IA Act : Un nouveau cadre juridique européen pour une intelligence artificielle éthique, sûre et innovante
Pour recevoir une fois par mois, les derniers articles rédigés par les experts Novagraaf, cliquez ici
Entré en vigueur avec le Règlement (UE) 2024/1689, le RIA (Règlement sur l’intelligence artificielle) établit le tout premier cadre réglementaire horizontal dédié à l’IA au sein de l’Union européenne. Ce texte ambitieux classe les systèmes d’IA selon leur niveau de risque et définit les obligations applicables aux différents acteurs du secteur. Il vise à concilier innovation et protection des droits fondamentaux, en promouvant une IA digne de confiance et centrée sur l’humain. Cet article propose une lecture simplifiée des principaux apports du texte, depuis ses principes fondateurs jusqu’aux mesures d’accompagnement prévues pour soutenir l’innovation.
Le Règlement (UE) 2024/1689, dit « Règlement sur l’intelligence artificielle » (RIA) ou « IA Act », marque une étape décisive dans l’encadrement du développement et de l’utilisation de l’intelligence artificielle au sein de l’Union européenne (UE). Son ambition est de garantir que l’IA soit une technologie au service de l’humain, conforme aux valeurs européennes, tout en soutenant l’innovation et la compétitivité. Il s’agit du premier cadre juridique horizontal au monde consacré à l’IA.
L’objectif du règlement est d’établir un cadre juridique uniforme pour promouvoir l’adoption de l’intelligence artificielle (IA) axée sur l’humain et digne de confiance tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l’UE, de protéger contre les effets néfastes des systèmes d’IA, et de soutenir l’innovation.
Le RIA développe un ensemble très complexe de règles définissant les obligations à l’égard de différents acteurs de l’IA. Le présent document ne vise qu’à présenter, de manière très simplifiée, quelques aspects choisis.
Principes fondateurs du RIA
Le RIA distingue les systèmes d’IA à usage général qui ont la capacité d’exécuter de manière compétente un large éventail de tâches distinctes, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA, et les systèmes d’IA à usage spécifique.
Pour ces derniers, le RIA définit une classification basée sur les risques, quantifiés en fonction de l'usage qui est fait de la technologie. Les systèmes d’IA sont ainsi classés selon 4 niveaux de risques :
- Les systèmes d’IA à risque inacceptable, qui sont interdits ;
- Les systèmes d’IA à haut risque, qui sont réglementés ;
- Les systèmes d’IA à risque limité, qui sont soumis à des obligations plus légères, notamment de transparence ;
- Les systèmes d’IA à risque minimal, qui ne sont pas réglementés.
Le RIA concerne les systèmes d’IA mis sur le marché, mis en service ou utilisés dans l’UE, qu’ils soient développés dans l’UE ou à l’étranger. Il s’étend également aux systèmes dont les résultats sont utilisés dans l’UE, même s’ils sont exploités hors UE.
Acteurs concernés
La majorité des obligations incombent aux fournisseurs et développeurs de systèmes d'IA à haut risque, qui mettent sur le marché ou en service des systèmes d'IA à haut risque dans l'UE, qu'ils soient basés dans l'UE ou dans un pays tiers ainsi que les fournisseurs de pays tiers lorsque les résultats du système d'IA à haut risque sont utilisés dans l'UE.
Les déployeurs, personnes physiques ou morales qui mettent en œuvre un système d’IA dans un cadre professionnel, sont visés lorsqu’ils déploient des systèmes d’IA à haut risque ou dès que les résultats du système d’IA sont utilisés sur le territoire européen, bien que leurs obligations soient moins contraignantes que celles imposées aux fournisseurs ou développeurs.
Les importateurs et distributeurs de systèmes d’IA sont également visés.
