Législation sur l’IA

La législation sur l’IA [règlement(UE) 2024/1689 établissant des règles harmonisées en matièred’intelligence artificielle] fournit aux développeurs et aux déployeurs d’IA des exigences et des obligations claires en ce qui concerne les utilisations spécifiques de l’IA. Dans le même temps, le règlement vise à réduire les charges administratives et financières pesant sur les entreprises, en particulier les petites et moyennes entreprises (PME).

La législation sur l’IA fait partie d’un ensemble plus large de mesures visant à soutenir le développement d’une IA digne de confiance, qui comprend également letrain demesuressur l’innovation dans le domaine de l’IA et leplan coordonné en matière d’IA. Ensemble, ces mesures garantissent la sécurité et les droits fondamentaux des personnes et des entreprises en matière d’IA. Elles renforcent également l’adoption, l’investissement et l’innovation dans l’IA dans l’ensemble de l’UE.

La législation sur l’IA est le tout premier cadre juridique complet sur l’IA dans le monde. L’objectif des nouvelles règles est de favoriser une IA digne de confiance en Europe et au-delà, en veillant à ce que les systèmes d’IA respectent les droits fondamentaux, la sécurité et les principes éthiques et en s’attaquant aux risques liés aux modèles d’IA très puissants et percutants.

Pourquoi avons-nous besoin de règles sur l’IA?

La législation sur l’IA garantit que les Européens peuvent faire confiance à ce que l’IA a à offrir. Alors que la plupart des systèmes d’IA présentent un risque limité voire nul et peuvent contribuer à résoudre de nombreux défis sociétaux, certains systèmes d’IA créent des risques auxquels nous devons faire face pour éviter des résultats indésirables.

Par exemple, il est souvent impossible de savoir pourquoi un système d'IA a pris une décision ou une prédiction et a pris une mesure particulière. Il peut donc devenir difficile d'évaluer si une personne a été injustement désavantagée, par exemple dans une décision d'embauche ou dans une demande de régime d'utilité publique.

Bien que la législation existante offre une certaine protection, elle est insuffisante pour relever les défis spécifiques que les systèmes d’IA peuvent poser.

Les nouvelles règles:

• traiter les risques spécifiquement créés par les applications d’IA
• interdire les pratiques d’IA qui présentent des risques inacceptables
• établir une liste des demandes à haut risque;
• fixer des exigences claires pour les systèmes d’IA destinés aux applications à haut risque
• définir des obligations spécifiques pour les déployeurs et les fournisseurs d’applications d’IA à haut risque
• exiger une évaluation de la conformité avant la mise en service ou la mise sur le marché d’un système d’IA donné
• mettre en place des mesures d’exécution après la mise sur le marché d’un système d’IA donné
• mettre en place une structure de gouvernance aux niveaux européen et national

Une approche fondée sur les risques

Le cadre réglementaire définit quatre niveaux de risque pour les systèmes d’IA:

Tous les systèmes d'IA considérés comme une menace claire pour la sécurité, les moyens de subsistance et les droits des personnes sont interdits, de la notation sociale par les gouvernements aux jouets utilisant une assistance vocale qui encourage les comportements dangereux.

Risque élevé

Les systèmes d’IA identifiés comme étant à haut risque comprennent la technologie d’IA utilisée dans:

• les infrastructures critiques (par exemple, les transports), qui pourraient mettre en danger la vie et la santé des citoyens;
• la formation scolaire ou professionnelle, qui peut déterminer l’accès à l’éducation et au parcours professionnel d’une personne (par exemple, la notation des examens);
• composants de sécurité des produits (par exemple, application de l’IA en chirurgie assistée par robot)
• l’emploi, la gestion des travailleurs et l’accès au travail indépendant (par exemple, logiciel de tri des CV pour les procédures de recrutement)
• services publics et privés essentiels (par exemple, notation de crédit empêchant les citoyens d’obtenir un prêt)
• les services répressifs susceptibles d’interférer avec les droits fondamentaux des personnes (par exemple, l’évaluation de la fiabilité des éléments de preuve);
• la gestion des migrations, de l’asile et des contrôles aux frontières (par exemple, l’examen automatisé des demandes de visa);
• administration de la justice et processus démocratiques (par exemple, solutions d’IA pour rechercher des décisions de justice)

Les systèmes d’IA à haut risque sont soumis à des obligations strictes avant de pouvoir être mis sur le marché:

• des systèmes adéquats d'évaluation et d'atténuation des risques;
• qualité élevée des ensembles de données alimentant le système afin de réduire au minimum les risques et les résultats discriminatoires
• journalisation de l'activité pour assurer la traçabilité des résultats
• une documentation détaillée fournissant toutes les informations nécessaires sur le système et sa finalité pour permettre aux autorités d’évaluer sa conformité;
• information claire et adéquate du déployeur
• des mesures de surveillance humaine appropriées pour réduire au minimum les risques;
• haut niveau de robustesse, de sécurité et de précision

Tous les systèmes d'identification biométrique à distance sont considérés comme à haut risque et soumis à des exigences strictes. L’utilisation de l’identification biométrique à distance dans des espaces accessibles au public à des fins répressives est, en principe, interdite.

