Mise à jour : 20 juin 2024
Contributeurs : Matt Kosinski et Mark Scapicchio
La loi sur l'intelligence artificielle de l'Union européenne, également appelée loi sur l'IA de l'UE ou loi sur l'IA, est une législation qui régira le développement et/ou l'utilisation de l'intelligence artificielle (IA) dans l'Union européenne (UE). Cette loi adopte une approche réglementaire fondée sur les risques, appliquant des règles différentes aux systèmes d'IA selon le niveau de risque qu'ils représentent.
Considérée comme le premier cadre réglementaire complet au monde pour l'IA, la loi sur l’IA de l'UE interdit certaines utilisations de l'IA et impose des exigences strictes en matière de gouvernance, de gestion des risques et de transparence pour d'autres.
La loi établit également des règles pour les modèles d'intelligence artificielle à usage général, tels que le modèle Granite d'IBM et le modèle Llama 3 de Meta, qui est un modèle de fondation open source.
En cas de non-conformité, les sanctions peuvent varier de 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, selon la gravité de l'infraction.
De la même manière que le Règlement général sur la protection des données (RGPD) de l’UE a inspiré d’autres pays à adopter des lois sur la confidentialité des données, les experts prévoient que la loi sur l’IA de l’UE stimulera le développement de normes de gouvernance et d'éthique de l'IA dans le monde entier.
Obtenir le rapport IDC
La loi sur l'IA de l'UE s'applique à de multiples opérateurs de la chaîne de valeur de l'IA, tels que les fournisseurs, les utilisateurs, les importateurs, les distributeurs, les fabricants de produits et les représentants autorisés. Il est important de mentionner les définitions des fournisseurs, des utilisateurs et des importateurs selon la loi sur l'IA de l'UE.
Les fournisseurs sont des personnes ou des organisations qui développent un système d'IA ou un modèle d'IA à usage général (GPAI), ou qui le font développer en leur nom, et qui le mettent sur le marché ou le mettent en service sous leur nom ou leur marque.
La loi définit les systèmes d’IA de manière large comme des systèmes qui peuvent, avec un certain niveau d’autonomie, traiter des entrées pour déduire comment générer des sorties (par exemple, des prédictions, des recommandations, des décisions, des contenus) pouvant influencer des environnements physiques ou virtuels. Elle définit les GPAI comme des modèles d’IA qui présentent une grande généralité, sont capables d'exécuter avec compétence un large éventail de tâches distinctes, et qui peuvent être intégrés dans divers systèmes ou applications en aval. Par exemple, un modèle de fondation est un GPAI ; un chatbot ou un outil d’ IA générative basé sur ce modèle serait un système d’IA.
Les déployeurs sont des personnes ou des organisations qui utilisent des systèmes d’IA. Par exemple, une organisation qui utilise un chatbot IA tiers pour traiter les demandes du service client serait un déployeur.
Les importateurs sont des personnes et des organisations situées ou établies dans l’Union qui mettent sur le marché européen les systèmes d’IA d’une personne ou d’une entreprise établie en dehors de l’UE.
La loi sur l'IA de l'UE s'applique également aux fournisseurs et aux déployeurs situés en dehors de l'UE si leur IA, ou les résultats de l'IA, sont utilisés dans l'UE.
Par exemple, imaginons qu'une entreprise de l'UE envoie des données à un fournisseur d'IA situé en dehors de l'UE, et que ce fournisseur tiers utilise l'IA pour traiter les données avant de renvoyer les résultats à l'entreprise de l'UE pour qu'elle les exploite. Étant donné que les résultats du système d'IA du fournisseur sont utilisés dans l'UE, le fournisseur est soumis à la loi sur l'IA de l'UE.
Les fournisseurs hors UE qui proposent des services d’IA dans l’UE doivent désigner des représentants autorisés dans l’UE pour coordonner les efforts de conformité en leur nom.
Bien que la loi ait une large portée, certaines utilisations de l’IA en sont exemptées. Les utilisations purement personnelles de l’IA, ainsi que les modèles et systèmes d’IA utilisés uniquement à des fins de recherche et de développement scientifiques, sont des exemples d’utilisations exemptées.
