Edition 2024 de l’Observatoire français des e…
L'intelligence artificielle apporte des avantages économiques et sociétaux, mais génère aussi de nouveaux risques pour les individus. L’Artificial Intelligence Act présente une approche réglementaire européenne de l'IA basée sur les risques, sans entraver abusivement le développement technologique.
Veiller à ce que les systèmes d'IA disponibles sur le marché européen soient sûrs et respectent les droits fondamentaux des citoyens et les valeurs de l'UE.
Garantir la sécurité juridique pour faciliter l'investissement et l'innovation dans l'IA.
Améliorer la gouvernance et l'application effective de la législation existante sur les droits fondamentaux et les exigences de sécurité pour les systèmes d'IA.
Faciliter le développement d'un marché unique pour les applications d'IA sûres, légales et fiables, et prévenir la fragmentation du marché.
Les fournisseurs qui distribuent ou utilisent des systèmes d'IA dans l'Union européenne, que ces fournisseurs soient établis dans l'Union ou dans un pays tiers (portée extraterritoriale) ;
Les déployeurs de systèmes d'IA situés dans l'Union européenne ;
Les fournisseurs et déployeurs de systèmes d'IA situés dans un autre pays si les résultats générés par le système sont destinés à être utilisés dans l'UE (portée extraterritoriale) ;
Les importateurs et les distributeurs de systèmes d'IA.
Jusqu'à 7 % du chiffre d'affaires annuel mondial total ou 35 millions d'euros, en fonction de l'infraction constatée. Les États membres sont responsables de l'élaboration de leurs propres régimes de sanctions.
Jusqu'à 7 % du chiffre d'affaires annuel mondial total ou 35 millions d'euros, en fonction de l'infraction constatée. Les États membres sont responsables de l'élaboration de leurs propres régimes de sanctions.
7%
Bureau européen de la Commission Artificielle
Autorités nationales à créer ou à nommer selon les pays
Le règlement sur l'IA fait partie du paquet européen de réglementation des données et est donc lié à la DSA, la DGA, la DMA, etc., mais aussi au GDPR et à la récente proposition de directive sur la responsabilité en matière d'IA.
13 mars 2024 : Vote parlementaire sur le texte
14 juin 2024 : Approbation par le Conseil européen
12 juillet 2024 : Publication au Journal officiel de l'UE
1er août 2024 : Entrée en vigueur
2 février 2025 : interdictions relatives aux risques inacceptables liés à l'IA (6 mois après l'entrée en vigueur)
2 août 2025 : entrée en vigueur des obligations pour les fournisseurs de modèles d'IA à usage général. Nomination des autorités compétentes des États membres. Révision annuelle par la Commission de la liste des IA interdites (modifications potentielles) (12 mois après l'entrée en vigueur).
2 février 2026 : la Commission met en œuvre l'acte sur la surveillance après la mise sur le marché (18 mois après l'entrée en vigueur).
2 août 2026 : les obligations entrent en vigueur pour les systèmes d'IA à haut risque énumérés à l'annexe III. Les États membres doivent avoir mis en œuvre les règles relatives aux sanctions, y compris les amendes administratives. Les autorités des États membres doivent avoir mis en place au moins un bac à sable réglementaire opérationnel en matière d'IA. Examen par la Commission de la liste des systèmes d'IA à haut risque et modification éventuelle de cette liste (24 mois après l'entrée en vigueur).
2 août 2027 : les obligations entrent en vigueur pour les systèmes d'IA à haut risque destinés à être utilisés comme composants de sécurité d'un produit. Les obligations entrent en vigueur pour les systèmes d'IA à haut risque dans lesquels l'IA elle-même est un produit et le produit doit faire l'objet d'une évaluation de la conformité par un tiers en vertu des lois spécifiques existantes de l'UE (36 mois après l'entrée en vigueur).
D'ici à la fin de 2030 : des obligations entrent en vigueur pour certains systèmes d'IA qui sont des composants des systèmes de technologie de l'information à grande échelle établis par la législation de l'UE dans les domaines de la liberté, de la sécurité et de la justice, tels que le système d'information Schengen.
Interdiction des systèmes d'IA présentant des risques intolérables (article 5).
Obligations accrues pour les systèmes d'IA à haut risque.
Obligations moins étendues pour les systèmes d'IA à usage général qui ne présentent pas de risques systémiques et pour les systèmes interagissant avec les êtres humains.
Réalisation d'analyses d'impact sur les droits fondamentaux pour certains systèmes à haut risque.
Les déployeurs sont désormais responsables de l'utilisation des systèmes d'IA : ils doivent mettre en place une surveillance humaine pour s'assurer que le système est utilisé de manière responsable et résoudre les problèmes éventuels. Les données utilisées par le système doivent être pertinentes et à jour.
Les fournisseurs doivent s'assurer que leurs systèmes d'IA sont conformes aux exigences de la loi sur l'IA, telles que la tenue d'une documentation technique détaillée et la fourniture d'informations claires sur les capacités, les limites et les performances du système.
