Accueil les sujets loi ue sur l’ia Qu'est-ce que la loi sur l'intelligence artificielle de l'Union européenne (loi sur l'IA de l'UE) ?
Découvrir la solution de gouvernance d’IA d’IBM S’abonner aux actualités de l’IA
Diagramme abstrait d’un arbre de décision

Mise à jour : 20 juin 2024
Contributeurs : Matt Kosinski et Mark Scapicchio
Qu’est-ce que la loi sur l’IA de l’UE ?

La loi sur l'intelligence artificielle de l'Union européenne, également appelée loi sur l'IA de l'UE ou loi sur l'IA, est une législation qui régira le développement et/ou l'utilisation de l'intelligence artificielle (IA) dans l'Union européenne (UE). Cette loi adopte une approche réglementaire fondée sur les risques, appliquant des règles différentes aux systèmes d'IA selon le niveau de risque qu'ils représentent.

Considérée comme le premier cadre réglementaire complet au monde pour l'IA, la loi sur l’IA de l'UE interdit certaines utilisations de l'IA et impose des exigences strictes en matière de gouvernance, de gestion des risques et de transparence pour d'autres.

La loi établit également des règles pour les modèles d'intelligence artificielle à usage général, tels que le modèle Granite d'IBM et le modèle Llama 3 de Meta, qui est un modèle de fondation open source.

En cas de non-conformité, les sanctions peuvent varier de 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon la gravité de l'infraction.

De la même manière que le Règlement général sur la protection des données (RGPD) de l’UE a inspiré d’autres pays à adopter des lois sur la confidentialité des données, les experts prévoient que la loi sur l’IA de l’UE stimulera le développement de normes de gouvernance et d'éthique de l'IA dans le monde entier.
Ce que la loi européenne sur l’IA implique pour vous et comment vous y préparer
Contenu connexe

Obtenir le rapport IDC
À qui s’applique la loi sur l’IA de l’UE ?

La loi sur l'IA de l'UE s'applique à de multiples opérateurs de la chaîne de valeur de l'IA, tels que les fournisseurs, les utilisateurs, les importateurs, les distributeurs, les fabricants de produits et les représentants autorisés. Il est important de mentionner les définitions des fournisseurs, des utilisateurs et des importateurs selon la loi sur l'IA de l'UE.
Fournisseurs

Les fournisseurs sont des personnes ou des organisations qui développent un système d'IA ou un modèle d'IA à usage général (GPAI), ou qui le font développer en leur nom, et qui le mettent sur le marché ou le mettent en service sous leur nom ou leur marque.

La loi définit les systèmes d’IA de manière large comme des systèmes qui peuvent, avec un certain niveau d’autonomie, traiter des entrées pour déduire comment générer des sorties (par exemple, des prédictions, des recommandations, des décisions, des contenus) pouvant influencer des environnements physiques ou virtuels. Elle définit les GPAI comme des modèles d’IA qui présentent une grande généralité, sont capables d'exécuter avec compétence un large éventail de tâches distinctes, et qui peuvent être intégrés dans divers systèmes ou applications en aval. Par exemple, un modèle de fondation est un GPAI ; un chatbot ou un outil d’ IA générative basé sur ce modèle serait un système d’IA.
Déployeurs

Les déployeurs sont des personnes ou des organisations qui utilisent des systèmes d’IA. Par exemple, une organisation qui utilise un chatbot IA tiers pour traiter les demandes du service client serait un déployeur.
Importateurs

Les importateurs sont des personnes et des organisations situées ou établies dans l’Union qui mettent sur le marché européen les systèmes d’IA d’une personne ou d’une entreprise établie en dehors de l’UE.
Application en dehors de l’UE

La loi sur l'IA de l'UE s'applique également aux fournisseurs et aux déployeurs situés en dehors de l'UE si leur IA, ou les résultats de l'IA, sont utilisés dans l'UE. 

