Le Règlement (UE) 2024/1689 établissant des règles concernant l’Intelligence Artificielle (IA), a été publié au Journal officiel de l’Union européenne le 12 juillet 2024.
Il entrera en vigueur le 1er août 2024 et sera applicable et obligatoire dans tous les États membres à partir du 2 août 2026. Toutefois, certaines dispositions seront applicables dès 2025[1] et d’autres seulement en 2027[2].
Sous la pression des acteurs demandant une meilleure réglementation, l'Union européenne a adopté le 21 mai 2024 l'AI Act, une des premières réglementations mondiales en la matière. Cela a aussi mené à la création d'un « Bureau de l'IA » pour renforcer les compétences de l’UE en matière d’IA et d'un « Comité de l'IA », composé d'un représentant par État membre, pour conseiller l'exécutif européen et assurer une application cohérente du règlement.
Dans la période à venir, les dispositions de ce règlement devraient être complétées par d'autres initiatives réglementaires, telles que l'adoption de normes harmonisées pour la mise sur le marché, la mise en service et l'utilisation des systèmes d'IA établis en vertu du présent règlement, ou encore l'élaboration de codes de conduite ou de bonnes pratiques.
Classification des systèmes d’IA en fonction du risque
Selon la définition fournie par le Règlement, un système d’IA est un système automatisé capable de fonctionner à divers niveaux d'autonomie et de s'adapter après déploiement. Il utilise les données reçues pour générer des prédictions, du contenu, des recommandations ou des décisions influençant les environnements physiques ou virtuels, selon des objectifs explicites ou implicites.
Ainsi, le législateur européen établit 4 catégories de systèmes d’IA selon les risques et les potentiels effets néfastes qu’ils pourraient engendrer, en en prévoyant une série d’obligations à la charge des opérateurs (déployeurs[3] et fournisseurs[4] d'IA).
- IA à risque inacceptable : les systèmes d'IA interdits incluent ceux qui manipulent les décisions, exploitent les vulnérabilités, évaluent ou classent les personnes selon leur comportement social ou traits personnels, et prédisent le risque de criminalité. Sont également interdits les systèmes récupérant des images faciales sur Internet ou vidéosurveillance, déduisant des émotions au travail ou dans les établissements éducatifs, et classant les personnes sur la base de données biométriques. Toutefois certaines exceptions sont prévues lorsque ces systèmes sont utilisés pour la recherche de personnes disparues ou la prévention d'attaques terroristes.
- IA à haut risque : un système d’IA est à haut risque lorsqu’il est destiné à être utilisé comme composant de sécurité d’un produit lui-même couvert par la législation de l’Union, dont la liste figure à l’annexe I du Règlement. Ces systèmes doivent faire l’objet d’évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service du produit, conformément à la législation européenne.
Dans l’annexe III du Règlement sont aussi détaillés les systèmes utilisés dans huit domaines spécifiques, parmi lesquels : les systèmes utilisés pour (i) l’identification biométrique, (ii) ceux utilisés dans les services essentiels (pour le management et l’opération des infrastructures digitales critiques, du trafic routier, les systèmes utilisés dans la gestion de la fourniture d’eau, de gaz, de chauffage ou d’électricité), (iii) l’éducation, (iv) les ressources humaines, (v) le système de justice etc. Ces IA requièrent des exigences renforcées.
- IA à risque faible : ce sont les systèmes d’IA nécessitant uniquement une obligation de transparence de la part du fournisseur qui devra enregistrer un tel système dans la base de données européenne. Ainsi, un deepfake ou un chatbot en ligne doivent être signalé comme tels à l’usager. Selon l’alinéa 53 du Règlement, l'IA ayant un impact limité sur les décisions se caractérise par plusieurs conditions essentielles : (1) le système remplit des tâches restreintes, telles que la structuration des données ou la classification de documents, sans augmenter les risques associés à des utilisations considérées à haut risque ; (2) l'IA améliore les résultats d'une activité humaine antérieure, comme le perfectionnement de la langue d’un document, sans influencer de manière significative la décision finale ; (3) l'IA détecte les écarts par rapport aux décisions antérieures sans les modifier, se contentant de signaler des incohérences ; (4) l'IA effectue des tâches préparatoires, telles que la gestion de fichiers ou la traduction, avec un impact limité sur les évaluations ultérieures.
