L’AI Act : le cadre juridique pour l’in­tel­li­gence ar­ti­fi­cielle dans l’UE

L’Union eu­ro­péenne a adopté en 2024 le règlement européen sur l’in­tel­li­gence ar­ti­fi­cielle (ou AI Act) avec l’objectif d’établir un cadre juridique unifié pour le dé­ve­lop­pe­ment et l’uti­li­sa­tion des systèmes d’IA. Cette première ré­gu­la­tion mondiale complète vise à pro­mou­voir les op­por­tu­ni­tés offertes par cette tech­no­lo­gie tout en mi­ni­mi­sant ses dangers po­ten­tiels.

Pourquoi la ré­gle­men­ta­tion a-t-elle été in­tro­duite ?

L’AI Act a été introduit pour établir un cadre juridique clair et unifié pour l’uti­li­sa­tion de l’in­tel­li­gence ar­ti­fi­cielle en Europe. La Com­mis­sion eu­ro­péenne a présenté le premier projet en avril 2021. Après de longues né­go­cia­tions, la version finale a été adoptée en janvier 2024. Ce règlement est motivé par les progrès tech­no­lo­giques rapides dans le domaine de l’IA, qui apportent autant d’op­por­tu­ni­tés que de risques. Les défis sociétaux et éthiques, comme la dis­cri­mi­na­tion due à des al­go­rithmes biaisés, le manque de trans­pa­rence dans les décisions au­to­ma­ti­sées ou l’uti­li­sa­tion abusive de l’IA pour la sur­veil­lance de masse, né­ces­si­taient urgemment une ré­gu­la­tion légale.

L’objectif de l’AI Act est de pro­mou­voir l’in­no­va­tion sans com­pro­mettre les valeurs eu­ro­péennes fon­da­men­tales telles que la pro­tec­tion des données, la sécurité et les droits de l’Homme. L’UE adopte une approche basée sur le risque, où les ap­pli­ca­tions d’IA par­ti­cu­liè­re­ment dan­ge­reuses sont stric­te­ment ré­gle­men­tées ou même in­ter­dites. En même temps, la ré­gle­men­ta­tion vise à renforcer les en­tre­prises eu­ro­péennes dans la con­cur­rence mondiale en assurant confiance et sécurité juridique.

Clas­si­fi­ca­tion des systèmes d’IA selon les ca­té­go­ries de risque

La ré­gle­men­ta­tion adopte une approche basée sur le risque et divise ainsi dif­fé­rents systèmes d’IA en quatre ca­té­go­ries :

1. Risque inac­cep­table : cette catégorie inclut tous les systèmes d’IA con­si­dé­rés comme une menace pour la sécurité, les moyens de sub­sis­tance ou les droits des individus. Ceux-ci sont interdits. On retrouve dans cette catégorie les systèmes de notation sociale, c’est-à-dire l’éva­lua­tion du com­por­te­ment ou de la per­son­na­lité des personnes par les autorités étatiques, ou les systèmes d’IA utilisés pour la re­con­nais­sance faciale dans l’espace public sans con­sen­te­ment.
2. Risque élevé : ces systèmes sont autorisés, mais soumis à des exigences strictes et en­traî­nent des obli­ga­tions étendues pour les four­nis­seurs et opé­ra­teurs des systèmes. Cette catégorie inclut par exemple les systèmes d’IA dans les in­fras­truc­tures critiques, comme dans les trans­ports pour garantir la sécurité. De même, l’IA dans la gestion du personnel, qui influence les décisions d’embauche ou de li­cen­cie­ment, est soumise à des exigences par­ti­cu­lières.
3. Risque limité/risque de trans­pa­rence : la troisième catégorie de risque comprend les systèmes d’IA avec des exigences de trans­pa­rence spé­ci­fiques, destinés à l’in­te­rac­tion directe avec les uti­li­sa­teurs. Ces derniers doivent être informés de l’in­te­rac­tion avec ces systèmes. La plupart des IA gé­né­ra­tives tombent dans cette catégorie.
4. Risque minimal : la majorité des systèmes d’IA ap­par­tien­nent à la quatrième catégorie et ne sont soumis à aucune exigence spé­ci­fique par l’AI Act, comme les filtres anti-spam ou les per­son­nages contrôlés par IA dans les jeux vidéo.

Exigences et obli­ga­tions pour les dé­ve­lop­peurs et four­nis­seurs

Pour les dé­ve­lop­peurs et four­nis­seurs de systèmes d’IA, en par­ti­cu­lier ceux à haut risque, le règlement européen sur l’IA établit une série d’exigences visant à garantir l’uti­li­sa­tion res­pon­sable de ces tech­no­lo­gies. Ces exigences con­cer­nent divers aspects : trans­pa­rence, sécurité, précision ou encore qualité des données sous-jacentes ; elles visent à assurer la sécurité et la fiabilité des tech­no­lo­gies d’IA sans nuire à l’in­no­va­tion.

