top of page
pexels-google-deepmind-17483867.jpg
celinegainet

Nouvelle ère pour l'IA : l'Europe adopte une loi pionnière


Le 13 mars 2024, le Parlement européen a approuvé le règlement sur l’IA (le “Règlement IA” ou AI Act), visant à établir un cadre sûr, transparent et équitable pour le développement et l'utilisation de l'IA. Cette législation a été approuvée par une large majorité de 523 voix contre 46, reflétant un consensus solide sur la nécessité de réglementer ce secteur​​. Elle marque la fin de l'ère du "Far West" pour l'industrie de l'IA en Europe et établit un précédent pour d'autres pays souhaitant mettre en œuvre des règles similaires.

 

L'opinion publique et les experts du secteur sont divisés concernant cette législation. D'un côté, certains craignent que ces réglementations n'entravent le progrès technologique et rendent plus difficile l'atteinte de l'intelligence générale artificielle​​. De l'autre, certains considérent que ces mesures ne vont pas assez loin pour imposer des protections plus strictes contre les menaces telles que la désinformation​​.

 

 

1.    Plusieurs niveaux de risque

 

La législation introduit un système de classification des produits d'IA basé sur leur niveau de menace anticipé. Les applications sont ainsi classées en quatre catégories de risque : inacceptable, élevé, limité, et minimal, as well as an identification of risks specific to general purpose models.



+ SYSTEMIC RISK

 

Risque minimal :


La vaste majorité des systèmes d'IA actuellement utilisés ou susceptibles d'être utilisés dans l'UE entrent dans cette catégorie. Ces systèmes d'IA peuvent être développés et utilisés dans le respect de la législation existante sans obligations légales supplémentaires. Ce sont par exemple les filtres anti-spam, les systèmes de gestion des stocks.


Sur une base volontaire, les fournisseurs de ces systèmes peuvent choisir d'adhérer à des codes de conduite volontaires.

 

Risque limité ou risque de transparence spécifique : 


Ce sont les systèmes d'IA qui doivent répondre à des obligations spécifiques de transparence, quand il y a, par exemple, un risque de manipulation identifié. Cela peut être le cas d’une personne interagissant avec un chatbot qui doit être informée qu'elle interagit avec une machine, afin qu'elle puisse décider de poursuivre ou de demander à parler à un humain à la place​​.

Risque Elevé 


Cette catégorie comprend un nombre limité de systèmes d'IA définis dans la législation. Ce sont ceux susceptibles d'avoir un impact négatif sur la sécurité des personnes ou sur leurs droits fondamentaux (tels que protégés par la Charte des droits fondamentaux de l'UE). La liste des systèmes d'IA à haut risque est annexée à la loi et peut être révisée en fonction de l'évolution des cas d'utilisation de l'IA.

 

Cette catégorie englobe les applications liées au transport, à l'éducation, à l'emploi, et au bien-être, entre autres. Avant de mettre un système d'IA à haut risque sur le marché ou en service dans l'UE, les entreprises doivent effectuer une évaluation de conformité préalable et satisfaire à une longue liste d'exigences pour garantir la sécurité du système. De plus, la Commission européenne créera et maintiendra une base de données publiquement accessible où les fournisseurs seront obligés de fournir des informations sur leurs systèmes d'IA à haut risque, assurant ainsi la transparence pour toutes les parties prenantes​​.

 

Risque inacceptable :


cette catégorie comprend un ensemble très limité d'utilisations de l'IA, considérées comme dangereuses eu égard aux valeurs de l'UE. Elles pourraient violer les droits fondamentaux et seront donc interdites :

  • scoring social à des fins publiques et privées,

  • L’exploitation de personnes en situation de faiblesse,

  • L’utilisation de techniques subliminales,

  • L'identification biométrique à distance en temps réel dans les espaces accessibles au public par les forces de l'ordre, sous réserve d'exceptions limitées, la catégorisation de personnes physiques sur la base de données biométriques afin de déduire ou d'inférer leur race, leurs opinions politiques, leur appartenance à un syndicat, leurs croyances religieuses ou philosophiques ou leur orientation sexuelle. Le filtrage d'ensembles de données sur la base de données biométriques dans le domaine de l'application de la loi restera possible,

  • Les pratiques prédictives concernant des individus spécifiques,

  • La reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, sauf pour des raisons médicales ou de sécurité (par exemple, le contrôle du niveau de fatigue d'un pilote),

  • La recherche non ciblée d'images faciales sur l'internet ou les systèmes de vidéosurveillance, afin de constituer ou d'élargir des bases de données.

