Contact

Trending

Artificial Intelligence Act : Que faut-il savoir ?

L'intelligence artificielle apporte des avantages économiques et sociétaux, mais génère aussi de nouveaux risques pour les individus. L’Artificial Intelligence Act présente une approche réglementaire européenne de l'IA basée sur les risques, sans entraver abusivement le développement technologique.

  1. Que comprend le 'Artificial Intelligence Act' ?
  2. Focus et conséquences
  3. Comment les systèmes à haut risque seront-ils affectés ?
  4. How can we help?
01

Que comprend le 'Artificial Intelligence Act' ?

Objectifs principaux

  • Veiller à ce que les systèmes d'IA mis sur le marché européen soient sûrs et respectent les droits fondamentaux des citoyens et les valeurs de l'UE

  • Garantir la sécurité juridique pour faciliter l'investissement et l'innovation dans l'IA

  • Renforcer la gouvernance et l'application effective de la législation existante sur les droits fondamentaux et les exigences de sécurité applicables aux systèmes d'IA

  • Faciliter le développement d'un marché unique pour les applications d'IA légales, sûres et dignes de confiance et prévenir la fragmentation du marché

Entreprises cibles

  • Les fournisseurs qui distribuent ou proposent des systèmes d'IA dans l'Union, que ces fournisseurs soient établis dans l'Union ou dans un pays tiers

  • Les utilisateurs de systèmes d'IA situés dans l'Union européenne

  • Les fournisseurs et utilisateurs de systèmes d'IA situés dans un pays tiers, où la solution produite par le système est utilisée dans l'Union

du chiffre d'affaires annuel mondial, c'est l'amende qui pourrait être donnée suivant les violations constatées. 

Les États membres sont responsables de la conception de leur régime de sanctions.

2, 4 ou 6%

Autorités de contrôle

  • EuropeComité européen de l'intelligence artificielle
     
  • France: A définir

 

Règlementations liées

Le règlement sur l'IA fait partie du paquet européen de réglementation sur les données et est donc lié au DSA, DGA, DMA, etc. mais aussi au RGPD.

Timeline

Key dates

  • 13 March 2024: Parliamentary vote on the text  

  • 14 June 2024: European Council endorsement  

  • 12 July 2024: Publication in the Official Journal of the EU  

  • 1 August 2024: Entry into force 

 

Progressive deadlines for compliance

  • 2 February 2025: Prohibitions on unacceptable AI risk (6 months after entry into force)  

  • 2 August 2025: Obligations enter into effect for providers of general-purpose AI models. Appointment of member state competent authorities. Annual Commission review of the list of prohibited AI (potential amendments (12 months after entry into force) 

  • 2 February 2026: Commission implements act on post-market monitoring (18 months after entry into force) 

  • 2 August 2026: Obligations go into effect for high-risk AI systems listed in Annex III. Member states to have implemented rules on penalties, including administrative fines. Member state authorities to have established at least one operational AI regulatory sandbox. Commission review, and possible amendment of, the list of high-risk AI systems (24 months after entry into force) 

  • 2 August 2027: Obligations go into effect for high-risk AI systems that are intended to be used as a safety component of a product. Obligations go into effect for high-risk AI systems in which the AI itself is a product and the product is required to undergo a third-party conformity assessment under existing specific EU laws (36 months after entry into force)  

  • By the end of 2030: Obligations go into effect for certain AI systems that are components of the large-scale information technology systems established by EU law in the areas of freedom, security and justice, such as the Schengen Information System.  

02

Focus et conséquences

Apports clés

Obligations basées sur des catégories de risques

Les obligations prévues par le texte dépendent du niveau de risque du système d'IA utilisé (non-acceptable, élevé ou non élevé) et de l'acteur concerné (fournisseur, distributeur, utilisateur, autres). Il existe également des obligations spécifiques pour les importateurs de systèmes d'IA à risque élevé dans l'UE.

Regulatory Sandboxes

Les autorités nationales compétentes peuvent mettre en place des « regulatory sandboxes » qui établissent un environnement contrôlé pour tester les technologies innovantes pendant une durée limitée. Ces sandboxes sont basées sur un plan d'essai convenu avec les autorités compétentes en vue d'assurer la conformité du système d'IA et d'accélérer l'accès aux marchés. Les PME et les start-ups peuvent y avoir un accès prioritaire.

Liste des systèmes d'IA à risque élevé

La liste des systèmes à risque élevé est définie et mise à jour par la Commission Européenne pour refléter l'évolution rapide des technologies.

