L’IA Act a pour ambition de devenir un cadre mondial et un levier de marketing territorial européen, en établissant des conditions d’exercice reposant sur des principes éthiques. Les entreprises intégrant ou déployant l’IA doivent d’ores et déjà se préparer aux changements instaurés par le futur Règlement européen.
“Cette loi historique, la première du genre au monde, répond à un défi technologique mondial et crée des opportunités pour nos sociétés et nos économies. Avec la loi sur l’IA, l’Europe souligne l’importance de la confiance, de la transparence et de la responsabilité dans le traitement des nouvelles technologies, tout en veillant à ce que cette technologie en évolution rapide puisse prospérer et stimuler l’innovation européenne” a déclaré Mathieu Michel, secrétaire d’État belge chargé de la numérisation, de la simplification administrative et de la protection de la vie privée, à l’issue de l’adoption du texte par le Conseil de l’Europe.
Le règlement établissant des règles harmonisées concernant l’intelligence artificielle a mis seulement 3 ans avant d’être adopté formellement par le Conseil. Après avoir été signé très prochainement par les présidents du Parlement européen et du Conseil, l’acte législatif sera publié au Journal officiel de l’UE dans les prochains jours et entrera en vigueur vingt jours après cette publication.
Le nouveau règlement s’appliquera, et c’est une innovation, 6 mois après son entrée en vigueur, pour certaines utilisations de l’IA présentant un risque inacceptable. “Il importe d’anticiper l’application des interdictions afin de tenir compte des risques inacceptables et d’avoir un effet sur d’autres procédures, par exemple en droit civil”, précise le Règlement.
Les dispositions relatives aux organismes notifiés et à la structure de gouvernance devraient s’appliquer 12 mois après la publication du texte, ainsi que les obligations incombant aux fournisseurs de modèles d’IA à usage général. Par ailleurs, des codes de bonnes pratiques devraient être prêts au plus tard 9 mois après la date d’entrée en vigueur. Les autres mesures entreront en vigueur deux ans après la publication.
Le Règlement fait partie d’un paquet réglementaire visant à stimuler l’innovation. Il ne s’applique pas aux systèmes utilisés exclusivement à des fins militaires et de défense ou de sécurité nationale ainsi qu’à des fins de recherche.
Une approche d’évaluation fondée sur les risques
Le texte instaure une approche fondée sur les risques et repose sur les lignes directrices du GEHN IA. Plusieurs principes éthiques guident cette nouvelle réglementation : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.
Classification des systèmes d’IA
L’IA Act catégorise quatre types d’intelligence artificielle en fonction du risque : inacceptable, élevé, limité, minime ou nul. Les systèmes à risque inacceptable incluent ceux visant des évaluations sociales, le profilage, l’incitation à des comportements dangereux par des dispositifs d’interaction ou des techniques subliminales en dessous du seuil de conscience d’une personne pour altérer substantiellement son comportement et causer un préjudice physique ou psychologique, ou les systèmes d’identification biométrique à distance « en temps réel » dans des espaces publics à des fins répressives (sauf certaines exceptions).
Les systèmes à risque élevé concernent généralement les secteurs critiques ou d’importance vitale. Par exemple, les technologies d’IA des transports susceptibles de mettre en danger la vie et la santé des citoyens ; les technologies d’IA utilisées dans l’éducation ou l’emploi ; les technologies utilisées dans les composants de sécurité des produits ; les services privés et publics essentiels tels que l’évaluation du risque de crédit ; les technologies d’IA utilisées dans le domaine du maintien de l’ordre ; les technologies d’IA utilisées dans la gestion de la migration, de l’asile et des contrôles aux frontières (par exemple, la vérification de l’authenticité des documents de voyage) ; les technologies d’IA utilisées dans l’administration de la justice et les processus démocratiques.
Les systèmes à risque limité incluent les chatbots ou outils d’aide à la décision. Les solutions à risque minime sont, par exemple, les jeux vidéo compatibles avec l’IA ou des filtres anti-spam.
Le texte prévoit des exigences de transparence. “Les systèmes d’IA sont développés et utilisés de manière à permettre une traçabilité et une explicabilité appropriées, faisant en sorte que les personnes réalisent qu’elles communiquent ou interagissent avec un système d’IA, que les déployeurs soient dûment informés des capacités et des limites de ce système d’IA et que les personnes concernées soient informées de leurs droits” afin de prévenir tout risque et laisser le choix aux utilisateurs.
Pour ne pas tuer les initiatives en matière d’IA, le texte instaure un cadre juridique favorable à l’innovation et visant à promouvoir un apprentissage réglementaire fondé sur des données probantes est instauré. Le texte prévoit des « bacs à sable » réglementaires de l’IA, qui permettent un environnement contrôlé pour le développement, le test et la validation de systèmes d’IA innovants. Ils devraient également permettre de tester des systèmes d’IA innovants dans des conditions réelles.
Plusieurs organismes sont créés pour faciliter la régulation
Le texte crée plusieurs structures. Un bureau européen de l’intelligence artificielle (bureau de l’IA), qui sera chargé de faciliter la mise en conformité et de réduire la charge administrative pesant sur les déployeurs d’IA. Au sein de la Commission, il est chargé de faire respecter les règles communes dans toute l’UE. De son côté, un panel scientifique d’experts indépendants soutient les activités de contrôle. Un conseil d’administration de l’IA, composé de représentants des États membres, est créé pour conseiller et assister la Commission et les États membres. Enfin, un forum consultatif pour les parties prenantes fournit une expertise technique.
Des sanctions lourdes
Les infractions à la loi sur l’IA seront pénalisées en fonction d’un pourcentage du chiffre d’affaires annuel mondial de l’entreprise ou d’un montant prédéterminé, le montant le plus élevé étant retenu. « Le non-respect de l’interdiction des pratiques en matière d’IA visées à l’article 5 fait l’objet d’amendes administratives pouvant aller jusqu’à 35 000 000 € ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu« . D’autres sanctions pénales ou administratives peuvent se cumuler. Les PME et les startups seront soumises à des amendes administratives proportionnelles.
Avant le déploiement d’un système d’IA à haut risque par certaines entités fournissant des services publics, l’impact sur les droits fondamentaux devra être évalué. Les systèmes d’IA à haut risque devront être enregistrés dans une base de données de l’UE accessible à tous.
Patrice Remeur
