L’AI Act – un Règlement européen visant à encadrer l’utilisation de l’intelligence artificielle

Ces derniers temps, l’intelligence artificielle (ou « IA ») fait l’objet d’un débat particulièrement animé. L’utilisation de systèmes d’IA (tels que le célèbre Chat GPT) s’est répandue en peu de temps et ses possibilités semblent infinies. Toutefois, ces systèmes comportent également des risques non négligeables (par exemple en matière d’éthique et de respect de la vie privée).

L’Union européenne a donc décidé de créer un cadre législatif pour l’utilisation des « systèmes IA ». Le 1er août 2024, la loi sur l’intelligence artificielle (nommée ci-après « AI Act ») est officiellement entrée en vigueur. Cette loi sur l’IA est un « Règlement », c’est-à-dire une législation européenne directement applicable dans l’ensemble de l’Union européenne.

Que faut-il entendre par systèmes d’IA ?

L’AI Act utilise une définition très large des systèmes d’IA. Il concerne tous les systèmes qui sont
« basés sur des machines » et qui peuvent donc utiliser les données pour apprendre et s’adapter à de nouvelles informations. Il s’agit d’un très grand nombre de technologies, allant d’algorithmes simples à des modèles d’apprentissage automatique très complexes.

L’AI Act classe les systèmes d’IA en différentes catégories, en fonction de leur niveau de risque :

• Systèmes présentant un « risque inacceptable » : il s’agit de systèmes qui, par exemple, évaluent les personnes sur la base de leur comportement social ou de leurs émotions (ce que l’on appelle « coring social » ). Le législateur européen estime que ces systèmes constituent une violation flagrante des droits fondamentaux des citoyens et a donc décidé de les interdire.
• Systèmes à « risque élevé » : Cette catégorie comprend les systèmes d’IA utilisés dans certains secteurs critiques (infrastructures critiques, éducation, ressources humaines, finances,…). Cette catégorie de systèmes d’IA sont autorisés, mais soumis à des règles strictes.
• Les systèmes « General Purpose AI » (ou « GPAI »). Il s’agit de systèmes d’IA qui sont appliqués dans différents secteurs. En raison de leurs applications générales et de leur nombre, ce type de systèmes d’IA est également réglementé.
• Enfin, il existe des systèmes d’IA à « risques limités ». Cette catégorie comprend les chatbots ou assistants personnels désormais bien connus. Pour utiliser ces systèmes, il doit être clair que l’utilisateur est en train de converser avec une machine.

Cette classification permet de commencer à définir les règles pour chaque type de système d’IA en fonction du risque.

Champ d’application ?

L’ AI Act s’applique :

• Aux fournisseurs de systèmes d’IA au sein de l’UE (que le fournisseur soit lui-même basé dans l’UE ou en dehors).
• Aux utilisateurs de systèmes d’IA au sein de l’UE.

Comme pour le RGPD, le régulateur européen vise les entreprises basées en dehors de l’UE, mais qui souhaitent commercialiser leurs systèmes d’IA sur le marché de l’UE.

Entrée en vigueur ?

L’entrée en vigueur de l’AI Act est progressive. Voici quelques dates clés :

• À partir du 2 février 2025, les systèmes d’IA présentant un risque inacceptable seront interdits dans l’Union européenne.
• À partir du 2 août 2025 (soit 12 mois après l’entrée en vigueur de l’AI Act ), les règles relatives à l’utilisation des systèmes GPAI entreront en vigueur.
• À partir du 2 août 2027 (36 mois après l’entrée en vigueur de l’AI Act), les obligations relatives aux systèmes d’IA « à haut risque » entreront également en vigueur de manière définitive.

L’objectif de l’AI Act est de permettre à la législation d’évoluer en même temps que la technologie. Des mises à jour et des ajustements seront donc nécessaires.

Applicabilité ?

Avec l’AI Act, l’UE espère créer la même norme minimale pour l’utilisation des systèmes d’IA que celle qu’elle a faite précédemment concernant la protection de la vie privée (avec le fameux « RGPD »).

L’intention est donc – comme pour le RGPD – de rendre la législation applicable aux entreprises qui ne se conforment pas aux nouvelles règles. À la suite de ce même RGPD, il y aura un « régulateur de l’IA » dans chaque État membre pour superviser les règles (et éventuellement infliger des amendes). Pour les « systèmes GPAI » à grande échelle, un régulateur européen sera chargé de les contrôler de manière appropriée.

Selon le type d’infraction, les amendes peuvent atteindre un pourcentage du chiffre d’affaires annuel mondial. Ainsi, les amendes pour une violation de la catégorie d’infractions les plus graves, pourront atteindre 35 000 000 euros ou 7 % du chiffre d’affaires annuel mondial.

L’expérience du RGPD montre que de telles amendes sont effectivement infligées et que l’UE prend au sérieux la protection de ses citoyens.

Que signifie cette législation concrètement pour les entrepreneurs ?

Les entrepreneurs devront identifier les systèmes d’IA utilisés (sciemment ou non) au sein de leur entreprise (et la catégorie dans laquelle ces systèmes entreront dans l’application de l’AI Act). Sur la base de cette analyse, il est possible de déterminer quelles règles (internes) doivent être introduites, par exemple sur la manière dont les employés doivent utiliser les systèmes d’IA, et quelles formations sont nécessaires à cet égard. Plus précisément, d’ici février 2025, les entreprises devront prendre des mesures pour que les employés qui utilisent des systèmes d’IA aient un niveau de connaissances adéquat de l’IA.

Nos experts de PKF BOFIDI Legal peuvent bien entendu vous assister et vous guider dans cette démarche. N’hésitez pas à contacter notre équipe à l’adresse info@pkfbofidilegal.com.