 

Risques systémiques :


La loi sur l'IA prend également en compte les risques systémiques qui pourraient découler des modèles d'IA à usage général, y compris les modèles d'IA générative. Ceux-ci peuvent être utilisés pour une variété de tâches et deviennent la base de nombreux systèmes d'IA dans l'UE. Certains de ces modèles pourraient comporter des risques systémiques s'ils sont très performants ou largement utilisés. Par exemple, des modèles puissants pourraient provoquer des accidents graves ou être utilisés à mauvais escient lors de cyberattaques de grande envergure. De nombreuses personnes pourraient être affectées si un modèle propage des biais nuisibles dans de nombreuses applications.

 

Les développeurs d'IA générative, tels que OpenAI et Google, devront fournir des documents et des données expliquant le fonctionnement de leurs modèles, et se conformer aux lois européennes sur les droits d'auteur lors de la création de leurs LLM (modèles de langage à grande échelle).

 


 

 


2.    À qui s'applique la loi sur l'IA ?

 

Le cadre juridique s'appliquera aux acteurs publics et privés à l'intérieur et à l'extérieur de l'UE dès lors que le système d'IA est mis sur le marché de l'Union ou que son utilisation affecte des personnes situées dans l'UE. La loi a donc un champ d'application extraterritorial étendu, s'appliquant aux fournisseurs, aux utilisateurs, aux importateurs et aux distributeurs, avec la possibilité d'imposer des amendes importantes en cas de non-conformité.

 

Elle peut concerner

  • les fournisseurs (par exemple, un développeur d'un outil de sélection de CV) et

  • Importateurs de systèmes d'IA : s'il s'agit d'un système d'IA à haut risque, ils devront également s'assurer que le fournisseur étranger a déjà effectué la procédure d'évaluation de la conformité appropriée, qu'il porte un marquage de conformité européen (CE) et qu'il est accompagné de la documentation et des instructions d'utilisation requises.

 

En outre, certaines obligations sont prévues pour les fournisseurs de modèles d'IA à usage général, y compris les grands modèles d'IA générative.

 

Les fournisseurs de modèles gratuits et libres sont exemptés de la plupart de ces obligations. Cette exemption ne couvre pas les obligations des fournisseurs de modèles d'IA à usage général présentant des risques systémiques.

 

Les obligations ne s'appliquent pas non plus aux activités de recherche, de développement et de prototypage précédant la mise sur le marché.

 

Le règlement ne s'applique pas non plus aux systèmes d'IA destinés exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d'entité exerçant ces activités.

 


 

 

3.    Focus sur l’IA à haut risque

 

-  Comment déterminer si un système d'IA présente un risque élevé ?

 

Outre une définition claire de la notion de "risque élevé", la loi définit une méthodologie qui permet d'identifier les systèmes d'IA à haut risque dans le cadre juridique. La classification des risques est basée sur l'utilisation prévue du système d'IA, conformément à la législation européenne en vigueur sur la sécurité des produits. Cela signifie que la classification du risque dépend de la fonction remplie par le système d'IA et de l'objectif et des modalités spécifiques pour lesquels le système est utilisé.

