Interview - Mohand Ouidja, Dirigeant de MO Avocat

L’IA Act entre en vigueur dès 2026, avec une série d’étapes décisives pour les particuliers et les entreprises. Face à cette révolution inévitable dans laquelle nous devons trouver notre équilibre, Mohand Ouidja de MO AVOCAT nous présente quelques-unes des solutions pour mettre en place cet encadrement juridique et opérationnel de l’IA dans notre quotidien. 

Pouvez-vous vous présenter en quelques mots ?

Je suis avocat depuis 19 ans, passionné par les nouvelles technologies. Mon parcours transversal est passé par différentes étapes : tokenisation d’une marque de luxe, programmation immobilière pour le grand groupe immobilier avec intégration d’une dimension numérique, négociation de contrats pour une marque d’eau minérale de luxe pour le Moyen-Orient. Ces expériences tournées vers l’efficience des business modèles m’ont permis de développer un goût prononcé pour une compliance axée sur la performance économique sécurisée. 

Nous travaillons le sujet de l’intelligence artificielle depuis plus de cinq ans. Conscients de cette révolution copernicienne bien avant l’engouement médiatique, nous avons abordé ce sujet en nous intéressant d’abord aux aspects mathématiques de la matière pour comprendre le fonctionnement interne des systèmes.

Nous avons en parallèle basé notre expertise sur des questionnements réguliers de multiples entreprises en France aux États-Unis, pour recueillir les réserves qu’elles avaient à l’implémentation de cette technologie. Nous travaillons sur le sujet de l’intelligence artificielle en mode bottom up avec une logique simultanée de sécurisation contractuelle des données pour que les entreprises prennent de virage sans risquer le fossé. 

La loi sur l’IA est la première du genre en Europe : en quoi consiste-t-elle en quelques mots ?

Elle consiste à préparer les acteurs de l’écosystème à se responsabiliser avant et pendant la mise en place de l’outil. L’économie de l’IA Act repose sur une classification de différentes intelligences artificielles par catégorie de risque. Ces risques sont déterminés par rapport au domaine d’intervention, de minimal à inacceptable selon le secteur d’intervention. Il introduit des obligations de transparence pour les IA qui interagissent avec les humains et interdit certaines utilisations considérées comme une menace pour les droits de l’homme.

Est-ce que cette loi va permettre à l’Europe de réglementer l’IA à l’échelle mondiale ?

Le texte est un très bon compromis entre l’innovation et la nécessité d’un encadrement strict. Toutefois, il souffre de nombreuses imprécisions qui apparaissent quant aux notions utilisées : la notion d’IA à haut risque est susceptible de revêtir des combats interprétatifs sources de contentieux, ensuite, sa date d’entrée en vigueur est est tout simplement un véritable signal de zone de non-droit pour les différents acteurs de l’écosystème de l’intelligence artificielle. 

Cette technologie évolue de jour en jour et l’IA Act n’entre en vigueur qu’en 2026 de façon échelonnée. C’est un véritable problème pour la société européenne qui a tout le temps de voir apparaître les difficultés invisibles pour l’heure, mais aux effets catastrophiques.

Je pense que le décalage d’entrée en vigueur constitue le principal problème de ce texte. Les impacts éventuellement négatifs de l’intelligence artificielle n’attendrons pas ce délai pour produire des effets encore inconnus mais prévisibles : violation des données et transfert des données, impact cyber, usage inconsidéré de l’outil à tous niveaux, que ce soit l’emploi, la surveillance, le profilage, le scoring en tous genres, la facture numérique, l’implantation de biais algorithmiques non décelés, la prémisse d’une justice prédictive, ou encore l’impact sur le travail discriminant. Ce n’est pas un mais plusieurs défis qui s’annoncent.

L’IA concerne un nombre incalculable de domaines : propriété intellectuelle, droit du travail… Quelles sont les clés pour arriver à une IA responsable  et cadrée ?

Il est classique de répondre à cette question par la notion d’interaction homme machine.

En somme, l’intervention humaine et la collaboration avec l’IA se retrouve dans la notion de Cobot, un néologisme formé à partir des mots “coopération” et “robotique” ; l’idée d’une collaboration parfaite entre l’homme et la machine. La superpuissance de cette dernière permet de gérer des tâches répétitives, endurantes et précises. 

Pour atteindre cet objectif avec un encadrement opérationnel viable, plusieurs étapes sont nécessaires : 

• l’acculturation qui permet de sensibiliser le plus nombre de personnes aux définitions, usages et impacts éthiques de l’IA.
• l’idéation par secteur et métier : chaque secteur d’activité connaît des particularités, et la confiance en l’outil ne peut se concevoir que par identification des besoins par les directions et employés eux-mêmes, en somme, un contrôle par usage expérimental qui impliquerait une culture de plus en forte de la traçabilité et intelligibilité de la donnée.
• une participation communautaire de la gouvernance des données avec une évaluation régulière des ajustements nécessaires pour tester de façon fréquente les modèles sur des benchmarks diversifiés afin de corriger les biais.   

