responsabilités des entreprises en matière de création d'un environnement sûr et fiable pour l'IA. La loi-cadre relative à l'IA impose aux entreprises proposant des IA à fort impact et des IA génératives l'obligation d'assurer la transparence quant à leur utilisation de l'IA (article 31) et l'obligation de garantir la sécurité (article 32). Plus précisément, les entreprises proposant des IA à fort impact sont tenues de procéder à un examen préalable afin de déterminer si l'IA qu'elles fournissent remplit les conditions requises pour être qualifiée d'IA à fort impact (article 33), d'établir et de mettre en œuvre des plans de gestion des risques, d'établir et de mettre en œuvre des mesures de protection des utilisateurs, et de superviser et de gérer les IA à fort impact. Par ailleurs, pour les entreprises proposant des IA sans siège social ni établissement stable au Royaume-Uni qui répondent à certains critères, la loi prévoit également l'obligation de désigner un représentant au Royaume-Uni (article 36).
Ensuite, à titre de mesure ou de sanction en cas de violation des obligations imposées à l'exploitant d'entreprise comme indiqué ci-dessus, le ministre des Sciences et des TIC est habilité à enquêter sur les faits et à émettre des ordres de suspension ou de correction (article 40), et un exploitant d'entreprise d'intelligence artificielle qui ne se conforme pas à cela peut être passible d'une amende pouvant aller jusqu'à 30 millions de wons (article 43).
3. Détails précis des obligations des opérateurs d'entreprises d'IA
Parmi les dispositions ci-dessus, les parties de la loi fondamentale sur l'IA auxquelles les startups spécialisées en IA et les autres opérateurs d'entreprises d'IA devraient accorder une attention particulière sont les obligations des opérateurs d'entreprises d'IA des articles 31 à 34. Comme indiqué ci-dessus, celles-ci sont globalement divisées en trois catégories : l'obligation d'assurer la transparence de l'IA (article 31), l'obligation d'assurer la sécurité de l'IA (article 32) et les obligations des opérateurs d'entreprises d'IA à fort impact (articles 33 et 34).
Premièrement, l’obligation d’assurer la transparence de l’IA (article 31) stipule que si un produit ou un service fourni à un consommateur est exploité par une IA, ou si un résultat est généré par une IA ou est difficile à distinguer de la réalité, ce fait doit être notifié ou affiché.
Plus précisément, lorsqu'un opérateur d'entreprise utilisant l'IA entend fournir un produit ou un service utilisant une intelligence artificielle à fort impact ou une intelligence artificielle générative, il doit « informer à l'avance » l'utilisateur que le produit ou le service est exploité sur la base de l'intelligence artificielle (article 1) ; lorsqu'il fournit une intelligence artificielle générative ou un produit ou service l'utilisant, il doit « indiquer » le fait que le résultat a été généré par l'intelligence artificielle (article 2) ; et lorsqu'il fournit un son, une image ou une vidéo virtuelle difficilement distinguable de la réalité à l'aide d'un système d'intelligence artificielle, il doit « informer ou afficher de manière à permettre à l'utilisateur de reconnaître clairement » le fait que le résultat a été généré par le système d'intelligence artificielle (article 3).
Ensuite, l’obligation d’assurer la sécurité de l’intelligence artificielle (article 32) exige la mise en œuvre de mesures relatives à l’identification, à l’évaluation et à l’atténuation des risques tout au long du cycle de vie de l’intelligence artificielle, à la surveillance des accidents de sécurité liés à l’intelligence artificielle et à la mise en place d’un système de gestion des risques pour assurer la sécurité, dans le cas des systèmes d’intelligence artificielle où le volume de calcul cumulé utilisé pour l’apprentissage dépasse une certaine norme, en raison des préoccupations concernant l’apparition de risques tels que des erreurs fonctionnelles, des biais de données et une utilisation abusive.
Enfin, concernant les IA à fort impact, définies comme susceptibles d'avoir un impact significatif sur la vie, l'intégrité physique et les droits fondamentaux des citoyens, les fournisseurs de services d'IA sont tenus de procéder à un examen préalable afin de déterminer si l'IA qu'ils utilisent relève de cette catégorie (article 33). Si, à l'issue de cet examen, l'IA est qualifiée de « hautement impactante », les mesures suivantes doivent être prises pour garantir sa sécurité et sa fiabilité : 1) mise en place et application d'un plan de gestion des risques ; 2) mise en place et application d'un plan d'explication des résultats finaux obtenus grâce à l'IA, précisant, dans les limites du possible, les principaux critères utilisés pour les obtenir et un aperçu des données d'apprentissage utilisées pour son développement et son utilisation ; 3) mise en place et application d'un plan de protection des utilisateurs ; 4) gestion et supervision humaines des IA à fort impact ; 5) élaboration et conservation de documents attestant des mesures mises en œuvre pour garantir la sécurité et la fiabilité ; et 6) toute autre mesure examinée et décidée par le Comité pour garantir la sécurité et la fiabilité des IA à fort impact (article 34).
Nous avons examiné les grandes lignes et les principales dispositions de la loi-cadre sur l'IA. Cependant, cette loi, à elle seule, reste imprécise quant à la définition de l'IA à fort impact, aux méthodes et moyens précis permettant de satisfaire aux obligations de transparence et de sécurité, ainsi qu'aux normes applicables à une IA performante dotée d'un certain niveau d'apprentissage cumulé. Ces aspects seront spécifiquement réglementés par les textes d'application de la loi-cadre sur l'IA, comme expliqué précédemment. Le gouvernement ayant récemment annoncé l'orientation et le projet de cette législation, nous continuerons à fournir des informations détaillées dans de prochains articles.
- Voir plus de colonnes connexes
You must be logged in to post a comment.