 

Une liste de cas d'utilisation considérés comme présentant un risque élevé est annexée à l'acte :

-         Certaines infrastructures critiques, par exemple dans les domaines de la circulation routière et de la fourniture d'eau, de gaz, de chauffage et d'électricité,

-         L'éducation et la formation professionnelle, par exemple pour évaluer les résultats de l'apprentissage et piloter le processus d'apprentissage et le contrôle de la tricherie,

-         Emploi, gestion des travailleurs et accès à l'emploi indépendant, par exemple pour publier des offres d'emploi ciblées, analyser et filtrer les demandes d'emploi et évaluer les candidats,

-         L'accès aux services et prestations essentiels privés et publics (par exemple les soins de santé), l'évaluation de la solvabilité des personnes physiques, l'évaluation des risques et la tarification de l'assurance vie et de l'assurance maladie,

-         Certains systèmes utilisés dans les domaines de l'application de la loi, du contrôle des frontières, de l'administration de la justice et des processus démocratiques,

-         Évaluation et classification des appels d'urgence,

-         Systèmes d'identification biométrique, de catégorisation et de reconnaissance des émotions (en dehors des catégories interdites),

-         Les systèmes de recommandation des très grandes plateformes en ligne ne sont pas inclus, car ils sont déjà couverts par d'autres législations (DMA/DSA).

 

La Commission veillera à ce que cette liste soit tenue à jour et pertinente. Les systèmes figurant sur la liste des systèmes à haut risque, qui exécutent des tâches procédurales limitées, améliorent le résultat d'activités humaines antérieures, n'influencent pas les décisions humaines ou effectuent des tâches purement préparatoires, ne sont pas considérés comme des systèmes à haut risque. Toutefois, un système d'IA sera toujours considéré comme présentant un risque élevé s'il effectue le profilage de personnes physiques.

 

- Quelles sont les obligations des fournisseurs de systèmes d'IA à haut risque ?

 

Avant de mettre un système d'IA à haut risque sur le marché de l'UE ou de le mettre en service, les fournisseurs doivent le soumettre à une évaluation de la conformité. Cela leur permettra de démontrer que leur système respecte les exigences obligatoires pour une IA digne de confiance (qualité des données, documentation et traçabilité, transparence, supervision humaine, précision, cybersécurité et robustesse). Cette évaluation doit être répétée si le système ou son objectif sont modifiés de manière substantielle.


Lorsque les systèmes d'IA sont des composants de sécurité de produits essentiels régis par des réglementations européennes spécifiques et qu'ils doivent faire l'objet d'une évaluation de la conformité par une tierce partie en vertu de la réglementation européenne spécifique correspondante, ils seront toujours considérés comme présentant un risque élevé. C'est le cas, par exemple, de produits tels que les jouets, les ascenseurs et les équipements médicaux.

 

En outre, pour les systèmes biométriques, une évaluation de la conformité par un tiers est toujours nécessaire.

 

Les fournisseurs de systèmes d'IA à haut risque devront également mettre en œuvre des systèmes de gestion de la qualité et des risques afin de garantir leur conformité aux nouvelles exigences et de minimiser les risques pour les utilisateurs et les personnes concernées, même après la mise sur le marché d'un produit.

 

Les systèmes d'IA à haut risque déployés par des autorités publiques ou des entités agissant en leur nom devront être enregistrés dans une base de données publique de l'UE, à moins que ces systèmes ne soient utilisés à des fins répressives ou migratoires. Ces derniers devront être enregistrés dans une partie non publique de la base de données qui ne sera accessible qu'aux autorités de contrôle concernées.

 

Les autorités de surveillance du marché soutiendront le suivi post-commercialisation par des audits et en offrant aux fournisseurs la possibilité de signaler les incidents graves ou les violations des obligations en matière de droits fondamentaux dont ils ont eu connaissance. Toute autorité de surveillance du marché peut autoriser la mise sur le marché d'IA spécifiques à haut risque pour des raisons exceptionnelles.

 

En cas d'infraction, les exigences permettront aux autorités nationales d'avoir accès aux informations nécessaires pour déterminer si l'utilisation du système d'IA était conforme à la loi.

 


 

4.    Implications pour les entreprises

 

Pour les entreprises opérant dans le domaine de l'IA ou envisageant d'entrer sur le marché européen, cette législation souligne l'importance de :

 

  • Évaluer le niveau de risque de leurs produits et systèmes d'IA, et se préparer à une éventuelle évaluation réglementaire pour ceux classifiés comme à haut risque​​.

 

  • Documenter et divulguer comment leurs modèles fonctionnent, notamment pour les développeurs d'IA générative, pour garantir la transparence et la conformité aux exigences réglementaires​​.