Marqueur CE et enregistrement 

Le règlement sur l'IA crée un marqueur CE pour les systèmes d'IA à risque élevé. Ce marqueur est obligatoire et est fourni par des organismes désignés. Il existe également une obligation d'enregistrer les systèmes autonomes d'IA à risque élevé dans une base de données européenne.

Impacts

Pratiques interdites en matière d'intelligence artificielle

Les systèmes d'IA qui contreviennent aux valeurs de l'Union européenne en violant les droits fondamentaux sont interdits, tels que :

  • La manipulation inconsciente des comportements
  • L'exploitation des vulnérabilités de certains groupes pour influencer leur comportement
  • La notation sociale basée sur l'IA à des fins générales par les autorités publiques
  • L'utilisation de systèmes d'identification biométrique à distance "en temps réel" dans des espaces accessibles au public pour l'application de la loi (sauf exceptions)

Systèmes à risque élevé (définis et répertoriés par la commission européenne) 

Les entreprises sont soumises à plusieurs obligations liées à la documentation, au système de gestion des risques, à la gouvernance, à la transparence ou à la sécurité, en fonction de leur qualification (fournisseur, utilisateur, distributeur et autres tiers). Ces systèmes doivent également être déclarés à l'UE et porter un marquage CE. Voir page suivante.

Systèmes presentant des risques spécifiques 

Il s'agit des systèmes qui (i) interagissent avec les humains, (ii) sont utilisés pour détecter des émotions ou déterminer l'association avec des catégories (sociales) basées sur des données biométriques, ou (iii) générer ou manipuler du contenu (« deep fakes »). Pour ces systèmes, il existe une obligation d’information si le contenu est généré par des moyens automatisés ou non.

Systèmes sans risque élevé 

Création et application volontaires d'un code de conduite pouvant inclure des engagements relatifs à la durabilité environnementale, à l'accessibilité pour les personnes handicapées, à la participation des parties prenantes à la conception et au développement des systèmes d'IA et à la diversité des équipes de développement.

Focus: General Purpose AI Systems

General purpose AI systems are AI systems that have a wide range of possible uses, both for direct use and for integration into other AI systems. They can be applied to many different tasks in various fields, often without substantial modification and fine-tuning. Unlike narrow AI, which is specialized for specific tasks, general-purpose AI can learn, adapt, and apply knowledge to new situations, demonstrating versatility, autonomy, and the ability to generalize from past experiences.  

 

Impact of the AI Act on General Purpose AI systems:  

  • Codes of conduct will be established at the European Union level to guide suppliers in applying the rules regarding general-purpose artificial intelligence (GPAI) models.   

  • Systemic risk: A GPAI model represents a systemic risk if it is found to have high-impact capabilities based on appropriate technical tools and methodologies, including indicators and benchmarks.   

  • Specific obligations regarding systemic risks:  

    • Notify the European Commission in the event of systemic risk and mitigate such risks wherever possible.  
    • Perform model evaluation in accordance with standardized protocols and tools.  
    • Report serious incidents to national authorities and the AI Office. 
    • Cybersecurity protection. 

  • Providers' obligations:  

    • Develop and maintain model technical documentation and share it with other vendors if they wish to integrate the GPAI model into other systems.  

    • Establish a policy to comply with EU copyright law.  

    • Publish a detailed summary on the content used for training the GPAI model (based on the model provided by the AI Office).

03

Comment les systèmes à haut risque seront-ils affectés ?

Systèmes à risque élevé

Il peut s’agir d’un composant de sécurité d'un produit ou un produit nécessitant une évaluation de conformité par un tiers conformément aux réglementations existantes (Dir 2009/48/EC sur la sécurité des jouets, Reg 2016/424/EU sur les téléphériques, etc)

Il peut également s’agir d’un système présent dans la liste fournie à l'annexe III du règlement :

  • Identification biométrique et catégorisation de personnes physiques

  • Gestion et exploitation des infrastructures critiques

  • Éducation et formation professionnelle

  • Emploi, gestion des travailleurs et accès au travail indépendant

  • Accès et jouissance des services privés essentiels et des services et avantages publics

  • Application de la loi

  • Gestion de la migration, de l'asile et contrôle aux frontières

  • Administration de la justice et processus démocratiques

NB: cette liste peut être régulièrement mise à jour par la Commission européenne

Exigences des systèmes

  • Système de gestion des risques 

Processus itératif continu exécuté tout au long du cycle de vie d'un système d'IA à risqué élevé (identification, évaluation des risques et adoption et test des mesures de remédiation des risques)