Des exceptions limitées sont strictement définies et réglementées, par exemple lorsque cela est nécessaire pour rechercher un enfant disparu, pour prévenir une menace terroriste spécifique et imminente ou pour détecter, localiser, identifier ou poursuivre un auteur ou un suspect d’une infraction pénale grave.

Ces utilisations sont soumises à l’autorisation d’un organe judiciaire ou d’un autre organe indépendant et à des limites appropriées en termes de durée, de portée géographique et de bases de données consultées.

Risque limité

Le risque limité rrenvoie aux risques associés au manque de transparence dans l’utilisation de l’IA. La législation sur l’IA introduit des obligations de transparence spécifiques pour veiller à ce que les êtres humains soient informés lorsque cela est nécessaire, ce qui favorise la confiance. Par exemple, lors de l'utilisation de systèmes d'IA tels que les chatbots, les humains doivent être informés qu'ils interagissent avec une machine afin qu'ils puissent prendre une décision éclairée de continuer ou de prendre du recul. Les fournisseurs doivent également veiller à ce que le contenu généré par l’IA soit identifiable. En outre, les textes générés par l’IA publiés dans le but d’informer le public sur des questions d’intérêt public doivent être étiquetés comme étant générés artificiellement. Cela s'applique également aux contenus audio et vidéo constituant des contrefaçons profondes.

Risque minimal ou nul

La législation sur l’IA autorise la libre utilisation de l’IA à risque minimal. Cela inclut des applications telles que les jeux vidéo compatibles avec l'IA ou les filtres anti-spam. La grande majorité des systèmes d’IA actuellement utilisés dans l’UE entrent dans cette catégorie.

Comment tout cela fonctionne-t-il dans la pratique pour les fournisseurs de systèmes d’IA à haut risque?

Une fois qu’un système d’IA est sur le marché, les autorités sont chargées de la surveillance du marché, les déployeurs assurent la surveillance et le suivi humains et les fournisseurs disposent d’un système de surveillance après commercialisation. Les fournisseurs et les déployeurs signaleront également les incidents graves et les dysfonctionnements.

Une solution pour une utilisation fiable des grands modèles d'IA

De plus en plus, les modèles d'IA à usage général deviennent des composants des systèmes d'IA. Ces modèles peuvent effectuer et adapter d'innombrables tâches différentes.

Alors que les modèles d'IA à usage général peuvent permettre des solutions d'IA meilleures et plus puissantes, il est difficile de superviser toutes les capacités.

La législation sur l’IA introduit des obligations de transparence pour tous les modèles d’IA à usage général afin de permettre une meilleure compréhension de ces modèles et des obligations supplémentaires en matière de gestion des risques pour les modèles très performants et percutants. Ces obligations supplémentaires comprennent l’autoévaluation et l’atténuation des risques systémiques, la notification des incidents graves, la réalisation d’évaluations de tests et de modèles, ainsi que les exigences en matière de cybersécurité.

Une législation à l’épreuve du temps

L’IA étant une technologie en évolution rapide, le règlement adopte une approche à l’épreuve du temps, permettant aux règles de s’adapter à l’évolution technologique. Les applications d’IA devraient rester fiables même après leur mise sur le marché. Cela nécessite une gestion continue de la qualité et des risques par les fournisseurs.

Application et mise en œuvre

Le Bureau européen de l’IA, créé en février 2024 au sein de la Commission, supervise l’application et la mise en œuvre de la législation sur l’IA avec les États membres. Il vise à créer un environnement dans lequel les technologies de l'IA respectent la dignité humaine, les droits et la confiance. Il favorise également la collaboration, l'innovation et la recherche en IA entre les différentes parties prenantes. En outre, elle s’engage dans un dialogue et une coopération internationaux sur les questions liées à l’IA, reconnaissant la nécessité d’un alignement mondial sur la gouvernance de l’IA. Grâce à ces efforts, le Bureau européen de l'IA s'efforce de positionner l'Europe comme un leader dans le développement éthique et durable des technologies de l'IA.

Prochaines étapes

La loi sur l'IA est entrée en vigueur le 1er août et sera pleinement applicable 2 ans plus tard, à quelques exceptions près: les interdictions entreront en vigueur après six mois, les règles de gouvernance et les obligations relatives aux modèles d’IA à usage général deviendront applicables après 12 mois et les règles relatives aux systèmes d’IA – intégrés dans des produits réglementés – s’appliqueront après 36 mois. Afin de faciliter la transition vers le nouveau cadre réglementaire, la Commission a lancé lepacte sur l’IA, une initiative volontaire qui vise à soutenir la mise en œuvre future et invite les développeurs d’IA d’Europe et d’ailleurs à se conformer à l’avance aux principales obligations de la législation sur l’IA.