Veuillez activer le javascript sur cette page
logo loader
Adoption de l’AI Act : une première étape vers un encadrement juridique de l’IA

Adoption de l’AI Act : une première étape vers un encadrement juridique de l’IA

Ce qu’il faut retenir

Le règlement sur l’intelligence artificielle, ou “AI Act”, doit entrer en vigueur très prochainement. Texte majeur pour la protection des droits et le développement économique de l’IA en Europe, son objet est de responsabiliser les acteurs de l’IA, particulièrement concernant les IA à haut risque. L’application de ce règlement nécessitera pour les entreprises de se mettre en conformité, sous peine de condamnation à de lourdes sanctions.


Le règlement sur l’intelligence artificielle - ou “AI Act” est la première règlementation d’envergure de l’intelligence artificielle dans le monde. Ce règlement est un texte majeur en matière de protection des droits mais aussi pour le développement du marché de l’IA en Europe.

L’adoption définitive de l’AI Act vient de passer la dernière étape avant son entrée en vigueur, avec la validation de la version finale par le Comité des représentants permanents auprès de l’Union européenne (Coreper) le 3 février 2024, soit près de 3 ans après la publication de la proposition de règlement. (1)

L’objet de ce texte est de responsabiliser les acteurs de l’IA - fournisseurs de systèmes d’intelligence artificielle et utilisateurs professionnels de systèmes d’IA ou intégrant des systèmes d’IA, en identifiant notamment les différentes catégories de systèmes d’IA, pour se focaliser sur la règlementation des IA à “haut risque” et sur les modèles d’IA à usage général (modèles de GPAI).

Bien que l’AI Act ne doive pas entrer en application avant plusieurs mois, les organismes doivent d’ores et déjà anticiper l’application de ce règlement qui nécessitera une démarche de mise en conformité, les manquements étant passibles de lourdes sanctions.


1. L’objet de l’AI Act

L’Union européenne joue un rôle précurseur dans le développement de la réglementation de l’IA. Le règlement, ou législation sur l’intelligence artificielle (AI Act), pose les bases d’un cadre normatif pour limiter les risques liés à l’IA, et permettre le développement économique d’une IA robuste techniquement et respectueuse des droits fondamentaux.

L’objet de ce texte est de responsabiliser les acteurs de l’IA, et plus particulièrement les développeurs ou fournisseurs de systèmes d’intelligence artificielle et les utilisateurs professionnels (ou déployeurs) de systèmes d’IA. L’AI Act adopte une double approche, exposée dans les Lignes directrices de la Commission européenne, à savoir d’une part protéger les droits et libertés des personnes, et d’autre part garantir la sécurité juridique pour faciliter les investissements et l’innovation de systèmes d’IA légaux et sûrs. (2)

La définition de la notion d’intelligence artificielle a profondément évolué au cours de l’examen du texte, suite à une accélération de l’utilisation de l’IA dans des produits et services désormais accessibles au grand public, ainsi qu’au lancement de systèmes d’IA générative. Le défi était donc d’arriver à une définition qui soit à la fois complète, mais neutre technologiquement, et pérenne. Ainsi la notion d’intelligence artificielle (ou de système d’IA) a été élargie par rapport à la définition d’origine, pour prendre en compte l’IA générative.

Le système d’IA est défini comme un “système automatisé développé pour fonctionner selon divers niveaux d’autonomie, qui peut faire preuve d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, peut déduire des données d’entrée reçues comment générer des résultats tels que des prédictions, des contenus, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels.” (Art. 2 - AI Act) (3)


2 . La classification des systèmes d’IA

L’AI Act se situe au niveau de la conception et de la diffusion des systèmes d’IA. Il met en place une approche graduée de la responsabilité des acteurs de l’IA (fournisseurs et utilisateurs), fondée sur les risques.

Les systèmes d’IA sont classés en 4 catégories, en fonction des risques potentiels qu’ils représentent pour les droits fondamentaux des personnes. Plus les risques sont élevés, plus les mesures de contrôle sont contraignantes. Par ailleurs, la dernière version de l’AI Act intègre les modèles d’intelligence artificielle à usage général (General purpose artificial intelligence - GPAI), dont les IA génératives.

