L’AI Act est arrivé…     

L’AI Act est arrivé…     
Date de publication :
  • Intelligence Artificielle

En mars dernier, après trois années de préparation, le Parlement européen adoptait définitivement le projet de règlement visant à encadrer le développement de l’intelligence artificielle (AI) sur le sol européen.

Le 12 juillet 2024, le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées relatives à l’intelligence artificielle a été publié au Journal officiel de l’Union européenne (ci-après « l’AI Act »).

L’AI Act a la particularité inédite d’être le tout premier acte législatif en matière d’intelligence artificielle.

L’objectif de l’AI Act est de réguler un domaine d’activité en pleine expansion avec des applications multiples dans tous les aspects de la vie humaine. Ces développements récents permettent aux entreprises ainsi qu’à toute organisation, privée ou publique, de gagner en efficacité, en automatisant certaines tâches et en analysant de grandes quantités de données.

Toutefois, ces évolutions s’accompagnent de risques importants sur les usages et les traitements de telles quantités de données et d’informations. Pour cette raison, l’AI Act a pour objectif principal « de promouvoir l’adoption de l’intelligence artificielle (IA) axée sur l’humain et digne de confiance »[1].  

Il s’agit surtout de s’assurer que les systèmes d’IA (ci-après « SIA »), respectent les droits fondamentaux, la sécurité et les principes éthiques, tout en neutralisant les modèles les plus risqués et dangereux pour le public tels que les algorithmes AI qui sont un risque pour la confidentialité des informations, ceux qui automatisent des processus malveillants ou optimisent des stratégies d’attaque ou encore ceux qui créer des messages et des sites de phishing extrêmement crédibles…

Qui est visé ?   

Sont concernés tous les opérateurs de SIA (fournisseurs et utilisateurs) actifs sur le territoire de l’Union européenne, même lorsqu’ils sont établis hors de ce territoire.

Est notamment visée une pluralité d’acteurs intervenant dans la conception, la mise sur le marché et à l’utilisation ultérieure du SIA. Parmi ces acteurs, on distingue le fournisseur, le déployeur, le mandataire, l’importateur et le distributeur.

L’AI Act accorde une attention particulière au « fournisseur » et au « déployeur ». Le premier est toute personne ou entité développant ou faisant développer un système ou modèle d’IA à usage général et le commercialisant sous son propre nom ou sa propre marque, tandis que le second, représente toute personne ou organisation utilisant un système d’IA sous sa propre autorité.

Quels sont les systèmes et modèles d’IA concernés ?

L’AI Act décrit plusieurs catégories de SIA. Le SIA est défini comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, (…), déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions (…) ».

L’AI Act classe ces systèmes en fonction du niveau de risque associé à leur utilisation.

Tout d’abord, il convient d’exclure d’emblée plusieurs systèmes qui, pour des motifs divers, échappent au AI Act :

  • Les SIA développés ou utilisés exclusivement à des fins militaires ;
  • Les SIA gérés par une autorité publique d’un pays tiers / d’une organisation internationale dans le cadre d’une coopération ou d’accords ;
  • Les activités de mise à l’essai et de développement (activités préalablement à la mise sur le marché / mise en service de du système) ;
  • Les composants d’IA fournis dans le cadre de licences libres et ouvertes (hors IA spécialisée à haut risque ou pratique interdite).

Pour les autres, ils sont classés comme suit :

1. Les risques inacceptables : un ensemble très limité d’utilisations qui portent atteinte à des droits fondamentaux, et sont donc strictement interdites :

  • l’exploitation des vulnérabilités des personnes, la manipulation et le recours à des techniques subliminales;
  • la notation sociale à des fins publiques et privées;
  • la police prédictive ciblant les individus, fondée uniquement sur le profilage des personnes;
  • le moissonnage non ciblé d’images provenant de l’internet ou de la vidéosurveillance afin de constituer ou d’étendre des bases de données de reconnaissance faciale;
  • la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, sauf pour des raisons médicales ou de sécurité (par exemple, surveillance de l’état de fatigue d’un pilote);
  • la catégorisation biométrique des personnes physiques afin de parvenir à des déductions ou des inférences concernant leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques ou leur orientation sexuelle. L’étiquetage ou le filtrage d’ensembles de données et la catégorisation de données dans le domaine répressif demeureront possibles;
  • l’utilisation par les services répressifs de l’identification biométrique à distance en temps réel dans des espaces accessibles au public, sauf exceptions strictement limitées (voir ci-dessous).