  • Précision, robustesse et cybersécurité

Mise en œuvre des mesures et information dans les instructions

  • Contrôle humain 

Assurer la surveillance par des personnes physiques pendant la période d'utilisation du système d'IA

  • Transparence et information des utilisateurs 

Conception transparente et instructions pour les utilisateurs

  • Tenue de registres d’activité 

Conception et développement permettant l'enregistrement automatique des événements

  • Documentation technique 

Démonstration de la conformité aux exigences du système d'IA à risqué élevé

  • Données et gouvernance des données

Formation, validation et test des ensembles de données répondant aux critères de qualité

Focus sur les systèmes à risque élevé

OBLIGATIONS DES FOURNISSEURS OBLIGATIONS DES DISTRIBUTEURS OBLIGATIONS DES UTILISATEURS
EXIGENCES GÉNÉRALES S'assurer que le système est conforme. Prendre les mesures correctives nécessaires si le système d'IA à risque élevé n'est pas conforme Pas de distribution d'un système à risque élevé non conforme et si le système d'IA à risque élevé est déjà sur le marché, prendre des mesures correctives Les conditions de stockage ou de transport ne doivent pas compromettre la conformité du système aux exigences Vérifier que le système IA à risque élevé porte le marquage de conformité CE requis S’assurer de la pertinence des données entrées dans le système Arrêter l'utilisation du système s'il est considéré comme présentant des risques pour la santé, la sécurité, pour la protection des droits fondamentaux, ou en cas d'incident grave ou de dysfonctionnement
PROCESSUS Disposer d'un système de gestion de la qualité (stratégie, procédures, ressources, etc.) Rédiger la documentation technique Évaluer la conformité Déclaration UE et marqueur CE Concevoir et développer des systèmes avec des capacités permettant l'enregistrement automatique des événements Conserver les journaux générés automatiquement par le système Mettre en place et documenter un système de suivi post-commercialisation Contrôle par des tiers: vérifier que le fournisseur et l'importateur du système sont en conformité vis-à-vis des obligations énoncées dans le présent règlement et que des mesures correctives ont été prises si besoin Conserver les journaux automatiquement générés par le système s'ils sont sous leur contrôle
TRANSPARENCE & INSTRUCTIONS Concevoir des systèmes transparents Rédiger un mode d'emploi S’assurer que le système d'IA est accompagné du mode d’emploi et de la documentation requise Obligation d'utiliser et de surveiller les systèmes en suivant les instructions d'utilisation accompagnant les systèmes
INFORMATION & INSCRIPTION Obligation d'informer les autorités nationales compétentes en cas de risques pour la santé, la sécurité, pour la protection des droits fondamentaux ou en cas d'incidents graves et de dysfonctionnements Enregistrer le système dans la base de données de l'UE Obligation d'informer le fournisseur / importateur d'un système à risque élevé non conforme et les autorités nationales compétentes Obligation d'informer le fournisseur / distributeur, ou l'autorité de surveillance du marché, si l'utilisateur n'est pas en mesure de joindre le fournisseur et que les systèmes présentent des risques pour la santé, la sécurité, pour la protection des droits fondamentaux des personnes concernées
04

How can we help?

We rely on teams of highly complementary experts to offer you robust, reliable and effective compliance, in line with your strategic objectives, your use of AI and your internal processes and governance. Our consultants are committed to helping you manage your risks and create synergies as part of your AI projects. 

  • Compliance specialists 

  • Data Scientists  

  • Cybersecurity experts  

We have built over the years key enablers that will allow to accelerate the project: modular AI governance framework, benchmark of market best practices, system mapping templates, code assessment automations, mature training modules, custom solutions functional to the PoC, standard policies, charters and procedures, etc. 

Thanks to our extensive experience of supporting our customers in AI governance and AI risk assessment, our team will be able to quickly get to grips with your specific needs and save time in interacting effectively with your  data scientists. 

Contact us to find out how we can help

Sia Partners intègre ces données dans sa base de donnée client pour vous adresser des communications marketing (invitations à des évènements, newsletters et envoi de nouvelles offres commerciales).
Ces données seront conservées pendant 3 ans avant d'être supprimées et vous pouvez retirer à tout moment votre consentement au traitement de vos données.
Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, nous vous invitons à consulter notre Politique de protection des données.

CAPTCHA
Cette question sert à vérifier si vous êtes un visiteur humain ou non afin d'éviter les soumissions de pourriel (spam) automatisées.

Sia Partners traite vos données personnelles afin de répondre à votre demande de contact. Vous disposez de droits sur vos données. Pour plus d’informations, nous vous invitons à consulter notre Politique de protection des données.