La loi européenne sur l'intelligence artificielle

La loi européenne sur l'intelligence artificielle

Laure Després
Laure Després

Le mercredi 13 mars 2024, le Parlement Européen a adopté à une très large majorité la nouvelle loi européenne sur l'intelligence artificielle, dite "EU AI Act".

Objectifs

La loi européenne sur l'IA vise à :

  • Établir un cadre réglementaire pour les systèmes d'intelligence artificielle (IA) afin de garantir leur utilisation sûre et éthique.
  • Protéger la santé, la sécurité et les droits fondamentaux des citoyens de l'UE contre les risques liés à l'IA.
  • Promouvoir l'innovation dans le domaine de l'IA tout en assurant une surveillance adéquate et des obligations de conformité pour les développeurs et les utilisateurs.

Risques

La loi européenne classe les systèmes d'IA en quatre catégories de risque :

  1. Risque inacceptable : Les systèmes d'IA présentant un risque inacceptable sont interdits, dont :

    • Systèmes de notation sociale,
    • Techniques manipulatrices ou trompeuses,
    • Exploitation des vulnérabilités des personnes.
  2. Haut risque : La majorité des réglementations concernent les systèmes à haut risque, soumis à des exigences strictes de gouvernance, de traçabilité, de sécurité, de conformité et de transparence, dont:

    • Systèmes de recrutement et d'éligibilité,
    • Systèmes biométriques,
    • Composants dans les infrastructures critiques,
    • Systèmes influençant les processus judiciaires et démocratiques.
  3. Risque limité : Les systèmes d'IA à risque limité sont soumis à des obligations de respect du droit d'auteur et de transparence, notamment informer les utilisateurs qu'ils interagissent avec une IA.

  4. Risque minimal : Les systèmes d'IA à risque minimal ne sont pas réglementés, sous réserve de modification future pour les technologies émergentes.

Obligations des fournisseurs et opérateurs

Systèmes d'IA à haut risque

  • Établir un système de gestion des risques tout au long du cycle de vie du système.
  • Assurer la gouvernance des données pour l'entrainement, la validation et les tests.
  • Rédiger une documentation technique pour démontrer la conformité.
  • Concevoir le système pour la tenue de registres et permettre une surveillance humaine.
  • Assurer des niveaux adéquats de précision, robustesse et cybersécurité.

IA à usage général ou GPAI (risque limité ou minimal)

  • Rédiger une documentation technique incluant les processus d'entrainement et d'évaluation.
  • Publier un résumé détaillé du contenu utilisé pour l'entrainement.
  • Respecter les directives sur le droit d'auteur.
  • Pour les modèles présentant un risque systémique : effectuer des évaluations, tester les risques adversariaux, documenter et signaler les incidents graves.

Sanctions

Les sanctions financières, en cas de non-conformité, pourront s’élever jusqu’à 30 millions d’euros ou 7% du chiffre d’affaires annuel consolidé. L'Office de l'IA sera établi au sein de la Commission et des régulateurs nationaux seront nommés prochainement.

Calendrier

L’entrée en vigueur du texte est prévue en 2026. Après l'entrée en vigueur, les délais de mise en œuvre sont les suivants :

  • 6 mois pour les systèmes d'IA interdits.
  • 24 mois pour les systèmes d'IA à haut risque.