Règlement européen sur l’IA : qu’est-ce que c’est, pourquoi c’est important et que faire ?

Le 13 mars 2024, le Parlement européen a voté en faveur de l’adoption du tout premier cadre juridique complet pour la régulation de l’intelligence artificielle : le Règlement sur l’intelligence artificielle (également connu sous le nom de « AI Act »).

L’utilisation croissante des outils d’intelligence artificielle (IA) et le déploiement massif d’IA génératives telles que ChatGPT ont soulevé des préoccupations concernant leurs implications éthiques, juridiques et sociétales. Dans ce contexte, cette nouvelle réglementation européenne vise à encadrer la conception et l’utilisation de l’IA. Son objectif est de renforcer la confiance autour de l’IA et de contrôler son impact sur la société, les entreprises et les individus (notamment sur les droits fondamentaux de ces derniers), tout en créant un environnement favorable à la recherche et au développement, à l’économie et à l’innovation.

Le règlement européen sur l’IA est entré en vigueur le 1er août 2024, une date clé pour déterminer l’application des différentes dispositions du règlement.

Qu’est-ce que le Règlement européen sur l’IA ?

Le règlement définit un système d’intelligence artificielle (AIS ou AI System) afin de le différencier des systèmes logiciels plus simples. L’article 3(1) de l’AI Act décrit un AI System comme étant « un système basé sur une machine conçue pour fonctionner avec différents niveaux d’autonomie et pouvant démontrer une adaptabilité après son déploiement, et qui, dans le cadre d’objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, comment générer des sorties telles que des prédictions, des contenus, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels. »

Cette approche basée sur les risques constitue l’un des fondements et l’un des aspects originaux de cette réglementation, établissant des restrictions croissantes en fonction des usages de l’IA jugés plus risqués.

Catégories de systèmes d’IA

Les différents systèmes d’IA ont été classés en quatre catégories selon leur niveau potentiel de danger, chacune comportant des obligations spécifiques en matière de conformité au Règlement européen sur l’IA :

• Sytèmes d’IA à risque minimal ou sans risque (ex. : filtres anti-spam)
• Sytèmes d’IA à risque limité (ex. : chatbots)
• Sytèmes d’IA à haut risque (ex. : recrutement)
• Sytèmes d’IA interdits (ex. : scoring social)

Sytèmes d’IA à risque minimal ou sans risque

Cette catégorie couvre, par exemple, les systèmes d’IA utilisés pour la maintenance prédictive. Dans ce cas, leur déploiement et leur utilisation sont autorisés sans restrictions ou obligations supplémentaires.

Sytèmes d’IA à risque limité

Les systèmes d’IA qui interagissent avec les humains (ex. : chatbots) ou qui génèrent ou manipulent du contenu (ex. : filtres anti-spam) entrent dans cette catégorie. Étant donné qu’ils sont susceptibles d’interagir avec le public, ces systèmes devront respecter des obligations limitées d’information et de transparence (notamment via la mention faite à l’utilisateur que leur production est « générée par une intelligence artificielle »).

Sytèmes d’IA à haut risque

Les règles de caractérisation des systèmes d’IA à haut risque sont définies à l’Article 6 du règlement. En résumé, ces systèmes :

1. Remplissent les deux conditions suivantes :
   • le système est conçu pour être utilisé comme composant de sécurité d’un produit, ou est lui-même un produit, et relève de la législation d’harmonisation de l’Union énumérée à l’Annexe I ;
   • le système ou le produit dont il fait partie doit faire l’objet d’une évaluation de conformité par une tierce partie.
2. Ou ils figurent dans l’Annexe III, qui couvre :
   • les systèmes biométriques (reconnaissance des émotions, systèmes d’identification biométrique, catégorisation, etc.) ;
   • les infrastructures critiques (ex. : circulation routière, approvisionnement en eau ou en gaz, etc.) ;
   • les systèmes utilisés dans l’éducation ou la formation professionnelle (ex. : détermination de l’accès ou admission, évaluation des apprentissages, etc.) ;
   • la gestion des travailleurs, l’accès à l’emploi ou à l’auto-emploi ;
   • l’accès et l’utilisation de services publics ou privés essentiels (ex. : systèmes d’évaluation de solvabilité ou des scores de crédit, ou utilisés pour évaluer l’éligibilité à des services de santé) ;
   • le maintien de l’ordre public ;
   • la gestion des migrations, de l’asile et des contrôles aux frontières ;
   • l’administration de la justice et des processus démocratiques.

