Première analyse

L’Union européenne a adopté le 12 juillet 2024 le règlement européen sur l’intelligence artificielle, qui constitue probablement la première législation globale relative à l’intelligence artificielle (IA) au monde.

L’objectif de l’Union européenne est de concilier le développement de cette innovation technologique avec une IA digne de confiance, dans le respect des droits fondamentaux, des règles de sécurité et d’éthique de l’Union, tout en s’attaquant à des modèles d’IA néfaste.

L’Europe souhaite imposer son calendrier et sa vision dans un contexte de concurrence internationale économique et réglementaire sur le sujet.

Le texte, comme cela avait été annoncé dès les travaux préparatoires, procède par une approche par risque et une classification des systèmes d’IA selon ce niveau de risque (I). Le règlement prévoit également un certain nombre d’obligations et de sanctions.

Introduction

Les outils d’IA, proposés tant aux professionnels qu’au grand public, suscitent fascination et inquiétude.

Comment ne pas être attiré, interpellé, voire subjugué par les capacités de ces logiciels ?

Comment ne pas être inquiet au regard des bouleversements que ces IA vont entraîner, notamment sur les métiers les moins qualifiés, mais également sur la démocratie en général ? Comment rester « human centric » face à des tels outils ?

Le règlement, assez dense (180 considérants, 113 articles et 13 annexes), débute par une définition du système d’IA.

Il s’agit d’un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit à partir des données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

  1. Sur l’approche par risque :

Le règlement différencie les systèmes d’IA inacceptables, les systèmes d’IA à haut risque, les IA à usage général et les IA à risque minimal :

Il s’agit d’une approche compréhensive, très pédagogique, centrée sur la finalité.

A. Les systèmes d’IA inacceptables :

Il sont tout simplement interdits, car considérés comme inacceptables.

il s’agit notamment des systèmes ayant les objets suivants :

  • le recours à des techniques subliminales ou manipulatrices pour influer sur le comportement et les décisions des personnes, à leur préjudice ou à celui d’autres personnes ;
  • l’exploitation des vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne, dans le même but ;
  • la notation sociale de certains comportements avec des conséquences dans d’autres contextes ;
  • la prédiction d’infraction pénale concernant une personne ;
  • la reconnaissance faciale basée sur une collecte de données d’internet ou de vidéosurveillance ;
  • la reconnaissance des émotions d’une personne sur le lieu de travail et dans les établissements d’enseignement, sauf pour raison médicale ou de sécurité ;
  • la catégorisation biométrique des individus pour en déduire leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle.

L’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives figure parmi les usages interdits, mais elle est néanmoins autorisée pour la recherche de victimes d’enlèvement, de la traite et de l’exploitation sexuelle d’êtres humains, ainsi que la recherche de personnes disparues ; la prévention d’une menace pour la vie ou la sécurité de personnes ou d’attaque terroriste ; la localisation ou l’identification d’une personne soupçonnée d’avoir commis certaines infractions pénales punies d’au moins quatre ans de prison.

B. Les systèmes d’IA « à haut risque » :

Il s’agit de systèmes d’IA qui sont la composante de sécurité d’un produit ou constituent un produit lui-même, soumis à des évaluations de conformité d’un tiers au titre de réglementations déjà existantes au sein de l’Union européenne.

Il peut s’agir par exemple des équipements médicaux, des ascenseurs, des équipements radioélectriques…

Au-delà de ces dispositifs définis par référence, le règlement donne également une liste concrète :

  • la biométrie à distance, pour catégoriser les personnes, ou pour reconnaître les émotions ;
  • les infrastructures critiques du trafic routier ou de la fourniture d’eau, de gaz, de chauffage ou d’électricité ;
  • l’éducation et la formation professionnelle (dont la détection de la fraude aux examens) ;
  • le recrutement et la gestion du personnel ;
  • l’accès aux services privés essentiels et aux services publics et prestations sociales essentiels (sauf la détection de la fraude) ;
  • le traitement des appels d’urgence ;
  • l’usage par les autorités répressives ;
  • la gestion des contrôles aux frontières ;
  • certains composants de sécurité.

ces systèmes d’IA à haut risque sont soumis, avant mise sur le marché, à un certain nombre d’obligations, en particulier un enregistrement dans une base de données de l’Union européenne.

Dans cette catégorie d’IA à haut risque, la proposition s’inscrit, dans le sillon du RGPD notamment, dans un modèle de régulation, imposant dès l’amont une mise en conformité (déclarée) du système, ou compliance, avec la préconstitution de preuves de cette conformité, pour faciliter les contrôles.

Les utilisateurs qui sont des autorités, des agences ou des organismes publics ou des personnes agissant à leur nom, devront également s’enregistrer.

Le fournisseur, sur lequel reposent la plupart des obligations, avec le déployeur, doit mettre en place un système de gestion des risques, documenté et tenu à jour, permettant d’identifier les risques connus et raisonnablement prévisibles pour la santé, la sécurité ou les droits fondamentaux lorsque le système est utilisé conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisibles, ainsi que les autres risques susceptibles d’apparaître.

