Aller au contenu

Qu'est ce que l'AI Act européen ?

Vous intégrez de l’IA dans vos processus, produits ou services ? Dans cet article, découvrez comment vous préparer et vous mettre en conformité avec les exigences du nouveau règlement européen sur l’IA.

L'AI Act européen

C’est LE sujet technopolitique de ces derniers mois.

D’abord en cours de rédaction dès avril 2021 suivi des traditionnelles négociations visant à trouver un équilibre entre droits des citoyens et compétitivité des entreprises, l’AI Act aurait pu voir le jour plus tôt si un événement majeur n’avait pas rebattu les cartes de ce que l’on imaginait possible : la sortie de ChatGPT, fin 2022.

Après une révision profonde, le texte a été réécrit, renégocié et est à présent publié officiellement pour une entrée en vigueur en mai 2024.

La grande difficulté rencontrée par le législateur a été d’encadrer des services et possibilités actuels mais également futurs. Imaginer ce monde de demain est extrêmement complexe vu les évolutions exponentielles dans le domaine de l’IA et de l’informatique en général.

Dans cet article, nous allons nous intéresser aux conséquences de l’AI Act dans nos quotidiens de producteurs de solutions informatiques. En bref, sommes nous concernés et comment ?

Pour cet article, je reçois comme invité Jeoffrey Vigneron; fondateur de Lawgitech, avocat dans le droit des technologies et acteur dans le domaine des “LegalTech” en fournissant des solutions technicojuridiques ("Legal Design", AI) permettant à ses clients de renforcer leur compréhension du Droit et des règles auxquelles ils sont soumis.

Jeoffrey sera l’AI (Avocat Intelligent) de notre article.

Commençons donc par une première question : 

L’AI Act, c’est quoi ?

Sur papier, l’Artificial Intelligence Act (AI Act) est un règlement européen qui vise à encadrer et favoriser le développement et la commercialisation des systèmes d’IA en Union européenne.

La forme choisie n’est pas anodine : le règlement a une portée générale. Il est obligatoire dans tous ses éléments et il est directement applicable dans tous les États membres, dès son entrée en vigueur. Cela signifie qu'il n'a pas besoin d'être transposé dans le droit national des États membres pour être valide.

Encadrer l’IA

L’AI Act a pour objectif de garantir que les IA commercialisées au sein de l’Union européenne soient utilisées de manière éthique, sûre et respectueuse des droits fondamentaux de l’UE. Pour ce faire, l’AI Act suit une approche fondée sur les risques.

Son approche globale est donc d'une part, de déterminer et classifier les systèmes IA en fonction de leur niveau de risque et d'autre part les obligations qui en découlent en fonction de votre rôle et du caractère open source ou non du projet.
En effet, le règlement tente également de reconnaître le rôle particulier de l'IA open-source dans l'innovation et le développement technologique. Toutefois, les exceptions faites pour l'open-source sont limitées et ne s'appliquent que sous certaines conditions.

Quoi qu’il en soit, quatre niveaux de risque ont été définis et sont déterminés en fonction des secteurs dans lesquels les AI sont déployées : 

  1. Risque minime
  2. Risque faible
  3. Haut risque
  4. Risque inacceptable

En fonction de ces niveaux de risque, l’AI Act détermine les obligations à honorer. Cette classification étant croissante, un système IA d’un niveau de risque donné (par exemple “Haut risque”) doit également se soumettre aux obligations des niveaux inférieurs (dans notre exemple, les obligations des niveaux “minime” et “faible”).

Au niveau des rôles, voici les catégories reprises dans le règlement : 

  • Fournisseur;
  • Importateur;
  • Distributeur;
  • Utilisateur.

Favoriser l’IA

Cela peut sembler contre-intuitif au premier abord mais la volonté de l’UE avec l’AI Act est également de favoriser le développement économique des solutions d’IA.
En effet, l’UE offre enfin un cadre légal permettant aux acteurs économiques de connaître les règles concernant le développement et la commercialisation de solutions intégrant de l’IA.