2. Les systèmes à « haut risque » :il s’agit aussi d’un nombre limité de systèmes d’IA qui peuvent avoir une incidence négative sur la sécurité des personnes ou sur leurs droits fondamentaux. 

Pour qu’un SIA soit considéré comme à « haut risque », il doit réunir les deux conditions suivantes :

  • Être des composants de sécurité de produits couverts par une législation sectorielle de l’Union (voir Annexe I du IA Act) ;  
  • Être soumis à une évaluation de la conformité par un tiers.

A titre illustratif, sont considérés comme étant à « haut risque » les SIA qui évaluent si une personne est en mesure de recevoir un traitement médical déterminé, de se voir accorder un prêt pour acheter un appartement ou encore ceux qui sont conçus pour sécuriser et gérer les infrastructures numériques critiques, la circulation routière, ainsi que la distribution d’eau, de gaz, de chauffage ou d’électricité.

Les listes des systèmes d’IA à « haut risque » figurent à l’Annexe III de l’IA Act.

3. Les systèmes « à usage général » : ce sont des systèmes conçus sur un large éventail de données dans afin d’être optimisés pour des usages généraux et polyvalents. C’est par exemple le cas de l’IA générative tel que « Chat GPT » qui est capable d’accomplir diverses tâches à la demande.

Parmi ces systèmes « à usage général », l’IA Act vise spécifiquement ceux qui présentent un « risque systémique », c’est-à-dire des grands modèles d’IA générative très performant qui pourraient affecter négativement de nombreuses personnes. L’IA Act précise qu’un tel risque existe lorsque le SIA dispose de capacités à fort impact évaluées sur la base de méthodologies et d’outils techniques appropriés. 

Selon la Commission, les modèles d’IA à usage général qui ont été entraînés à l’aide d’une puissance de calcul totale supérieure à 10^25 FLOPS sont considérés comme présentant des risques systémiques[2].

À l’heure actuelle, seuls les modèles Gemini de Google et ChatGPT d’OpenAI dépassent le seuil fixé[3].

Quels obligations ?

L’AI Act établit des exigences différenciées selon les acteurs et la catégorie de SIA. Il est donc essentiel de définir au préalable le rôle de l’opérateur et le niveau de risque de déterminer les obligations applicables.

1. Obligation de transparence (article 50 AI Act)

Il s’agit d’une obligation générale à l’égard des fournisseurs et déployeurs de certains SIA. Il s’agit d’une obligation de transparence matière d’utilisation de l’IA qui vise à renforcer la confiance en cas d’interaction entre une personne physique et un SIA.

La personne physique doit notamment savoir qu’elle interagit avec un SIA, sauf si cela ressort de manière évidente du contexte d’utilisation (Ex : échange avec un chatbot sur un site).

Les sorties des SIA doivent aussi être marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA.

2. Obligations des fournisseurs de SIA « à haut risque »

Les fournisseurs de SIA à « haut risque » sont soumis à un ensemble d’obligations pour garantir la sécurité et la transparence des systèmes.

Cela inclut notamment :

  • La mise en place de processus de gestion des risques tout au long du cycle de vie du SIA ;
  • Formation du système avec des données et des ensembles de données qui répondent à certains critères de qualité ;
  • Faire l’objet d’une évaluation de la conformité du SIA pour le mettre sur le marché. Le fournisseur pourra ainsi démontrer que son système est conforme aux exigences obligatoires relatives à une IA digne de confiance. Cela implique la mise en place d’une documentation technique démontrant la conformité.

3. Obligations des déployeurs de SIA « à haut risque »

Les déployeurs de systèmes d’IA doivent garantir une utilisation sûre et conforme de ces technologies, et d’assurer une surveillance continue de leur fonctionnement.

Ils doivent ainsi prendre des mesures techniques et organisationnelles appropriées pour garantir que l’utilisation des SIA est conforme aux instructions fournies par le fournisseur, assurer un contrôle humain adéquat, veiller à ce que les données d’entrée des systèmes soient pertinentes et représentatives pour assurer le bon fonctionnement du système, et informer les fournisseurs, les importateurs ou distributeurs, ainsi que les autorités de surveillance compétentes en cas de risque ou d’incident grave.

Politique de soutien à l’innovation ?

L’IA Act prévoit la mise en place obligatoire d’au moins un « bac à sable » réglementaire de l’IA dans chaque État membre. Il s’agit d’un cadre mis en place par un régulateur qui permet aux entreprises, aux start-ups, d’avoir la liberté de tester des technologies, des produits, des services et des méthodes de travail innovants dans un environnement réel mais contrôlé, sous la supervision du régulateur étatique.

