Qu'est-ce que la loi sur l'intelligence artificielle de l'Union européenne (loi sur l'IA de l'UE)  ?

Considérée comme le premier cadre réglementaire complet au monde pour l’IA, l'EU AI Act interdit certaines utilisations de l’IA et impose des exigences strictes en matière de gouvernance, de gestion des risques et de transparence pour d’autres.

La loi établit également des règles pour les modèles d’intelligence artificielle à usage général, tels que le modèle Granite d’IBM et le modèle Llama 3 de Meta, qui est un modèle de fondation open source.

En cas de non-conformité, les sanctions peuvent varier de 7,5 millions d’euros ou 1,5 % du chiffre d’affaires annuel mondial à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, selon la gravité de l’infraction.

De la même manière que le Règlement général sur la protection des données (RGPD) de l’UE a inspiré d’autres pays à adopter des lois sur la confidentialité des données, les experts prévoient que l'EU AI Act stimulera le développement de normes de gouvernance et d’éthique de l’IA dans le monde entier.

L'EU AI Act s’applique à de multiples opérateurs de la chaîne de valeur de l’IA, tels que les fournisseurs, les utilisateurs, les importateurs, les distributeurs, les fabricants de produits et les représentants autorisés. Il est important de mentionner les définitions des fournisseurs, des utilisateurs et des importateurs selon l'EU AI Act.

Les fournisseurs sont des personnes ou des organisations qui développent un système d’IA ou un modèle d’IA à usage général (GPAI), ou qui le font développer en leur nom, et qui le mettent sur le marché ou le mettent en service sous leur nom ou leur marque.

La loi définit les systèmes d’IA de manière large comme des systèmes qui peuvent, avec un certain niveau d’autonomie, traiter des entrées pour déduire comment générer des sorties (par exemple, des prédictions, des recommandations, des décisions, des contenus) pouvant influencer des environnements physiques ou virtuels. Elle définit les GPAI comme des modèles d’IA qui présentent une grande généralité, sont capables d’exécuter avec compétence un large éventail de tâches distinctes, et qui peuvent être intégrés dans divers systèmes ou applications en aval. Par exemple, un modèle de fondation est un GPAI ; un chatbot ou un outil d’IA générative basé sur ce modèle serait un système d’IA.

Les déployeurs sont des personnes ou des organisations qui utilisent des systèmes d’IA. Par exemple, une organisation qui utilise un chatbot IA tiers pour traiter les demandes du service client serait un déployeur.

Les importateurs sont des personnes et des organisations situées ou établies dans l’Union qui mettent sur le marché européen les systèmes d’IA d’une personne ou d’une entreprise établie en dehors de l’UE.

L'EU AI Act s’applique également aux fournisseurs et aux déployeurs situés en dehors de l’UE si leur IA, ou les résultats de leur IA, sont utilisés au sein de l’UE.

Par exemple, imaginons qu’une entreprise de l’UE envoie des données à un fournisseur d’IA situé en dehors de l’UE, et que ce fournisseur tiers utilise l’IA pour traiter les données avant de renvoyer les résultats à l’entreprise de l’UE pour qu’elle les exploite. Étant donné que les résultats du système d’IA du fournisseur sont utilisés dans l’UE, le fournisseur est soumis à l'EU AI Act.

Les fournisseurs hors Union européenne qui proposent des services d’IA dans l’UE doivent désigner des représentants autorisés dans l’UE pour coordonner les efforts de conformité en leur nom.

Bien que la loi ait une large portée, certaines utilisations de l’IA en sont exemptées. Les utilisations purement personnelles de l’IA, ainsi que les modèles et systèmes d’IA utilisés uniquement à des fins de recherche et de développement scientifiques, sont des exemples d’exemptions.

L'EU AI Act régule les systèmes d’IA en fonction du niveau de risque. Ici, le risque fait référence à la probabilité et à la gravité des dommages potentiels. Les dispositions les plus importantes incluent :

• une interdiction de certaines pratiques d’IA considérées comme présentant un risque inacceptable,
  
  
• des normes pour le développement et le déploiement de certains systèmes d’IA à haut risque,
  
  
• les règles pour les modèles d’IA à usage général (GPAI).