Auparavant, l’absence d’une législation et l’incertitude des positionnements politiques imminents étaient des éléments bloquants lors des phases d’établissement de stratégies commerciales (les lettres P et L de la méthode d’analyse stratégique PESTEL). 

Mais dis moi Jeoffrey, en quoi cet AI Act est-il particulièrement marquant ?

L’AI Act est considéré comme révolutionnaire pour différentes raisons :

Il s’agit de la première réglementation contraignante au monde qui établit un cadre commun pour l’utilisation et la fourniture de systèmes d’intelligence artificielle au sein de l’Union européenne et couvre une variété d’applications d’IA, des dispositifs médicaux aux véhicules autonomes, en passant par les filtres de spam.

Ensuite, l’AI Act se veut être le protecteur des droits fondamentaux des citoyens tout en favorisant l’innovation, la transparence et la sécurité des AI.

Toutefois, le règlement n’est pas exempt de critiques, certains estiment que la portée de définitions (comme celle de l’IA à haut risque) est trop large et vont entraîner une application excessive de règles qui, en cascade, vont rendre la mise en conformité difficile pour voir impossible les petites entreprises et les start-up.

Cela aurait alors les conséquences inverses que celles recherchées par le législateur européen tout en permettant alors à d’autres régions du monde d’offrir un avantage concurrentiel aux entreprises non européennes.

L’Europe tente donc manifestement de réguler un secteur dans lequel ses entreprises sont en retard par rapport à la concurrence US et Chinoise, la principale concernée par la régulation, tout en tentant de maintenir un écosystème favorable à l’éclosion d’initiatives européennes qu’elle souhaite nombreuses pour rester dans la course… 

L'Union Européenne entend ainsi créé un standard pour le monde

Qui est concerné ? À qui s'applique t-il ?

Tout d’abord, il convient de déterminer ce que l’Union Européenne détermine comme étant une AI.

Un “système d’IA” est un système automatisé conçu pour fonctionner à différents niveaux d’autonomie et pouvant présenter une capacité d’adaptation après leur déploiement et qui, pour des objectifs explicites ou implicites, déduisent de la contribution reçue la manière de générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

Tout comme le RGPD qui est la précédente grande législation européenne avec un impact majeur sur le monde de l’IT, l’AI Act a une application extraterritoriale. Cela signifie que le règlement s’applique à toute personne morale dont un système IA est commercialisé sur le territoire de l’UE … que le siège social de cette personne morale soit dans l’UE ou non.

L’élément liant à l’Union Européenne est donc le consommateur/bénéficiaire/utilisateur !
Notons cependant que les activités de recherche sans objectif commercial, ne sont pas concernées.

Plus précisément, sont soumis à l’AI Act les personnes appartenant aux 4 catégories citées précédemment : 

  • Fournisseur : C'est une personne ou une organisation qui crée ou fait créer des systèmes d'intelligence artificielle (IA) pour les vendre ou les utiliser, que ce soit gratuitement ou en demandant un paiement.
  • Importateur : Une personne ou une entreprise dans l'UE qui vend ou utilise un système d'IA provenant de l'extérieur de l'UE sous une marque spécifique.
  • Distributeur : Une personne ou une entreprise qui fait partie du processus de vente mais qui n'est ni le créateur ni l'importateur du système d'IA. Elle vend le système dans l'UE sans changer ce qu'il est ou ce qu'il fait.
  • Utilisateur : Quelqu'un ou une organisation qui utilise un système d'IA selon ses propres règles, sauf s'il est utilisé juste pour des choses personnelles et non professionnelles.

Comment déterminer le niveau de risque d’un système IA ?

L’actuel règlement européen ayant pour but d’être suffisamment générique (voire flou) pour pouvoir s’appliquer aux différentes évolutions futures dans le domaine de l’IA, il n’existe pas d’algorithme permettant de classifier de manière certaine un système IA dans l’une ou l’autre catégorie.
Voici cependant quelques lignes directrices permettant d’avoir une première évaluation de la classification d’un système IA.

Risque minime

Règle : Aucun risque identifié envers les droits fondamentaux des citoyens de l’UE.

