Key Contacts: Hugo Grattirola – Partner | Eoghan Doyle – Partner
Nous y sommes !
Après une longue période de négociations, le Parlement Européen a adopté le texte final du Règlement Européen venant encadrer l’intelligence artificielle (le fameux « AI Act ») par le biais d’un vote final lors de sa séance plénière du 13 mars 2024. Les dernières vérifications procédurales et linguistiques étant en cours, il ne reste plus que quelques semaines avant que le Règlement ne soit publié au Journal Officiel de l’Union Européenne.
Une fois en vigueur, l’AI Act devrait être la première réglementation au monde encadrant l’usage de l’IA dans sa globalité. L’AI Act entrera en vigueur 20 jours après sa publication au Journal Officiel. Sa mise en œuvre et son application se feront de manière progressive jusqu’à la fin 2030.
L’AI Act vise à établir un cadre normatif afin que les risques liés à l’usage de l’IA soient identifiés, gérés et limités, ceci afin de renforcer la confiance dans l’IA et de protéger les droits fondamentaux des citoyens de l’UE.
Un certain nombre d’éléments ont changé dans les dispositions de l’AI Act depuis notre dernier article sur le sujet (voir ici). Vous trouverez ci-dessous un résumé des principaux points à noter concernant l’AI Act dans sa version finale:
1. Définition de système d’IA
Un « système d’IA » est maintenant défini comme « un système logiciel conçu pour fonctionner avec différents niveaux d’autonomie et pouvant faire preuve d’adaptabilité suite à son déploiement et pouvant, pour un ensemble donné d’objectifs explicites ou implicites, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements physiques ou virtuels avec lesquels il interagit ».
2. Classer l’IA en fonction de son risque
L’AI Act conserve son approche fondée sur le risque selon laquelle :
a- les systèmes d’IA présentant un risque inacceptable sont interdits (par exemple, les systèmes de notation sociale/crédit social (social scoring), les systèmes recourant à des techniques de manipulation ou de tromperie ou exploitant une vulnérabilité pour influer sur le comportement d’un individu, les systèmes déduisant des émotions sur le lieu de travail ou dans les établissements d’enseignement (sauf pour raisons médicales ou de sécurité), les systèmes qui créent ou développent des bases de données de reconnaissance faciale par le biais d’un rassemblement non ciblé d’images) ;
b- la majeure partie des obligations découlant de l’AI Act s’applique aux systèmes considérés comme à « haut risque », (voir ci-après) ; et
c- les systèmes d’IA à risque limité, minimal ou nul (par exemple, la plupart des jeux vidéo, ou les filtres anti-spam gérés par l’IA) sont soumis à des obligations limitées, essentiellement en matière de transparence pour faire en sorte que les utilisateurs comprennent qu’ils interagissent avec un système d’IA (par exemple, les chatbots et les deepfakes).
3. Nouveaux critères pour les systèmes d’IA à haut risque
Dans sa version finale, l’AI Act apporte un changement notable concernant la classification des systèmes d’IA « à haut risque ».
En résumé, les systèmes d’IA à haut risque sont ceux qui :
a – sont utilisés en tant que composant de sécurité ou produit couvert par la législation de l’UE figurant à l’annexe II de l’AI Act et devant faire l’objet d’une évaluation de conformité par un tiers en vertu de ladite législation (par exemple, les dispositifs médicaux, pièces de machinerie, jouets) ; ou
b – entrent dans les cas d’utilisation énoncés à l’annexe III (par exemple, certaines utilisations de l’IA pour l’identification biométrique à distance, dans les infrastructures critiques d’un état (gaz, électricité, eau, etc.) ou dans les véhicules ou les dispositifs médicaux).
Un système d’IA ne sera pas considéré comme à haut risque s’il ne présente pas de risque important pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, lorsqu’il n’exerce pas d’influence significative sur le résultat d’une prise de décision. Pour que cette exception s’applique, un ou plusieurs des critères suivants doivent être remplis :
a – le système d’IA est destiné à effectuer une tâche procédurale limitée ;
b – le système d’IA est destiné à améliorer le résultat d’une activité humaine déjà achevée ;
c -le système d’IA est destiné à détecter les schémas de prise de décision ou les écarts par rapport aux schémas de prise de décision antérieurs et n’est pas destiné à remplacer ou à influencer, sans un examen humain approprié, l’analyse humaine précédemment effectuée ; ou
d – le système d’IA est destiné à effectuer une tâche préparatoire à une évaluation relative aux cas d’ utilisation énumérés à l’annexe III.
Détails à noter :
• Un système d’IA est toujours considéré comme à haut risque s’il effectue un profilage des personnes (par exemple, en évaluant ou en prédisant le rendement d’un employé ou les préférences personnelles, la localisation ou les déplacements d’une personne).