Par exemple, imaginons qu'une entreprise de l'UE envoie des données à un fournisseur d'IA situé en dehors de l'UE, et que ce fournisseur tiers utilise l'IA pour traiter les données avant de renvoyer les résultats à l'entreprise de l'UE pour qu'elle les exploite. Étant donné que les résultats du système d'IA du fournisseur sont utilisés dans l'UE, le fournisseur est soumis à la loi sur l'IA de l'UE.

Les fournisseurs hors UE qui proposent des services d’IA dans l’UE doivent désigner des représentants autorisés dans l’UE pour coordonner les efforts de conformité en leur nom.
Exceptions

Bien que la loi ait une large portée, certaines utilisations de l’IA en sont exemptées. Les utilisations purement personnelles de l’IA, ainsi que les modèles et systèmes d’IA utilisés uniquement à des fins de recherche et de développement scientifiques, sont des exemples d’utilisations exemptées.
Découvrez comment la plateforme d’IA et de données IBM watsonx aide les entreprises à créer, mettre à l’échelle et gouverner des solutions d’IA personnalisées
Quelles exigences la loi sur l’IA de l’UE impose-t-elle ?

La loi sur l'IA de l'UE régule les systèmes d'IA en fonction du niveau de risque. Ici, le risque fait référence à la probabilité et à la gravité des dommages potentiels. Parmi les dispositions les plus importantes, on trouve :

  • une interdiction de certaines pratiques d'IA considérées comme présentant un risque inacceptable,

  • des normes pour le développement et le déploiement de certains systèmes d’IA à haut risque,

  • des règles pour les modèles d'IA à usage général (GPAI).

Les systèmes d'IA qui ne relèvent d'aucune des catégories de risque définies dans la loi sur l'IA de l'UE ne sont pas soumis aux exigences de cette loi (ces systèmes sont souvent classés dans la catégorie « risque minimal »), bien que certains puissent devoir respecter des obligations de transparence et se conformer à d'autres lois existantes.  Parmi les exemples, citons les filtres anti-spam dans les e-mails et les jeux vidéo. De nombreuses utilisations courantes de l’IA entrent aujourd’hui dans cette catégorie. 

Il convient de noter que de nombreux détails de mise en œuvre de la loi sur l’IA de l’UE sont encore en cours de finalisation. Par exemple, la loi indique que la Commission européenne publiera de nouvelles directives sur les exigences telles que les plans de surveillance après la mise sur le marché et les résumés des données d’entraînement.
Pratiques d'IA interdites

La loi sur l'IA de l'UE liste explicitement certaines pratiques d'IA interdites, jugées comme présentant un niveau de risque inacceptable. Par exemple, le développement ou l'utilisation d'un système d'IA qui manipule intentionnellement les personnes pour les amener à faire des choix préjudiciables qu'elles ne feraient pas autrement est jugé par la loi comme présentant un risque inacceptable pour les utilisateurs, et constitue une pratique d'IA interdite.

La Commission européenne est susceptible de modifier la liste des pratiques interdites figurant dans la loi, de sorte qu'il est possible que d'autres pratiques d'IA soient interdites à l'avenir.

 Une liste partielle des pratiques d'IA interdites au moment de la publication de cet article comprend :

  • Les systèmes d’évaluation sociale – systèmes qui évaluent ou classent les personnes sur la base de leur comportement social, conduisant à un traitement défavorable ou préjudiciable dans des contextes sociaux sans rapport avec le contexte initial de collecte des données, ou à un traitement disproportionné ou injustifié par rapport à la gravité de leur comportement social

  • Les systèmes de reconnaissance des émotions au travail et dans les institutions éducatives, sauf lorsque ces outils sont utilisés à des fins médicales ou de sécurité

  • Les systèmes d'IA utilisés pour exploiter les vulnérabilités des personnes (par exemple, les vulnérabilités dues à l'âge ou au handicap)

  • L’extraction non ciblée d'images faciales sur l'Internet ou de séquences de vidéosurveillance pour créer des bases de données de reconnaissance faciale

  • Les systèmes d'identification biométrique qui identifient les individus en fonction de caractéristiques sensibles

  • Certaines applications de police prédictive

  • L'utilisation par les forces de l'ordre de systèmes d'identification biométrique à distance en temps réel dans les lieux publics (sauf exception, avec une autorisation préalable par une autorité judiciaire ou administrative indépendante généralement requise).
Normes pour l'IA à haut risque

En vertu de la loi sur l'IA de l'UE, les systèmes d'IA sont considérés à haut risque s'il s'agit d'un produit ou d'un composant de sécurité d'un produit réglementé par des lois européennes spécifiques auxquelles la loi fait référence, telles que les lois sur la sécurité des jouets et sur les dispositifs médicaux de diagnostic in vitro.

