Accéder au contenu principal

EU AI Act : l’Union européenne encadre les systèmes d’IA en Europe

Adoptée par les 27 Etats de l’Union européenne le 21 mai 2024 et publiée au Journal Officiel de l’UE le 12 juillet 2024, la réglementation européenne sur l’intelligence artificielle, appelée « AI Act », a pour objectif d’améliorer le fonctionnement du marché unique européen et de promouvoir l’introduction d’une intelligence artificielle centrée sur l’humain et l’éthique.

 

Après trois années d’intenses discussions, l’AI Act a été adopté par les eurodéputés en mars 2024 avant d’être officiellement validé par le Conseil de l’Union européenne le 21 mai 2024. Cette réglementation vise à harmoniser celles déjà existantes en matière d’IA au sein de l’UE et à protéger les consommateurs européens contre l’utilisation inappropriée de l’IA. Elle a également pour but d’assurer un niveau élevé de protection en matière de santé, de sécurité et des droits fondamentaux inscrits dans la Charte des droits fondamentaux, y compris la démocratie, l’état de droit et la protection de l’environnement, contre les effets potentiellement néfastes des systèmes d’IA. 

L’AI Act classe les applications de l’IA en quatre niveaux de risque :  

  • les systèmes d’IA à risque inacceptable tels que les systèmes de catégorisation biométriques basés sur des caractéristiques sensibles telles que l’opinion politique, les croyances religieuses, l’orientation sexuelle ou l’origine ethnique, sont interdits,  
  • les systèmes d’IA à risque élevé présentant des risques pour la santé, la sécurité et les droits fondamentaux des personnes, 
  • les systèmes d’IA à risque limité, tels que les chatbots, les systèmes de recommandations les deepfakes ou les catégorisations biométriques doivent être indiqués, 
  • les systèmes d’IA à risque minimal, tels que les filtres anti-spam ou les systèmes de maintenance prédictive, qui n’ont pas d’obligations spécifiques.  

Désormais, les fournisseurs de systèmes d’IA classés comme présentant un risque élevé devront se conformer aux exigences de l’AI Act répondant aux principes d’un IA digne de confiance, de la gouvernance de l’IA à sa qualité, sans quoi ils devront faire face à de lourdes amendes voire être contraints de retirer leurs systèmes d’IA du marché européen.  

Si cette réglementation pose des principes, des règles et des procédures étendus concernant la réglementation de l’IA, ainsi que de nouvelles structures de supervision, elle n’est pas destinée à freiner l’innovation dans l’Union européenne. Elle a justement été développée pour promouvoir le secteur de l’IA, en particulier par les start-up et les PME, grâce à la sécurité juridique et aux « bacs à sable réglementaires ».  

Qu’est-ce qu’un système d’IA ?

 

La définition de l’intelligence artificielle dans l’AI Act est basée sur celle reconnue énoncée par l’OCDE.

Un système d’IA est ainsi défini comme « un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d'autonomie et qui peut faire preuve d'adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ».

Un système d’IA selon la réglementation européenne se caractérise par la capacité de tirer des conclusions, c’est-à-dire qu’il peut faire des prédictions et prendre des décisions qui influencent les environnements réels et virtuels. Cela est rendu possible par des techniques telles que l’apprentissage automatique (machine learning) et les approches basées sur la logique. 

Qui est concerné par le Règlement européen sur l’IA ?

 

Le texte européen sur l’IA s’applique à tous les utilisateurs et fournisseurs de systèmes d’IA introduits ou déployés sur le marché européen. Le terme « fournisseur » englobe les exploitants qui déploient ou introduisent généralement un système d’IA sur le marché sous leur propre marque. Les importateurs, distributeurs et déployeurs sont également soumis à ce texte. Les systèmes d’IA conçus uniquement pour des applications militaires ou de défense, ou bien utilisés strictement à des fins de recherche et d’innovation, se trouvent en dehors de son champ d’application, de même que pour les modèles open-source, et les systèmes utilisés par des individus à des fins non commerciales avec l’IA.  

Mise en œuvre et application

 

Le législateur impose généralement aux fournisseurs de s'auto-évaluer en effectuant eux-mêmes une évaluation de la conformité ou en mandatant des tiers autorisés pour le faire, selon le type de système d'IA à risque élevé. L’AI Act prévoit une structure administrative composée de plusieurs autorités publiques nationales, chacune étant chargée de différentes missions liées à la mise en œuvre et à l’application du texte. 

Au niveau de l’UE 

L’office européen de l’IA, récemment créée par la Commission européenne, joue un rôle crucial dans la supervision du déploiement de l’AI Act à travers tous les Etats membres de l’UE. Cette entité met particulièrement l’accent sur la supervision des systèmes d’IA à usage général.  

Le Comité de l’IA, composé de représentants du monde des affaires et de la société civile, offre des commentaires critiques. Il garantit que diverses perspectives sont prises en compte tout au long du processus de mise en œuvre, facilitant une approche plus inclusive de la régulation de l’IA.  