 

  • Adapter les stratégies de développement pour inclure la conformité aux normes de protection des droits d'auteur de l'UE dans la formation de leurs modèles​​.

 

Cette législation représente un changement de paradigme significatif, signalant un passage à une ère où la sécurité, la transparence et la responsabilité deviennent primordiales dans le développement et la mise en œuvre de l'IA en Europe. Les entreprises doivent naviguer avec prudence dans ce nouveau paysage réglementaire pour assurer leur conformité et tirer parti des opportunités dans un environnement plus structuré et sécurisé.

 

Pour accélérer la transition vers le nouveau cadre réglementaire, la Commission a lancé le Pacte IA, une initiative volontaire qui vise à soutenir la future mise en œuvre et invite les développeurs d'IA d'Europe et d'ailleurs à se conformer à l'avance aux principales obligations de la loi sur l'IA.

 


Un vérificateur de conformité est également proposé ici :

 


 

5.    Sanctions

 

La loi prévoit des amendes potentiellement importantes en cas de violation de ses dispositions :

 

  • Mise sur le marché d'un système interdit.


L'amende potentielle pour violation des interdictions prévues à l'article 5 pour les systèmes d'IA est la plus élevée des deux sommes suivantes : 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial,

 

  • Violation des obligations découlant de l'AMPI ou non-respect des mesures d'exécution (telles que les demandes d'information).


L'amende potentielle pour ces violations est de 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial pour la plupart des infractions relatives aux systèmes d'IA à haut risque, à l'AMPI et aux modèles de fondation découlant des obligations imposées aux fournisseurs, aux importateurs, aux distributeurs et aux déployeurs,

 

  • Fournir des informations incorrectes, incomplètes ou trompeuses aux autorités de réglementation.


L'amende maximale pour cette violation est de 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial.

 


 


6.    Entrée en vigueur

 

L'application de cette loi risque d'être complexe et fragmentée.

 

La publication de la loi sur l'IA au Journal officiel de l'UE est prévue pour le mois de mai. Elle entrera en vigueur 20 jours après sa publication et sera pleinement applicable deux ans plus tard, à quelques exceptions près, comme indiqué dans le calendrier ci-dessous.

 

 

Délais de mise en conformité

 

Au plus tard 6 mois après l'entrée en vigueur :

  • Interdictions relatives aux risques inacceptables AI. (Article 85)

 

Au plus tard 9 mois après l'entrée en vigueur :

  • Les codes de pratique pour l'IA à usage général (GPAI) doivent être finalisés (article 85)

 

Au plus tard 12 mois après l'entrée en vigueur :

  • Les règles de l'AMPI s'appliquent. (Article 85)

  • Nomination des autorités compétentes des États membres. (Article 59)

  • Examen annuel par la Commission et modifications éventuelles des interdictions. (Article 84)

 

Au plus tard 18 mois après l'entrée en vigueur :

  • La Commission publie des actes d'exécution créant un modèle de plan de surveillance post-commercialisation pour les fournisseurs d'IA à haut risque. (Article 6)

Au plus tard 24 mois après l'entrée en vigueur :

  • Les obligations relatives aux systèmes d'IA à haut risque spécifiquement énumérés à l'annexe III, qui comprennent les systèmes d'IA dans les domaines de la biométrie, des infrastructures critiques, de l'éducation, de l'emploi, de l'accès aux services publics essentiels, de l'application de la loi, de l'immigration et de l'administration de la justice, s'appliquent désormais. (Article 83)

  • Les États membres doivent avoir mis en œuvre des règles relatives aux sanctions, y compris les amendes administratives. (Article 53)

  • Les autorités des États membres doivent avoir mis en place au moins un bac à sable réglementaire opérationnel en matière d'IA. (Article 53)

  • Réexamen par la Commission de la liste des systèmes d'IA à haut risque et modification éventuelle de cette liste (article 84)

 


Au plus tard 36 mois après l'entrée en vigueur :

  • Les obligations relatives aux systèmes d'IA à haut risque de l'annexe II s'appliquent. (Article 85)