Exemptions pour les sytèmes d’IA à haut risque

Les systèmes d’IA qui ne présentent pas de risque significatif pour la santé, la sécurité ou les droits fondamentaux ne sont pas considérés comme à haut risque, à condition qu’ils remplissent l’un des critères suivants :

• ils exécutent des tâches procédurales limitées ;
• ils améliorent les résultats d’activités humaines déjà accomplies ;
• ils détectent des schémas de prise de décision sans remplacer les évaluations humaines ;
• ils sont conçus pour effectuer des tâches préparatoires à une évaluation des risques.

En revanche, les systèmes d’IA qui effectuent du profilage sont toujours considérés comme à haut risque.

Les AIS à haut risque seront soumis à un ensemble d’exigences strictes, incluant potentiellement l’obligation de documentation, la mise en œuvre de mesures de conformité garantissant notamment le suivi des biais, la robustesse et la cybersécurité du système, sa conformité aux normes de confidentialité des données, une supervision humaine, ainsi que la documentation technique et l’enregistrement du système dans la base de données de l’UE.

Systèmes d’IA interdits

Cette catégorie de systèmes d’IA est entièrement interdite et inclut les pratiques suivantes :

• manipulation du comportement humain ;
• AIS exploitant des vulnérabilités d’une personne ou d’un groupe spécifique en raison de leur âge, de leur handicap ou de leur situation sociale ou économique particulière ;
• systèmes de catégorisation biométrique permettant de déduire ou d’inférer la race, les opinions politiques, l’appartenance syndicale, les croyances religieuses ou philosophiques, la vie sexuelle ou l’orientation sexuelle des personnes physiques ;
• classification des personnes physiques ou groupes sur la base de leur comportement social ;
• évaluations de risque des personnes physiques visant à prédire leur propension à commettre une infraction pénale, fondées uniquement sur le profilage ou l’évaluation des traits et caractéristiques de leur personnalité ;
• systèmes d’identification biométrique à distance en temps réel (sous réserve d’exceptions).

Les autorités de maintien de l’ordre pourront utiliser des systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public, sous des conditions très spécifiques, principalement liées à la prévention de dommages criminels. Cette utilisation sera strictement encadrée.

Systèmes d’IA à usage général

Le règlement européen sur l’IA crée une catégorie spécifique pour les « modèles d’IA à usage général » (GPAI), qui inclut les modèles d’IA entraînés avec de grandes quantités de données et « présentant une généralité significative, capables d’exécuter une large gamme de tâches distinctes avec compétence, indépendamment de la manière dont le modèle est mis sur le marché, et pouvant être intégrés à divers systèmes ou applications en aval. » Essentiellement, des systèmes d’IA comme ChatGPT appartiennent à cette catégorie, puisqu’ils sont conçus comme des systèmes d’information généraux.

Les fournisseurs de modèles GPAI ont certaines obligations :

• rédiger, maintenir et rendre accessible au public une documentation technique du modèle, y compris les processus d’entraînement et de test, ainsi que les résultats de son évaluation ;
• fournir aux utilisateurs des informations et une documentation destinées aux fournisseurs de systèmes d’IA souhaitant intégrer le modèle GPAI dans leurs propres systèmes ;
• mettre en place une politique visant à respecter les lois sur le droit d’auteur de l’Union européenne.

