La règlementation sur l’intelligence artificielle

Il s’agit d’une réglementation produit des systèmes et modèles d’intelligence artificielle. Elle ne concerne néanmoins que leur commercialisation et la mise sur le marché, ce qui permet d’en exclure les activités de recherche sans objectif commercial.

Elle s’adresse à l’ensemble de la chaîne de valorisation de l’IA. Ainsi sont concernés les fournisseurs, les distributeurs mais aussi les « déployeurs » de ces systèmes. Elle s’applique aux personnes morales dont le siège social se situent dans l’Union européenne ou lorsque celles-ci souhaitent commercialiser leurs systèmes directement dans l’Union européenne. 
 

A noter
-    Un fournisseur est toute personne qui développe ou fait développer un système ou un modèle d’IA et le met sur le marché. Ou bien encore qui vend un modèle ou un système sous son nom ou sa marque ;
-    Un distributeur est toute personne mettant à disposition un système d’IA sur le marché de l’Union ;
-    Un « déployeur » est toute personne qui utilise sous son autorité un système d’IA sauf s’il est utilisé pour des activités personnelles non-professionnelles.

L’IA est catégorisée en fonction de la dangerosité qu’elle représente pour les droits fondamentaux des utilisateurs. Quatre catégories ont ainsi été déterminées : de l’IA emportant un risque inacceptable à l’IA emportant un risque minime. Plus le risque est élevé et plus les contraintes liées à la conformité seront importantes.

• L’IA à risque inacceptable : elle recoupe tous les systèmes et modèles d’IA qui contreviennent aux valeurs de l’Union européenne et aux droits fondamentaux des personnes. Le règlement interdit strictement leur commercialisation et mise sur le marché. A l’heure actuelle, il n’y a qu’une exception pour les systèmes d’identification biométrique à distance en temps réel dans les espaces publics qui seraient utilisés pour les victimes de certains crimes ou bien encore la prévention de menaces graves comme le terrorisme ou la recherche de suspects ayant commis des crimes graves.

A noter
Il peut s’agir par exemple des IA gérant les systèmes de catégorisation biométrique déduisant les attributs sensibles d’une personne, les systèmes de notation sociale, les systèmes permettant l’évaluation du risque qu’une personne commette des infractions pénales par profilage.

• L’IA à haut risque : ces systèmes peuvent avoir un impact important sur la vie des personnes concernées par son utilisation. Ils sont autorisés sous conditions. Elle rassemble les IA qui sont déployées dans un secteur d’activité dit « à haut risque » et définit dans l’annexe II et III du règlement. Toutefois, il existe des exceptions. Notamment les systèmes d’IA seront toujours considérés comme présentant un risque élevé s’ils établissent des profils de personnes.

A noter
Il s’agit des secteurs suivants : identification biométrique et catégorisation des personnes physiques, infrastructure critiques, éducation et formation professionnelle, emploi, gestion des travailleurs et accès au travail indépendant, accès et jouissance des services privés essentiels et des services et avantages publics, forces de l’ordre, gestion de la migration, de l’asile et du contrôle des frontières, administration de la justice et processus démocratiques.

• L’IA à risque faible : il s’agit des systèmes d’IA qui interagissent avec des personnes physiques mais considérés comme moins dangereux pour les personnes concernées par leur utilisation. De plus, ils ne doivent pas rentrer dans les définitions des IA à risque inacceptable ou à haut risque. Ils sont autorisés sous couvert d’une obligation de transparence et d’information de l’utilisateur. Il peut s’agir par exemple de chatbot ou bien encore d’outil de deepfake.

   

• L’IA à risque minime : cette dernière catégorie comprend de facto tous les systèmes d’IA qui ne sont pas compris dans les autres catégories. Ils peuvent prendre la forme de filtres anti-spam ou bien encore d’intelligence artificielle dans un jeu vidéo.
   

Au regard de ces catégories, les entreprises mettant à disposition des systèmes ou modèles d’IA devront se conformer à un certain nombre de contraintes afin d’assurer la sécurité et le respect des droits fondamentaux des personnes concernées par l’utilisation de l’IA. La première des contraintes sera l’évaluation du niveau de risque du système d’IA utilisé ou déployé. Cela permettra de déterminer la catégorie à laquelle il appartient, comme vu précédemment.

Ce seront les IA à haut risque qui se verront appliquer le plus grands nombre de contraintes permettant la traçabilité, l’intégrité, la confidentialité et la disponibilité des données utilisées par l’IA et cela pendant tout le cycle de vie du système d’IA. De plus les entreprises concernées devront, avant la mise sur le marché ou la mise à disposition d’un système d’IA à haut risque, inscrire leur personne morale ainsi que le système d’IA dans la base de données dédiée de l’Union européenne et notifier une déclaration de conformité aux autorités nationales compétentes.

A noter : Les IA à usage générales comprenant les large language models (LLM) ont des obligations de mise en conformité spécifiques. Ces dernières sont soumises à conformité selon si elles sont de nature open source et/ou en fonction de la puissance de calcul du modèle. En tout état de cause, tous les fournisseurs de modèles d’IA à usage général doivent mettre en place une documentation technique et des informations permettant une bonne compréhension de l’outil et de ses limites. Mais aussi établir une politique de respect de la directive sur le droit d’auteur et enfin un résumé du contenu utilisé pour la formation du modèle.

• Pour les communications d’informations inexactes, incomplètes ou trompeuses, l’amende pourra s’élever jusqu’à 7,5 millions d’Euros ou 1% du chiffre d’affaires annuel.
• Pour la violation de toute autre obligation, qui ne concernent pas les IA à risque inacceptable, l’amende pourra s’élever jusqu’à 15 millions d’Euros ou 3% du chiffres d’affaires annuel.
• Pour les violations concernant la mise en œuvre ou mise sur le marché d’IA à risque inacceptable, l’amende pourra s’élever jusqu’à 35 millions d’Euros ou 7% du chiffres d’affaires annuel.