La loi sur l'IA de l'UE régule les systèmes d'IA en fonction du niveau de risque. Ici, le risque fait référence à la probabilité et à la gravité des dommages potentiels. Parmi les dispositions les plus importantes, on trouve :
Les systèmes d'IA qui ne relèvent d'aucune des catégories de risque définies dans la loi sur l'IA de l'UE ne sont pas soumis aux exigences de cette loi (ces systèmes sont souvent classés dans la catégorie « risque minimal »), bien que certains puissent devoir respecter des obligations de transparence et se conformer à d'autres lois existantes. Parmi les exemples, citons les filtres anti-spam dans les e-mails et les jeux vidéo. De nombreuses utilisations courantes de l’IA entrent aujourd’hui dans cette catégorie.
Il convient de noter que de nombreux détails de mise en œuvre de la loi sur l’IA de l’UE sont encore en cours de finalisation. Par exemple, la loi indique que la Commission européenne publiera de nouvelles directives sur les exigences telles que les plans de surveillance après la mise sur le marché et les résumés des données d’entraînement.
La loi sur l'IA de l'UE liste explicitement certaines pratiques d'IA interdites, jugées comme présentant un niveau de risque inacceptable. Par exemple, le développement ou l'utilisation d'un système d'IA qui manipule intentionnellement les personnes pour les amener à faire des choix préjudiciables qu'elles ne feraient pas autrement est jugé par la loi comme présentant un risque inacceptable pour les utilisateurs, et constitue une pratique d'IA interdite.
La Commission européenne est susceptible de modifier la liste des pratiques interdites figurant dans la loi, de sorte qu'il est possible que d'autres pratiques d'IA soient interdites à l'avenir.
Une liste partielle des pratiques d'IA interdites au moment de la publication de cet article comprend :
En vertu de la loi sur l'IA de l'UE, les systèmes d'IA sont considérés à haut risque s'il s'agit d'un produit ou d'un composant de sécurité d'un produit réglementé par des lois européennes spécifiques auxquelles la loi fait référence, telles que les lois sur la sécurité des jouets et sur les dispositifs médicaux de diagnostic in vitro.
La loi énumère également des utilisations spécifiques qui sont généralement considérées comme à haut risque, notamment les systèmes d'IA utilisés :
Pour les systèmes inclus dans cette liste, une exception peut être possible si le système d'IA ne pose pas une menace significative à la santé, à la sécurité ou aux droits des individus. La loi spécifie des critères, dont un ou plusieurs doivent être remplis pour qu'une exception puisse être appliquée (par exemple, lorsque le système d'IA est destiné à effectuer une tâche procédurale précise). S'il invoque cette exception, le fournisseur doit documenter son évaluation selon laquelle le système ne présente pas de risque élevé, et les régulateurs peuvent demander à voir cette évaluation. L'exception n'est pas disponible pour les systèmes d'IA qui traitent automatiquement des données personnelles pour évaluer ou prédire certains aspects de la vie d'une personne, tels que ses préférences en matière de produits (profilage), toujours considérés comme à haut risque.Comme pour la liste des pratiques d'IA interdites, la Commission européenne peut mettre à jour la liste des systèmes d'IA à haut risque à l'avenir.
Comme pour la liste des pratiques d’IA interdites, la Commission européenne est susceptible de mettre à jour la liste des systèmes d’IA à haut risque à l’avenir.
Les applications d’IA qui présentent un niveau de risque inacceptable sont interdites. La loi sur l’IA de l’UE énumère explicitement toutes les pratiques d’IA interdites, notamment :
La Commission européenne se réserve le droit de revoir et de modifier cette liste, de sorte qu’il est possible que d’autres utilisations de l’IA soient interdites à l’avenir.
Ci-dessous, quelques obligations incombant aux principaux opérateurs de systèmes d'IA à haut risque dans la chaîne de valeur de l'IA, à savoir les fournisseurs et les déployeurs.