Par ailleurs, ces GPAI peuvent potentiellement être classés comme « modèles d’IA à usage général avec risque systémique » s’ils répondent à l’un de ces deux critères : ils possèdent des capacités à fort impact et/ou la quantité cumulative de calcul utilisée pour leur entraînement dépasse un certain seuil.

Les GPAI considérés comme présentant un risque systémique sont soumis à une série d’obligations supplémentaires, notamment :

• évaluer les modèles pour identifier et atténuer les risques systémiques ;
• évaluer et réduire, au niveau européen, les risques systémiques potentiels associés au développement, à la mise sur le marché ou à l’utilisation des modèles GPAI à risque systémique ;
• surveiller, documenter et signaler sans délai excessif à l’Office de l’IA (la Commission européenne) et, le cas échéant, aux autorités nationales compétentes, toute information pertinente sur les incidents graves et les mesures correctives nécessaires pour y remédier ;
• garantir un niveau adéquat de protection en matière de cybersécurité pour les modèles GPAI à risque systémique et leur infrastructure physique.

À qui s’applique le Règlement européen sur l’IA ?

L’AI Act s’applique à tous les « utilisateurs finaux », distributeurs, importateurs, fabricants et fournisseurs de systèmes d’IA ayant un lien avec l’Union européenne. En d’autres termes, ces acteurs (personnes physiques ou morales) seront soumis au Règlement européen sur l’IA s’ils ont une implantation stable sur le territoire européen ou commercialisent des produits ou services sur le marché européen. Il s’agit d’un champ d’application très large (similaire à celui du RGPD, par exemple) qui implique que la plupart des entités opérant à l’échelle mondiale y seront soumises.

En termes d’application territoriale, cette réglementation s’aligne avec les grandes régulations de conformité mises en place par l’Union européenne au cours des deux dernières décennies. Tout comme le Règlement général sur la protection des données (« RGPD »), elle est d’application extraterritoriale. Elle aura donc une portée mondiale et imposera de nouvelles obligations aux organisations de tous les secteurs tout au long de la chaîne de fourniture des systèmes d’IA sur le marché européen.

Comment le Règlement européen sur l’IA sera-t-il appliqué ?

Le 24 janvier 2024, la Commission européenne a désigné un Office européen de l’intelligence artificielle. Son rôle est de soutenir et d’assurer la mise en œuvre correcte de l’AI Act. En procédant ainsi, l’UE a souhaité garantir une application coordonnée au niveau européen de cette future réglementation.

Les missions de cet office incluront :

• contribuer à une approche stratégique, cohérente et efficace de l’Union européenne concernant les initiatives internationales sur l’IA, en coordination avec les États membres et conformément aux positions et politiques de l’Union européenne ;
•  oopérer avec tous les organes, bureaux et agences compétents de l’Union européenne ;
•  oopérer avec les autorités et organismes des États membres au nom de la Commission européenne.

Concernant la désignation des autorités nationales de contrôle de l’IA, chaque État membre devra établir ou désigner au moins une autorité de notification (également appelée point de contact unique) et au moins une autorité de surveillance du marché (également appelée autorité nationale compétente) pour appliquer ce règlement à l’échelle locale. Ces autorités nationales compétentes veilleront à la mise en œuvre et à l’application de cette réglementation.

Amendes

Les acteurs de l’IA qui ne respectent pas les obligations prévues par le Règlement européen sur l’IA s’exposeront à des amendes, dont le montant pourra varier (notamment en fonction du type de système d’IA impliqué). Ainsi, le texte distingue en particulier les infractions impliquant des systèmes d’IA interdits des autres systèmes, et prévoit un régime de sanctions spécifique pour les GPAI.

Les sanctions les plus sévères pour non-conformité s’élèvent à :

1. 35 000 000 d’euros ; 
2. ou 7 % du chiffre d’affaires annuel mondial total pour l’exercice financier précédent pour les entités juridiques, selon le montant le plus élevé.

