Le règlement sur l’intelligence artificielle, publié au Journal officiel de l’Union européenne le 12 juillet 2024, vise à encadrer l’utilisation des systèmes d’IA (SIA) au sein de l’Union européenne. Il impose des obligations aux fournisseurs et « déployeurs » de ces technologies, avec un accent particulier sur la sécurité, la transparence et la protection des droits fondamentaux.
Les SIA sont fondés sur un calcul de probabilités, et génèrent donc des biais et des fakes, attentatoires à la sécurité et à la transparence, au droit d’auteur et au droit au respect des données personnelles, d’où la nécessité de la règlementation, dont le respect constitue le césame pour accéder au marché européen.
Champ d’application
Le règlement s’applique à tous les systèmes d’IA mis sur le marché de l’UE ou utilisés au sein de l’Union, même si les opérateurs se trouvent hors de l’UE. Un système d’IA est défini comme un système automatisé capable de produire des résultats influençant des environnements physiques ou virtuels. Les exclusions concernent les systèmes utilisés à des fins militaires, ceux destinés à la recherche scientifique, ou encore les logiciels open source, sauf s’ils sont considérés à haut risque ou interdits.
Pratiques prohibées
Certaines pratiques d’IA sont jugées inacceptables et sont interdites par l’article 5 du règlement. Cela inclut
– l’utilisation de techniques subliminales,
– l’exploitation des vulnérabilités des personnes,
– la police prédictive,
– la reconnaissance émotionnelle dans certains contextes (éducation, travail),
– la notation sociale, qui pourrait entraîner un traitement discriminatoire,
– l’identification biométrique à distance en temps réel est autorisée uniquement sous des conditions strictes, par exemple dans le cadre de la lutte contre des infractions graves.
Systèmes d’IA à haut risque
Les systèmes d’IA classés comme étant à haut risque sont ceux qui posent un danger significatif pour la sécurité ou les droits fondamentaux. Ces systèmes, définis dans l’annexe III, incluent ceux utilisés dans des secteurs critiques comme la santé, la sécurité des produits ou les transports. Pour être mis sur le marché, ces SIA doivent respecter des exigences essentielles, notamment en matière de gestion des risques, de robustesse, de cybersécurité, et de transparence. Les déployeurs doivent veiller à ce que ces systèmes soient compréhensibles et sous contrôle humain.
Obligations des fournisseurs et autres acteurs
Les fournisseurs de systèmes d’IA ont des responsabilités importantes, comme s’assurer que leurs produits respectent les exigences du règlement, obtenir le marquage CE, et documenter les processus techniques (systèmes connexionistes fondés sur l’apprentissage et l’autogénération de règles, ou systèmes à règles prédéfinies dits « logiques »…)
Ils doivent aussi tenir des registres détaillés et signaler toute non-conformité. Les acteurs intervenant dans la chaîne de valeur, comme les distributeurs ou importateurs, sont soumis aux mêmes obligations s’ils modifient les systèmes ou les vendent sous leur propre nom.
Transparence et modèles à usage général, contre modèles à usage particulier
Le règlement impose des obligations spécifiques de transparence pour certains types de SIA, pour certains usages.
Les utilisateurs doivent être informés lorsqu’ils interagissent avec des systèmes comme les agents conversationnels.
Les contenus générés par IA, tels que les deepfakes, doivent être clairement identifiés.
Les modèles d’IA à usage général, qui peuvent être utilisés dans une grande variété de contextes, sont également soumis à des exigences plus strictes de documentation et de transparence, puisqu’ils ne peuvent être appréhendés par rapport à un usage particulier. Elles induisent un risque systémique dès 26 flops, et doivent de la transparence quand elles utilisent de l’open source.
Sanctions et application
Des amendes significatives sont prévues pour les violations du règlement, pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les infractions les plus graves. La plupart des dispositions entreront en vigueur en août 2026, mais certaines mesures, notamment celles concernant la transparence et transparence des sources, s’appliqueront dès 2025.
Des contraintes seront à respecter en matière de respect du droit d’auteur et des données personnelles. En matière de droit d’auteur, on distingue déjà les oeuvres générées par l’IA et les oeuvres réalisées avec l’assistance de l’IA. Débats passionnants à prévoir.
Comme tout le monde convoite le marché européen, les acteurs seront contraints de s’aligner sur la règlementation européenne.