Les obligations des fournisseurs de systèmes d'IA. Par Charlotte Galichet, Avocat.

Les obligations des fournisseurs de systèmes d’IA.

Par Charlotte Galichet, Avocat.

1730 lectures 1re Parution: 4.5  /5

Explorer : # transparence # gestion des risques # formation # conformité réglementaire

Ce que vous allez lire ici :

Les fournisseurs de systèmes d'IA doivent former leurs équipes, garantir la transparence vis-à-vis des utilisateurs et respecter des interdictions spécifiques. Pour les systèmes à haut risque, des obligations strictes incluent la gestion des risques, la documentation et la conformité. Ces exigences visent à assurer l'utilisation responsable de l'IA.
Description rédigée par l'IA du Village

Le règlement européen sur l’intelligence artificielle (IA Act du 13 juin 2024) établit un cadre juridique inédit pour réguler l’utilisation des systèmes d’IA (SIA) au sein de l’Union européenne, visant à garantir une utilisation éthique et sécurisée de ces technologies. Il s’applique à divers acteurs, et en premier lieu aux fournisseurs de ces systèmes. Ces derniers sont définis comme toute personne physique ou morale, autorité publique, agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit (article 3 du Règlement). Les développeurs sont donc confondus avec les fournisseurs.

-

Au sommaire de cet article...

1. Obligations générales des fournisseurs.

Formation.

Les fournisseurs de systèmes d’IA (comme les déployeurs de SIA) doivent prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des SIA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés (article 4 du Règlement).
Il en résulte une obligation pour les entreprises de former les développeurs et utilisateurs de SIA.

Transparence.

Les fournisseurs doivent informer les personnes physiques concernées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation (art 50.1).
Les fournisseurs de systèmes d’IA, y compris de systèmes d’IA à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, doivent veiller à ce que les sorties des systèmes d’IA soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA (art. 50.2).
L’information doit être fournie au plus tard au moment de la première interaction ou de la première exposition.

Interdictions.

Il est interdit de mettre en service ou d’utiliser un système d’IA qui a recours à des techniques subliminales, qui exploite les éventuelles vulnérabilités des personnes, qui évaluent ou classifient les personnes en fonction de leur comportement social ou de leurs caractéristiques personnelles, qui a pour but la reconnaissance faciale, la catégorisation biométrique etc (la liste des interdictions figure à l’article 5 du Règlement)

2. Obligations spécifiques pour les fournisseurs de systèmes d’IA à haut risque (SIAHR) (Voir l’article IA Act et systèmes d’IA à haut risque).

  • Respecter la législation d’harmonisation de l’Union dont la liste figure à la section A de l’annexe I (art 8).
  • Fournir une notice d’utilisation contenant des informations complètes (art 13) sur le fonctionnement du système pour permettre aux déployeurs d’interpréter les sorties du système et de les utiliser de manière appropriée. Les informations devant y figurer sont listées à l’article 13 du Règlement.
  • Etablir un système de gestion des risques, le mettre en œuvre, le documenter et le tenir à jour (art 9.1). Ce système consiste en un processus itératif qui se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui comprend :
    a) l’identification et l’analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination ;
    b) l’estimation et l’évaluation des risques susceptibles d’apparaître lorsque le SIAHR est utilisé conformément à sa destination et dans des conditions de mauvaise utilisation raisonnablement prévisible ;
    c) l’évaluation d’autres risques susceptibles d’apparaître, sur la base de l’analyse des données recueillies au moyen du système de surveillance visé à l’article 72 ;
    d) l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés en vertu du point a).

Dans ce cadre, les fournisseurs doivent veiller à :
a) éliminer ou réduire les risques identifiés autant que la technologie le permet grâce à une conception et à un développement appropriés du système d’IA à haut risque ;
b) mettre en œuvre, le cas échéant, des mesures adéquates d’atténuation et de contrôle répondant aux risques impossibles à éliminer ;
c) fournir aux déployeurs les informations requises conformément à l’article 13 et, éventuellement, une formation (art 9.5)