Calendrier de mise en œuvre

Le Règlement européen sur l’IA est entré en vigueur le 1^er août 2024, et ses exigences et obligations finales seront mises en œuvre par étapes. Cette application se fera progressivement (pour être totalement effective 36 mois après son entrée en vigueur), en fonction du niveau de risque à partir de la date de publication dans le Journal officiel de l’Union européenne.

Les acteurs soumis à l’AI Act disposeront de :

• 6 mois (2 février 2025) pour se conformer aux règles relatives aux systèmes d’IA interdits ;
• 12 mois (2 août 2025) pour mettre en œuvre la conformité aux exigences pour les GPAI ;
• 24 mois (2 août 2026) pour atteindre une conformité globale pour les systèmes d’IA ;
• 36 mois (2 août 2027) pour se conformer aux règles relatives aux systèmes d’IA à haut risque.

Comment anticiper les changements pour votre entreprise en vertu du Règlement européen sur l’IA

Que signifie l’AI Act de l’Union européenne pour votre entreprise ?

Les entités potentiellement concernées par cette nouvelle réglementation devraient envisager des actions axées sur l’anticipation du Règlement européen sur l’IA, ainsi que d’autres réglementations sur l’intelligence artificielle susceptibles de suivre. Voici quelques actions suggérées :

1. Auditez la structure IA de votre organisation

Cette première étape devrait inclure :

1. Une cartographie des systèmes et modèles d’IA internes et externes (objectif, données traitées, cadre contractuel) utilisés au sein de l’entreprise.
2. L’identification des divers cadres organisationnels régissant leur utilisation (procédure de prise de décision, etc.), leur impact actuel et leur suivi à travers le prisme des fonctions clés de l’entité : achats, sécurité, informatique, juridique, conformité, etc.

2. Réévaluez cette structure à la lumière du Règlement sur l’IA

Cette action devrait inclure :

1. La création d’un inventaire et d’un cadre de suivi pour les systèmes et modèles d’IA internes et externes identifiés.
2. L’évaluation de la classification potentielle de chaque système d’IA selon le classement des risques du Règlement européen sur l’IA.
3. L’analyse des besoins en matière de gouvernance, de suivi, de reporting ou d’autres exigences de conformité susceptibles de s’appliquer à chaque utilisation — y compris la possibilité que certaines utilisations soient interdites.

3. Dédiez une équipe pour surveiller et développer une stratégie sur les problématiques liées à l’IA

L’IA sera un sujet clé pour les autorités publiques et les médias au cours de la prochaine décennie ; par conséquent, ce sera également un enjeu majeur pour les entreprises. Ces dernières devront adopter une approche globale du cadre juridique de l’IA pour garantir leur conformité avec plusieurs réglementations complexes dans différentes juridictions.

La gestion de ces risques liés à l’IA et des questions d’éthique et de conformité qu’ils soulèveront dans les entreprises sera nécessaire pour maintenir la confiance des clients.

Les organisations devront concevoir une stratégie cohérente pour surveiller et anticiper ces nouveaux risques et préoccupations. Pour atteindre cet objectif et garantir la conformité avec le Règlement européen sur l’IA, elles devront mobiliser des compétences transversales.

Une équipe centralisée et dédiée est la solution la plus efficace pour établir une stratégie globale et évolutive. Cette équipe sera indispensable pour mettre en place un cadre cohérent et efficace permettant de maîtriser et gérer les nouveaux risques liés à l’IA ainsi que les exigences de conformité.

Conclusion

L’adaptation au cadre juridique de l’IA marque un moment charnière, à l’instar de l’adaptation au cadre de la protection des données lors de la décennie précédente. Les organisations peuvent anticiper ce changement — et même en faire un élément positif et différenciateur vis-à-vis de leurs concurrents — ou en souffrir. Comme souvent, la différence sera rapidement perceptible entre les entreprises qui auront anticipé ce changement et celles qui en pâtiront.

DataDome travaille activement pour garantir une conformité totale avec le Règlement européen sur l’IA et toute autre législation relative à l’intelligence artificielle susceptible de suivre.