La loi énumère également des utilisations spécifiques qui sont généralement considérées comme à haut risque, notamment les systèmes d'IA utilisés :

  • dans des contextes tels que ceux utilisés pour recruter des candidats, évaluer les candidatures et prendre des décisions en matière de promotion

  • dans certains dispositifs médicaux

  • dans certains contextes éducatifs et de formation professionnelle

  • dans les processus judiciaire et démocratique, tels que les systèmes qui visent à influencer le résultat des élections

  • pour déterminer l’accès aux services privés ou publics essentiels, y compris les systèmes qui évaluent l’éligibilité aux prestations publiques et les scores de crédit.
  • dans la gestion des infrastructures critiques (par exemple, l’approvisionnement en eau, en gaz et en électricité, etc.)

  • dans tout système d'identification biométrique non interdit, sauf pour les systèmes dont le seul but est de vérifier l'identité d'une personne (par exemple, utiliser un scanner d'empreintes digitales pour accorder l'accès à une application bancaire).

Pour les systèmes inclus dans cette liste, une exception peut être possible si le système d'IA ne pose pas une menace significative à la santé, à la sécurité ou aux droits des individus. La loi spécifie des critères, dont un ou plusieurs doivent être remplis pour qu'une exception puisse être appliquée (par exemple, lorsque le système d'IA est destiné à effectuer une tâche procédurale précise). S'il invoque cette exception, le fournisseur doit documenter son évaluation selon laquelle le système ne présente pas de risque élevé, et les régulateurs peuvent demander à voir cette évaluation. L'exception n'est pas disponible pour les systèmes d'IA qui traitent automatiquement des données personnelles pour évaluer ou prédire certains aspects de la vie d'une personne, tels que ses préférences en matière de produits (profilage), toujours considérés comme à haut risque.Comme pour la liste des pratiques d'IA interdites, la Commission européenne peut mettre à jour la liste des systèmes d'IA à haut risque à l'avenir.

Comme pour la liste des pratiques d’IA interdites, la Commission européenne est susceptible de mettre à jour la liste des systèmes d’IA à haut risque à l’avenir.
Exigences pour les systèmes d’IA à haut risque

Les applications d’IA qui présentent un niveau de risque inacceptable sont interdites. La loi sur l’IA de l’UE énumère explicitement toutes les pratiques d’IA interdites, notamment :

  • Les systèmes qui manipulent intentionnellement les personnes pour qu’elles fassent des choix préjudiciables qu’elles ne feraient pas autrement.

  • Les systèmes qui exploitent l’âge, le handicap ou le statut social ou économique d’une personne pour influencer matériellement son comportement. 

  • Les systèmes de catégorisation biométrique qui utilisent les données biométriques pour déduire des informations personnelles sensibles, telles que l'ethnie, l’orientation sexuelle ou les opinions politiques.

  • Les systèmes de notation sociale qui utilisent des comportements et des caractéristiques non pertinents ou sans importance pour promouvoir un traitement préjudiciable des personnes.

  • Les systèmes d’identification biométrique en temps réel et à distance utilisés dans les lieux publics à des fins d’application de la loi. Il existe quelques exceptions étroites, telles que l’utilisation de ces outils dans le cadre de recherches ciblées de victimes de certains crimes graves.

  • Des systèmes de police prédictive qui établissent le profil des personnes afin d’évaluer leur probabilité de commettre un crime. 

  • Bases de données de reconnaissance faciale qui effectuent une récupération non ciblée d’images Internet ou de vidéosurveillance.