    2.1 La classification par les risques

L’AI Act classifie les systèmes d’IA en fonction des risques. Quatre catégories de systèmes d’IA sont identifiées, présentées sous la forme d’un schéma pyramidal en fonction des risques d’atteinte potentielle aux droits fondamentaux :

    - En bas de la pyramide se situent les IA à risque minimum ou nul. Ces systèmes d’IA, très répandus, ne sont pas réglementés. Il s’agit par exemple des filtres anti-spam. Les fournisseurs de ces systèmes sont toutefois encouragés à développer et adopter des codes de conduite ;

    - Au deuxième étage se situent les IA à risque limité, telles que les chatbots ou les “deepfakes”. Ces IA peuvent être mises sur le marché sans autre restriction que l’assurance de la sécurité des produits et une obligation de transparence, informant l’utilisateur en cas de contenu généré par une IA ;

    - Au troisième étage se situent les systèmes d’IA à haut risque. C’est cette catégorie d’IA qui fait l’objet des principales exigences réglementaires. D’une manière générale, les systèmes d’IA à haut risque comprennent les systèmes d’IA intégrés dans des machines et des équipements en tous genres, tels que des dispositifs médicaux, des véhicules, ainsi que les systèmes utilisés pour l’identification biométrique, et les IA utilisées dans le travail (ex. logiciels de tri de CV), l’éducation (ex. logiciels de notation d’examens) et les systèmes  utilisés dans les infrastructures critiques et les services publics essentiels (ex. transports). Sont par ailleurs considérés comme présentant un niveau de risque élevé les systèmes d’IA portant un risque significatif d’atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes ; (art. 6 et s. et Annexe III AI Act)

    - Enfin, au sommet figurent les IA interdites, car représentant une menace inacceptable pour les droits des individus ou la sécurité. Les IA interdites incluent par exemple les systèmes ayant pour objet la manipulation des comportements, le crédit social, la reconnaissance faciale dans les espaces publics (des exceptions existent cependant), la récupération d’images sur internet pour constituer des bases de données de reconnaissance faciale, les systèmes de reconnaissance des émotions utilisés sur le lieu de travail, l’exploitation des vulnérabilités de certains groupes de personnes. (art. 5 AI Act)

    2.2 Les systèmes d’IA à haut risque

La réglementation se focalise sur les systèmes d’IA à haut risque, non interdits mais qui, compte tenu des risques d’atteinte aux droits fondamentaux des personnes, doivent être encadrés.

La liste des systèmes à haut risque est définie à l’Annexe III du règlement et pourra être mise à jour par la Commission.

Les systèmes d’IA à haut risque doivent respecter certaines exigences et répondre à un mécanisme d’évaluation de la conformité préalablement à leur mise sur le marché, doublé d’un contrôle des risques après leur mise sur le marché.

Concernant les fournisseurs : préalablement à la mise sur le marché du système d’IA, ou à sa mise en production, ceux-ci seront tenus de développer des règles de gouvernance globale de l’IA, recouvrant des procédures de mise en conformité technique et sécuritaire. Ainsi, les systèmes d’IA à haut risque doivent être conçus et développés afin “d’atteindre un niveau approprié d’exactitude, de robustesse, de cybersécurité”, et de durabilité. (art. 15 AI Act) (4)

Concernant les utilisateurs : ceux-ci ne devront utiliser le système d’IA que conformément à la documentation technique du fournisseur. Ils devront mettre en place une procédure de traçabilité des opérations, remonter tout dysfonctionnement au fournisseur, et réaliser une analyse d’impact sur les droits fondamentaux avant la mise en service du système d’IA.

    2.3 Les modèles de fondation et modèles d’IA à usage général

Les modèles d’IA à usage général (General purpose artificial intelligence - GPAI) ont finalement été intégrés dans le champ du règlement. Il s’agit de systèmes d’IA génératives telles que ChatGPT, entraînés sur de très larges volumes de données afin de générer du texte, des images, des vidéos, ou du code informatique.

L’AI Act définit le modèle d’IA à usage général (GPAI) comme “un modèle d’IA, y compris les IA entraînées sur de larges volumes de données, utilisant un système d’auto-supervision, qui est général et capable de réaliser de manière satisfaisante un large éventail de tâches, indépendamment de la manière dont le modèle est commercialisé, et qui peut être intégré dans divers systèmes ou applications, à l’exclusion des modèles d’IA utilisés avant leur mise sur le marché à des fins de recherche, de développement et de prototypage.” (5)

L’AI Act prévoit deux séries d’obligations applicables aux modèles d’IA à usage général : les obligations applicables à tous les modèles de GPAI, et les obligations spécifiques aux modèles de GPAI puissants, ou systémiques. Les modèles fonctionnant sur du code open source ne sont pas concernés.

Les fournisseurs de modèles de GPAI doivent respecter des obligations de transparence, et notamment fournir : une documentation technique décrivant le fonctionnement et les limites du modèle, une politique d’utilisation du modèle, et une description détaillée du contenu utilisé pour son apprentissage (y compris une information détaillée sur les données utilisées pour développer ou entraîner le modèle de GPAI). Les fournisseurs devront par ailleurs s’engager à prendre des mesures appropriées pour respecter le droit d’auteur.