Avant d’importer un système d’IA à haut risque, l’importateur doit s’assurer par exemple que le système est conforme aux exigences du Règlement IA, vérifier que le fournisseur non-UE a effectué la procédure d’évaluation de conformité, et s’assurer que la documentation technique (y compris la déclaration UE de conformité) est disponible.
Avant de distribuer un système d’IA, le distributeur doit s’assurer par exemple que le marquage CE est apposé, la déclaration UE de conformité est présente, la documentation d’accompagnement (notices, instructions…) est disponible et correcte, et que l’importateur et le fournisseur ont respecté leurs obligations.
The four risk levels for AI systems:
- Sytèmes d'IA à risque inacceptable
Ces systèmes sont considérés comme une menace pour les individus. Il peut s’agir de ceux qui utilisent la manipulation inconsciente, l'exploitation des vulnérabilités humaines, la notation sociale, l'identification biométrique et la catégorisation biométrique (origine ethnique, religion, etc.)
Ces systèmes sont interdits, y compris dans le cas de l'identification biométrique à distance en temps réel dans des espaces publics comme la reconnaissance faciale, sauf dans des conditions strictes particulières d'application de la loi qui doivent d'abord être approuvées par un tribunal.
- Systèmes d'IA à haut risque
Ce sont des systèmes ayant un impact sur la sécurité ou les droits fondamentaux, y compris l'IA dans les jouets, les dispositifs médicaux, les infrastructures critiques, l'éducation, la formation professionnelle, l'emploi, les services privés essentiels (crédit bancaire, assurance), l'application de la loi, la migration et l'interprétation juridique, l’accès aux prestations publics essentiels (santé, appels d'urgence, justice).
Ces systèmes doivent être enregistrés dans une base de données de l'UE, faire l'objet d'une évaluation approfondie des risques et faire l'objet de rapports réguliers afin de garantir une conformité et une surveillance strictes. Une évaluation devra être effectuée avant la mise sur le marché des systèmes d'IA à haut risque, puis tout au long de leur cycle de vie.
- Systèmes d'IA à risque limité
Cette catégorie comprend les modèles d'IA générative. Bien qu’ils ne soient pas à haut risque en soi, ils doivent répondre à des exigences de transparence et respecter la législation européenne sur le droit d'auteur.
Les fournisseurs de modèles et d'applications d'IA à risque limité doivent informer les utilisateurs que leur contenu est généré par l'IA, empêcher la génération de contenu illégal et publier des résumés des données protégées par des droits d'auteur.
Les modèles d'IA à fort impact, i.e., ayant des capacités égales ou supérieures aux capacités des modèles d’IA à usage général les plus avancés, doivent faire l'objet d'évaluations approfondies et signaler les incidents graves à la Commission européenne. Le contenu généré ou modifié par l'IA (par exemple, les deepfakes) doit être clairement identifié comme tel.
- Système d'IA à risque minimal
Il s'agit par exemple des filtres anti-spam, des jeux vidéo basés sur l'IA et des systèmes de gestion des stocks.
La plupart des systèmes d'IA de cette catégorie ne sont soumis à aucune obligation en vertu de la loi sur l'IA, mais les entreprises peuvent adopter volontairement des codes de conduite supplémentaires. La responsabilité principale incombera aux « fournisseurs » de systèmes d'IA, bien que toute entreprise qui les utilise doive rester vigilante quant à ses obligations de conformité.
Cas particuliers des IA à usage général
Les développeurs doivent fournir un résumé détaillé des jeux de données d'entraînement, notamment pour s'assurer du bon respect des droits d'auteur, des instructions d'utilisation, ainsi qu’une documentation technique (définie par l’annexe IV du RIA) qui contient les informations nécessaires pour démontrer que le système est conforme au RIA. Elle doit être préparée avant la mise sur le marché ou la mise en service du système.