  • Outils de reconnaissance des émotions utilisés dans les écoles ou les lieux de travail, sauf lorsque ces outils sont utilisés à des fins médicales ou de sécurité.

La Commission européenne se réserve le droit de revoir et de modifier cette liste, de sorte qu’il est possible que d’autres utilisations de l’IA soient interdites à l’avenir.
Obligations des opérateurs de systèmes d’IA à haut risque

Ci-dessous, quelques obligations incombant aux principaux opérateurs de systèmes d'IA à haut risque dans la chaîne de valeur de l'IA, à savoir les fournisseurs et les déployeurs.
Obligations des fournisseurs de systèmes d'IA à haut risque

Les fournisseurs de systèmes d’IA à haut risque doivent se conformer à des exigences telles que :

  • S'assurer que les systèmes d'IA à haut risque respectent les exigences pour ces systèmes définies dans la loi. Par exemple, la mise en place d’un système de gestion continue des risques

  • Avoir un système de gestion de la qualité en place

  • Mettre en œuvre des plans de surveillance après la mise sur le marché afin de suivre les performances du système d'IA et d'évaluer sa conformité tout au long du cycle de vie du système.
Obligations des déployeurs de systèmes d'IA à haut risque

Les déployeurs de systèmes d’IA à haut risque devront notamment :

  • Prendre les mesures techniques et organisationnelles appropriées pour s'assurer qu'ils utilisent ces systèmes conformément aux instructions d'utilisation

  • Maintenir des journaux automatiquement générés par le système d'IA, dans la mesure où ces journaux sont sous leur contrôle, pour une période spécifiée

  • Les déployeurs utilisant des systèmes d'IA à haut risque pour fournir certains services essentiels, tels que les organismes gouvernementaux ou les organisations privées fournissant des services publics, doivent mener des évaluations d'impact sur les droits fondamentaux avant d'utiliser certains systèmes d'IA à haut risque pour la première fois.
Règles pour les modèles d’IA à usage général (GPAI)

La loi sur l'IA de l'UE définit des règles distinctes pour les modèles d'IA à usage général (GPAI). Les fournisseurs de modèles GPAI auront notamment les obligations suivantes :

  • Établir des politiques pour se conformer aux lois européennes sur le droit d’auteur

  • Rédiger et mettre à la disposition du public des résumés détaillés des jeux de données d’entraînement.

Si un modèle GPAI est classé comme posant un risque systémique, les fournisseurs auront des obligations supplémentaires. Le risque systémique est un risque spécifique aux capacités à fort impact des modèles GPAI qui ont un impact significatif sur le marché de l'UE en raison de leur portée ou des effets négatifs actuels ou raisonnablement prévisibles sur la santé publique, la sécurité, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, qui peuvent être propagés à grande échelle sur la chaîne de valeur. La loi utilise les ressources d’entraînement comme l'un des critères pour identifier le risque systémique. Si la puissance de calcul cumulée utilisée pour entraîner un modèle est supérieure à 1 025 opérations en virgule flottante (FLOP), il est considéré comme ayant des capacités à fort impact et présente un risque systémique. De plus, il est possible pour la Commission européenne de classer un modèle dans la catégorie des modèles présentant un risque systémique. 

Les fournisseurs de modèles GPAI présentant un risque systémique, y compris des modèles gratuits et open source, doivent respecter certaines obligations supplémentaires, par exemple :

  • Documenter et signaler les incidents graves à l’Office européen de l’IA et aux régulateurs nationaux compétents

  • Mettre en œuvre une cybersécurité adéquate pour protéger le modèle et son infrastructure physique.
Amendes prévues par la loi sur l'IA de l'UE

En cas de non-respect des pratiques d’IA interdites, les organisations s’exposent à une amende pouvant atteindre 35 millions d’euros ou 7 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant celui retenu.

Pour la plupart des autres violations, y compris la non-conformité avec les exigences pour les systèmes d'IA à haut risque, les organisations peuvent être condamnées à une amende pouvant atteindre 15 000 000 d'euros ou 3 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant celui retenu.