Gestion des risques

Les en­tre­prises doivent mettre en place un système de gestion des risques continu qui identifie, évalue et minimise les dangers po­ten­tiels. Cela inclut la révision régulière des impacts du système d’IA sur les individus ainsi que sur la société dans son ensemble. L’accent est par­ti­cu­liè­re­ment mis sur les dis­cri­mi­na­tions, les biais non in­ten­tion­nels dans la prise de décision et les risques pour la sécurité publique.

Qualité des données et évitement des biais

Les données d’en­traî­ne­ment utilisées pour le dé­ve­lop­pe­ment d’un système d’IA doivent respecter des normes de qualité élevées. Cela signifie qu’elles doivent être re­pré­sen­ta­tives, exemptes d’erreurs et suf­fi­sam­ment di­ver­si­fiées pour éviter la dis­cri­mi­na­tion et les biais. Les en­tre­prises sont tenues d’établir des mé­ca­nismes de vé­ri­fi­ca­tion et de cor­rec­tion des biais, notamment lorsque l’in­tel­li­gence ar­ti­fi­cielle est utilisée dans des domaines sensibles tels que les décisions de res­sources humaines ou l’ap­pli­ca­tion de la loi.

Do­cu­men­ta­tion et en­re­gis­tre­ments

Les dé­ve­lop­peurs doivent créer et maintenir une do­cu­men­ta­tion technique complète de leurs systèmes d’IA. Cette do­cu­men­ta­tion doivent non seulement décrire la structure et le fonc­tion­ne­ment du système, mais aussi rendre com­pré­hen­sibles les processus dé­ci­sion­nels de l’in­tel­li­gence ar­ti­fi­cielle. De plus, les en­tre­prises doivent tenir des en­re­gis­tre­ments du fonc­tion­ne­ment de leurs systèmes d’IA pour permettre une analyse ul­té­rieure et, si né­ces­saire, une cor­rec­tion des erreurs.

Trans­pa­rence et in­for­ma­tion des uti­li­sa­teurs

Le règlement exige que les uti­li­sa­teurs soient clai­re­ment informés lorsqu’ils in­te­ra­gis­sent avec une IA. Par exemple, les chatbots ou les as­sis­tants virtuels doivent préciser qu’ils ne sont pas des in­ter­lo­cu­teurs humains. Dans les cas où des systèmes d’IA prennent des décisions ayant un impact important sur les individus (par exemple, des demandes de crédit ou des pro­cé­dures de can­di­da­ture), les personnes con­cer­nées ont le droit à une ex­pli­ca­tion sur la manière dont la décision a été prise.

Su­per­vi­sion humaine et pos­si­bi­li­tés d’in­ter­ven­tion

Les systèmes d’IA à haut risque ne doivent pas fonc­tion­ner de manière to­ta­le­ment autonome. Les en­tre­prises doivent s’assurer que des éléments de contrôle humain sont intégrés, per­met­tant aux personnes d’in­ter­ve­nir et de faire des cor­rec­tions si le système se comporte de manière in­cor­recte ou inat­ten­due. Cela est par­ti­cu­liè­re­ment important dans des domaines comme le diag­nos­tic médical ou la mobilité autonome, où les mauvaises décisions peuvent avoir des con­sé­quences graves.

Précision, ro­bus­tesse et cy­ber­sé­cu­rité

Le règlement européen sur l’IA exige que les systèmes d’IA soient fiables et robustes pour minimiser les erreurs de décision et les risques de sécurité. Les dé­ve­lop­peurs doivent prouver que leurs systèmes fonc­tion­nent de manière stable dans diverses con­di­tions et ne sont pas fa­ci­le­ment affectés par des attaques ou des ma­ni­pu­la­tions externes. Cela inclut des mesures de cy­ber­sé­cu­rité, comme la pro­tec­tion contre les fuites de données ou la ma­ni­pu­la­tion non autorisée des al­go­rithmes.

Éva­lua­tion de con­for­mité et cer­ti­fi­ca­tion

Avant qu’un système d’IA à haut risque ne soit mis sur le marché, il doit subir une éva­lua­tion de con­for­mité pour vérifier qu’il répond à toutes les exigences ré­gle­men­taires. Dans certains cas, un audit externe par un organisme désigné est né­ces­saire. Le règlement prévoit également une sur­veil­lance continue et une réé­va­lua­tion régulière des systèmes afin de garantir qu’ils con­ti­nuent de respecter les normes.