Les obligations de documentation technique ne s’appliquent pas aux fournisseurs de modèles d’IA à usage général qui sont publiés dans le cadre d’une licence libre et ouverte permettant de consulter, d’utiliser, de modifier et de distribuer le modèle, et dont les paramètres (poids, informations sur l’architecture du modèle, informations sur l’utilisation du modèle) sont rendus publics.
Dans la mesure où les systèmes d’IA à usage général peuvent être utilisés comme des systèmes d’IA à haut risque en tant que tels ou comme des composants d’autres systèmes d’IA à haut risque, une coopération avec les fournisseurs des systèmes d’IA à haut risque concernés est requise afin de leur permettre de se conformer à leurs obligations.
Dans le cas particulier des IA à usage général présentant un risque systémique - c’est-à-dire ayant une incidence significative en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur, par ex, ayant une puissance de calcul supérieure à 10 puissance 25 flops - s’ajoute aux exigences de transparences des exigences d’évaluation et de tests, d’atténuation des risques, de déclaration des incidents sérieux, de cybersécurité et d’analyse de la consommation d'énergie.
Exemptions
Le RIA ne s’applique pas aux systèmes d’IA - qu’ils soient mis ou non sur le marché – lorsqu’ils sont mis en service ou utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités.
Le RIA ne s’applique pas aux systèmes d’IA spécifiquement développés et mis en service uniquement à des fins de recherche et développement scientifiques, ni à leurs sorties.
Les déployeurs qui sont des personnes physiques utilisant des systèmes d’IA dans le cadre d’une activité strictement personnelle, à caractère non professionnel, sont exemptés.
Enfin, les systèmes d’IA mis à disposition sous forme de licence libre ou ouverte - sauf s’il s’agit de systèmes d’IA à haut risque, s’ils relèvent d’utilisations interdites ou d’obligations de transparence (en raison de leur usage selon l’article 50) - sont exemptés.
Mesures de soutien à l'innovation
Le RIA prévoit en outre des dispositions pour soutenir l’innovation, avec un accent particulier sur les PME et « jeunes pousses » qui ont leur siège social ou une succursale dans l’Union.
Tout en cherchant, par des dispositions contraignantes à favoriser le développement d’une IA sûre, éthique et digne de confiance, le RIA prévoit un cadre favorable à l’innovation, afin que les obligations imposées aux PME ne freinent pas leur accès au marché ou leur capacité à innover.
Les mesures prévues incluent par exemple un accès prioritaire, gratuit et simplifié à des bacs à sable réglementaires qui permettent aux développeurs de tester leurs solutions IA en conditions réelles. Les PME peuvent en outre bénéficier d'un accompagnement concernant la conformité au RIA, afin de les aider à comprendre les enjeux de la normalisation et les normes techniques traduisant les exigences juridiques du RIA en critères concrets, mesurables et applicables par les développeurs.
Les autres mesures relatives aux PME incluent notamment une simplification des exigences de conformité (par exemple, un formulaire simplifié pour la documentation des systèmes d’IA à haut risque). Les PME peuvent en outre bénéficier, via les Etats Membres, d’actions de sensibilisation et de formation à l’application du RIA qui sont adaptées à leurs besoins.
Conclusion
La mise en œuvre d’un tel Règlement apparaît de prime à bord particulièrement complexe et contraignante pour les entreprises concernées, et ce d’autant plus que ces systèmes d’IA évoluent en permanence.
Il sera intéressant d’observer comment elles vont pouvoir s’y conformer et dans quelle mesure un juste équilibre pourra être trouvé afin que l’IA soit réellement une technologie au service de l’humain, conforme aux valeurs européennes, sans que l’innovation et la compétitivité des entreprises ne soient affectées de manière significative.
Pour toute demande d’information complémentaire sur le nouveau cadre juridique de l’intelligence artificielle au sein de l’Union européenne, Vous pouvez contacter votre Conseil Novagraaf habituel ou nous contacter ci-dessous.
Catherine Caspar, Conseil en Propriété Industrielle – Brevets, Novagraaf, France