Découvrez toutes les newsletters thématiques gratuites d'Archimag dédiées aux professionnels de la transformation numérique, des bibliothèques, des archives, de la veille et de la documentation.
Il est difficile de présenter en quelques lignes l’ensemble du projet de règlement sur l’intelligence artificielle (IA). L’exercice est d’autant plus compliqué que le Parlement européen a apporté en mai 2023 un grand nombre d’amendements sur la base du projet initial rédigé par la Commission. Il faudrait donc attendre les travaux du trilogue pour avoir une version définitive du texte, probablement début 2024.
Les ambitions de l'IA Act
L’IA Act a plusieurs ambitions :
- définir des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’IA ;
- l’interdiction de certaines pratiques en matière d’IA ;
- des exigences spécifiques applicables aux systèmes d’IA à haut risque et des obligations imposées aux opérateurs de ces systèmes ;
- des règles harmonisées en matière de transparence applicables aux systèmes d’IA destinés à interagir avec des personnes physiques, aux systèmes de reconnaissance des émotions et de catégorisation biométrique, et aux systèmes d’IA utilisés pour générer ou manipuler des images ou des contenus audios ou vidéos ;
- des règles relatives au suivi et à la surveillance du marché, à la gouvernance et à l’application des règles ;
- des mesures afin de soutenir l’innovation, avec un accent particulier mis sur les PME et les jeunes entreprises, notamment en vue de la mise en place de bacs à sable réglementaires et de mesures ciblées visant à réduire la charge réglementaire pesant sur ces entreprises ;
- des règles relatives à la création et au fonctionnement du Bureau de l’intelligence artificielle de l’Union (Bureau de l’IA).
Lire aussi : IA Act : le Parlement européen avance sur la régulation des intelligences artificielles
Périmètre géographique
À l’instar du RGPD, le périmètre géographique de l’IA Act est intéressant, car il s’imposera au-delà des frontières de l’Union européenne. Dans la version de la Commission, l’IA Act s’impose naturellement aux utilisateurs de systèmes d’IA situés dans l’Union ("utilisation" désigne toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant sous sa propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel).
Mais l’IA Act sera opposable également aux fournisseurs ("fournisseur" désigne une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit), établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union et aux fournisseurs et aux utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.
La version amendée par le Parlement propose de nouveaux cas, l’esprit restant le même : appliquer l’IA Act au-delà des frontières de l’EU.
Définition de l’intelligence artificielle
Quant à la définition même de l’intelligence artificielle, celle-ci fait encore l’objet d’un débat. Pour la Commission, un "système d’IA" s’entend d’un "logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit".
Lire aussi : 44 % des professionnels s'attendent à voir leur travail transformé par l'IA dès 2024
Pour le Parlement, un "système d’IA" s’entend d’un "système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et qui peut, pour des objectifs explicites ou implicites, générer des résultats tels que des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels".
Pour tous les producteurs et les utilisateurs, la question sera dans un premier temps de savoir s’ils sont ou non concernés par le règlement.
Un règlement "produit"
La philosophie même du règlement est particulière. Elle s’entend comme un règlement "produit", c’est-à-dire qu’elle a pour objet de définir des règles propres au développement, à la commercialisation et à l’utilisation d’un système d’IA.
On peut découper le Règlement en 3 grands blocs : les règles applicables aux fournisseurs ou utilisateurs de système d’IA, la régulation de l’IA et le soutien à l’innovation.
S’agissant des règles applicables aux fournisseurs ou utilisateurs d’IA, il convient de distinguer les règles dites d’interdit de celles créant de nouvelles obligations. L’article 5, qu’il soit issu du projet de la Commission ou modifié par le Parlement, prévoit un certain nombre d’interdictions.
Lire aussi : 82 % des entreprises comptent interdire ChatGPT à leurs employés
En substance, celles-ci portent sur l’usage d’IA qui pourrait alerter substantiellement le comportement de l’utilisateur ou encore celles qui conduisent à une "notation sociale". Là encore, il faudra attendre le résultat du trilogue pour connaître l’étendue définitive de ces interdictions.
Là où la Commission s’attachait essentiellement à réguler les systèmes d’IA à "haut risque", le Parlement est venu ajouter l’obligation pour tous les opérateurs qui relèvent du présent règlement du respect des principes généraux suivants : "facteur humain et contrôle humain", "solidité technique et sécurité", "protection de la vie privée et gouvernance des données", "diversité, non-discrimination et équité" et enfin "bien-être social et environnemental".
Réguler les systèmes d’IA "à haut risque"
Même si la Commission et le Parlement sont pour l’heure en désaccord sur leur définition, les deux organes s’accordent sur la nécessité de réguler de manière spécifique les systèmes d’IA dits "à haut risque".
Il convient donc là encore d’attendre la version finale du texte pour savoir quel système d’IA entrera dans cette catégorie. Mais pour schématiser, l’"IA à haut risque" est principalement une IA qui relève soit de l’annexe II, soit de l’annexe III du règlement, ou est définie comme telle par la Commission en tenant compte de plusieurs paramètres.
Lorsque le système d’IA est qualifié "à haut risque", il devra répondre à certaines exigences parmi lesquelles :
- la gestion des risques - L’établissement d’un système de gestion des risques, mis en œuvre, documenté et tenu à jour. Ce système consiste en un processus itératif continu qui se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui doit périodiquement faire l’objet d’une mise à jour méthodique ;
- la qualité des données - Les systèmes d’IA à haut risque faisant appel à des techniques qui impliquent l’entraînement de modèles au moyen de données sont développés sur la base de jeux de données d’entraînement, de validation et de test qui satisfont aux critères définis par le règlement ;
- documentation technique - L’établissement d’une documentation technique de nature à démontrer la conformité du système d’IA au règlement ;
- l’enregistrement - Le système d’IA devrait satisfaire à des obligations spécifiques en termes de journalisation ;
- transparence - Le système d’IA devrait faire l’objet d’une notice d’information détaillée et accessible ;
- contrôle humain - Le contrôle humain vise à prévenir ou à réduire au minimum les risques pour la santé, la sécurité ou les droits fondamentaux qui peuvent apparaître lorsqu’un système d’IA à haut risque est utilisé ;
- exactitude, robustesse et cybersécurité - La conception et le développement des systèmes d’IA à haut risque sont tels qu’ils leur permettent, compte tenu de leur destination, d’atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de manière cohérente à cet égard tout au long de leur cycle de vie. Les informations concernées sont mentionnées dans la notice d’utilisation.
Lire aussi : Accaparés par la transformation numérique, les services IT misent sur l'IA générative
Autres obligations
Le chapitre 3 du règlement impose une kyrielle d’autres obligations propres à certaines catégories d’acteurs : les fournisseurs, notamment, soumis à une obligation de mise en œuvre d’un système de gestion de la qualité, mais aussi des obligations propres aux fabricants, aux importateurs, aux distributeurs ou aux utilisateurs.
Le titre IV crée quant à lui des obligations particulières concernant certains systèmes d’IA. On mentionnera par exemple l’obligation particulière d’informer l’humain qui est face à une IA qui interagit avec lui, ou l’information sur les contenus ressemblants (appelés "hypertrucages").
Il faut enfin préciser, mais cela mériterait sans doute un article à part entière, l’ensemble des mesures de gouvernance de l’IA, aussi bien au niveau national qu’au niveau européen, et les dispositions particulières favorisant l’innovation.
Eric Barbry [Avocat Associé]
Équipe IP IT & Data [Racine avocats]