Il doit, à cet effet, adopter des mesures appropriées et ciblées afin que le risque résiduel soit jugé acceptable et fournir aux utilisateurs les informations requises ainsi qu’une formation.

L’accent est également mis sur le fait qu’une notice d’utilisation doit être fournie, qu’un contrôle humain effectif doit exister et que des mesures techniques et organisationnelles garantissent que ces systèmes soient utilisés conformément à la notice.

C. Les modèles d’IA à usage général :

Il s’agit de systèmes qui présentent une généralité significative et sont capables d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché et qui peut être intégré dans une grande variété de systèmes ou d’applications.

Il s’agit là, principalement des systèmes d’IA à destination du grand public.

On y trouve notamment les chatbots, les systèmes de modification des images, les IA génératives largement utilisées comme ChatGPT, Perplexity, Bard, Midjourney.

Les obligations qui pèsent sur les fournisseurs de ces IA sont assez classiques : établir une documentation technique, mettre à disposition des informations à l’intention des fournisseurs et des clients qui l’intègrent dans leur système, protection des droits de propriété intellectuelle et de la confidentialité des données de nature commerciale…

D. Les modèles d’IA à usage général :

Il s’agit simplement des systèmes d’IA qui ne figurent pas dans les catégories précédentes et peuvent être développés et utilisés à condition de respecter la législation actuelle de chaque pays.

Ils ne sont soumis à aucune obligation légale supplémentaire.

Gageons toutefois qu’il s’agira de systèmes fort peu nombreux.

2. Sur les obligations et les sanctions :

    La majeure partie des obligations vont se concentrer sur les systèmes d’IA à haut risque.

    En effet, s’agissant des systèmes inacceptables, ils sont purement et simplement interdits, de sorte qu’aucune obligation ne pèse sur eux.

    Le règlement prévoit également des exigences générales à l’égard des fournisseurs, des déployeurs et d’autres acteurs de l’IA.

    Les systèmes d’IA en eux-mêmes doivent répondre à un certain nombre d’exigences en matière de système de gestion des risques, de gouvernance de la donnée, de documentation, de traçabilité, de contrôle humain et de transparence.

    À ce titre, des obligations renforcées de transparence sont prévues pour certaines IA.

    Ainsi, les fournisseurs devront veiller à ce que ces systèmes qui interagissent directement avec des personnes physiques soient conçus et développés de manière à ce que les personnes concernées soient informées qu’elles interagissent avec une IA, sauf si cela ressort clairement pour une personne normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte de l’utilisation.

    De même, les systèmes qui génèrent des contenus de synthèse audio, image, vidéo ou texte devront être marqués dans un format lisible par la machine identifiable comme ayant été générés par une IA.

    De même, les déployeurs d’un système de reconnaissance des émotions ou d’un système de catégorisation biométrique devront informer les personnes physiques qui y sont exposées du fonctionnement du système.

    Le règlement a également identifié le risque systémique, défini comme un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur.

    Une IA à usage général sera considérée comme présentant un risque systémique si elle dispose de capacités à fort impact, notamment lorsque la quantité cumulée de calcul utilisée pour son entraînement atteint un certain seuil.

    Les fournisseurs entrant dans cette catégorie devront informer la Commission européenne, effectuer une évaluation de leurs modèles, sur la base de protocoles et d’outils normalisés reflétant l’état de la technique.

    Ils devront évaluer et atténuer les risques systémiques éventuels, documenter et communiquer aux autorités les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier.

    Enfin, ils devront garantir un niveau approprié de protection en matière de cybersécurité, afin que le modèle d’IA à usage général présentant un risque systémique et l’infrastructure physique du modèle

    On le voit, en termes d’obligation, les conséquences en matière de risque systémique peuvent générer des contraintes plus importantes que celles qui s’appliquent à l’IA à haut risque.

    Des sanctions importantes comme celles que l’on a pu constater avec le RGPD ont été prévues en cas de non-respect du règlement : des amendes pouvant atteindre 35 000 000 € ou 7 % du chiffre d’affaires mondial de l’entreprise.

    Il convient de rappeler que, s’agissant d’un règlement européen, il est d’application directe et immédiate.

    Au regard de son caractère complet innovateur, et au regard de la lenteur des législateurs nationaux, il est probable que cette législation reste la seule applicable pendant longtemps.

    En termes de mise en application, le règlement prévoit toutefois un échelonnement.

    Il est entré en vigueur le 2 août 2024.

    Les dispositions relatives aux systèmes d’intelligence artificielle inacceptable s’appliquent à compter du 2 février 2025, celles relatives aux IA à usage général à compter du 2 août 2025, et celles relatives aux IA à haut risque s’appliquent à compter du 2 août 2027.

    Articles & Publications

    Découvrir plus
    Découvrir plus