Adopté par l’Union européenne, l’IA Act vise à encadrer l’utilisation des systèmes d’intelligence artificielle tout en garantissant la sécurité des citoyens et la compétitivité des entreprises. Ce règlement se distingue par une catégorisation des risques, imposant des obligations strictes aux systèmes à haut risque et interdisant ceux présentant des risques inacceptables.
Voté par le Parlement européen le 13 mars et approuvé par le Conseil de l’Europe le 21 mai, l’IA Act va réglementer l’utilisation de l’intelligence artificielle dans l’UE. Première législation du genre concernant l’IA, il est aussi un véritable casse-tête puisqu’il vise à garantir la sécurité des citoyens des pays européens sans pour autant entraver la compétitivité des entreprises de l’Union. Alors que son entrée en vigueur est prévue en 2026, faisons le point : quelles sont les entreprises concernées ? À quelles règles vont-elles devoir se conformer ?
Comprendre le champ d’application de l’IA Act
À travers l’IA Act, la volonté des pays européens est de protéger les citoyens de dérives liées à la technologie, sans pour autant brider la capacité d’innovation des entreprises. Son adoption marque un tournant majeur dans la régulation de l’intelligence artificielle et positionne, plus que jamais, l’UE à l’avant-garde des législations encadrant les usages numériques.
Dans sa forme actuelle, l’IA Act s’appliquera aux Systèmes d’Intelligence Artificielle (SIA) basés dans l’UE et à ceux situés dans des pays tiers et traitant sur le marché européen. Aussi, l’IA Act sera applicable dès lors que les utilisateurs de la solution sont européens. Des sanctions financières sont prévues en cas de non-conformité. Elles pourront s’élever à 30 millions d’euros ou 7 % du chiffre d’affaires annuel consolidé.
Quatre niveaux de risque
L’IA Act repose sur l’identification des niveaux de risques associés à différentes catégories de systèmes d’IA. Il en définit quatre :
– Risques inacceptables qui constituent une atteinte grave aux droits fondamentaux. Cela comprend les systèmes conçus pour évaluer ou classifier les individus ou groupes sur la base de leur comportement social (système chinois de social scoring par exemple). Sont également concernés les systèmes permettant de déterminer le risque qu’une personne commette une infraction pénale sur la base d’un profilage, ainsi que ceux employant des techniques manipulatrices pour altérer le comportement ou entraver une prise de décision éclairée.
– Risques élevés, par exemple, les SIA qui établissent des profils de personnes et traitent automatiquement des données personnelles à des fins d’évaluation de divers aspects de la vie (accès à l’éducation et la formation, logiciels de tri de CV, gestion des migrations, administration de la justice…).
– Risques limités, comme les SIA basés sur des modèles à usage général pour répondre à divers besoins, comme un chatbot d’entreprise par exemple, dans le cadre d’un usage direct ou une intégration dans d’autres SIA.
– Risques minimes comme les jeux vidéo et les filtres anti-spam utilisant l’IA.
Des obligations alignées sur le niveau de risque
Concrètement, pour pouvoir se conformer à l’IA Act, les entreprises devront répondre à un certain nombre de questions : dans quel but est créé le système d’intelligence artificielle ? S’agit-il d’un système créé par l’entreprise ou reprend-il un SIA déjà existant ? Quelle est sa fonction ? Dans quel secteur va-t-il être utilisé ?
De la réponse à ces questions dépend le niveau de risque associé au système. Celui-ci détermine la nature des mesures à mettre en place afin de garantir la conformité du SIA. En outre, le Future of Life Institute met à disposition un formulaire afin d’aider les entreprises à connaître leur catégorie et les obligations qui leur incombent.
Les SIA à risques inacceptables sont interdits. Les autres sont soumis à des obligations inhérentes à leur niveau de risque.
Les principales obligations incombent aux fournisseurs de SIA à risque élevé. Pour se conformer à l’IA Act, leur fournisseur devra :
+ enregistrer les activités du système pour assurer une traçabilité ;
+ s’assurer de la qualité des données utilisées pour alimenter le SIA ;
+ mettre en place une surveillance humaine appropriée pour réduire les risques ;
+ assurer une sécurité renforcée et accrue du SIA ;
+ produire une documentation détaillée afin de donner toutes les informations nécessaires sur le SIA et sa fiabilité pour permettre d’évaluer sa conformité en toute simplicité ;
+ déclarer le SIA dans une base de données Européenne.
Pour les SIA à risque limité, en revanche, les seules obligations sont la transparence (que le contenu généré par l’IA soit identifiable et que l’utilisateur en soit informé) et la rédaction d’un document technique permettant d’en connaître son fonctionnement.
Dans l’ensemble, cette nouvelle réglementation permettra de mieux encadrer l’utilisation et le déploiement de l’IA dans les pays européens. S’y conformer nécessitera en effet, dans certains cas, le recours à des outils et des méthodes de traçage, de supervision, de cyberprotection et de renforcement de la sécurité des données. Il est aussi fort probable que l’IA Act, à l’image de la réglementation NIS1 et NIS2, soit amélioré ou élargi au fil du temps, en fonction des nouvelles technologies ou des nouveaux usages qui feront leur apparition.
____________________________
Par Jeff Angama, Solution Engineer chez AvePoint