• Lorsque le fournisseur d’un système d’IA visé par la liste des systèmes à haut risque figurant en annexe III estime que son système n’est pas à haut risque, celui-ci devra documenter son analyse avant que ce système ne soit mis sur le marché ou mis en service.
• Le fournisseur d’un système d’IA à haut risque visé par la liste en annexe III (ou, le cas échéant, son mandataire) devra s’enregistrer et enregistrer son système dans une base de données européenne, sauf en ce qui concerne les systèmes d’IA à haut risque utilisés dans les infrastructures critiques (lesquels devront être enregistrés au niveau national).
• L’obligation d’enregistrement ci-dessus s’applique également lorsque le fournisseur d’un système d’IA à haut risque a décidé que son système n’entre pas dans la catégorie des IA à haut risque. Il faut donc s’attendre à ce que les fournisseurs doivent évaluer leur système et documenter leur analyse.
4. Modèles d’IA à usage général (modèles GPAI – General Purpose AI)
Il s’agit là d’un nouvel ajout à l’AI Act. Un chapitre entier leur est désormais consacré, lequel vise à couvrir les technologies telles que Chat GPT et autres.
Un « modèle d’IA à usage général » est « un modèle d’IA, y compris lorsque son apprentissage se fait sur la base d’une grande quantité de données via auto-supervision à grande échelle, qui fait preuve de généralité et est capable d’effectuer de manière compétente un large éventail de tâches distinctes, ceci quelle que soit la façon dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval ». Cette définition ne couvre pas les modèles d’IA utilisés avant leur mise sur le marché pour des activités de recherche, de développement et de prototypage.
Un « système d’IA à usage général » est défini comme « un système d’IA basé sur un modèle d’IA à usage général, qui a la capacité de servir à diverses fins, à la fois pour une utilisation directe et via intégration dans d’autres systèmes d’IA ».
Les fournisseurs de modèles GPAI devront se conformer à la législation en matière de droits d’auteur et mettre en place une documentation spécifique, y compris sur le plan technique concernant l’apprentissage de l’IA, son évaluation et les résultats y afférant, ainsi qu’une notice d’informations à l’attention des autres fournisseurs cherchant à intégrer un modèle GPAI dans leur propre système d’IA.
En plus de contenir les obligations s’appliquant aux fournisseurs de modèles GPAI, ce nouveau chapitre classe les modèles GPAI en fonction de leur impact systémique.
Un modèle GPAI sera classé comme présentant un risque systémique s’il présente des capacités d’impact élevées ou s’il est identifié comme tel par la Commission Européenne. Un modèle GPAI sera présumé avoir des capacités d’impact élevées si la puissance de calcul totale utilisée pour son apprentissage, mesurée en floating point operations (FLOPs), est supérieure à 10^25. Pour l’instant, cette mesure s’appliquera aux principaux grands modèles de langage (LLMs – Large Language Models).
Les fournisseurs de modèles GPAI systémiques devront en informer la Commission dans un délai de 2 semaines. Ils devront également effectuer des évaluations de leurs modèles, des tests contradictoires, suivre, documenter et signaler les incidents graves concernant leurs modèles à l’Office Européen de l’IA (AI Office) et prendre des mesures adéquates en matière de cybersécurité. L’AI Act permet en outre aux fournisseurs de modèles GPAI d’adhérer à des codes de conduite afin de démontrer leur conformité à la législation.
Les fournisseurs de modèles GPAI mis sur le marché sous licence libre / open source seront exemptés de certaines obligations de transparence. Cette exception ne s’appliquera pas aux modèles présentant un risque systémique.
L’Office Européen de l’IA sera seul compétent pour la surveillance et le respect de l’AI Act à l’égard des fournisseurs de modèles GPAI.
Les fournisseurs de modèles GPAI seront passibles d’amendes pouvant aller jusqu’à 3 % de leur chiffre d’affaires annuel total ou 15 millions d’euros, le montant le plus élevé étant retenu.
5. Échéancier concernant l’entrée en application de l’AI Act
Le principal délai à noter est de 24 mois après l’entrée en vigueur de l’Act, mais il existe quelques exceptions :
• 6 mois après l’entrée en vigueur : Les interdictions concernant les IA présentant un risque inacceptable entreront en application.
• 9 mois après l’entrée en vigueur : Les codes de conduite pour les modèles GPAI doivent être finalisés.
• 12 mois après l’entrée en vigueur :
– Les règles relatives aux modèles GPAI entreront en application. Une exception notable étant que les fournisseurs de modèles GPAI ayant été mis sur le marché avant le 30 janvier 2024 devront prendre les mesures nécessaires pour se mettre en conformité dans un délai de 24 mois après l’entrée en vigueur ;
– Les États Membres doivent avoir désigné leurs autorités de régulation respectives ; et
– La Commission Européenne dressera un bilan annuel et évaluera la nécessité de modifier la liste des IA interdites et à haut risque.