L’IA offre assez paradoxalement un moyen unique de nous remettre en cause sur le plan éthique, de comprendre nos biais, de les corriger et de se dire que l’éthique n’est plus une question de principe mais de survie. Notre vie privée, notre savoir faire, nos créations, en somme, tout ce qui constitue le patrimoine humain au sens général du terme entre dans le champ d’application de l’IA.

Il y a donc lieu de créer un code de l’intelligence artificielle comme le code de la cybersécurité, mais avec une implication plus immersive, plus participative de la société. À l’aune de l’intelligence artificielle, aucun travers d’exclusion élitiste ne doit se reproduire, l’enjeu ouvre la voie à toutes les voix. 

D’autre part, sur le plan juridique, l’entrée en vigueur complexifie l’encadrement immédiat de l’IA. L’approche de notre cabinet est d’anticiper une entrée effective de l’IA Act par une vision transversale du droit positif (PI, droit du travail, droit fiscal, Equity et M&A, concurrence, droit financier). Imaginer que l’IA Act soit une solution définitive est une erreur stratégique majeure. Le droit de l’intelligence artificielle peut se pratiquer dès maintenant. Nous avons donc construit une expertise juridique inspirée des règles probatoires actuelles afin de participer à un encadrement juridique effectif sans plus attendre. 

La clé de voûte reste l’intelligibilité de la donnée. La CNIL anticipe ce défi par une réflexion approfondie de l’expertise algorithmique, c’est en terme de preuve un enjeu majeur. 

En effet, tout procès technique commence généralement par l’organisation d’une expertise judiciaire, et c’est donc cette base probatoire qui doit constituer la piste de réflexion d’un encadrement juridique effectif de l’IA.  

L’IA comme le Web3 semblent être des révolutions plus profondes et marquantes que les précédentes. Quel regard portez-vous là-dessus ? Êtes-vous optimiste et pensez-vous que les entreprises ont toutes compris cet enjeu ?

Le Web3 ne finit pas d’apporter son lot d’avantages. Je suis pour ma part un fan inconditionnel de la décentralisation, car elle permet tout simplement aux individus de retrouver une forme de liberté et de déléguer de façon équitable l’encadrement. 

D’aucuns pensent par exemple que la blockchain constitue un moyen infaillible de traçabilité de la donnée, enjeu majeur de l’encadrement de l’IA. Les plaidoyers se multiplient en faveur de cette solution d’identification des droits d’auteur et de tout schéma d’identification.  

L’IA peut également rationaliser le processus de développement et améliorer l’expérience utilisateur dans les applications décentralisées (Dapps) et la génération de contenus transformés en NFT, l’amélioration des jeux en blockchain, et toute autre livrable d’images, de vidéos et tout autre contenu. 

Il faut bien évidemment que cette solution se combine aux contraintes techniques de l’analyse des données et à la structuration des données. Peut-on rendre le deep learning compatible avec la blockchain ? Comment s’organise la cybersécurité (audit régulier des smart contrats – protection de l’infrastructure réseau – sécurisation DApps – vieille préalable sur la pollution de donnée..) ? Mais le point à retenir est une technique de traçabilité, utile précisément à la constitution de preuve. 

À travers tous les processus de digitalisation et avec l’avancée de l’IA, la donnée s’impose comme le nouvel or noir. Comment protéger cette dernière et s’assurer qu’elle est utilisée de façon responsable ? Et à quel prix ?

La valorisation et la monétisation de la data est un enjeu majeur pour les entreprises. La personnalisation de l’expérience client, la gestion des risques détection de fraudes, l’optimisation de la chaîne d’approvisionnement sont autant d’usages qui ont fait la fortune des GAFAM et dont la performance économique n’est plus à démontrer. 

La localisation des données après usage de l’IA, le transfert de ces données, la localisation du modèle sont autant de préoccupations légitimes. 

S’agissant des données personnelles, le sujet du transfert des données hors Union Européenne est suivi avec attention et depuis un courant jurisprudentiel des arrêts dit « Schrems I et II ». Des systèmes de contrôle équivalents ont été installés entre les États-Unis et l’Europe. Par une décision du 10 juillet 2023, la Commission européenne constate que les États-Unis assurent un niveau de protection des données personnelles équivalent à celui de l’Union Européenne. 

La question est tout aussi complexe pour les données d’entreprises : les litiges autour du conflit larvé des procédures Discovery face à la loi dite « de blocage » révèle qu’une guerre indirecte ou directe de la data n’est pas une fiction. 

La loi « de blocage » vient notamment en réponse à l’utilisation par les juridictions américaines de la procédure Discovery, permettant de communiquer des données stratégiques lors de procès avec des entreprises concurrentes.