Création d'un office européen de l'IA et d'autorités nationales de contrôle pour garantir la sécurité juridique en vérifiant la mise en œuvre effective de la réglementation et en sanctionnant les mauvaises pratiques.
Enregistrement des systèmes d'IA à haut risque dans une base de données européenne.
L'obtention d'un marquage CE sera nécessaire avant la mise sur le marché d'un système d'IA à haut risque.
Les autorités nationales peuvent mettre en place des « bacs à sable » réglementaires qui offrent un environnement contrôlé pour tester des technologies innovantes pendant une durée limitée. Ces bacs à sable sont basés sur un plan d'essai convenu avec les autorités compétentes afin de garantir la conformité du système d'IA innovant et d'accélérer l'accès au marché. Les PME et les start-ups peuvent y avoir accès en priorité.
Les systèmes d'IA qui contreviennent aux valeurs de l'Union européenne en violant les droits fondamentaux sont interdits :
La manipulation inconsciente du comportement ;
L'exploitation des vulnérabilités de certains groupes pour fausser leur comportement ;
La notation sociale basée sur l'IA à des fins générales par les autorités publiques ;
L'utilisation de systèmes d'identification biométrique à distance « en temps réel » dans des espaces accessibles au public pour l'application de la loi (avec des exceptions) ;
L'évaluation sociale, l'IA de type « dark pattern ».
Les entreprises sont soumises à plusieurs obligations liées à la documentation, aux systèmes de gestion des risques, à la gouvernance, à la transparence ou à la sécurité, en fonction de leur statut (fournisseur, utilisateur, distributeur et autres tiers). Ces systèmes doivent également être déclarés à l'UE et porter un marquage CE.
Il s'agit des systèmes qui (i) interagissent avec les humains, (ii) sont utilisés pour détecter des émotions ou déterminer l'association avec des catégories (sociales) sur la base de données biométriques, ou (iii) génèrent ou manipulent du contenu (« deep fakes »). Pour ces systèmes, il existe une obligation de divulguer si le contenu est généré par des moyens automatisés ou non.
Création et application volontaires d'un code de conduite qui peut inclure des engagements en matière de durabilité environnementale, d'accessibilité pour les personnes handicapées, de participation des parties prenantes à la conception et au développement des systèmes d'IA et de diversité des équipes de développement.
Les systèmes d'IA à usage général sont des systèmes d'IA qui ont un large éventail d'utilisations possibles, à la fois pour une utilisation directe et pour l'intégration dans d'autres systèmes d'IA. Ils peuvent être appliqués à de nombreuses tâches différentes dans des domaines variés, souvent sans modification ni ajustement substantiels. Contrairement à l'IA étroite, qui est spécialisée dans des tâches spécifiques, l'IA polyvalente peut apprendre, s'adapter et appliquer des connaissances à de nouvelles situations, faisant preuve de polyvalence, d'autonomie et de capacité à généraliser à partir d'expériences passées.
Impact de la loi sur l'IA sur les systèmes d'intelligence artificielle à usage général :
Des codes de conduite seront établis au niveau de l'Union européenne pour guider les fournisseurs dans l'application des règles relatives aux modèles d'intelligence artificielle à usage général (GPAI).
Risque systémique : Un modèle GPAI représente un risque systémique s'il s'avère qu'il possède des capacités à fort impact sur la base d'outils techniques et de méthodologies appropriés, y compris des indicateurs et des critères de référence.
Obligations spécifiques concernant les risques systémiques :
Notifier la Commission européenne en cas de risque systémique et atténuer ces risques dans la mesure du possible.
Effectuer l'évaluation des modèles conformément aux protocoles et outils normalisés.
Signaler les incidents graves aux autorités nationales et à l'Office AI.
Protection de la cybersécurité.
Obligations des prestataires :
Élaborer et tenir à jour la documentation technique du modèle et la partager avec d'autres fournisseurs s'ils souhaitent intégrer le modèle GPAI dans d'autres systèmes.
Établir une politique pour se conformer à la législation de l'UE en matière de droits d'auteur.
Publier un résumé détaillé du contenu utilisé pour la formation au modèle GPAI (sur la base du modèle fourni par l'Office AI).
Il s'agit notamment du composant de sécurité d'un produit ou d'un produit nécessitant une évaluation de la conformité par un tiers conformément aux réglementations existantes (Dir 2009/48/CE sur la sécurité des jouets, Reg 2016/424/EU sur les téléphériques, etc).
Elle inclut également les produits listés à l'annexe III :
Identification biométrique et catégorisation des personnes
Gestion et exploitation d'infrastructures critiques
Éducation et formation professionnelle
Emploi, gestion des travailleurs et accès au travail indépendant
Accès aux services privés essentiels et aux services et prestations publics, et jouissance de ces services et prestations
Application de la loi
Gestion des migrations, de l'asile et des contrôles aux frontières
Administration de la justice et processus démocratiques
Système de gestion des risques
Processus itératif continu mis en œuvre tout au long du cycle de vie d'un système d'IA à haut risque (identification, évaluation des risques, adoption et test des mesures de gestion des risques).
