La législation européenne sur l’intelligence artificielle : l’IA Act

Une ambition européenne pour encadrer l’IA

Le 21 mai 2024, l’Union européenne a officiellement adopté l’IA Act, une loi visant à réglementer l’intelligence artificielle sur son territoire.

Initialement présenté le 21 avril 2021 et adopté à l’unanimité par les députés européens en mars dernier, le texte a été substantiellement révisé pour tenir compte de l’essor rapide des IA génératives comme ChatGPT, lancé fin 2022.

Cette législation harmonise les réglementations existantes en matière d’IA et marque la volonté de l’UE de se doter d’un cadre juridique solide pour le développement de systèmes d’IA fiables, éthiques et sécurisés.

Il s’agit de la première loi au monde dédiée spécifiquement à l’intelligence artificielle, visant à garantir le respect strict des droits fondamentaux des citoyens européens tout en favorisant l’innovation. L’Union européenne aspire ainsi à devenir un leader en matière d’IA éthique et réglementée.

Les entreprises et organisations concernées

La nouvelle législation s’applique à toutes les entités juridiques—qu’il s’agisse d’entreprises, d’associations ou d’administrations—qui fournissent, distribuent ou déploient des systèmes ou modèles d’intelligence artificielle.

Cela inclut les organisations situées en dehors de l’UE si leurs services sont utilisés ou distribués au sein de l’Union.

Les acteurs prévoyant d’introduire ou de mettre en service des systèmes d’IA à haut risque dans l’UE sont particulièrement concernés.

De même, les fournisseurs de pays tiers dont les systèmes d’IA à haut risque sont utilisés en Europe doivent se conformer à cette loi.

Un système d’IA est défini comme un système « conçu pour fonctionner avec différents niveaux d’autonomie, capable de s’adapter après son déploiement et qui, pour des objectifs explicites ou implicites, déduit à partir des données reçues comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions susceptibles d’influencer des environnements physiques ou virtuels ».

Les obligations pour les entreprises et startups

Les entreprises utilisant l’intelligence artificielle devront se conformer à de nouvelles obligations, qui varient en fonction du niveau de risque associé à leurs systèmes d’IA. Pour les systèmes à haut risque, les fournisseurs devront notamment :

• Obtenir une certification CE.
• Enregistrer l’entreprise dans une base de données européenne.
• Mettre en place un système de gestion des risques.
• Assurer une gouvernance des données pour éviter les biais dans les jeux de données.
• Fournir une documentation technique détaillée.
• Établir un système de gestion de la qualité pour garantir la conformité tout au long du cycle de vie du produit.
• Rédiger une déclaration de conformité.
• Garantir la traçabilité et la transparence du système d’IA.
• Assurer un contrôle humain sur le système.
• Veiller à la robustesse, à l’exactitude et à la cybersécurité du modèle.

Les catégories de systèmes d’IA selon le niveau de risque

L’IA Act introduit une classification des systèmes d’IA basée sur le niveau de risque qu’ils présentent :

Risques inacceptables :

Systèmes considérés comme une menace pour les individus, tels que la manipulation de personnes vulnérables (par exemple, des jouets interactifs incitant les enfants à des comportements dangereux), la notation sociale ou l’identification biométrique à distance en temps réel. Ces systèmes sont interdits dans l’UE.

Risques élevés :

Systèmes présentant des risques pour la santé, la sécurité ou les droits fondamentaux.

Cela inclut les systèmes utilisés dans les infrastructures critiques (transports, énergie), les services publics et privés (santé, finance), l’éducation, l’emploi ou la justice.

Des exceptions sont prévues pour des situations spécifiques comme la recherche de personnes disparues.

Risques limités :

Systèmes tels que les chatbots, les recommandations personnalisées ou les « deepfakes ».

Ils doivent être transparents et informer les utilisateurs qu’ils interagissent avec une IA.

Risques minimes :

Systèmes comme les filtres anti-spam ou l’IA dans les jeux vidéo. Aucune obligation spécifique, mais les fournisseurs sont encouragés à adopter des codes de conduite.

Se préparer à l’IA Act : les étapes pour les entreprises

Afin d’anticiper l’entrée en vigueur de l’IA Act, les entreprises peuvent prendre plusieurs mesures :

Renforcer la gouvernance de l’IA :

Nommer un responsable de l’IA, qui pourrait être le délégué à la protection des données, chargé de la conformité à la nouvelle législation. Créer des groupes de travail internes et externes, mettre en place une veille réglementaire et participer aux consultations publiques.

Cartographier les systèmes d’IA :

Évaluer les systèmes existants pour déterminer leur niveau de risque et leur conformité, et effectuer régulièrement des tests et des audits.

Former et sensibiliser les équipes :

Informer les collaborateurs sur les implications de l’IA Act, les risques associés à l’utilisation de l’IA (biais, discrimination) et les liens avec d’autres réglementations comme le RGPD.

Interroger les fournisseurs :

Avant l’obligation du marquage CE, demander aux fournisseurs des informations sur la composition de leurs produits, les données utilisées pour entraîner les algorithmes et les mesures de protection des données personnelles.

Transformer la réglementation en avantage concurrentiel :

En intégrant dès maintenant les directives de l’IA Act, les entreprises peuvent se positionner comme des acteurs de confiance sur le marché mondial de l’IA éthique et responsable.

L’impact sur l’innovation et la compétitivité des startups

L’IA Act vise également à stimuler l’innovation au sein des PME et des startups.

En offrant un cadre réglementaire clair, il encourage le développement de nouveaux systèmes d’IA.

Des « bacs à sable réglementaires » permettront aux entreprises de tester et d’entraîner leurs modèles avant leur commercialisation, sans avoir à respecter immédiatement l’ensemble des contraintes réglementaires.

Ces environnements contrôlés seront supervisés par des autorités compétentes désignées par les États membres.

Les investissements européens et français dans l’IA

Parallèlement à la mise en place de l’IA Act, l’Union européenne renforce ses investissements dans l’intelligence artificielle pour accroître sa compétitivité mondiale. La Commission européenne

propose d’allouer un milliard d’euros par an à des projets d’IA, issus de programmes dédiés. L’objectif est d’atteindre 20 milliards d’euros d’investissements publics et privés annuels.

En France, le gouvernement affiche des ambitions similaires. Le 21 mai, le président a annoncé un investissement supplémentaire de 400 millions d’euros pour la formation de spécialistes de l’IA, avec un objectif de 100 000 personnes formées par an, ainsi que la création d’un nouveau fonds d’investissement d’ici fin 2024.

L’IA est une priorité stratégique, avec 2,5 milliards d’euros dédiés dans le cadre d’un programme national. Des levées de fonds importantes, soutenues par des investisseurs de renom et des organismes publics, témoignent de cet engouement.

Conclusion

L’adoption de l’IA Act marque une étape décisive dans la régulation de l’intelligence artificielle au niveau mondial. En établissant un cadre juridique précis, l’Union européenne entend garantir le développement d’une IA éthique, respectueuse des droits fondamentaux, tout en stimulant l’innovation et la compétitivité des entreprises européennes. Les organisations ont tout intérêt à se préparer dès maintenant à cette nouvelle réglementation pour en tirer parti et renforcer leur position sur le marché.