Les sanctions ?

L’IA Act met en place un système de gouvernance à deux niveaux en vue d’assurer l’efficacité du Règlement. D’une part, les régulateurs nationaux sont chargés de superviser et de faire respecter les règles applicables aux SIA, et, d’autre part, le Bureau de l’IA, au sein de la Commission, sera en charge d’appliquer toutes les dispositions relatives aux modèles d’IA à usage général.

Afin de garantir la cohérence et la coopération à l’échelle de l’Union, le Comité européen de l’intelligence artificielle («Comité IA») sera créé et sera constitué de représentants des États membres afin d’assurer une collaboration entre autorités compétentes.

L’IA Act demande aux États membres d’instaurer un système de sanctions effectives, proportionnées et dissuasives en cas de non-respect des règles applicables aux SIA.

Il fixe ainsi les seuils suivants :

  • jusqu’à 35 millions d’EUR ou 7 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent (le montant le plus élevé étant retenu) en cas d’infractions correspondant à des pratiques interdites ou à un non-respect des exigences relatives aux données;
  • jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas d’inobservation d’une des autres exigences ou obligations prévues par le règlement;
  • jusqu’à 7,5 millions d’EUR ou 1,5 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent si des informations inexactes, incomplètes ou trompeuses ont été fournies aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande;

L’IA Act prévoit que pour chaque catégorie d’infraction, le seuil sera le plus faible des deux montants pour les PME et le plus élevé des deux pour les autres entreprises.

La Commission est chargée de la supervision des fournisseurs de modèles d’IA à usage général en infligeant des amendes, en tenant compte du seuil suivant:

  • jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas de non-respect d’une des autres obligations ou mesures exigées par la Commission.

Les institutions, agences et organes de l’Union européenne sont également soumis aux règles et pourront encourir des sanctions. Le Contrôleur européen de la protection des données aura le pouvoir de leur infliger des amendes en cas de non-respect du IA Act.

Quel calendrier ?

L’IA Act est entré en vigueur le 1er aout 2024 et sera applicable à partir du 2 août 2026.

Toutefois, certaines règles seront d’application de manière graduelle :

  • Les règles relatives aux pratiques interdites s’appliqueront six mois après son entrée en vigueur (soit au 2 février 2025).
  • Les codes de pratique pour les modèles d’IA à usage général devraient être publiés, au plus tard, par la Commission, neuf mois après son entrée en vigueur (1er trimestre 2025).
  • Les règles concernant les modèles d’IA à usage général s’appliqueront douze mois après son entrée en vigueur (2 août 2025). Ce sera aussi la date limite pour la désignation des autorités nationales de surveillance du marché et la publication de certaines lignes directrices sur les systèmes d’IA à haut risque par la Commission.
  • La Commission devra publier des lignes directrices sur la classification des systèmes d’IA à « haut risque » au plus tard dix-huit mois après son entrée en vigueur (soit début 2026).
  • Les règles concernant les systèmes d’IA à « haut risque » énumérées à l’annexe III s’appliqueront vingt-quatre mois après son entrée en vigueur ( le 2 août 2026).
  • Les règles concernant les autres systèmes d’IA à « haut risque » s’appliqueront trente-six mois après son entrée en vigueur ( aout 2027).

Pour conclure… 

L’IA Act a la difficile tâche de constituer la première réglementation de cette activité technologique aux multiples usages.

La structure réglementaire est fort complexe et la gouvernance est partagée entre l’Union et les États membres. Il est probable que certains acteurs comme les fournisseurs ou les déployeurs pourraient considérer les procédures imposées comme lourdes ou couteuses (enregistrement, marquage CE, évaluation des risques,…).   

Cela pourrait peser sur l’innovation et le développement de certaines start-ups.

Dans un an, la Commission devra rendre son premier rapport sur les pratiques d’IA interdites et les SIA « à haut risque ». Cela sera l’occasion de vérifier les premiers effets du règlement sur le secteur de l’IA.

Septembre 2024

  

[1] Considérant premier du Règlement (UE) 2024/1689.

[2] Voy. Commission européenne, Intelligence artificielle – Questions et réponses*,  https://ec.europa.eu/commission/presscorner/detail/fr/QANDA_21_1683

[3] AI Act : des experts alertent sur le fait que la technologie pourrait dépasser la règlementation, EURACTIV, https://www.euractiv.fr/section/intelligence-artificielle/news/ai-act-des-experts-alertent-sur-le-fait-que-la-technologie-pourrait-depasser-la-reglementation/

Rédaction