Les systèmes d’IA qui ne relèvent d’aucune des catégories de risque définies dans l'EU AI Act ne sont pas soumis aux exigences de cette loi (ces systèmes sont souvent classés dans la catégorie « risque minimal »), bien que certains puissent devoir respecter des obligations de transparence et se conformer à d’autres lois existantes. Parmi les exemples, citons les filtres anti-spam dans les e-mails et les jeux vidéo. De nombreuses utilisations courantes de l’IA entrent aujourd’hui dans cette catégorie.

Il convient de noter que de nombreux détails de mise en œuvre de l'EU AI Act sont encore en cours de finalisation. Ainsi, la loi indique que la Commission européenne publiera de nouvelles directives sur les exigences telles que les plans de surveillance après la mise sur le marché et les résumés des données d’entraînement.

L'EU AI Act liste explicitement certaines pratiques d’IA interdites, jugées comme présentant un niveau de risque inacceptable. Par exemple, le développement ou l’utilisation d’un système d’IA qui manipule intentionnellement les personnes pour les amener à faire des choix préjudiciables qu’elles ne feraient pas autrement est jugé par la loi comme présentant un risque inacceptable pour les utilisateurs, et constitue une pratique d’IA interdite.

La Commission européenne est susceptible de modifier la liste des pratiques interdites figurant dans la loi, de sorte qu’il est possible que d’autres pratiques d’IA soient interdites à l’avenir.

 Voici une liste partielle des pratiques d’IA interdites au moment de la publication de cet article :

• Les systèmes d’évaluation sociale, qui évaluent ou classent les personnes sur la base de leur comportement social, conduisant à un traitement défavorable ou préjudiciable dans des contextes sociaux sans rapport avec le contexte initial de collecte des données, ou à un traitement disproportionné ou injustifié par rapport à la gravité de leur comportement social
  
  
• Les systèmes de reconnaissance des émotions au travail et dans les institutions éducatives, sauf lorsque ces outils sont utilisés à des fins médicales ou de sécurité
  
  
• Les systèmes d’IA utilisés pour exploiter les vulnérabilités des personnes (par exemple, les vulnérabilités dues à l’âge ou au handicap)
  
  
• L’extraction non ciblée d’images faciales sur l’Internet ou de séquences de vidéosurveillance (CCTV) pour créer des bases de données de reconnaissance faciale
  
  
• Les systèmes d’identification biométrique qui identifient les individus en fonction de caractéristiques sensibles
  
  
• Certaines applications de police prédictive
  
  
• L’utilisation par les forces de l’ordre de systèmes d’identification biométrique à distance en temps réel dans les lieux publics (sauf exception, avec une autorisation préalable par une autorité judiciaire ou administrative indépendante généralement requise).

En vertu de l'EU AI Act, les systèmes d’IA sont considérés à haut risque s’il s’agit d’un produit ou d’un composant de sécurité d’un produit réglementé par des lois européennes spécifiques auxquelles la loi fait référence, telles que les lois sur la sécurité des jouets et sur les dispositifs médicaux de diagnostic in vitro.

La loi énumère également des utilisations spécifiques qui sont généralement considérées comme à haut risque, notamment les systèmes d’IA utilisés :

• dans des contextes tels que ceux utilisés pour recruter des candidats, évaluer les candidatures et prendre des décisions en matière de promotion ;
  
  
• dans certains dispositifs médicaux ;
  
  
• dans certains contextes éducatifs et de formation professionnelle ;
  
  
• dans les processus judiciaires et démocratiques, tels que les systèmes qui visent à influencer le résultat des élections ;
  
  
• pour déterminer l’accès aux services privés ou publics essentiels, y compris les systèmes qui évaluent l’éligibilité aux prestations publiques et les scores de crédit.
  
