Aller au contenu principal

Artificial Intelligence Act : Que faut-il savoir ?

L'intelligence artificielle apporte des avantages économiques et sociétaux, mais génère aussi de nouveaux risques pour les individus. L’Artificial Intelligence Act présente une approche réglementaire européenne de l'IA basée sur les risques, sans entraver abusivement le développement technologique.

01

Que comprend le 'Artificial Intelligence Act' ?

Objectifs principaux

  • Veiller à ce que les systèmes d'IA mis sur le marché européen soient sûrs et respectent les droits fondamentaux des citoyens et les valeurs de l'UE
  • Garantir la sécurité juridique pour faciliter l'investissement et l'innovation dans l'IA

  • Renforcer la gouvernance et l'application effective de la législation existante sur les droits fondamentaux et les exigences de sécurité applicables aux systèmes d'IA

  • Faciliter le développement d'un marché unique pour les applications d'IA légales, sûres et dignes de confiance et prévenir la fragmentation du marché

Entreprises cibles

  • Les fournisseurs qui distribuent ou proposent des systèmes d'IA dans l'Union, que ces fournisseurs soient établis dans l'Union ou dans un pays tiers

  • Les utilisateurs de systèmes d'IA situés dans l'Union européenne

  • Les fournisseurs et utilisateurs de systèmes d'IA situés dans un pays tiers, où la solution produite par le système est utilisée dans l'Union

du chiffre d'affaires annuel mondial, c'est l'amende qui pourrait être donnée suivant les violations constatées. 

Les États membres sont responsables de la conception de leur régime de sanctions.

2, 4 ou 6%

Autorités de contrôle

  • EuropeComité européen de l'intelligence artificielle
     
  • France: A définir

 

Règlementations liées

Le règlement sur l'IA fait partie du paquet européen de réglementation sur les données et est donc lié au DSA, DGA, DMA, etc. mais aussi au RGPD.

Agenda: Artificial Intelligence Act
02

Focus et conséquences

Apports clés

Obligations basées sur des catégories de risques

Les obligations prévues par le texte dépendent du niveau de risque du système d'IA utilisé (non-acceptable, élevé ou non élevé) et de l'acteur concerné (fournisseur, distributeur, utilisateur, autres). Il existe également des obligations spécifiques pour les importateurs de systèmes d'IA à risque élevé dans l'UE.

Regulatory Sandboxes

Les autorités nationales compétentes peuvent mettre en place des « regulatory sandboxes » qui établissent un environnement contrôlé pour tester les technologies innovantes pendant une durée limitée. Ces sandboxes sont basées sur un plan d'essai convenu avec les autorités compétentes en vue d'assurer la conformité du système d'IA et d'accélérer l'accès aux marchés. Les PME et les start-ups peuvent y avoir un accès prioritaire.

Liste des systèmes d'IA à risque élevé

La liste des systèmes à risque élevé est définie et mise à jour par la Commission Européenne pour refléter l'évolution rapide des technologies.

Marqueur CE et enregistrement 

Le règlement sur l'IA crée un marqueur CE pour les systèmes d'IA à risque élevé. Ce marqueur est obligatoire et est fourni par des organismes désignés. Il existe également une obligation d'enregistrer les systèmes autonomes d'IA à risque élevé dans une base de données européenne.

Impacts

Pratiques interdites en matière d'intelligence artificielle

Les systèmes d'IA qui contreviennent aux valeurs de l'Union européenne en violant les droits fondamentaux sont interdits, tels que :

  • La manipulation inconsciente des comportements
  • L'exploitation des vulnérabilités de certains groupes pour influencer leur comportement
  • La notation sociale basée sur l'IA à des fins générales par les autorités publiques
  • L'utilisation de systèmes d'identification biométrique à distance "en temps réel" dans des espaces accessibles au public pour l'application de la loi (sauf exceptions)

Systèmes à risque élevé (définis et répertoriés par la commission européenne) 

Les entreprises sont soumises à plusieurs obligations liées à la documentation, au système de gestion des risques, à la gouvernance, à la transparence ou à la sécurité, en fonction de leur qualification (fournisseur, utilisateur, distributeur et autres tiers). Ces systèmes doivent également être déclarés à l'UE et porter un marquage CE. Voir page suivante.

Systèmes presentant des risques spécifiques 

Il s'agit des systèmes qui (i) interagissent avec les humains, (ii) sont utilisés pour détecter des émotions ou déterminer l'association avec des catégories (sociales) basées sur des données biométriques, ou (iii) générer ou manipuler du contenu (« deep fakes »). Pour ces systèmes, il existe une obligation d’information si le contenu est généré par des moyens automatisés ou non.