Les fournisseurs de systèmes d’IA à haut risque doivent se conformer à des exigences telles que :
Les déployeurs de systèmes d’IA à haut risque devront notamment :
La loi sur l'IA de l'UE définit des règles distinctes pour les modèles d'IA à usage général (GPAI). Les fournisseurs de modèles GPAI auront notamment les obligations suivantes :
Si un modèle GPAI est classé comme posant un risque systémique, les fournisseurs auront des obligations supplémentaires. Le risque systémique est un risque spécifique aux capacités à fort impact des modèles GPAI qui ont un impact significatif sur le marché de l'UE en raison de leur portée ou des effets négatifs actuels ou raisonnablement prévisibles sur la santé publique, la sécurité, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, qui peuvent être propagés à grande échelle sur la chaîne de valeur. La loi utilise les ressources d’entraînement comme l'un des critères pour identifier le risque systémique. Si la puissance de calcul cumulée utilisée pour entraîner un modèle est supérieure à 1 025 opérations en virgule flottante (FLOP), il est considéré comme ayant des capacités à fort impact et présente un risque systémique. De plus, il est possible pour la Commission européenne de classer un modèle dans la catégorie des modèles présentant un risque systémique.
Les fournisseurs de modèles GPAI présentant un risque systémique, y compris des modèles gratuits et open source, doivent respecter certaines obligations supplémentaires, par exemple :
En cas de non-respect des pratiques d’IA interdites, les organisations s’exposent à une amende pouvant atteindre 35 millions d’euros ou 7 % de leur chiffre d’affaires annuel mondial, le montant le plus élevé étant celui retenu.
Pour la plupart des autres violations, y compris la non-conformité avec les exigences pour les systèmes d'IA à haut risque, les organisations peuvent être condamnées à une amende pouvant atteindre 15 000 000 d'euros ou 3 % de leur chiffre d'affaires annuel mondial, le montant le plus élevé étant celui retenu.
Les entreprises qui fournissent des informations incorrectes ou trompeuses aux autorités s’exposent à une amende pouvant atteindre 7 500 000 d'euros ou 1 % de leur chiffre d’affaires, le montant le plus élevé étant celui retenu.
Il est à noter que la loi sur l'IA de l'UE prévoit des règles différentes pour infliger des amendes aux start-ups et autres petites et moyennes entreprises. Pour ces entreprises, l'amende est le moindre des deux montants possibles précisés ci-dessus
Initialement proposée par la Commission européenne en avril 2021, la loi sur l'intelligence artificielle de l'Union européenne a été approuvée par le Parlement européen le 22 avril 2024 et par les États membres de l'UE le 21 mai 2024. La loi entrera en vigueur par étapes 20 jours après sa publication dans le Journal officiel de l'UE. Quelques-unes des dates les plus marquantes incluent :
Déployez et intégrez facilement l’IA au sein de votre entreprise, gérez toutes vos sources de données et accélérez la mise en place de workflows d’IA responsables, le tout sur une seule et même plateforme.
Simplifiez la gouvernance des données, la gestion des risques et la conformité aux réglementations avec IBM OpenPages, une plateforme GRC unifiée, alimentée par l’IA et hautement évolutive.
Notre dernier eBook présente les principaux éléments constitutifs de la gouvernance de l’IA et partage un cadre de gouvernance de l’IA détaillé que vous pouvez appliquer dans votre organisation.
Explorez le potentiel de transformation de l’IA responsable pour votre organisation et découvrez les facteurs essentiels à l’adoption de pratiques d’IA éthiques.
Participez à la discussion sur les raisons pour lesquelles les entreprises doivent prioriser la gouvernance de l’IA pour déployer une IA responsable.
Découvrez comment la gouvernance des données permet aux entreprises de tirer le meilleur parti de leurs actifs de données.
L’IA explicable est cruciale pour une organisation, car elle permet d’instaurer un climat de confiance lors de la mise en production de modèles IA.
L’éthique de l’IA est un domaine pluridisciplinaire qui étudie comment optimiser l’impact bénéfique de l’IA tout en réduisant ses risques et ses effets indésirables. Découvrez plus d’informations sur l’approche d’IBM en matière d’éthique de l’IA.
Il incombe au client de respecter l’ensemble des lois et réglementations applicables. IBM ne fournit pas de conseils juridiques et ne déclare ni ne garantit que ses services ou ses produits mettront le client en conformité avec la législation ou la réglementation en vigueur.