  
• dans la gestion des infrastructures critiques (par exemple, l’approvisionnement en eau, en gaz et en électricité, etc.) ;
  
  
• dans tout système d’identification biométrique non interdit, sauf pour les systèmes dont le seul but est de vérifier l’identité d’une personne (par exemple, utiliser un scanner d’empreintes digitales pour accorder l’accès à une application bancaire).

Pour les systèmes inclus dans cette liste, une exception peut être possible si le système d’IA ne pose pas une menace significative à la santé, à la sécurité ou aux droits des individus. La loi spécifie des critères, dont un ou plusieurs doivent être remplis pour qu’une exception puisse être appliquée (par exemple, lorsque le système d’IA est destiné à effectuer une tâche procédurale précise). S’il invoque cette exception, le fournisseur doit documenter son évaluation selon laquelle le système ne présente pas de risque élevé, et les régulateurs peuvent demander à voir cette évaluation. L’exception n’est pas disponible pour les systèmes d’IA qui traitent automatiquement des données personnelles pour évaluer ou prédire certains aspects de la vie d’une personne, tels que ses préférences en matière de produits (profilage), toujours considérés comme à haut risque.

Comme pour la liste des pratiques d’IA interdites, la Commission européenne est susceptible de mettre à jour la liste des systèmes d’IA à haut risque à l’avenir.

Les systèmes d’IA à haut risque doivent se conformer à des exigences spécifiques. En voici quelques exemples :

• Mettre en place un système de gestion continue des risques pour surveiller l’IA tout au long de son cycle de vie. Par exemple, les fournisseurs doivent atténuer les risques raisonnablement prévisibles posés par l’utilisation prévue de leurs systèmes.
  
  
• Adopter des pratiques rigoureuses de gouvernance des données pour garantir que les données d’entraînement, de validation et de test répondent à des critères de qualité spécifiques. Par exemple, il est nécessaire d’instaurer une gouvernance rigoureuse du processus de collecte des données, de vérifier leur origine, et de mettre en œuvre des mesures pour prévenir et atténuer les biais.
  
  
• Maintenir une documentation technique complète fournissant des informations spécifiques, y compris les spécifications de conception du système, ses capacités, ses limites et les efforts de conformité réglementaire.

Il existe également des obligations de transparence supplémentaires pour certains types d’IA. Par exemple :

• Les systèmes d’IA destinés à interagir directement avec des individus devraient être conçus pour informer les utilisateurs qu’ils interagissent avec un système d’IA, sauf si cela est évident pour l'individu dans le contexte. Par exemple, un chatbot devrait être conçu pour informer les utilisateurs qu'il s'agit d'un chatbot.
   
  
• Les systèmes d’IA qui génèrent du texte, des images ou d’autres contenus spécifiques doivent utiliser des formats lisibles par machine pour marquer les sorties comme générées ou manipulées par l’IA. Cela inclut, par exemple, l’IA qui génère des deepfakes, c’est-à-dire des images ou des vidéos modifiées pour montrer une personne en train de faire ou de dire quelque chose qu’elle n’a pas fait ou dit.

Ci-dessous, quelques obligations incombant aux principaux opérateurs de systèmes d’IA à haut risque dans la chaîne de valeur de l’IA, à savoir les fournisseurs et les déployeurs.

Les fournisseurs de systèmes d’IA à haut risque doivent se conformer à des exigences telles que :

• S'assurer que les systèmes d'IA à haut risque respectent les exigences pour ces systèmes définies dans la loi (par exemple, la mise en place d’un système de gestion continue des risques).
  
  
• Mettre en place un système de gestion de la qualité.
  
  
• Mettre en œuvre des plans de surveillance après la mise sur le marché afin de suivre les performances du système d’IA et d’évaluer sa conformité tout au long de son cycle de vie.

Voici une des obligations des déployeurs de systèmes d’IA à haut risque :

• Prendre les mesures techniques et organisationnelles appropriées pour s’assurer qu’ils utilisent ces systèmes conformément aux instructions d’utilisation.
  