Exemple : Système de recommandation sur un site d’achat en ligne, IA guidant le comportement d’un personnage secondaire dans un jeu vidéo.

Risque faible

Règle : Peuvent interagir et donc influencer des décisions de citoyens de l’UE sans risquer une mise en danger ou une violation d’un droit fondamental.

Exemple : Chatbots ou potentiellement des filtres antispam .

Haut risque

Règle : Il n’existe pas de règle simple.
La majeure partie du règlement concerne les systèmes d’IA à haut risque, qui sont réglementés de manière stricte. Les critères permettant de qualifier un système IA comme "à haut risque" sont donné dans deux annexes (II et III) à l’AI Act.
Globalement, on peut (pour notre article) tenter une première approche naïve en définissant les IA à haut risque comme étant celles qui ne sont ni minimes, ni faibles ni inacceptables.

Exemple : L'administration de la justice, la détermination d’un diagnostic médical, la gestion des infrastructures critiques étatiques, l’identification biométrique, etc.

Notons cependant que les IA à usage général (comme le sont Gemini, GPT, Mistral, etc.) sont, par défaut, classées dans la catégorie “à haut risque”.

Risque inacceptable

Règle : Ces systèmes contreviennent aux valeurs de l'UE et portent atteinte aux droits fondamentaux.

Exemple : 

  • Utilisation de techniques de manipulation pour fausser une prise de décision et causer un préjudice important.
  • Utilisation des données liées à l'âge, au handicap ou à la situation socio-économique pour influer le comportement (système IA générant des scénarios de vente ou de démarchage téléphonique)
  • Des systèmes de notation sociale (oui, exactement comme dans Black Mirror)
  • Des systèmes d’évaluation de risque de délits sur base de traits de personnalités (oui, comme dans Minority Report)
  • Des systèmes de reconnaissances sur base d’images de vidéosurveillance
  • etc.

En pratique, il est cependant ardu de déterminer catégoriser précisément une IA sans une analyse méticuleuse de son champ d’application et de son fonctionnement concret.

Par exemple, le filtre anti-spam d’un niveau de risque faible pourrait basculer comme étant à haut risque. En effet, le filtrage d’une information au dépend d’une autre peut prendre une autre dimension dans un contexte de campagne électorale.

De même, si vous avez bridé un LLM pour mettre à disposition un chatbot qui ne peut répondre qu’aux demandes concernant les sujets “entrées”, “plats”, “desserts” et “boissons”, on peut s’imaginer que le risque est minime.
Mais si, à un prompt demandant une recette de cocktail pour ambiancer la soirée, votre chatbot fournit sans hésiter la recette du cocktail molotov, votre niveau de risque sera en réalité au niveau maximal !

Une première difficulté va être d'évaluer précisément le niveau de risque de votre IA. ©Freepik

Quel impact sur mon travail au quotidien ? Quelles sont les obligations ?

Comme décrit précédemment, les systèmes AI sont définis selon 4 niveaux de risques.
Au sein d’un niveau de risque, les obligations qui incombent à une personne diffèrent en fonction du rôle que joue cette dernière par rapport au système IA : Fournisseur, importateur, distributeur ou utilisateur ainsi que de la nature open source ou non du projet.
L'idée est la suivante : si chacun de ces acteurs liés à un système IA respecte ses obligations, cela crée une chaîne de confiance associée à ce système.

Il ne serait pas possible au sein de cet article de lister l’ensemble des obligations par niveau et par rôle.
Cependant, de manière globale, on retient que les obligations sont actuellement majoritairement liées au fournisseur (développeur) du système.

Nous citons de manière non exhaustives les obligations suivantes par niveau de risque : 

Risque minime

Ces IA n’offrant aucun risque envers les droits fondamentaux des citoyens de l’UE, il n’y a actuellement aucune obligation.

Risque faible

Les systèmes d'IA à risque limité sont soumis à l’obligation de transparence suivante : les développeurs et les distributeur doivent s'assurer que les utilisateurs finaux sont conscients qu'ils interagissent avec un système IA tel qu’un chatbots ou qu’ils consultent un contenu généré par IA (problématique des deepfakes).

