Le 14 juin 2023, une proposition de réglementation de l’Intelligence Artificielle a été adoptée par le Parlement Européen en première lecture, avec presque 500 voix pour et 771 amendements. L’AI Act est né !

L’essentiel à retenir sur l’AI ACT

Genèse et drivers

L’objectif déclaré de ce projet de réglementation est de faire “La promotion de l’IA […] et de faire de l’Union un acteur mondial de premier plan dans le développement d’une intelligence artificielle sûre, fiable et éthique”. Les critères pris en considération pour évaluer la sûreté, la fiabilité et l’éthique sont les suivants : 

  1. facteur humain et contrôle humain,
  2. solidité technique et sécurité,
  3. protection de la vie privée et gouvernance des données,
  4. transparence,
  5. diversité, non-discrimination et équité,
  6. bien-être social et environnemental,

Le projet de règlement de la Commission européenne sur l’IA a été proposé pour la première fois en avril 2021. La version amendée et votée en juin dernier doit encore être étudiée par le Conseil avant son entrée en vigueur souhaitée par les Eurodéputés au plus tard en décembre 2023. Le règlement n’entrera toutefois en application que 24 mois après l’entrée en vigueur, ce qui signifierait fin 2025 ou courant 2026 selon l’optimisme des sources.

Le projet de règlement est relatif aux mises sur le marché, mises en service et utilisation des systèmes d’intelligence artificielle, ainsi que celle des systèmes ou produits utilisant des composants d’intelligence artificielle.  

Définition d’un “Système d’IA” et périmètre du règlement

L’ AI ACT définit les systèmes d’intelligence artificielle comme tout système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels (art. 3.1.).

Sont concernés par ce règlement les fournisseurs et déployeurs de systèmes d’IA. En effet, il y est stipulé que les règles devront s’appliquer de manière non discriminatoire aux fournisseurs de systèmes d’IA, qu’ils soient établis dans l’Union ou dans un pays tiers, et aux déployeurs de systèmes d’IA établis dans l’Union. Par déployeur, on entend “la personne physique ou morale, l’autorité publique, l’agence ou tout autre organisme sous l’autorité duquel le système d’IA est exploité, sauf lorsque l’utilisation s’inscrit dans le cadre d’une activité personnelle à caractère non professionnel”.

Une approche par les risques

Le règlement définit des niveaux de risque auxquels sont associés des niveaux d’exigences (ou d’interdiction) : 

  • Risques inacceptables
  • Très haut risque
  • Les autres systèmes d’IA qui sont les IA génératives ou dites à risque limité

Le texte traite de manière très approfondie les deux premières catégories. En ce qui concerne l’IA générative, comme ChatGPT, elle devra simplement se conformer à des exigences de transparence telles que : 

  • indiquer que le contenu a été généré par l’IA
  • concevoir le modèle pour l’empêcher de générer du contenu illégal
  • publier des résumés des données protégées par le droit d’auteur utilisées pour la formation

Cette obligation de transparence s’étend aux autres systèmes d’IA qui ne sont pas à haut risque et qui devront signaler que les informations ou le contenu fourni proviennent d’une IA lorsque celle-ci interagit avec des humains, cela inclut en particulier les systèmes d’IA qui génèrent ou manipulent du contenu image, audio ou vidéo (par exemple, les deepfakes).

L’UE interdit les usages à “risque inacceptable”

Les usages d’IA considérés comme présentant un risque inacceptable sont interdits, il s’agit des cas suivants : 

  • Manipulation, exploitation et contrôle social,
  • Altération substantielle des comportements humains pouvant causer un préjudice psychologique ou physique, 
  • Classement des personnes physiques en fonction du genre et de l’identité de genre, de la race, de l’origine ethnique, du statut migratoire ou de citoyenneté, de l’orientation politique, de l’orientation sexuelle, de la religion, du handicap ou de tout autre motif pour lequel la discrimination est interdite,
  • Notation sociale des personnes physiques à des fins générales (Scoring social),
  • Identification biométrique à distance «en temps réel»
  • Analyse «postérieure» d’identification biométrique à distance, sauf autorisation judiciaire préalable, 
  • Profilage de personnes physiques sur les traits ou les caractéristiques de personnalité par les autorités répressives,
  • Saisie aveugle et non ciblée des données biométriques provenant des médias sociaux ou des séquences de vidéosurveillance pour intégration dans des bases de données de reconnaissance faciale,
  • Détermination de l’état émotionnel de personnes physiques.

