Le règlement sur l’intelligence artificielle (IA) (« AI Act ») devrait bientôt être formellement adopté suite à l’approbation, ce 13 mars 2024, par le Parlement européen de l’accord politique intervenu avec le Conseil en décembre 2023.
Il s’agira de la première législation au monde encadrant l’IA !
Le Règlement IA a principalement pour objet de définir les règles applicables à la mise sur le marché et l’utilisation d’un système d’IA et d’interdire certaines pratiques en matière d’IA dont le risque est considéré comme inacceptable.
Comment déterminer si vos activités sont impactées par ces nouvelles règles ?
Deux questions devraient permettre à chaque entreprise d’évaluer l’impact du Règlement IA :
Utilisez-vous une ia soumise au règlement dans vos activités ?
Systèmes d’IA – approche fondée sur le risque
Le Règlement IA définit un système d’IA comme « un système basé sur une machine conçu pour fonctionner à différents niveaux d’autonomie, qui peut s’adapter après son déploiement et qui […] déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ».
Les systèmes d’IA à haut risque peuvent relever de deux catégories :
- les systèmes d’IA qui constituent un produit ou un composant de sécurité d’un produit faisant l’objet d’une évaluation de la conformité par un tiers conformément à certains actes législatifs UE (ex. dispositifs médicaux, machines, jouets)
- les systèmes d’IA relevant de certains domaines tels que l’éducation et la formation professionnelle, l’identification biométrique à distance, les infrastructures critiques (ex. électricité, eau, gaz), l’administration de la justice et les processus démocratiques)
Par exception, les systèmes d’IA qui ne posent pas un risque significatif de préjudice pour la santé, pour la sécurité ou pour les droits fondamentaux des personnes physiques et qui n’effectuent pas de profilage ne sont pas considérés comme des systèmes d’IA à haut risque. Tel serait par exemple le cas d’un système d’IA destiné à accomplir une tâche procédurale restreinte.
Systèmes et modèle d’IA à usage général
Un système d’IA à usage général est un « système d’IA basé sur un modèle d’IA à usage général, capable de répondre à des besoins variés, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA ».
Un modèle d’IA à usage général est quant à lui défini comme « un modèle d’IA, y compris lorsqu’il est entraîné à l’aide d’une grande quantité de données en utilisant l’auto-supervision à grande échelle, […] qui est capable d’exécuter avec compétence un large éventail de tâches distinctes, […] et qui peut être intégré dans une variété de systèmes ou d’applications en aval ».
Parmi les modèles d’IA à usage général, ceux qui ont des capacités d’impact élevées (c’est-à-dire une puissance de calcul utilisée dans leur entraînement supérieure à 10^25 FLOPs) sont qualifiés de modèles d’IA à usage général présentant un risque systémique.
Quelles sont vos activités relativement à ce système d’ia ?
Vous serez soumis aux exigences du Règlement IA dans l’un des cas suivants :
- en tant que fournisseur, si vous mettez sur le marché/en service dans l’Union européenne (UE) un système d’IA ou un modèle d’IA à usage général ;
- en tant que fournisseur établi/situé dans un pays tiers, si le système d’IA que vous mettez sur le marché/en service génère des résultats (output) qui sont utilisés dans l’UE ;
- en tant que déployeur, si vous utilisez sous votre propre autorité à des fins professionnelles un système d’IA et vous êtes établi/situé dans l’UE (ou si vous êtes établi en dehors de l’UE mais que les résultats (output) du système d’IA sont utilisés au sein de l’UE) ;
- en tant qu’importateur, si vous mettez sur le marché/en service dans l’UE un système d’IA sous le nom ou la marque d’un tiers établi hors de l’UE ;
- en tant que distributeur, si vous rendez disponible un système d’IA sur le marché de l’UE ;
- en tant que fabricant de produit, si vous mettez sur le marché/en service dans l’UE un système d’IA avec votre produit sous votre propre nom ou marque ;
- en tant que mandataire dans l’UE d’un fournisseur qui n’est pas établi dans l’UE, si vous êtes désigné comme tel par un fournisseur hors UE.
À quel type d’obligations serez-vous soumis ?
L’étendue et le type d’obligations auxquelles vous serez soumis dépendent de votre qualité (fournisseur, déployeur…) et de l’IA concernée.
Par exemple, en qualité de fournisseur de système d’IA à haut risque, vous devrez notamment établir une documentation technique et un système de gestion de la qualité, ou encore soumettre ce système à une évaluation de la conformité (réalisée par un tiers, le cas échéant).
En tant que déployeur d’un système générant ou manipulant du contenu (deep fake) par exemple, vous devrez indiquer que le contenu a été généré ou manipulé artificiellement.
À partir de quand ces nouvelles exigences seront applicables ?
Pour rappel, le Règlement IA n’a à ce jour pas encore été formellement adopté. Il n’est donc pas possible de déterminer la date précise à laquelle il sera applicable.
Une fois entré en vigueur, il est prévu que le Règlement soit applicable après 24 mois. Certaines dispositions seront quant à elles applicables de manière différée, notamment celles relatives aux systèmes d’IA à risque inacceptable (6 mois après l’entrée en vigueur) et aux modèles d’IA à usage général (12 mois après l’entrée en vigueur) et les obligations imposées aux systèmes d’IA à haut risque (36 mois après l’entrée en vigueur).
Notre conseil
L’adoption du Règlement IA approchant à grands pas, il est essentiel d’entamer votre processus de mise en conformité au plus vite. Les premiers acteurs présents sur le marché bénéficieront d’un avantage concurrentiel non négligeable. Notre équipe de spécialistes se tient à votre disposition pour répondre à vos questions et vous accompagner tout au long de ce processus.