Systèmes sans risque élevé 

Création et application volontaires d'un code de conduite pouvant inclure des engagements relatifs à la durabilité environnementale, à l'accessibilité pour les personnes handicapées, à la participation des parties prenantes à la conception et au développement des systèmes d'IA et à la diversité des équipes de développement.

03

Comment les systèmes à haut risque seront-ils affectés ?

Systèmes à risque élevé

Il peut s’agir d’un composant de sécurité d'un produit ou un produit nécessitant une évaluation de conformité par un tiers conformément aux réglementations existantes (Dir 2009/48/EC sur la sécurité des jouets, Reg 2016/424/EU sur les téléphériques, etc)

Il peut également s’agir d’un système présent dans la liste fournie à l'annexe III du règlement :

  • Identification biométrique et catégorisation de personnes physiques

  • Gestion et exploitation des infrastructures critiques

  • Éducation et formation professionnelle

  • Emploi, gestion des travailleurs et accès au travail indépendant

  • Accès et jouissance des services privés essentiels et des services et avantages publics

  • Application de la loi

  • Gestion de la migration, de l'asile et contrôle aux frontières

  • Administration de la justice et processus démocratiques

NB: cette liste peut être régulièrement mise à jour par la Commission européenne

Exigences des systèmes

  • Système de gestion des risques 

Processus itératif continu exécuté tout au long du cycle de vie d'un système d'IA à risqué élevé (identification, évaluation des risques et adoption et test des mesures de remédiation des risques)

  • Précision, robustesse et cybersécurité

Mise en œuvre des mesures et information dans les instructions

  • Contrôle humain 

Assurer la surveillance par des personnes physiques pendant la période d'utilisation du système d'IA

  • Transparence et information des utilisateurs 

Conception transparente et instructions pour les utilisateurs

  • Tenue de registres d’activité 

Conception et développement permettant l'enregistrement automatique des événements

  • Documentation technique 

Démonstration de la conformité aux exigences du système d'IA à risqué élevé

  • Données et gouvernance des données

Formation, validation et test des ensembles de données répondant aux critères de qualité

Focus sur les systèmes à risque élevé

OBLIGATIONS DES FOURNISSEURS OBLIGATIONS DES DISTRIBUTEURS OBLIGATIONS DES UTILISATEURS
EXIGENCES GÉNÉRALES S'assurer que le système est conforme. Prendre les mesures correctives nécessaires si le système d'IA à risque élevé n'est pas conforme Pas de distribution d'un système à risque élevé non conforme et si le système d'IA à risque élevé est déjà sur le marché, prendre des mesures correctives Les conditions de stockage ou de transport ne doivent pas compromettre la conformité du système aux exigences Vérifier que le système IA à risque élevé porte le marquage de conformité CE requis S’assurer de la pertinence des données entrées dans le système Arrêter l'utilisation du système s'il est considéré comme présentant des risques pour la santé, la sécurité, pour la protection des droits fondamentaux, ou en cas d'incident grave ou de dysfonctionnement
PROCESSUS Disposer d'un système de gestion de la qualité (stratégie, procédures, ressources, etc.) Rédiger la documentation technique Évaluer la conformité Déclaration UE et marqueur CE Concevoir et développer des systèmes avec des capacités permettant l'enregistrement automatique des événements Conserver les journaux générés automatiquement par le système Mettre en place et documenter un système de suivi post-commercialisation Contrôle par des tiers: vérifier que le fournisseur et l'importateur du système sont en conformité vis-à-vis des obligations énoncées dans le présent règlement et que des mesures correctives ont été prises si besoin Conserver les journaux automatiquement générés par le système s'ils sont sous leur contrôle
TRANSPARENCE & INSTRUCTIONS Concevoir des systèmes transparents Rédiger un mode d'emploi S’assurer que le système d'IA est accompagné du mode d’emploi et de la documentation requise Obligation d'utiliser et de surveiller les systèmes en suivant les instructions d'utilisation accompagnant les systèmes
INFORMATION & INSCRIPTION Obligation d'informer les autorités nationales compétentes en cas de risques pour la santé, la sécurité, pour la protection des droits fondamentaux ou en cas d'incidents graves et de dysfonctionnements Enregistrer le système dans la base de données de l'UE Obligation d'informer le fournisseur / importateur d'un système à risque élevé non conforme et les autorités nationales compétentes Obligation d'informer le fournisseur / distributeur, ou l'autorité de surveillance du marché, si l'utilisateur n'est pas en mesure de joindre le fournisseur et que les systèmes présentent des risques pour la santé, la sécurité, pour la protection des droits fondamentaux des personnes concernées

Nous contacter

Sia Partners traite vos données personnelles afin de répondre à votre demande de contact. Vous disposez de droits sur vos données. Pour plus d’informations, nous vous invitons à consulter notre Politique de protection des données.