  • Obligations pour les systèmes d'IA à haut risque qui ne sont pas prescrits à l'annexe III mais qui sont destinés à être utilisés comme composants de sécurité d'un produit, ou l'IA est elle-même un produit, et le produit doit faire l'objet d'une évaluation de la conformité par un tiers en vertu de la législation européenne spécifique existante, par exemple les jouets, les équipements radio, les dispositifs médicaux de diagnostic in vitro, la sécurité de l'aviation civile et les véhicules agricoles. (Article 85)

 

D'ici à la fin de l'année 2030 :

  • Des obligations entrent en vigueur pour certains systèmes d'IA qui sont des composantes des systèmes d'information à grande échelle établis par la législation de l'UE dans les domaines de la liberté, de la sécurité et de la justice, tels que le système d'information Schengen (article 83).

 

Mise en application

 

La Commission peut introduire des actes délégués sur :

  • Définition d'un système d'IA (article 82 bis)

  • Critères d'exemption des règles relatives au risque élevé pour les systèmes d'IA (article 6)

  • Cas d'utilisation de l'IA à haut risque (article 7)

  • Seuils permettant de classer les modèles d'IA à usage général comme systémiques (article 52 bis)

  • Exigences en matière de documentation technique pour les systèmes d'IA à haut risque et les GPAI. (Article 11)

  • Évaluations de la conformité. (Article 43)

  • Déclaration de conformité de l'UE (article 48)

 

Le pouvoir de la Commission d'émettre des actes délégués a une durée initiale et prorogeable de cinq ans (article 73).

 

L'Office AI doit élaborer des codes de pratique couvrant, sans s'y limiter nécessairement, les obligations des fournisseurs de modèles d'IA à usage général. Les codes de pratique doivent être prêts au plus tard neuf mois après l'entrée en vigueur et doivent prévoir un délai d'au moins trois mois avant la prise d'effet. (Article 73)

 

La Commission peut introduire des actes d'exécution sur :

  • Approbation des codes de pratique pour le GPAI et le filigrane génératif de l'IA (article 52 sexies)

  • Mise en place du groupe scientifique d'experts indépendants. (Article 58 ter)

  • Conditions d'évaluation de la conformité à l'AMPI par l'Office AI. (Article 68 undecies)

  • Règles opérationnelles pour les bacs à sable réglementaires en matière d'IA (article 53)

  • Informations contenues dans les plans d'essai en conditions réelles. (Article 54 bis)

  • Spécifications communes (lorsque les normes ne couvrent pas les règles). (Article 41)

 

Lignes directrices de la Commission

 

La Commission peut fournir des conseils sur les points suivants

  • Au plus tard 12 mois après l'entrée en vigueur : Rapport sur les incidents graves d'IA à haut risque (article 62)

  • Au plus tard 18 mois après l'entrée en vigueur : Des orientations pratiques pour déterminer si un système d'IA présente un risque élevé, avec une liste d'exemples pratiques de cas d'utilisation à risque élevé et sans risque élevé (article 6).

  • Sans calendrier précis, la Commission fournira des lignes directrices sur : (article 82 bis)

-        L'application de la définition d'un système d'IA.

-        Exigences du fournisseur d'IA à haut risque.

-        Interdictions.

-        Modifications substantielles.

-        Transparence pour les utilisateurs finaux.

-        Informations détaillées sur la relation entre la loi sur l'IA et d'autres lois de l'UE.


La Commission fait rapport sur ses pouvoirs délégués au plus tard neuf mois et avant cinq ans après l'entrée en vigueur. (Article 84)


 


 


7.    Sources d'information

 

 

 

 

 

 

Disclaimer


Cet article est uniquement à des fins informatives et ne prétend pas être une analyse exhaustive de la Réglementation européenne sur l'IA. Les points de vue et opinions exprimés dans cet article sont ceux de l'auteur. Aucune responsabilité légale ou autre n'est acceptée pour les erreurs, omissions ou déclarations faites dans cet article. Les lecteurs ne doivent pas se fier uniquement aux informations fournies dans cet article pour prendre des décisions légales ou autres importantes, mais devraient consulter un avocat ou autre professionnel selon le cas pour obtenir des conseils spécifiques adaptés à leur situation.

 

 

 

 

 

Comments


bottom of page