Entrée en vigueur de la législation sur l’IA

Règlement (UE) 2024/1689 établissant des règles harmonisées en matière d’intelligence artificielle

Le 1er août 2024, la législation sur l’IA (« AI Act ») : règlement (UE) 2024/1689 établissant des règles harmonisées en matière d’intelligence artificielle, publié dans le JOUE le 12 juillet 2024, est entrée en vigueur.

Afin de veiller à ce que les systèmes d’IA mis sur le marché respectent les droits fondamentaux, les valeurs de l’Union européenne, l’Etat de droit et la durabilité environnementale, le RIA classe les systèmes d’IA en 4 catégories suivantes en fonction des degrés de risque de porter atteinte aux principes fondamentaux :

1) IA interdits (Article 5)

Le RIA interdit les pratiques suivantes :

• système d’IA qui a recours à des techniques subliminales ou à des techniques délibérément manipulatrices ou trompeuses, pour altérer substantiellement le comportement d’un individu (ou d’un groupe) en portant considérablement atteinte à sa capacité à prendre une décision éclairée,

• système d’IA qui exploite les éventuelles vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’un individu (ou d’un groupe) pour altérer substantiellement le comportement de cet individu d’une manière qui lui cause un préjudice important,

• systèmes d’IA pour l’évaluation ou la classification de personnes en fonction de leur comportement social ou de caractéristiques personnelles ou de personnalité connues, pouvant entraîner un traitement préjudiciable de personnes, dans certains contextes, injustifié ou disproportionné,

• système d’IA pour mener des évaluations des risques des personnes physiques visant à évaluer ou à prédire le risque qu’une personne physique commette une infraction pénale,

• systèmes d’IA qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance,

• systèmes d’IA pour inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement (sauf pour des raisons médicales ou de sécurité),

• systèmes de catégorisation biométrique qui catégorisent individuellement les individus sur la base de leurs données biométriques (sauf dans le domaine répressif),

• systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives (sauf pour des raisons de sécurité : recherche de victimes de la criminalité ; prévention d’une menace spécifique, substantielle et imminente pour la vie ou la sécurité des personnes ou prévention d’une attaque terroriste ; recherche d’auteurs des infractions pénales les plus graves).

2) IA à haut risque (Article 6)

Le RIA définit les systèmes d’IA répertoriés dans l’un des domaines suivants comme les systèmes d’IA à haut risque :

• Biométrie (ex. systèmes d’identification biométrique à distance, reconnaissance des émotions) ;
• Infrastructures critiques (du trafic routier ou de la fourniture d’eau, de gaz, de chauffage ou d’électricité)
• Éducation et formation professionnelle (ex. l’admission, l’évaluation des acquis d’apprentissage, l’évaluation du niveau d’enseignement)
• Emploi, gestion de la main-d’œuvre et accès à l’emploi indépendant (ex. le recrutement, la promotion, l’attribution des tâches, l’évaluation des performances)
• Accès et droit aux services privés essentiels et aux services publics et prestations sociales essentiels (ex. l’évaluation de l’éligibilité des personnes physiques aux prestations et services d’aide sociale essentiels, l’évaluation des risques en matière d’assurance)
• Répression
• Migration, asile et gestion des contrôles aux frontières
• Administration de la justice et processus démocratiques (ex. ex. systèmes pour influencer le résultat d’une élection ou d’un référendum ou le comportement électoral de personnes physiques dans l’exercice de leur vote lors d’élections ou de référendums)

Les systèmes d’IA à haut risque sont soumis à des obligations strictes avant de pouvoir être mis sur le marché (Section 2 du RIA). Ces obligations comprennent la mise en place des systèmes de gestion des risques, de la qualité élevée des ensembles de données alimentant le système, de la documentation technique, de l’enregistrement automatique des événements (journaux), de la transparence d’informations aux déployeurs, du contrôle humain et du haut niveau de robustesse, de sécurité et de précision.

3) IA à risque spécifique

La législation sur l’IA introduit des obligations de transparence spécifiques pour veiller à ce que les êtres humains soient informés lorsque cela est nécessaire (Chapitre IV).

Exemple :

• Les fournisseurs doivent veiller à ce que les systèmes d’IA destinés à interagir directement avec des personnes physiques (ex. chatbots) soient conçus et développés de manière que les personnes physiques concernées soient informées qu’elles interagissent avec un système d’IA.

• Les fournisseurs de systèmes d’IA, y compris de systèmes d’IA à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, veillent à ce que les sorties des systèmes d’IA soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA.

• Les déployeurs d’un système d’IA qui génère ou manipule des textes publiés dans le but d’informer le public sur des questions d’intérêt public indiquent que le texte a été généré ou manipulé par une IA.

4) IA à risque minimal

Tous les autres systèmes d’IA qui n’entrent pas dans les catégories mentionnées ci-dessus ne sont soumis à aucune restriction ni obligation obligatoire. Ce sont par exemple les jeux vidéo compatibles avec l’IA ou les filtres anti-spam.

Le RIA prévoit des sanctions suivantes selon leur gravité (article 99) :

• Le non-respect de l’interdiction des pratiques de l’article 5 fait l’objet d’amendes administratives de 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total de l’entreprise concernée réalisé au cours de l’exercice précédent ;

• La non-conformité avec les obligations autres que l’interdiction de l’article 5 fait l’objet d’une amende administrative de 15 millions d’euros ou 3 % du chiffre d’affaires annuel mondial total de l’entreprise concernée réalisé au cours de l’exercice précédent ;

• La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes compétents fait l’objet d’une amende administrative pouvant aller jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial total de l’entreprise concernée réalisé au cours de l’exercice précédent.

La sanction retenue est celle dont le montant est le plus élevé.

Le RIA crée le Comité européen de l’intelligence artificielle (ci-après dénommé «Comité IA»), composé des représentants de chaque Etat membre, qui conseille et assiste la Commission et les États membres afin de faciliter l’application cohérente et efficace du présent règlement (article 65).

Les dispositions du RIA seront pleinement applicables 2 ans après son entrée en vigueur (2 août 2026), mais les dispositions suivantes seront applicables plut tôt :

• Les dispositions relatives aux systèmes d’IA interdits entreront en vigueur le 2 février 2025; et
• Les dispositions relatives aux règles de gouvernance et aux obligations relatives aux modèles d’IA à usage général entreront en vigueur le 2 août 2025.

Par exception, les dispositions relatives aux règles relatives aux systèmes d’IA à haut risque figurant dans l’Annexe I du RIA (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.) entreront en vigueur le 2 août 2027, soit 36 mois après l’entrée en vigueur du RIA.

 

 

Plus d'actualités