- IA à risque minimal : ce sont les systèmes d’IA ne présentant aucun danger pour l’usager, tels qu’un filtre anti-spam, et n’ont pas de réglementation particulière.
Avant la mise sur le marché ou en service des systèmes d'IA, qu'ils soient à haut risque ou sans risque élevé, les fournisseurs, les distributeurs, les déployers - autorités publiques, agences ou autres organismes publics, selon le cas, doivent enregistrer ces systèmes dans la base de données de l'UE. Pour certains systèmes d'IA à haut risque dans les domaines sensibles, une section sécurisée et non disponible au public leur sera réservée dans la base de données.
Régime spécifique pour les IA à usage général (GPIA)
Le Règlement prévoit, par ailleurs, un régime spécial pour ce qu’il désigne comme les modèles d’IA à usage général[5], en indiquant certaines obligations à respecter. Un modèle d'IA à usage général est classé comme présentant un risque systémique s'il a des capacités d'impact élevées selon des outils d'évaluation appropriés, ou s'il est jugé équivalent par la Commission sur la base de critères spécifiques. Des obligations de transparence[6] accrues s’appliquent aux fournisseurs de systèmes d’IA destinés au grand public, ou IA à usage général (GPIA), générant des contenus synthétiques audio, image, vidéo ou texte (Art. 50). A chaque utilisation d’un tel système, l’usager doit pouvoir avoir accès à une liste des contenus utilisés pour former et entrainer l’IA.
Obligations des opérateurs (fournisseurs et déployeurs)
Plusieurs obligations sont prévues pour les fournisseurs et les déployeurs des systèmes d’IA, parmi lesquelles :
- Etablir un système de gestion de la qualité, qui doit être proportionnel à la taille de l’organisation du prestataire. Cela veut dire qu’il faut mettre en place des stratégies de conformité, des procédures de conception et de développement, des processus de validation des systèmes, une gestion des données et des risques, mesures de surveillance ou des rapports d’incidents, des registres ou des procédures de communication.
- Etablir un système de gestion des risques : cette obligation concerne particulièrement les systèmes d’IA à haut risques, par rapport auxquels il faut avoir la capacité d’identifier et analyser les risques potentiels pour la santé, la sécurité ou les droits fondamentaux, estimer et évaluer ces risques et adopter des mesures correctives.
- Fournir une documentation technique du système à haut risque : la documentation doit être tenue à jour et prouver que le système d'IA répond aux exigences de la loi. Les petites entreprises, y compris les start-ups, peuvent fournir ces informations de manière plus simple. L'UE créera un formulaire simplifié à cet effet. Si un système d'IA à haut risque est lié à un produit couvert par d'autres lois européennes (dans le domaine financier, par exemple), un seul jeu de documents doit contenir toutes les informations nécessaires.
Les fournisseurs de systèmes d'IA à haut risque doivent conserver certains documents pendant 10 ans après la mise à disposition du système. En cas de faillite ou cessation d’activité avant l'expiration du délai, chaque État membre de l'UE décidera des modalités de mise à disposition de ces documents.
- Tenir un registre : les systèmes d'IA à haut risque doivent enregistrer automatiquement et retracer les actions du système, en particulier dans les situations où l'IA peut présenter un risque ou subir des changements importants.
Les fournisseurs doivent conserver ces journaux/ registres pendant au moins six mois, ou plus longtemps, si la législation européenne ou nationale l'exige, en particulier celle relative à la protection des données à caractère personnel.