• 24 mois après l’entrée en vigueur :
– Les obligations relatives aux systèmes d’IA à haut risque énumérées à l’annexe III entreront en application ;
– Les États Membres doivent avoir mis en œuvre les règles relatives aux sanctions, y compris en matière d’amendes ; et
– La Commission Européenne dressera un bilan annuel et évaluera la nécessité de modifier la liste des IA à haut risque.
• 36 mois après l’entrée en vigueur :
– Les obligations relatives aux systèmes d’IA à haut risque utilisés en tant que composant de sécurité ou produit couvert par la législation européenne énumérée en annexe II de l’AI Act et devant faire l’objet d’une évaluation de conformité par une tierce partie en vertu de ladite législation entreront en application ; et
– Les systèmes d’IA à haut risque qui étaient déjà sur le marché ou utilisés avant l’entrée en vigueur de l’AI Act ne devront se mettre en conformité que si leur conception fait l’objet de modifications importantes. Cependant, un délai de 4 ans pour se mettre en conformité s’appliquera aux systèmes à haut risque utilisés par les pouvoirs publics.
6. Sanctions
Les sanctions prévues par l’AI Act s’appliqueront essentiellement à trois catégories distinctes :
a- les opérateurs de systèmes d’IA ;
b- les fournisseurs de modèles GPAI ; et
c-Les institutions, agences et organes de l’Union Européenne.
En ce qui concerne les amendes, l’AI Act présente trois niveaux de sanction :
a- Une amende pouvant aller jusqu’à 35 000 000 € ou, si le contrevenant est une personne morale de droit privée, jusqu’à 7 % de son chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu, en cas d’utilisation d’un système interdit / présentant un risque inacceptable (ou la mise sur le marché d’un tel système) ;
b- Une amende pouvant aller jusqu’à 15 000 000 € ou jusqu’à 3 % du chiffre d’affaires annuel mondial total du contrevenant, en cas de non-respect des règles applicables aux systèmes à haut risque. Ce niveau s’applique également aux fournisseurs de modèles GPAI, à l’égard desquels la Commission sera l’autorité compétente pour infliger une amende ; et
c- Une amende pouvant aller jusqu’à 7 500 000 € ou jusqu’à 1 % du chiffre d’affaires annuel mondial total du contrevenant en cas de fourniture d’informations incorrectes, incomplètes ou trompeuses en réponse à une demande par un organisme / une autorité nationale compétente.
Concernant les PME et les start-ups, l’amende sera limitée au plus bas des pourcentages ou du montant de chacun des niveaux susmentionnés.
En ce qui concerne les institutions, agences et organes de l’UE, le European Data Protection Supervisor pourra infliger des amendes pouvant aller jusqu’à 1 500 000 euros.
7. Que faire pour se préparer ?
Dans un premier temps, toute organisation utilisant l’IA dans le cadre de son activité doit analyser si le type d’IA utilisé entre dans la catégorie des systèmes d’IA à risque inacceptable. Ceci d’autant plus que les règles interdisant ces systèmes seront les premières dispositions de l’AI Act à entrer en application. Les systèmes d’IA à risque inacceptable comprennent par exemple la catégorisation biométrique, la manipulation comportementale, la police prédictive et la reconnaissance des émotions.
Il convient également de commencer à identifier/inventorier les systèmes d’IA sur lesquels une organisation s’appuie ainsi que les risques inhérents à ces systèmes (faibles, moyens, élevés) ainsi que le rôle joué par l’organisation au vu des dispositions de l’Act (par exemple, fournisseur, mandataire etc.), ceci afin de se familiariser avec le régime et les obligations applicables. L’idée étant de mettre en place une forme de gouvernance interne concernant l’usage de l’IA.
Une formation, un règlement interne ainsi qu’une surveillance adéquates du personnel de l’organisation devraient également être mis en place pour maitriser les questions spécifiques relatives aux systèmes d’IA utilisés, telles que la protection de la vie privée, la qualité et l’intégrité des données utilisées, la transparence, l’explicabilité et la cybersécurité.
Du point de vue de la protection des données, une analyse d’impact sera très probablement nécessaire en ce qui concerne les systèmes d’IA déjà utilisés et/ou l’introduction de tels systèmes au sein de l’organisation.
Enfin, l’étendue des obligations imposées par l’AI Act signifie que des coûts de mise en conformité importants devront probablement être engagés et que les organisations devraient réfléchir au budget qui devra être alloué à cet objectif.
Il ne fait aucun doute que l’AI Act représentera d’importants défis et opportunités, de même qu’il obligera les organisations à s’adapter et faire preuve de prudence lorsqu’elles utilisent l’IA.
Pour plus d’informations sur cet article, n’hésitez pas à contacter Hugo Grattirola et Eoghan Doyle.
Cet article a été préparé avec l’aide de Zoe Dunne et Kellie McDermott.