Les entreprises qui fournissent des informations incorrectes ou trompeuses aux autorités s’exposent à une amende pouvant atteindre 7 500 000 d'euros ou 1 % de leur chiffre d’affaires, le montant le plus élevé étant celui retenu.

Il est à noter que la loi sur l'IA de l'UE prévoit des règles différentes pour infliger des amendes aux start-ups et autres petites et moyennes entreprises. Pour ces entreprises, l'amende est le moindre des deux montants possibles précisés ci-dessus

Quand la loi sur l’IA de l’UE entrera-t-elle en vigueur ?

Initialement proposée par la Commission européenne en avril 2021, la loi sur l'intelligence artificielle de l'Union européenne a été approuvée par le Parlement européen le 22 avril 2024 et par les États membres de l'UE le 21 mai 2024. La loi entrera en vigueur par étapes 20 jours après sa publication dans le Journal officiel de l'UE. Quelques-unes des dates les plus marquantes incluent :

  • Après  six mois, les interdictions relatives aux pratiques d’IA interdites entreront en vigueur.

  • Après 12 mois, les règles relatives à l’IA à usage général entreront en vigueur pour les nouvelles GPAI. Les fournisseurs de modèles GPAI déjà sur le marché 12 mois avant l'entrée en vigueur de la loi auront 36 mois à compter de la date d'entrée en vigueur pour se conformer.

  • Après 24 mois, les règles pour les systèmes d’IA à haut risque prendront effet.

  • Après 36 mois, les règles relatives aux systèmes d’IA qui sont des produits ou des composants de sécurité de produits soumis à des lois spécifiques de l’UE s’appliqueront.
Solutions connexes
watsonx

Déployez et intégrez facilement l’IA au sein de votre entreprise, gérez toutes vos sources de données et accélérez la mise en place de workflows d’IA responsables, le tout sur une seule et même plateforme.

 Découvrir watsonx
IBM OpenPages

Simplifiez la gouvernance des données, la gestion des risques et la conformité aux réglementations avec IBM OpenPages, une plateforme GRC unifiée, alimentée par l’IA et hautement évolutive.

 Découvrir OpenPages
Ressources Créez un workflow d’IA responsable

Notre dernier eBook présente les principaux éléments constitutifs de la gouvernance de l’IA et partage un cadre de gouvernance de l’IA détaillé que vous pouvez appliquer dans votre organisation.

 Trois raisons principales pour lesquelles votre organisation a besoin d’une IA responsable

Explorez le potentiel de transformation de l’IA responsable pour votre organisation et découvrez les facteurs essentiels à l’adoption de pratiques d’IA éthiques.

 Votre IA est-elle fiable ?

Participez à la discussion sur les raisons pour lesquelles les entreprises doivent prioriser la gouvernance de l’IA pour déployer une IA responsable.

 Qu’est-ce que la gouvernance des données ?

Découvrez comment la gouvernance des données permet aux entreprises de tirer le meilleur parti de leurs actifs de données.

 Qu’est-ce que l’IA explicable ?

L’IA explicable est cruciale pour une organisation, car elle permet d’instaurer un climat de confiance lors de la mise en production de modèles IA.

 Qu’est-ce que l’éthique de l’IA ?

L’éthique de l’IA est un domaine pluridisciplinaire qui étudie comment optimiser l’impact bénéfique de l’IA tout en réduisant ses risques et ses effets indésirables. Découvrez plus d’informations sur l’approche d’IBM en matière d’éthique de l’IA.
Passez à l’étape suivante

Accélérez la mise en place de workflows d’IA responsables, transparents et explicables tout au long du cycle de vie pour les modèles d’IA générative et de machine learning. Dirigez, gérez et surveillez les activités d’IA de votre organisation pour mieux vous adapter aux réglementations de plus en plus nombreuses en matière d’IA, et détecter et atténuer les risques plus efficacement.

 Découvrez watsonx.governance Réserver une démo live

Il incombe au client de respecter l’ensemble des lois et réglementations applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou ses produits mettront le client en conformité avec la législation ou la réglementation en vigueur.