  • Mettre en place une procédure d’évaluation de conformité du système, avant sa mise sur le marché ou sa mise en service (art. 43).
  • Effectuer des tests des systèmes d’IA à haut risque afin de déterminer les mesures de gestion des risques les plus appropriées et les plus ciblées, à tout moment pendant le processus de développement et, en tout état de cause, avant leur mise sur le marché ou leur mise en service (art 9.6 à 9.8).
  • Assurer la qualité des jeux de données d’entraînement, de validation et de test (art 9.10). Par exemple, les fournisseurs doivent vérifier la finalité initiale de la collecte de données et prendre les mesures appropriées visant à détecter, prévenir et atténuer les éventuels biais repérés. Sur ce point, voir également l’article 10 du Règlement).
  • Rédiger une documentation technique relative au SIAHR avant que ce système ne soit mis sur le marché ou mis en service et le tenir à jour (art 11). Cette documentation contient, au minimum, les éléments énoncés à l’annexe IV du Règlement. A cette fin, la Commission établira un formulaire de documentation technique simplifié pour les petites entreprises.
  • Procéder à l’enregistrement automatique des événements (journaux) tout au long de la durée de vie du système (art 12). Les journaux sont conservés pendant une période adaptée à la destination du système d’IA à haut risque, d’au moins six mois, sauf disposition contraire dans le droit de l’Union ou le droit national applicable (art 19).
  • Permettre un contrôle effectif par des personnes physiques pendant la période d’utilisation du SIAHR, notamment au moyen d’interfaces homme-machine appropriées (art 14).
  • Pouvoir garantir que le SIAHR dispose d’un niveau approprié d’exactitude, de robustesse et de cybersécurité, de façon constante tout au long de son cycle de vie (art 15).
  • Autres obligations issues de l’article 16 du Règlement, imposées aux fournisseurs de SIAHR :
    • indiquer sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, leur nom, raison sociale ou marque déposée, l’adresse à laquelle ils peuvent être contactés ;
    • apposer le marquage CE sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant ;
    • à la demande motivée d’une autorité nationale compétente, prouver la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2 du Règlement ;
    • veiller à ce que le système d’IA à haut risque soit conforme aux exigences en matière d’accessibilité conformément aux directives (UE) 2016/2102 et (UE) 2019/882.
  • Mettre en place un système de gestion de la qualité garantissant le respect du Règlement. Ce système est documenté de manière méthodique et ordonnée sous la forme de politiques, de procédures et d’instructions écrites (art 17).
  • Coopérer avec les autorités compétentes concernées :
    • en tenant à leur disposition un certain nombre de documentation, listées à l’article 18, pendant 10 ans après la mise sur le marché ou la mise en service du SIAHR
    • en leur fournissant les informations demandées, y compris l’accès aux journaux générés automatiquement par le SIAHR (art. 21)
    • en les informant en cas de détection d’un risque et collaborer avec l’organisme ayant détecté le risque pour rechercher les causes (art. 20)
    • en leur signalant tout incident grave dans lesquels cet incident s’est produit (art 73).
  • Prendre les mesures correctives nécessaires pour mettre en conformité le SIAHR immédiatement si les déployeurs, le mandataire et les importateurs ont des raisons de considérer que le système mis sur le marché ou mis en service n’est pas conforme au présent règlement (art 19) ; puis le cas échéant, le retirer, le désactiver ou le rappeler, et informer les distributeurs.
  • Désigner un mandataire établi dans l’Union, par mandat écrit (pour les fournisseurs de SIAHR établis dans des pays tiers) et ce, avant de mettre le SIAHR à disposition sur le marché de l’Union (art 22).
  • Etablir une déclaration UE de conformité pour chaque système d’IA à haut risque et la conserver pendant une durée de dix ans à partir du moment où le système d’IA à haut risque a été mis sur le marché ou mis en service (art 47).
  • Organiser une procédure de surveillance après commercialisation les SIAHR (art. 72) après commercialisation pour les systèmes d’IA à haut risque.
  • Enregistrement du fournisseur et de son système dans la base de données de l’UE visée à l’article 71 du Règlement. Cette obligation est imposée aux systèmes d’IA à haut risque énuméré à l’annexe III (à l’exception des systèmes d’IA à haut risque visés à l’annexe III, point 2), et aux systèmes d’IA à propos duquel le fournisseur a conclu qu’il ne s’agissait pas d’un système à haut risque (article 49).

3. Obligations des fournisseurs de modèles d’IA à usage général.

Un modèle d’IA à usage général est un système d’IA capable d’exécuter une large gamme de tâches distinctes (reconnaissance de formes, traduction, création de contenus en texte, audio, images, ou vidéo). Il est formé à partir de grandes quantités de données via des méthodes d’auto-supervision à grande échelle et possède au moins un milliard de paramètres. Ces modèles sont conçus pour être intégrés dans divers systèmes ou applications en aval, préalables à la mise sur le marché.

Hormis pour les IA utilisées pour des activités de recherche, développement ou prototypage, les fournisseurs de modèle d’IA à usage général doivent élaborer et :

  • Tenir à jour la documentation technique du modèle, y compris son processus d’entraînement et d’essai et les résultats de son évaluation.
  • Tenir à jour et mettre à disposition des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA.
  • Mettre à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le Bureau de l’IA.

Obligations des fournisseurs de modèles d’IA à usage général présentant un risque systémique :

  • Un modèle d’IA à risque systémique est celui qui dispose de capacités à fort impact (c’est-à-dire lorsque la quantité cumulée de calcul utilisée pour son entraînement (mesurée en opérations en virgule flottante) est supérieure à 10. Le niveau d’impact est évalué sur la base de méthodologies et d’outils techniques appropriés, y compris des indicateurs et des critères de référence.
  • Le fournisseur concerné en informe la Commission sans tarder et, en tout état de cause, dans un délai de deux semaines après la date à laquelle ce critère est rempli ou après qu’il a été établi qu’il le sera.
  • Le fournisseur doit effectuer une évaluation de son modèle sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, y compris en réalisant et en documentant des essais contradictoires du modèle en vue d’identifier et d’atténuer les risques systémiques (art 55 1 a).
  • Les fournisseurs des modèles d’IA à risque ont enfin les mêmes obligations d’évaluation et de réduction des risques, documentation et coopération avec les autorités, et sont aussi soumis aux mêmes obligations de sécurité cyber que les fournisseurs de SIA à haut risque.