Le Panel consultatif scientifique, composé d’experts indépendants, est chargé d’identifier les risques systémiques associés à l’IA. Il propose également des recommandations sur la catégorisation des modèles d’IA et veille à ce que les stratégies d’application du texte soient conformes aux dernières avancées scientifiques.  

Cette organisation est conçue pour garantir le fait que la régulation de l'IA dans l'UE soit équilibrée, informée par un large éventail de perspectives, et alignée sur la recherche scientifique de pointe, éléments essentiels pour que les entreprises et la société comprennent comment naviguer dans le paysage évolutif de la régulation de l'IA.

Cette organisation est conçue pour garantir le fait que la régulation de l'IA dans l'UE soit équilibrée, informée par un large éventail de perspectives, et alignée sur la recherche scientifique de pointe, éléments essentiels pour que les entreprises et la société comprennent comment naviguer dans le paysage évolutif de la régulation de l'IA.

Au niveau national 

Les États membres de l'UE doivent établir ou identifier les autorités compétentes au niveau étatique, chargées d'appliquer le texte européen sur leur territoire et veiller à ce que tous les systèmes d'IA respectent les normes et réglementations en vigueur. Leurs missions incluent : 

  • la vérification des évaluations de conformité qui doivent être menées correctement et en temps voulu, 
  • la désignation des « organismes notifiés » (auditeurs tiers) autorisés à effectuer les évaluations de conformité tierces lorsque cela est nécessaire, 
  • la coordination au niveau national avec d'autres organismes de supervision (par exemple, dans les secteurs bancaire, assurance, santé et automobile) et au niveau européen avec le « bureau de l'IA ». 

Des sanctions en cas de non-conformité

 

Les systèmes d'IA sont classés selon leur niveau de risque (cf. plus haut). De même, les sanctions maximales prévues par l’AI Act pour les fournisseurs de services d’IA dépendent de la gravité de l'infraction : 

  • le non-respect de l’interdiction des pratiques d’IA est passible d’amendes administratives pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, selon le montant le plus élevé. 
  • pour des infractions mineures, des amendes pouvant aller jusqu’à 15 millions d’euros ou 3 % du chiffres d’affaires annuel mondial total pour l’exercice précédent, selon le montant le plus élevé, sont prévues.  
  • la fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes, peut être sanctionnée par une amende pouvant aller jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial total pour l’exercice précédent, selon le montant le plus élevé. 
  • Enfin, en plus de ces amendes pécuniaires, les autorités de supervision nationales peuvent contraindre les fournisseurs à retirer les systèmes d’IA non conformes du marché. 

 A noter que le texte prévoit des amendes plus modérées pour les PME et les start-ups. 

De leur côté, les partenaires mondiaux sur l’IA (GPAI) peuvent se voir imposer des amendes allant jusqu’à 3 % de leur chiffre d’affaires annuel mondial total pour l’exercice précédent, ou jusqu’à 15 millions d’euros, selon le montant le plus élevé, en cas de violation de l’AI Act.

Le calendrier réglementaire

 

L’EU AI Act a été officiellement publié dans le Journal Officiel du 12 juillet 2024. Il entrera ainsi en vigueur le 2 août. Cependant, son applicabilité est structurée en plusieurs phases, comme indiqué dans l’article 113 du texte :  

2 février 2025 : l'article 5 prendra effet, interdisant certaines pratiques d'IA, y compris mais sans s'y limiter, les techniques subliminales, l'exploitation des vulnérabilités et le scoring social. 

2 août 2025 : à son premier anniversaire, les réglementations sur les modèles d'IA à usage général commenceront. Le Bureau de l'IA de l'UE, déjà établi, supervisera la gouvernance et les procédures réglementaires. Les codes de conformité seront disponibles d'ici au 1e mai 2025. Les sanctions pour non-conformité commenceront également à s'appliquer, bien que les amendes pour les fournisseurs d'IA à usage général seront retardées pour permettre un ajustement. 

2 août 2026 : l'application générale de l’AI Act commencera. 

2 août 2027 : les règles pour les composants de sécurité classés comme systèmes à haut risque soient appliquées. La Commission européenne publiera des lignes directrices pratiques et des exemples de systèmes d'IA à haut risque d'ici au 1e février 2026. 

Fin 2030 : Les périodes de grâce pour les systèmes d'IA existants et les modèles d'IA à usage général expireront. 

Durant cette période transitoire, avant que l’AI Act soit applicable dans son intégralité, la Commission européenne a lancé le Pacte sur l’IA. Ce dernier vise à promouvoir une réglementation mondiale uniforme et encourage les fournisseurs de systèmes d'IA à s'engager volontairement à mettre en œuvre les principales exigences avant les échéances légales de 2026.  

Vous souhaitez en savoir plus sur l’IA Act européen, son scope, ses objectifs, son cadre juridique ou encore son impact sur votre organisation ? Téléchargez notre étude.