C’est pourquoi la loi interdit la demande, la recherche ou la communication, directe ou indirecte, de documents d’ordre économique, commercial, industriel, financier ou technique dans le cadre de procédures judiciaires ou administratives étrangères, sous réserve des traités internationaux en vigueur. Elle s’applique à toute preuve située en France, qu’elle soit détenue par une personne physique ou morale, nationale ou étrangère.

Depuis le 1er avril 2022, les entreprises confrontées à des demandes de Discovery de la part d’autorités étrangères doivent désormais passer par le guichet unique du Service de l’information stratégique et de la sécurité économiques (Sisse), rattaché à la Direction Générale des Entreprises.

La question majeure de la souveraineté numérique n’est pas une simple question politique, elle répond à des questions concrètes de confiance et de confidentialité d’informations couvertes notamment par le secret des affaires.  

Comment faire pour que les dirigeants d’entreprises ne perçoivent pas l’IA comme un mal nécessaire : comment les rassurer et leur faire prendre ce virage inévitable ?

C’est un défi kafkaïen pour eux : ne pas prendre le virage c’est finir dans le fossé, et le prendre trop vite c’est risquer une perte d’informations couvertes par leur secret des affaires.  

Il faut donc s’intéresser de près à l’installation rapide de l’IA dans son entreprise de façon responsable. Il ne peut y avoir d’obligation en matière d’IA sans sanction financière. 

Cette contrainte juridique, certes très complexe à mettre en œuvre, permettra de tirer de façon lucide un véritable profit de l’intelligence artificielle. 

La proposition de valeur de MO Avocat repose sur ce dilemme : 

• une installation et utilisation responsable de l’IA (charte sur l’éthique de l’IA au sein de l’entreprise compatible avec la charte informatique et conforme au droit du travail, anticipation de l’IA Act, schéma de formation, sensibilisation aux biais…)  ; 
• une contractualisation de l’écosystème IA : des fournisseurs aux déployeurs de l’IA, ainsi qu’aux intervenants cyber, dont le règlement DORA (applicable à partir du 1er janvier 2025) donne le la de la gouvernance cyber des établissements financiers, les directives NIS 1 et NIS 2 participent du même élan de responsabilisation juridique du risque cyber ;  
• une anticipation et gestion des litiges afférents à ces risques. 

Concernant la fiscalité : grâce à l’IA, les images satellitaires permettent de lutter notamment contre les installations de piscines non déclarées. Apparemment cette technique va être étendue à d’autres types de construction. Que pensez-vous de cet outil ? N’est-il pas trop liberticide, même s’il vise à lutter contre la fraude ?

La fiscalité algorithmique est en passe de devenir la pierre angulaire des contrôles fiscaux.

La Direction Générale des Finances Publiques (DGFiP) s’est dotée depuis près de 10 ans d’un traitement automatisé de lutte contre la fraude dénommé « Ciblage de la Fraude et Valorisation des Requêtes » (CFVR). 

Le  traitement CFVR, basé sur des techniques de data mining, ou exploration de données, a plusieurs fonctionnalités : la modélisation prédictive, la requête d’analyse de risques, la recherche d’atypies ou d’incohérences et la recherche de liens entre les différentes personnes ou avec des entités professionnelles.

Le traitement CFVR pourra désormais utiliser, à titre pérenne, les données des particuliers sans lien avec une entreprise, y compris afin de procéder à l’envoi automatique de demandes de renseignements aux contribuables suite à un rapprochement des informations décelant des incohérences dans les déclarations fiscales.

Co-financé par le Fonds pour la Transformation de l’Action Publique (FTAP), le projet « Foncier innovant » de la DGFiP a de son côté permis à l’administration fiscale d’exploiter les images aériennes publiées par l’IGN en données ouvertes. Les résultats du traitement de ces données, et du repérage des contours de bâtis et piscines notamment, sont ensuite comparés par un algorithme avec les bases de données cadastrales (plans cadastraux et informations foncières littérales).

Mercredi 20 mars 2024, Thomas Cazeneuve évoquait une réussite du dispositif et la détection de 140.000 piscines et la récupération de 40 millions d’euros de ressources pour les collectivités locales, le dispositif s’étend aux constructions et installations non déclarées. 

Le recoupement des données en matière d’IFI (Impôt sur la Fortune Immobilière) est également appliqué. 

Il est évident que la collecte des données par l’IA est une arme fiscale de dissuasion massive. 

Elle doit se faire avec précaution, avec une collecte rigoureuse des données personnelles, en respectant les règles RGPD, la jurisprudence européenne et toute considération inhérente aux moyens de défense prévue par le livre des procédures fiscales, le code général des impôts et la jurisprudence du juge de l’impôt. 

Les moyens de défense restent dépendants de l’expertise algorithmique. 

La prévention reste la meilleure défense, les dispositifs de régularisation spontanés qui entraînent une réduction de l’intérêt de retard (30 %) pour les contribuables de bonne foi (Loi ESSOC) offrent des moyens de remédier à une situation irrégulière. 

Pour plus d’informations, nous vous donnons rendez-vous sur le site MO Avocat

Propos recueillis par Richard Lecocq