- Garantir la transparence : les systèmes d'IA à haut risque doivent être conçus de manière transparente, afin que ceux qui les utilisent puissent les comprendre et les utiliser correctement. Les instructions doivent également expliquer comment interpréter les résultats du système, toute modification prédéterminée du système et comment l'entretenir. La précision de ces systèmes d'IA doit être déclarée dans leurs instructions.
Obligations des importateurs et distributeurs
- Les importateurs doivent vérifier que le système a passé les évaluations nécessaires, est accompagné de la documentation adéquate, et porte le symbole CE. Ils doivent indiquer leurs coordonnées sur le système ou son emballage, veiller à son stockage et transport en toute sécurité, et conserver un registre de certification et d'instructions pendant 10 ans.
- Les distributeurs doivent s'assurer que le système porte le symbole CE et dispose d'une copie de la déclaration de conformité de l'UE. Si le système ne répond pas à ces normes, ils ne peuvent pas le vendre. En cas de non-conformité après-vente, ils doivent le corriger, le retirer ou le rappeler.
Le certificat du système IA
Les certificats pour les systèmes d'IA doivent être rédigés dans une langue compréhensible par les autorités locales. Ils sont valides pendant quatre ou cinq ans, selon le type de système d'IA listé aux annexes I et III du Règlement, et sont renouvelables après réévaluation. Le certificat peut être suspendu ou retiré pour non-conformité. Ces décisions sont sujettes à appel.
Régime de sanctions
Les sanctions pour violation des dispositions légales peuvent être administratives ou pénales, monétaires ou non monétaires. Les États membres doivent mettre en œuvre des mesures pour le règlement et prévoir des sanctions proportionnées et dissuasives. Chaque État membre doit établir un régime de sanctions en tenant compte de la nature, de la gravité, de la durée de l’infraction, de ses conséquences, et de la taille du fournisseur, notamment pour les PME et start-ups.
Le règlement prévoit des sanctions maximales de 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial pour certaines pratiques interdites en matière d’IA, et de 15 millions d’euros ou 3% du chiffre d’affaires pour d’autres violations. Dans les deux cas, le montant le plus élevé est retenu.
Fournir des informations inexactes aux organismes notifiés ou autorités nationales peut entraîner une amende administrative de 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
La Commission peut, enfin, infliger aux fournisseurs de modèles d’IA à usage général des amendes allant jusqu’à 15 millions d’euros ou 3 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
***
Nous espérons que ces informations vous ont été utiles !
[1] Les dispositions générales et les pratiques interdites des IA seront applicables dès le 2 février 2025. Les dispositions sur les systèmes à haut risque, sur les autorités de notification et organismes notifiés, sur les modèles d’IA à usage général, sur la gouvernance, sur les sanctions et la confidentialité seront applicables dès le 2 août 2025, sauf celles relatives aux amendes pour les fournisseurs de modèles d’IA à usage général.
[2] Les dispositions sur les systèmes d’IA à haut risque et les obligations correspondantes seront applicables seulement à compter du 2 août 2027.
[3] Personne physique ou morale, autorité publique, agence ou autre organisme utilisant un système d'IA dans le cadre de son activité professionnelle.
[4] Personne physique ou morale, autorité publique, agence ou autre organisme qui développe ou fait développer une IA pour son usage personnel ou pour la mettre sur le marché
[5] Un modèle d'IA d’usage général est capable d'accomplir de nombreuses tâches distinctes, grâce à son entraînement sur de grandes quantités de données, et peut être intégré dans divers systèmes ou applications. Il exclut les modèles utilisés pour la recherche ou les prototypes avant commercialisation.
[6] Par exemple, les personnes doivent être informées lorsqu'elles interagissent avec un système d'IA. Les résultats des systèmes GPIA doivent être en format lisible par machine et détectables comme artificiels. Ceux qui déploient des systèmes d'IA générant ou manipulant des images, audio ou vidéos susceptibles de constituer des contrefaçons doivent indiquer que le contenu est artificiel.