L’AI Act est un Règlement européen visant à encadrer l’usage de l’intelligence artificielle (IA). Le 13 mars 2024, le Parlement européen a adopté un « Règlement établissant des règles concernant l’intelligence artificielle ». Sa publication reste attendue. Ce texte représentera la première loi sur l’IA au monde. Quels sont les enjeux ?
Article actualisé par son auteur en mars 2024.

Pourquoi une loi sur l’AI ?

Le développement actuel de l’AI permet aux organisations de gagner en efficacité, en automatisant certaines tâches et en analysant de grandes quantités de données.

Cependant, ces progrès s’accompagnent de risques. Le législateur européen propose l’AI Act avec l’ambition de promouvoir l’IA tout en encadrant son utilisation.

Quels sont les risques générés par l’IA ?

L’usage des systèmes d’IA (SIA) peut générer un ensemble de risques portant sur les droits fondamentaux. Par exemple : des erreurs, des biais cognitifs, de la discrimination ou des impacts sur la protection des données.

Que contient l’AI Act ?

L’approche de l’AI Act est fondée sur une identification de 4 niveaux de risques et d’obligations adaptées à ces niveaux. Les risques peuvent être qualifiés d’inacceptables (ex scoring social à usage général), élevés (ex : scoring bancaire), limités (ex : filtre anti-spam) ou minimaux.

Quelles sont les obligations pour fournisseurs et utilisateurs ?

Pour le fournisseur de SIA, ses obligations seront modulées en fonction des niveaux de risques :

• le risque inacceptable rend l’usage du SIA interdit,
• le risque élevé nécessite des mesures de mise en conformité du SIA by design, notamment l’enregistrement des activités, l’information des utilisateurs et une surveillance humaine,
• le risque limité engendre des mesures simplifiées.

Pour les utilisateurs, dès lors qu’il s’agit d’organisations, des obligations sont prévues par l’AI Act, comme le contrôle des données d’entrée, la conservation des journaux et la suspension de l’utilisation en cas de non-conformité.

A qui l’AI Act s’appliquera-t-il ?

Le Règlement sera applicable non seulement aux opérateurs de SIA (fournisseurs et utilisateurs) conçus au sein de l’Union européenne (UE) mais aussi à tout opérateur traitant sur le marché européen, même originaire d’un pays hors UE.

Quelles seront les sanctions ?

Les sanctions financières, en cas de non-conformité, pourront s’élever jusqu’à 30 millions d’euros ou 7% du chiffre d’affaires annuel consolidé. Pour réguler ces activités, le 24 janvier 2024, un régulateur européen a été désigné et des régulateurs nationaux seront nommés prochainement.

Quel est le calendrier ?

L’adoption de l’AI Act par le Parlement le 13 mars 2024, fait suite à une proposition du 4 avril 2021 largement discutée au sein de l’UE. Sa publication est attendue au Journal officiel européen. L’entrée en vigueur du texte est prévue en 2026, soit 2 ans et 20 jours après la date de publication. Il y aura des exceptions à ce calendrier, notamment les interdictions d’usage seront applicables 6 mois après la date d’entrée en vigueur.

Les organisations doivent maintenant anticiper l’application de l’AI Act et s’intéresser à la mise en conformité des systèmes d’IA qu’elles conçoivent et utilisent.

Sabine Marcellin, Juriste du numérique Chargée de cours de droit de l’IA à Kedge Business School Lieutenant-colonel (RC) de la Réserve citoyenne de la cyberdéfense de la Gendarmerie