Les fournisseurs de modèles de GPAI puissants, ou systémiques devront en outre réaliser des évaluations de risque en continu, publier des rapports relatifs aux risques systémiques et identifier les incidents graves. Seuls les très grands modèles de fondation - identifiés sur la base de la puissance informatique utilisée pour leur apprentissage, sont concernés par ces obligations. (6)


3. La nécessaire mise en conformité à l’AI Act

L’entrée en application de l’AI Act va impacter la plupart des organismes, depuis les développeurs ou fournisseurs de systèmes d’IA jusqu’aux utilisateurs ou déployeurs.

    3.1 Les parties concernées par la mise en conformité à l’AI Act

L’entrée en application de l’AI Act entraînera l’obligation, pour les différentes parties impliquées à divers niveaux dans l’intelligence artificielle, de se mettre en conformité. La mise en conformité concerne en effet un large éventail d’acteurs, qui seront soumis aux obligations prévues correspondant à leur statut :

    -Les développeurs ou fournisseurs de systèmes d’IA qui développent ou font développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous leur propre nom ou marque ;
    - Les utilisateurs ou déployeurs qui utilisent un système d’IA à titre professionnel ;
    - Les importateurs qui mettent sur le marché ou en service un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie en dehors de l’UE ;
    - Les distributeurs qui mettent un système d’IA à disposition sur le marché, sans altérer ses propriétés ; et
    - Les mandataires établis dans l’UE ayant reçu mandat écrit d’un fournisseur de système d’IA pour s’acquitter en son nom des obligations et des procédures établies par le règlement.

    3.2 La portée extraterritoriale de l’AI Act

Le champ territorial de l’AI Act n’est pas limité à l’Union européenne puisqu’il s’appliquera à tous les systèmes d’IA commercialisés et utilisés (ou produisant des résultats) dans l’Union européenne, quelque soit le lieu d’établissement du fournisseur ou de l’utilisateur du système.

    3.3 La procédure de mise en conformité

La procédure de mise en conformité concerne toutes les parties identifiées plus haut, depuis les développeurs / fournisseurs de systèmes d’IA, jusqu’aux mandataires, en passant par les utilisateurs (ou déployeurs) de systèmes d’IA.

La mise en conformité implique de développer et mettre en oeuvre un programme de gouvernance de l’IA dans l’entreprise. Ces règles de gouvernance prendront en compte non seulement les aspects juridiques de l’IA, mais également les aspects éthiques, stratégiques, la gestion des risques, la gestion des données, les impacts sur le travail et la relation avec les clients, les interactions avec les autres réglementations, etc.

La mise en conformité comprendra notamment une procédure de gestion des risques (identification et évaluation des risques, adoption de mesures de correction) et de gestion des données (qualité des jeux de données d’entrée), ainsi qu’un système de traçabilité des opérations (enregistrement automatisé des événements).

Cette procédure s’apparente à celle déployée lors de l’entrée en application du RGPD et doit impliquer plusieurs services, dont les directions informatique, juridique, commerciale, marketing… Les collaborateurs devront évidemment être sensibilisés à ces règles de gouvernance et la charte informatique interne devra être mise à jour.

Comme pour le RGPD, l’AI Act recommande l’adoption de codes de conduite.

Enfin, les systèmes d’IA conformes aux exigences du règlement pourront porter un marquage CE.

Nous approfondirons la procédure de mise en conformité au règlement dans un prochain article.

    3.4 Le calendrier d’entrée en application de l’AI Act


L’AI Act devrait être publié dans les prochaines semaines. Il entrera en vigueur 20 jours après sa publication au journal officiel de l’UE.

Toutefois, son entrée en application sera échelonnée sur une période de 36 mois pour permettre aux organismes concernés de préparer leur mise en conformité.

Le calendrier d’entrée en application de l’AI Act est le suivant : date d’entrée en vigueur
    + 6 mois : les IA interdites par l’AI Act ne peuvent plus être utilisées,
    + 12 mois : les obligations applicables aux modèles de GPAI entrent en application,
    + 24 mois : l’AI Act entre en application, particulièrement concernant les systèmes d’IA à haut risque définis à l’annexe III du règlement,
    + 36 mois : l’AI Act entre en application pour les systèmes d’IA à haut risque définis à l’annexe II du règlement.


4. Le contrôle de la conformité et les sanctions

    4.1 La création de nouvelles autorités de contrôle

La mise en oeuvre de l’AI Act passe par la création de nouvelles autorités de contrôle, aux niveaux européen et nationaux.