Les systèmes d’IA à haut risque : Nerf de la guerre du texte

Le niveau de risque défini comme haut est, sans surprise, celui qui devrait attirer l’attention des organisations impactées ainsi que du grand public car il concentre les exigences de contrôle les plus contraignantes. Les systèmes d’IA sont considérés à haut risque s’ils sont utilisés : 

  • comme composants de sécurité dans les machines, les jouets, les ascenseurs, les appareils et les systèmes de protection destinés à être utilisés en atmosphères explosibles, les équipements radioélectriques, les  équipements sous pression, les équipements pour bateaux de plaisance, les installations à câbles, les appareils brûlant des combustibles gazeux, les dispositifs médicaux et les dispositifs médicaux de diagnostic in vitro,
  • en tant que composants de sécurité dans la gestion et l’exploitation de la fourniture d’eau, de gaz, de chauffage, d’électricité et des infrastructures numériques critiques, et d’électricité,
  • dans l’éducation ou la formation professionnelle, notamment pour déterminer l’admission ou l’affectation de personnes aux établissements d’enseignement et de formation professionnelle ou pour évaluer les personnes avant ou en cours de formation ou influer sur le niveau d’étude exigé ou encore pour surveiller et détecter les comportements interdits des étudiants au cours des épreuves,
  • en recrutement, accès à l’emploi ou gestion RH notamment s’ils présentent une influence substantielle sur les décisions de recrutement, de promotion et de licenciement, ou s’ils sont utilisés pour l’attribution personnalisée des tâches sur la base du comportement individuel, de traits personnels ou de données biométriques ou pour le suivi ou l’évaluation des personnes dans le cadre de relations professionnelles contractuelles,
  • pour déterminer l’accès et le droit à certains services et prestations essentiels, publics et privés, y compris les services de santé et services essentiels, qui comprennent sans s’y limiter le logement, l’électricité, le chauffage/refroidissement et l’internet,
  • pour évaluer la note de crédit ou la solvabilité des personnes physiques,
  • pour évaluer et hiérarchiser les appels d’urgence émis par des personnes physiques ou pour envoyer ou prioriser l’envoi des services d’intervention d’urgence,
  • par les autorités répressives et qu’ils sont susceptibles d’avoir une incidence significative sur la vie ou les droits fondamentaux des personnes,
  • dans les domaines de la gestion de la migration, de l’asile et des contrôles aux frontières,
  • par une autorité judiciaire ou un organisme administratif, pour aider à interpréter les faits et la loi, et à appliquer la loi, ou lors du règlement extrajudiciaire d’un litige,
  • pour influencer le comportement électoral de personnes physiques ou le résultat d’une élection ou d’un référendum.

Les exigences de conformité pèseront principalement sur les fournisseurs de systèmes d’IA à haut risque

Les exigences qui s’appliqueront aux systèmes d’IA à haut risque concernent : 

  • La qualité et la pertinence des jeux de données utilisés, 
  • La documentation technique et la tenue de registres, 
  • La transparence et la fourniture d’informations aux déployeurs, 
  • Le contrôle humain, la robustesse, l’exactitude et la sécurité.

Gestion et gouvernance des données

Les fournisseurs devront faire en sorte que les bases de données contiennent des données adéquates sur les groupes qui sont plus vulnérables aux effets discriminatoires de l’IA, tels que les personnes handicapées.

Transparence et explicabilité garantie par la documentation 

Les fournisseurs doivent garantir la tenue de registres et la mise à disposition d’une documentation technique contenant les informations nécessaires pour évaluer la conformité. Ces informations devront notamment porter sur : 

  • Les caractéristiques générales, les capacités et les limites du système, 
  • Les algorithmes, les données et les processus d’entraînement, d’essai et de validation utilisés, 
  • Le système de gestion des risques mis en place,
  • La consommation d’énergie du système d’IA,

Les critères de mesure du degré de performances attendu devront être communiqués de façon claire, transparente et facilement compréhensible par les déployeurs.