Impacts et défis pour les en­tre­prises

L’AI Act établit un cadre juridique clair pour les en­tre­prises, visant à pro­mou­voir l’in­no­va­tion et la confiance dans les tech­no­lo­gies de l’IA, mais entraîne également un ac­crois­se­ment des efforts en matière de con­for­mité, d’adap­ta­tions tech­niques et de stra­té­gies de marché. Les en­tre­prises qui dé­ve­lop­pent ou utilisent des tech­no­lo­gies d’IA doivent prendre au sérieux ces nouvelles exigences, pour éviter les risques ju­ri­diques et rester com­pé­ti­tives à long terme.

Coûts plus élevés et démarches bu­reau­cra­tiques

L’un des plus grands défis pour les en­tre­prises réside dans les coûts sup­plé­men­taires engendrés par le respect des nouvelles ré­gle­men­ta­tions. En par­ti­cu­lier, les four­nis­seurs et uti­li­sa­teurs de systèmes d’IA à haut risque doivent mettre en œuvre des mesures im­por­tantes qui né­ces­si­tent des in­ves­tis­se­ments dans de nouvelles tech­no­lo­gies, du personnel qualifié et éven­tuel­le­ment des con­seil­lers ou or­ga­nismes d’audit externes. Les petites et moyennes en­tre­prises (PME) pour­raient avoir du mal à mobiliser les res­sources fi­nan­cières et humaines né­ces­saires pour respecter toutes les exigences ré­gle­men­taires.

Les en­tre­prises qui ne se con­for­ment pas aux ré­gle­men­ta­tions risquent de lourdes amendes, comme c’est déjà le cas pour le Règlement général sur la pro­tec­tion des données (RGPD).

Promotion de l’in­no­va­tion

Malgré les ré­gle­men­ta­tions sup­plé­men­taires, le règlement peut con­tri­buer à long terme à renforcer la confiance dans les systèmes d’IA et à pro­mou­voir l’in­no­va­tion. Les en­tre­prises qui s’adaptent ra­pi­de­ment aux nouvelles exigences et dé­ve­lop­pent des solutions d’IA trans­pa­rentes, sûres et éthiques peuvent acquérir un avantage con­cur­ren­tiel.

L’in­tro­duc­tion de règles claires crée un cadre juridique unifié au sein de l’UE, réduisant les in­cer­ti­tudes dans le dé­ve­lop­pe­ment et l’uti­li­sa­tion de l’IA. Les en­tre­prises peuvent com­mer­cia­li­ser leurs tech­no­lo­gies plus fa­ci­le­ment au sein de l’UE, sans avoir à faire face à des ré­gle­men­ta­tions na­tio­nales dif­fé­rentes. L’AI Act est également l’un des premiers de ce type au monde et établit des normes élevées. Les en­tre­prises qui s’y con­for­ment peuvent se po­si­tion­ner comme des four­nis­seurs de confiance sur le marché, se donnant ainsi un avantage par rapport aux con­cur­rents soumis à des ré­gle­men­ta­tions moins strictes.

Effet ex­tra­ter­ri­to­rial et impacts sur les en­tre­prises in­ter­na­tio­nales

L’AI Act concerne les en­tre­prises basées dans l’UE, mais aussi les sociétés in­ter­na­tio­nales qui proposent des systèmes d’IA dans l’Union eu­ro­péenne ou utilisent des données col­lec­tées là-bas pour des ap­pli­ca­tions d’IA. Ainsi, une en­tre­prise amé­ri­caine proposant dans l’UE un logiciel de re­cru­te­ment basé sur l’IA devra se conformer aux ré­gle­men­ta­tions eu­ro­péennes.

Cet effet ex­tra­ter­ri­to­rial oblige de nom­breuses en­tre­prises en dehors de l’UE à adapter leurs produits et services aux nouvelles normes si elles sou­hai­tent servir le marché européen. Bien que cela puisse conduire à une approche mondiale plus uniforme des ré­gle­men­ta­tions sur l’IA, cela pourrait également cons­ti­tuer un obstacle pour les en­tre­prises non eu­ro­péennes sou­hai­tant entrer sur le marché de l’UE.

Cependant, il y a aussi des craintes que les en­tre­prises eu­ro­péennes puissent être dé­sa­van­ta­gées sur le plan in­ter­na­tio­nal. Alors qu’aux États-Unis et en Chine, les in­no­va­tions dans le domaine de l’in­tel­li­gence ar­ti­fi­cielle pro­gres­sent souvent avec peu de res­tric­tions, les ré­gle­men­ta­tions strictes de l’UE pour­raient ralentir le dé­ve­lop­pe­ment et la mise en œuvre de nouvelles tech­no­lo­gies par les en­tre­prises eu­ro­péennes. Cela pourrait re­pré­sen­ter un défi par­ti­cu­lier pour les startups et les PME lorsqu’elles doivent rivaliser avec des géants tech­no­lo­giques disposant de res­sources beaucoup plus im­por­tantes.