Le Règlement européen sur l’intelligence artificielle (ci-après, également, « AI Act » ou « RIA »), adopté et validé par le Conseil de l’Union européenne le 21 mai 2024, a été publié au Journal Officiel de l’UE le 12 juillet 2024[1]. Ce dernier vise à garantir, au sein de l’Union européenne, l’utilisation des systèmes et modèles d’intelligence artificielle commercialisés de manière éthique, sûre et respectueuse des droits fondamentaux.
Tout en assurant le respect des valeurs de l’Union consacrées dans la Charte des droits fondamentaux de l’Union européenne ainsi qu’en facilitant la protection des personnes physiques, des entreprises, de la démocratie, de l’état de droit et de l’environnement, le RIA a pour objectif affiché de stimuler l’innovation et l’emploi pour faire de l’Union européenne un acteur de premier plan dans l’adoption d’une IA digne de confiance.
Une approche par les risques
Le champ d’application de l’AI Act
L’AI Act s’applique aux systèmes d’IA, c’est-à-dire aux systèmes automatisés conçus pour fonctionner à différents niveaux d’autonomie et capables de s’adapter après leur déploiement. Ces systèmes, qu’ils aient des objectifs explicites ou implicites, déduisent à partir des entrées reçues la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer les environnements physiques ou virtuels (article 3, 1) du règlement).
Selon le niveau de risque du système d’IA, les fournisseurs, les importateurs et les utilisateurs professionnels, autrement dit les « déployeurs », seront astreints à des obligations diverses.
Les niveaux de risque des systèmes d’IA
Le Règlement sur l’Intelligence Artificielle définit quatre niveaux de risque des sytèmes d’IA :
- Les systèmes d’IA à risque inacceptable qui sont interdits tels que l’utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, sauf cas très précis ;
- Les systèmes d’IA à haut risque, soumis à des exigences renforcées tels que ceux présentant des risques pour la santé, la sécurité et les droits fondamentaux des personnes ;
- Les systèmes d’IA présentant un risque faible, soumis principalement à des obligations de transparence tels que les chatbots ou encore les deepfakes ;
- Les systèmes d’IA à risques minimal, qui représentent la majorité des systèmes d’IA et qui ne sont soumis à aucune obligation spécifique.
Les modèles d’IA à usage général sont également soumis à des réglementations. Les fournisseurs et les utilisateurs professionnels (« déployeurs ») doivent respecter plusieurs obligations, notamment en matière de transparence, de respect des droits d’auteur, et ils sont tenus de publier un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle.
Les systèmes d’IA présentant un risque élevé et les modèles d’IA à usage général doivent désormais être conformes aux exigences de l’AI Act. En cas de non-respect, les fournisseurs (mais également, dans une moindre mesure, les déployeurs) risquent de lourdes sanctions : financières (jusqu’à 7 % du chiffre d’affaires mondial de l’entreprise), mais aussi le retrait de systèmes d’IA du marché européen.
L’AI Act, bien qu’établissant des règles strictes et des mécanismes de surveillance, est conçu pour encourager l’innovation grâce à une sécurité juridique renforcée et des environnements d’expérimentation contrôlés. L’objectif est de garantir une IA sûre et éthique, tout en stimulant le développement technologique.
La mise en œuvre et l’application progressive du règlement sur l’IA
Le présent règlement entre en vigueur le vingtième jour suivant celui de sa publication au Journal officiel de l’Union européenne soit, à partir du 1er aout 2024. De manière progressive, le règlement sera dans l’ensemble applicable à partir du 2 août 2026 (article 113 du règlement). Il existe néanmoins certaines exceptions.
1ère étape : 2 février 2025 (6 mois après l’entrée en vigueur)
Entrée en vigueur de :
- toutes les interdictions relatives aux systèmes d’IA présentant des risques inacceptables afin de prévenir tout dommage potentiel,
- l’obligation de former les employés qui utilisent l’IA ou qui en assurent la maintenance, à la charge de tous les acteurs concernés.
Cette application arrive rapidement après la publication du règlement pour assurer la sécurité et la protection des droits fondamentaux.
2ème étape : 2 août 2025 (12 mois après l’entrée en vigueur)
Les règles pour les modèles d’IA à usage général et la nomination des autorités compétentes au niveau des États membres entreront en application.
3ème étape : 2 août 2026 (24 mois après l’entrée en vigueur)
S’appliqueront à compter de cette date :
- toutes les dispositions du règlement sur l’IA, en particulier l’application des règles relatives aux systèmes d’IA à haut risque de l’annexe III (systèmes d’IA dans les domaines de la biométrie, des infrastructures critiques, de l’éducation, de l’emploi, de l’accès aux services publics essentiels, de l’application de la loi, de l’immigration et de l’administration de la justice),
- la mise en œuvre par les autorités des États membres d’au moins un bac à sable réglementaire.
4ème étape : 2 août 2027 (36 mois après l’entrée en vigueur)
Cette dernière étape concernera l’application des règles relatives aux systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.).
Fin 2030, enfin, les périodes de grâce pour les systèmes d’IA existants et les modèles d’IA à usage général expireront.
Préparer sa mise en conformité
Pour se conformer au règlement sur l’IA adopté le 12 juillet 2024, les fournisseurs de systèmes d’IA doivent commencer à identifier les risques de leurs technologies et s’assurer que celles-ci respectent les droits fondamentaux de l’UE. Ils doivent fournir une documentation transparente sur le fonctionnement de leurs systèmes et maintenir des standards élevés de qualité et de fiabilité. La surveillance continue et les audits réguliers par des tiers indépendants sont essentiels pour détecter et corriger les dérives.
Les utilisateurs professionnels, ou « déployeurs », doivent, dès à présent, identifier et classer leurs principaux cas d’usage, tout en anticipant leur mise en conformité avec l’AI Act.
En suivant des principes éthiques, en formant le personnel et en collaborant avec les autorités, les entreprises peuvent promouvoir une IA sûre, éthique et innovante, tout en bénéficiant de la sécurité juridique offerte par la réglementation.
Pour en savoir plus sur cette problématique, contactez nos avocats spécialisés en intelligence artificielle.
[1] https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=CELEX:32024R1689