Au niveau européen, l’Office européen de l’IA, créé en février 2024 au sein de la Commission, a pour mission de superviser l’application et la mise en oeuvre du règlement dans l’UE. L’Office sera l’interlocuteur des organismes internationaux afin de promouvoir, au niveau mondial, une approche coordonnée en matière de questions liées à l’IA.

La Commission sera par ailleurs assistée par un panel scientifique d’experts indépendants qui apporteront conseils et assistance à l’Office de l’IA.

Un Comité européen de l’intelligence artificielle doit également être créé. A l’instar du CEPD pour la protection des données, le Comité de l’IA aura pour mission de fournir conseils et assistance à la Commission et assurer l’harmonisation de l’application du règlement par les autorités nationales.

Au niveau national seront créées des Autorités nationales compétentes. Ces autorités de contrôle, présentes dans chaque état-membre, devront assurer l’application et la mise en oeuvre du règlement. En France, la CNIL devrait être l’autorité désignée pour remplir ce nouveau rôle.
 
    4.2 Les sanctions applicables en cas de non-respect du règlement

En cas de non-conformité au règlement, l’AI Act prévoit trois types de sanctions suivant qu’il s’agit d’une utilisation d’IA interdite, d’un problème de conformité aux exigences imposées par le règlement aux différentes parties identifiées au paragraphe 3.1, ou de la fourniture de d’informations incorrectes, incomplètes ou trompeuses. Le montant des amendes est déterminé comme suit : (art. 71 et 72a AI Act)

    - Non-conformité avec les interdictions prévues à l’article 5 (AI interdites) : les amendes administratives pourront atteindre 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial de l’année N-1, la plus haute des deux sommes étant retenue ;

    - Non-conformité de l’une des parties identifiée au paragraphe 3.1 avec les autres obligations prévues au règlement et non-conformité d’un fournisseur de modèle d’IA à usage général : amendes pouvant atteindre 3% du chiffre d’affaires annuel mondial de l’année N-1 ou 15 millions d’euros, la plus haute des deux sommes étant retenue ;

    - Fourniture d’informations incorrectes, incomplètes ou trompeuses aux autorités de contrôle en réponse à une demande de leur part : amendes pouvant atteindre 7,5 millions d’euros ou 1% du chiffre d’affaires annuel mondial de l’année N-1, la plus haute des deux sommes étant retenue.

Les amendes doivent être adaptées aux cas d’espèce et au niveau de gravité des manquements relevés, tout en étant efficaces, proportionnées et dissuasives. Elles prendront également en compte la situation des PME et des start-ups et leur viabilité financière.


    Deux proposition de directives sont par ailleurs en cours d’examen et doivent venir compléter la règlementation de l’intelligence artificielle : la proposition de directive du 28 septembre 2022 sur la responsabilité des produits défectueux et la proposition de directive du 28 septembre 2022 sur la responsabilité en matière d’Intelligence artificielle. Ces directives se situent en aval de l’AI Act, à savoir au niveau de la diffusion et de l’utilisation des systèmes d’IA. Leur objet est de gérer les risques liés à l’IA et la réparation des dommages causés par un système d’IA.

* * * * * * * * * * *


(1) Proposition de règlement du Parlement européen et du Conseil établissant des règles harmonisées concernant l’intelligence artificielle (législation sur l’intelligence artificielle) et modifiant certains actes législatifs de l’Union (“AI Act”)

(2) Commission européenne, Lignes directrices en matière d’éthique pour une IA digne de confiance, 8 avril 2019

(3) La définition du système d’IA dans la version anglaise est rédigée comme suit : “‘AI system‘ is a machine-based system designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments”. Cette définition est issue de la version de l’AI Act disponible au 26 janvier 2024, en anglais. Nous avons traduit cette définition en français. La version française officielle pourra faire apparaître quelques différences de traduction.

(4) Voir les 7 exigences identifiées dans les Lignes directrices de la Commission européenne, à savoir : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.

(5) La définition modèle d’IA à usage général dans la version anglaise est rédigée comme suit : “‘general purpose AI model’ means an AI model, including when trained with a large amount of data using self-supervision at scale, that displays significant generality and is capable to competently perform a wide range of distinct tasks regardless of the way the model is placed on the market and that can be integrated into a variety of downstream systems or applications. This does not cover AI models that are used before release on the market for research, development and prototyping activities.” Cette définition est issue de la version de l’AI Act disponible au 26 janvier 2024, en anglais. Nous avons traduit cette définition en français. La version française officielle pourra faire apparaître quelques différences de traduction.

(6) Limité aux modèles réalisant 10 septillion d’opérations par seconde (un septillion étant égal à 10 puissance 42 !)

Bénédicte DELEPORTE
Avocat

Deleporte Wentz Avocat
www.dwavocat.com

Mars 2024