Précision, robustesse et cybersécurité
Mise en œuvre de mesures et d'informations dans les instructions
Surveillance humaine
Assurer une surveillance humaine pendant la période d'utilisation du système d'IA
Transparence et information des utilisateurs
Conception et instructions transparentes pour les utilisateurs
Tenue de registres
Conception et développement avec des capacités permettant l'enregistrement automatique des événements
Documentation technique
Démonstration de la conformité du système d'IA à haut risque avec les exigences.
Données et gouvernance des données
Formation, validation et test des ensembles de données pour s'assurer qu'ils répondent aux critères de qualité
OBLIGATIONS DES FOURNISSEURS | OBLIGATIONS DES DISTRIBUTEURS | OBLIGATIONS DES UTILISATEURS | |
---|---|---|---|
EXIGENCES GÉNÉRALES | S'assurer que le système est conforme. Prendre les mesures correctives nécessaires si le système d'IA à risque élevé n'est pas conforme | Pas de distribution d'un système à risque élevé non conforme et si le système d'IA à risque élevé est déjà sur le marché, prendre des mesures correctives Les conditions de stockage ou de transport ne doivent pas compromettre la conformité du système aux exigences Vérifier que le système IA à risque élevé porte le marquage de conformité CE requis | S’assurer de la pertinence des données entrées dans le système Arrêter l'utilisation du système s'il est considéré comme présentant des risques pour la santé, la sécurité, pour la protection des droits fondamentaux, ou en cas d'incident grave ou de dysfonctionnement |
Prendre les mesures correctives nécessaires si le système d'IA à haut risque n'est pas conforme. | Les conditions de stockage ou de transport ne doivent pas compromettre la conformité du système aux exigences. | ||
Vérifier que le système d'IA à haut risque porte la marque de conformité CE requise | |||
PROCESSUS | Disposer d'un système de gestion de la qualité (stratégie, procédures, ressources, etc.) | Contrôle par un tiers : pour vérifier que le fournisseur et l'importateur du système ont respecté les obligations énoncées dans le présent règlement et que des mesures correctives ont été prises ou sont en train de l'être. | Conserver les journaux générés automatiquement par le système s'ils sont sous leur contrôle. |
Rédiger la documentation technique | |||
Évaluation de la conformité Déclaration de l'UE et marquage CE | |||
Concevoir et développer des systèmes dotés de capacités d'enregistrement automatique des événements | |||
Gérer les journaux générés automatiquement par le système | |||
Établir et documenter un système de surveillance après la mise sur le marché | |||
TRANSPARENCE & INSTRUCTIONS | Concevoir des systèmes transparents | S'assurer que le système d'IA est accompagné d'un mode d'emploi et de la documentation nécessaire. | Obligation d'utiliser et de surveiller les systèmes en suivant les instructions d'utilisation qui les accompagnent |
Projet de mode d'emploi | |||
INFORMATION & INSCRIPTION | Obligation d'informer les autorités nationales compétentes en cas de risques pour la santé, la sécurité, la protection des droits fondamentaux ou en cas d'incidents et de dysfonctionnements graves. | Obligation d'informer le fournisseur/importateur d'un système à haut risque non conforme et les autorités nationales compétentes | Obligation d'informer le fournisseur/distributeur ou l'autorité de surveillance du marché si l'utilisateur ne peut pas joindre le fournisseur et si les systèmes présentent des risques pour la santé, la sécurité et la protection des droits fondamentaux des personnes concernées. |
Enregistrer le système dans la base de données de l'UE |
Nous nous appuyons sur des équipes d'experts très complémentaires pour vous proposer une conformité robuste, fiable et efficace, en adéquation avec vos objectifs stratégiques, votre utilisation de l'IA, vos processus internes et votre gouvernance. Nos consultants s'engagent à vous aider à gérer vos risques et à créer des synergies dans le cadre de vos projets d'IA.
Spécialistes de la conformité
Scientifiques des données
Experts en cybersécurité
Nous avons construit au fil des années des facilitateurs clés qui permettront d'accélérer le projet : cadre modulaire de gouvernance de l'IA, benchmark des meilleures pratiques du marché, modèles de cartographie des systèmes, automatisations d'évaluation du code, modules de formation matures, solutions personnalisées fonctionnelles au PoC, politiques, chartes et procédures standard, etc.
Grâce à notre vaste expérience dans l'accompagnement de nos clients en matière de gouvernance de l'IA et d'évaluation des risques liés à l'IA, notre équipe sera en mesure de s'approprier rapidement vos besoins spécifiques et de gagner du temps en interagissant efficacement avec vos data scientists.