Droit social et de l'activité professionnelle
Au terme d’un trilogue institutionnel, l'adoption du texte est intervenue le 8 décembre 2023 et les ajustements techniques de cohérence ont eu lieu au cours du mois de janvier 2024, pour aboutir à une version finalisée le 26 janvier 2024.
Cette règlementation, qui s’inscrit dans la stratégie numérique pour l’Europe, vise à encadrer une des technologies de rupture les plus impactantes de ces dernières années (voire décennies) et est notable à plusieurs égards.
Contrairement aux reproches habituellement formulés contre les textes visant à réguler a posteriori des technologies ou des usages déjà largement déployés en pratique, ce texte d’initiative européenne sera le premier texte contraignant d’envergure sur l’intelligence artificielle à être adopté dans le monde.
Les États-Unis disposent par comparaison de principes directeurs superficiels (Blueprint for an Artificial Intelligence Bill of Rights) et d’executive orders non contraignants.
Cette proposition de règlement est construite sur une approche par les risques inhérents aux technologies et usages qu’elle vise à encadrer.
Définition et Champ d’application
Un système d'IA est défini comme « un système basé sur une machine, conçu pour fonctionner avec différents niveaux d'autonomie, qui peut faire preuve d'adaptabilité après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels » (art.3). Les systèmes logiciels basés uniquement sur des règles définies par des humains sont expressément exclus du champ d’application du règlement.
Aux termes de cette définition, l'une des principales caractéristiques des systèmes d'IA est leur capacité d'inférence.
Cette inférence fait référence au processus d'obtention des résultats, tels que les prédictions, le contenu, les recommandations ou les décisions, qui peuvent influencer les environnements physiques et virtuels, et à la capacité des systèmes d'IA à dériver des modèles et/ou des algorithmes à partir d'entrées/données. Les techniques qui permettent l'inférence lors de la construction d'un système d'IA comprennent les approches d'apprentissage automatique qui apprennent à partir des données comment atteindre certains objectifs, et les approches basées sur la logique et la connaissance qui infèrent à partir de la connaissance codée ou de la représentation symbolique de la tâche à résoudre. La capacité d'un système d'IA à déduire va au-delà du traitement de base des données, permet l'apprentissage, le raisonnement ou la modélisation (considérant 6).
Les types de systèmes régulés ainsi définis, l'IA Act produit ses effets de manière extraterritoriale puisque les règles édictées s’appliquent à tout acteur qui fournit, distribue, déploie (voire utilise) des systèmes d'IA sur le territoire de l’Union Européenne.
Règles édictées et délais de mise en conformité
Dans son contenu, le règlement impose des obligations différentes selon les catégories auxquelles les systèmes d’IA appartiennent:
- Les systèmes d’IA à risque inacceptable sont purement interdits (scoring social à usage général) et encourent le plus haut niveau de sanctions: 35 millions d'€ ou 7% du chiffre d'affaires annuel mondial.
- Les systèmes d’IA à haut risque (traitement de données biométriques, santé, droits fondamentaux, infrastructures critiques, etc.) sont soumis à des prérequis contraignants, tels que l’enregistrement du système dans une base de données européenne et le marquage CE.
- Les systèmes d’IA à risques limités (deep fake à vocation artistique, chatbot, etc.) sont soumis à des obligations d’information transparente quant à l'utilisation du système.
- Les systèmes d'IA à risques minimes (jeux vidéo, filtres techniques, etc.) sont invités à se soumettre volontairement aux obligations prévues par le règlement.
Le délai de mise en conformité aux obligations découlant du règlement pour les acteurs concernés est par principe de 24 mois à compter de l’entrée en vigueur du règlement.
Les États membres bénéficient également de ce délai de 24 mois pour permettre une pleine efficacité de ces dispositions sur leur territoire. En particulier, ils doivent procéder à la désignation de l’autorité nationale en charge du suivi de cette réglementation (la CNIL en France), la mise en place du bac à sable règlementaire, et la pleine effectivité des sanctions.
Par exception, certaines obligations ont des échéances dérogatoires:
- 6 mois après l’entrée en vigueur, les interdictions relatives aux systèmes d’IA inacceptables produisent leurs effets.
- 9 mois pour la finalisation des codes de pratiques pour les modèles généraux (GPAI).
- La création de l’office européen de l’IA doit intervenir dans les 12 mois.
- Le délai de mise en conformité est porté à 36 mois pour les systèmes d'IA à haut risque destinés à être utilisés comme composants de sécurité d’un produit.
- Un délai de 4 ans est laissé aux systèmes d’IA déjà sur le marché au jour de l’entrée en application du règlement pour se conformer à ses obligations.
Évolutions technologiques et réglementaires
De nombreuses évolutions d’usages et de technologies ont été prises en compte au cours des discussions sur l’AI Act, en particulier les systèmes d'IA génératives et les modèles de langages à usage général.
C’est ainsi que la dernière mouture du texte intègre de nouvelles dispositions concernant les modèles d’IA à usage général ou GPAI et crée des obligations horizontales spécifiques, incluant la documentation technique et des évaluations de risques.
Face au constat que les systèmes de fondation présentent un risque systémique, la dernière version du texte a prévu un seuil quantitatif de classification des GPAI.
Le délai de mise en conformité aux obligations découlant du réglement pour les acteurs concernés est par principe de 24 mois à compter de l'entrée en vigueur du réglement.
La capacité de calcul, de même que le développement des technologies, augmentent toutefois de manière exponentielle, de sorte que le règlement prévoit une évaluation continue des règles applicables et impose une mise à jour périodique du règlement 3 ans après son entrée en application, puis tous les 4 ans.
Enfin, des précisions devront être apportées par les autorités dédiées, au premier lieu desquelles l’Office européen sur l'IA, pour permettre une compréhension opérationnelle des exigences règlementaires.
La mise en conformité des acteurs va ainsi nécessiter une prise en compte des contraintes réglementaires de l’IA Act, ainsi que des nombreux autres impératifs nationaux et européens, dès le stade de la conception des systèmes d’IA pour permettre de ne pas freiner l’innovation tout en maîtrisant les usages.