Haut risque

Classiquement, ces systèmes d’IA traitent des données à caractères personnelles. Il est donc essentiel de s’assurer que ces données ne peuvent être utilisées au dépend des utilisateurs finaux.

Similairement aux systèmes informatiques à destination des domaines médicaux ou militaires, les systèmes IA classifiés “à haut risque” sont soumis à des exigences plus strictes et doivent s’équiper d’un système de gestion de la qualité et de traçabilité.

On note parmi les obligations : 

  • Une gouvernance active des données. Les datasets de formation, de validation et de test doivent être pertinents, représentatifs et, autant que possible, exempts d'erreurs;
  • Établir une documentation technique pour démontrer la conformité et fournir aux autorités les informations nécessaires à l'évaluation de cette conformité;
  • Fournir des instructions d'utilisation aux utilisateurs en aval pour leur permettre de se conformer à la réglementation;
  • Permettre aux distributeurs de nos systèmes IA de mettre en place une surveillance humaine;
  • Mettre en place un système de gestion de la qualité pour garantir la conformité du système tout au long de son évolution.

De manière générale, des mesures de transparence, de traçabilité et de responsabilité sont imposées pour garantir la sécurité et la protection des droits fondamentaux.

Risque inacceptable

Ces systèmes sont considérés comme trop dangereux et sont simplement interdits (à quelques exceptions près tels que le domaine militaire).

Quelles sont les sanctions ?

Les sanctions sont particulièrement sévères puisqu’elles vont de 7,5 millions d’euros à 35 millions d’euros ou de 1% du CA annuel mondial à 7% du CA mondial. Le montant le plus élevé étant retenu.

Mais dis moi Jeoffrey*, vers qui devront se tourner les acteurs de l’IA pour se mettre en conformité avec l’AI Act ? 

L'AI Act ne crée pas de nouvelle fonction spécifique à l’instar du DPO pour le RGPD.
Cependant, en réglementant l'utilisation de l'intelligence artificielle et en établissant des règles harmonisées, les entreprises et les organisations qui opèrent et développent des produits et services basés sur l'IA, pourraient souhaiter la création de postes ou de services liés à la vérification de la conformité de l'IA et de son maintien dans l'écosystème européen. 

Au niveau juridique, il est fortement conseillé de dresser un audit des solutions utilisées ou développées par son entreprise et de revoir le cadre contractuel qui y est associé, notamment au regard des questions liées à la responsabilité, aux données et au droit d’auteur.

De nouveaux services émergent déjà car l’idéal est de pouvoir cumuler une expertise juridique et technique afin de s’assurer de la conformité à la législation.

Quel sera l’organe référent/de contrôle ?

Chaque État membre doit établir ou désigner au moins une autorité de notification et au moins une autorité de surveillance du marché aux fins du règlement.
Ces autorités nationales compétentes doivent exercer leurs pouvoirs de manière indépendante, impartiale et sans parti pris afin de sauvegarder l'objectivité de leurs activités et tâches, et garantir l'application et la mise en œuvre du règlement.

Ces autorités n’ont pas encore été créées ou désignées ni en Belgique, ni au Luxembourg, ni en France.

Conclusion

Avec l’AI Act, première réglementation contraignante au monde relative à l’IA, l’Union Européenne prend un leadership sur l’encadrement de l’IA afin de permettre un développement économique légalement stable garantissant le respect des droits des citoyens européens.

De par son application extraterritoriale, nous sommes tous, en tant qu’acteurs et producteurs de l’informatique d’aujourd’hui et de demain, concernés au premier plan.

L'AI Act se cumulant à présent à d'autres réglementations internationales (RGPD, NIS, DGA, etc.), il est donc nécessaire de nous préparer dès aujourd’hui à la mise en conformité (dès les développements et déploiements) des services technologiques qui continuent à révolutionner quotidiennement le monde dans lequel nous vivons.

À présent, vous êtes prêt à être alerte aux obligations de l'AI Act au sein de vos projets.©Freepik

Un grand merci à Jeoffrey Vigneron pour son apport et son éclairage juridique précieux.

Dernier