A noter.

  • Il existe des règles spécifiques pour les fournisseurs de systèmes d’IA destinés aux autorités publiques ou aux institutions, organes ou organismes de l’Union ou aux établissements financiers.
  • Il existe des règles spécifiques pour les SIA liés à la biométrie.

En conclusion, le règlement européen sur l’IA impose peu d’obligations aux fournisseurs de systèmes d’IA, sauf s’ils sont classifiés à haut risque ou à usage général présentant un risque systémique. Il est néanmoins évident que même les petits fournisseurs de SIA sans risque se verront imposées des mécanismes très contraignants par les sociétés utilisatrices.

Les exigences imposées aux fournisseurs de systèmes à risque sont en revanche très nombreuses. En comprenant ces exigences et en se conformant aux normes établies, les fournisseurs peuvent non seulement assurer la conformité légale mais aussi contribuer à une utilisation plus responsable et bénéfique de l’IA.

Charlotte Galichet
Avocat au Barreau de Paris
c.galichet chez avocatspi.com
www.avocatspi.com

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

2 votes

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

"Ce que vous allez lire ici". La présentation de cet article et seulement celle-ci a été générée automatiquement par l'intelligence artificielle du Village de la Justice. Elle n'engage pas l'auteur et n'a vocation qu'à présenter les grandes lignes de l'article pour une meilleure appréhension de l'article par les lecteurs. Elle ne dispense pas d'une lecture complète.

A lire aussi :

Explorer : # transparence # gestion des risques # formation # conformité réglementaire

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Intelligence Artificielle (IA)

La responsabilité du fait des choses à l’ère de l’IA : enjeux juridiques et perspectives réglementaires. Par Yasser Elkouri, Doctorant.

17 mars 2025

Conformité à l’AI Act : définition d’Intelligence Artificielle selon l’AI Act. Par Tommaso Stella, Avocat.

12 mars 2025

Retour sur les points clés de l’IA ACT avant la prochaine échéance du 2 août 2025 portant sur l’IA à usage général. Par Karim Amrar, Juriste.

10 mars 2025

Intérêt légitime, anonymat et modèles d’IA : guide pratique pour le développement et le déploiement à destination des non-juristes. Par Charlotte Gerrish, Avocat, Marina Danielyan et Abigail Lee, Juristes.

21 février 2025

La conformité au RGPD des IA génératives, un idéal impossible ? Par Lucie Chênebeau, Avocate et Sara D’Orio, Etudiante.

24 février 2025

Proposition de loi pour distinguer les contenus IA sur les réseaux sociaux : une approche extensive de la règlementation européenne. Par Raphaël Molina, Avocat.

3 février 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 320 membres, 27852 articles, 127 254 messages sur les forums, 2 750 annonces d'emploi et stage... et 1 600 000 visites du site par mois en moyenne. *


FOCUS SUR...

• Voici le Palmarès Choiseul "Futur du droit" : Les 40 qui font le futur du droit.

• L'IA dans les facultés de Droit : la révolution est en marche.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Collectif d'avocats et de médiateurs

 

Bien plus que du droit.

 

Association pour la prévention positive des cyberviolences

 

Réseau de professionnels du Droit

 

Cabinet d'Avocats

 

Réseau de cabinets d’avocats indépendants

 

Cabinet d'avocat

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

 

Facilite l'accès aux professions du Droit

 

Agir en faveur de l’accès au droit

Solutions

Previous Next

 

Solutions d'informations pour professionnels du droit.

 

Logiciels de conformité, risques et éthique

 

Destruction et recyclage de documents confidentiels

 

Association de gestion et de comptabilité pour Avocats

 

Créateur de confiance juridique

 

Aides et Conseils à l'installation des avocats.

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Traducteurs assermentés

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Logiciels pour professionnels du droit.

 

Editeur juridique

 

Lettre recommandée électronique

 

1er service entièrement en ligne pour externaliser vos appels

 

AI-powered Contract Management

 

Offres pour les métiers du droit

Formateurs

Previous Next

 

L’école des nouveaux juristes !

 

Cabinet juridique et organisme de formation

 

Formations courtes ou longues à destination des professionnels du droit

 

La Compétence juridique se recrute !

 

Formation, recherche et innovation

 

Se former aux métiers du Droit

 

Se former est une chance !

 

Des formations spécialisées

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Les coups de coeur des libraires juridiques (épisode 2).

Sélection Liberalis spécial Jour ferié : le Paradox Museum Paris.

Sélection Liberalis du week-end : L’art en mouvement à l’Atelier des Lumières.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Documentaire] Engagées, un an dans les coulisses du métier d’avocat.
- Comment bien utiliser le Village de la justice pour vos publications d’articles juridiques ?
- [Vidéo] Entretien avec Rémy Heitz, procureur général de la Cour de cassation dans l’émission Fenêtres sur cours.
- Dans les coulisses des directions juridiques de Decathlon et Bolloré Transport & Logistics.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.