Des mesures doivent également être prises par les fournisseurs de systèmes d’IA à haut risque, pour garantir un niveau de cybersécurité adapté aux risques.

Des mesures d’accessibilité doivent également être intégrées dès que possible dans la conception des systèmes d’IA à haut risque.

Exigences spécifiques aux déployeurs

Le déployeur de systèmes d’IA à haut risque doit : 

  • Procéder à une analyse d’impact relative aux droits fondamentaux avant la mise en service, 
  • Fournir un plan détaillé décrivant les mesures ou les outils qui permettront d’atténuer les risques recensés au plus tard au moment de la mise en service,

Il est encouragé à rendre public le résumé de son analyse d’impact sur les droits fondamentaux sur son site internet. 

Ces obligations ne s’appliqueront pas aux PME pour éviter d’alourdir leurs coûts.

La preuve du respect des exigences : l’évaluation de la conformité

En ce qui concerne les systèmes d’IA dits “à finalité générale” (y compris les IA génératives), le texte admet que l’expertise en matière d’évaluation de la conformité fait défaut et que les méthodes d’audit par des tiers sont toujours en cours d’élaboration. Concrètement, cela signifie qu’il n’y a pas d’exigence de conformité au-delà de la question de la transparence déjà mentionnée.

Les systèmes d’IA à haut risque devront, eux, être soumis à une évaluation de la conformité avant leur mise sur le marché ou leur mise en service. 

Les entreprises qui fournissent des composants d’IA sont encouragées à se soumettre volontairement à une évaluation de la conformité réalisée par un tiers, sans caractère d’obligation.

Les évaluations de la conformité réalisées par un tiers sont limitées aux systèmes d’IA à haut risque autres que (ceux liés à) des produits. Ces derniers pourront faire l’objet d’une évaluation de la conformité réalisée par le fournisseur sous sa propre responsabilité (sauf pour les systèmes d’IA destinés à être utilisés pour l’identification biométrique ou des caractéristiques personnelles).

Le Parlement Européen dit vouloir protéger la recherche scientifique et stimuler l’innovation

En effet, le règlement exclut de son champ d’application les systèmes d’IA spécifiquement conçus à des fins de recherche et de développement scientifiques, ainsi que l’open source puisqu’il ne s’applique pas non plus aux composants d’IA fournis dans le cadre de licences libres et ouvertes, sauf dans la mesure où ils sont mis sur le marché ou mis en service par un fournisseur dans le cadre d’un système d’IA à haut risque.

Des exceptions et un bac à sable réglementaire sont mis en place pour donner de la flexibilité, notamment aux PME

Les États membres devront mettre en place au moins un bac à sable réglementaire sur l’intelligence artificielle pour faciliter le développement et la mise à l’essai de systèmes d’IA innovants sous un contrôle réglementaire strict avant que ces systèmes ne soient mis sur le marché ou mis en service d’une autre manière.

Par ailleurs, pour des motifs exceptionnels liés à la protection de la vie et de la santé des personnes physiques, à la protection de l’environnement et à la protection des infrastructures critiques, les États membres pourront autoriser la mise sur le marché ou la mise en service de systèmes d’IA qui n’ont pas fait l’objet d’une évaluation de la conformité.

Conclusion : des impacts et des opportunités pour les entreprises

Une étude de l’université de Standford a mené une évaluation de la conformité et un classement des principaux fournisseurs d’IA, sur la base de 12 critères et exigences issues du projet de règlement de l’UE. 

Le premier de la classe (36/48) Bloom, est un modèle de langage multimodal (texte, code, etc.) ouvert et accessible au public. Les gros acteurs comme OpenAI et Google obtiennent respectivement 25 et 27 points sur 48, et ont donc un long chemin devant eux pour se plier aux exigences de l’UE.   : Le règlement de l’UE permettra-t-il en effet le développement d’une IA éthique et centrée sur l’humain ou sera-t-il, comme certains le craignent, un frein à l’innovation dans l’UE au risque de voir se creuser le fossé technologique avec les Etats-Unis notamment ?