IA Act : La légalisation européenne sur l’intelligence artificielle

Publié le 16 septembre 2024 par Baptiste Soleil.

Bien qu’étant une discipline scientifique depuis bientôt 70 ans, l’intelligence artificielle est devenue seulement récemment une notion connue publiquement, notamment avec la commercialisation des premiers modèles d’intelligence artificielle générative grand public (Chat GPT en 2022, Google Gemini en 2023…).

Afin de ne pas être dépassée par cette évolution, toujours en continuant son orientation de protection des citoyens européens face aux enjeux numériques, l’Union européenne a donc adopté une législation pionnière le 13 juin 2024. Le règlement sur l’intelligence artificielle ou IA Act, est un règlement européen posant un cadre normatif général sur la discipline en s’axant sur 2 objectifs : La protection des citoyens contre les dérives possibles et la création d’un terrain fertile à l’innovation afin de faire de l’Europe un acteur majeur de l’innovation.

Une nomenclature par le risque

Afin de permettre une régulation efficace du domaine, le règlement fixe 4 différentes catégories d’intelligence artificielle en fonction du risque qu’elles peuvent représenter pour les personnes. On vérifiera notamment que le modèle fait intervenir une confirmation humaine (pour éviter des décisions entièrement automatisées) ou encore le niveau d’impact que cette décision aura sur la vie de la
personne concernée.

Risque inacceptable : modèles interdits
Haut risque : obligations renforcées, notamment un examen préalable de conformité
Risque limité à important : obligation de transparence
Risque minime : aucune obligation spécifique

Les modèles d’intelligence artificielle interdits

La 1ère catégorie regroupe les modèles les plus dangereux pour les individus, et qui sont donc interdits par l’Union européenne. Parmi eux, on retrouve les algorithmes de notation sociale comme celui utilisé en Chine, des modèles manipulant le comportement humain ou exploitant des personnes particulièrement vulnérables. On peut aussi citer les modèles de déduction d’émotions sur le lieu de travail ainsi qu’un certain nombre de modèles utilisant les données biométriques (données relatives à la caractérisation physique de la personne, ADN, forme du visage, empreintes digitales…) dans divers objectifs précis tel que le classement des individus.
Le cas des caméras à reconnaissance biométrique est particulier. En effet, bien qu’annoncée comme prohibée, cette catégorie d’intelligence artificielle fait l’objet d’un certain nombre d’exceptions permettant son utilisation (sous réserve d’un examen préalable de conformité).

Les obligations des fournisseurs en fonction du modèle

De la même manière que le RGPD, le RIA responsabilise les fournisseurs (développeurs) de modèles d’intelligence artificielle en leur imposant un certain nombre d’obligations en fonction de la catégorie.
Prenons trois exemples de systèmes, du moins risqué au plus risqué, pour comprendre les obligations qui s’y appliquent :

On peut d’abord envisager le cas de l’utilisation de l’IA dans un jeu vidéo à des fins de simulation. Ce modèle ne traite aucune donnée à caractère personnel et le fournisseur n’est soumis à aucune obligation spécifique.
Ensuite, une intelligence artificielle de chatbot (discussion entre l’utilisateur et le modèle) sera soumise à plusieurs obligations similaires au RGPD (transparence sur la collecte des données et l’utilisation qui en est faite). Parmi les chatbot d’IA, Chat GPT et Google Gemini font l’objet d’un régime spécifique puisqu’ils sont caractérisés par le RIA comme des modèles dits à « usage général » qui s’illustrent par la diversité de leurs fonctions. Ces derniers sont donc soumis à des obligations renforcées comme la fourniture d’une documentation technique.
Enfin, prenons l’exemple d’un modèle plus risqué tel qu’un système d’intelligence artificielle qui évaluerait les compétences de candidats dans le cadre d’une offre d’emploi. Ce modèle serait considéré à haut risque parce qu’il collecte un nombre conséquent de données personnelles, qu’il n’y a aucune intervention humaine dans le processus de décision, et que cette décision a un impact important sur les personnes concernées. Pour ces IA, les obligations sont renforcées avec la nécessité d’une analyse d’impact sur les droits fondamentaux des personnes, ainsi qu’une analyse de la conformité préalable à la mise sur le marché du modèle.

Qui pour contrôler l’IA Act ?

Le texte ne prévoit pas quelles entités seront chargées de vérifier l’application du règlement. Le 16 juillet 2024 le CEPD (comité européen de la protection des données) a donc adopté une déclaration dans laquelle les autorités de protection des données indiquent vouloir être chargées de contrôler la conformité des systèmes d’intelligence artificielle à haut risques et les dispositions de l’IA Act.

Calendrier de mise en place

Le RIA est entré en vigueur le 1er aout 2024. Cependant l’Union Européenne échelonne son applicabilité pour laisser le temps aux acteurs du marché de préparer leur conformité :
• 2 février 2025 (6 mois) : interdiction des systèmes de première catégorie (risques inacceptables)
• 2 août 2025 (12 mois) : Conformité des modèles d’IA à usage général (type chat GPT)
• 2 août 2026 (24 mois) : Conformité des systèmes de deuxième catégorie (Haut risque)

Image de présentation créée par un logiciel d’intelligence artificielle

Rédigé par

Baptiste Soleil

DPO/Consultant en protection des données