  
• Maintenir des journaux automatiquement générés par le système d’IA, dans la mesure où ces journaux sont sous leur contrôle, pour une période spécifiée.
  
  
• Les déployeurs utilisant des systèmes d’IA à haut risque pour fournir certains services essentiels, tels que les organismes gouvernementaux ou les organisations privées fournissant des services publics, doivent mener des évaluations d’impact sur les droits fondamentaux avant d’utiliser certains systèmes d’IA à haut risque pour la première fois.

L'EU AI Act définit des règles distinctes pour les modèles d’IA à usage général (GPAI). Les fournisseurs de modèles GPAI auront notamment les obligations suivantes :

• Établir des politiques pour se conformer aux lois européennes sur le droit d’auteur.
  
  
• Rédiger et mettre à la disposition du public des résumés détaillés des jeux de données d’entraînement.

Si un modèle GPAI est classé comme posant un risque systémique, les fournisseurs auront des obligations supplémentaires. Le risque systémique est un risque spécifique aux capacités à fort impact des modèles GPAI qui ont un impact significatif sur le marché de l’UE en raison de leur portée ou des effets négatifs actuels ou raisonnablement prévisibles sur la santé publique, la sécurité, la sécurité publique, les fonctionnalités fondamentaux ou la société dans son ensemble, qui peuvent être propagés à grande échelle sur la chaîne de valeur. La loi utilise les ressources d’entraînement comme l’un des critères pour identifier le risque systémique. Si la puissance de calcul cumulée utilisée pour entraîner un modèle est supérieure à 1 025 opérations en virgule flottante (FLOP), il est considéré comme ayant des capacités à fort impact et présente un risque systémique. De plus, il est possible pour la Commission européenne de classer un modèle dans la catégorie des modèles présentant un risque systémique.

Les fournisseurs de modèles GPAI présentant un risque systémique, y compris des modèles gratuits et open source, doivent respecter certaines obligations supplémentaires, par exemple :

• Documenter et signaler les incidents graves à l’Office européen de l’IA et aux régulateurs nationaux compétents.
  
  
• Mettre en œuvre une cybersécurité adéquate pour protéger le modèle et son infrastructure physique.

En cas de non-respect des pratiques d’IA interdites, les organisations s’exposent à une amende pouvant atteindre 35 millions d’euros ou 7 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant celui retenu.

Pour la plupart des autres violations, y compris la non-conformité avec les exigences pour les systèmes d’IA à haut risque, les organisations peuvent être condamnées à une amende pouvant atteindre 15 000 000 € ou 3 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant celui retenu.

Les entreprises qui fournissent des informations incorrectes ou trompeuses aux autorités s’exposent à une amende pouvant atteindre 7 500 000 € ou 1 % de leur chiffre d’affaires, le montant le plus élevé étant celui retenu.

Il est à noter que l'EU AI Act prévoit des règles différentes pour infliger des amendes aux start-ups et autres petites et moyennes entreprises. Pour ces entreprises, l’amende est le moindre des deux montants possibles indiqués ci-dessus.

La loi a pris effet le 1^er août 2024, avec une entrée en vigueur par étapes de ses différentes dispositions. Voici les dates les plus marquantes :

• Les interdictions relatives aux pratiques interdites en matière d’IA entrent en vigueur le 2 février 2025.
  
  
• À compter du 2 août 2025, les règles relatives à l’IA à usage général entreront en vigueur pour les nouveaux modèles GPAI. Les fournisseurs de modèles GPAI mis sur le marché avant le 2 août 2025 auront jusqu’au 2 août 2027 pour se mettre en conformité.
  
  
• À compter du 2 août 2026, les règles applicables aux systèmes d’IA à haut risque entreront en vigueur.
  
  
• À partir du 2 août 2027, les règles relatives aux systèmes d’IA qui sont des produits ou des composants de sécurité de produits soumis à des lois spécifiques de l’UE s’appliqueront.