La loi européenne sur l'IA : contexte, évolution et calendrier de mise en œuvre

La réglementation de l’IA est inévitable compte tenu des progrès réalisés et de l’intégration des systèmes d’IA dans pratiquement tous les aspects du monde moderne. Des juridictions clés, telles que l’Union européenne, ont déjà pris les devants en mettant en place des cadres législatifs destinés à instaurer un ordre indispensable dans ce qui a été qualifié de « Far West » du secteur technologique, et bien d’autres suivront à mesure que le besoin d’une surveillance au niveau gouvernemental se fera de plus en plus pressant.  

La loi européenne sur l'IA
La loi européenne sur l'IA est un texte législatif historique qui vise à établir un cadre juridique complet régissant l'utilisation et le développement de l'IA dans tous les États membres. Élément essentiel de la stratégie numérique globale de l'UE, cette loi reflète une approche proactive face aux défis éthiques, sociétaux et techniques posés par les technologies d'IA en pleine évolution.

Cette loi, adoptée par les législateurs européens le 13 mars 2024, vise à créer un environnement propice au développement des technologies d’IA, afin de stimuler l’innovation et la croissance économique tout en veillant à ce que ces avancées profitent à l’ensemble des citoyens et soient conformes à l’intérêt général. Elle permettra également aux Européens d’avoir confiance dans ce que l’IA a à offrir.  

La loi européenne sur l'IA permettra :

• Traiter les risques spécifiquement liés aux applications d'IA. 
• Interdire les pratiques en matière d'IA qui présentent des risques inacceptables. 
• Établir une liste des applications à haut risque. 
• Définir des exigences claires pour les systèmes d'IA destinés à des applications à haut risque. 
• Définir des obligations spécifiques pour les exploitants et les fournisseurs d'applications d'IA à haut risque. 
• Mettre en place des mesures de contrôle après la mise sur le marché d’un système d’IA donné. 
• Mettre en place une structure de gouvernance aux niveaux européen et national. 
• Exiger une évaluation de la conformité avant la mise en service d'un système d'IA.  
   

Une approche de la gouvernance de l’IA fondée sur les risques
Le cadre réglementaire établi par la loi sur l’IA (AI Act) introduit le principe selon lequel plus le risque présenté par un système d’IA est élevé, plus la réglementation à laquelle il est soumis est stricte. Cette approche garantit que les systèmes d’IA susceptibles d’avoir un impact significatif sur la société ou les individus font l’objet d’une surveillance et d’un contrôle plus rigoureux.

L'un des aspects clés de la loi sur l'IA consiste à classer certaines applications d'IA comme présentant un risque inacceptable, ce qui revient à en interdire l'utilisation au sein de l'Union européenne. Cette catégorie comprend les applications d'IA qui :

• Manipuler le comportement humain au point de causer un préjudice aux individus. Il s'agit de systèmes conçus pour influencer des actions ou des décisions susceptibles de nuire à leur bien-être ou à leur autonomie. 
• Favoriser une évaluation défavorable des individus sur la base de leur comportement social ou de leurs caractéristiques personnelles. Le système de crédit social mis en place en Chine en est un excellent exemple : il restreint les libertés et les opportunités d’une personne en fonction de son statut social, déterminé par son comportement et d’autres traits de personnalité. 
• Permettre la détection à distance et en temps réel de personnes se trouvant dans des espaces publics, ainsi que leur identification biométrique, sans leur consentement. Bien que de telles pratiques soient généralement interdites en raison de leur caractère intrusif, la loi prévoit des exceptions à des fins de prévention du terrorisme ou d’enquête sur des crimes graves, reconnaissant ainsi l’équilibre entre les préoccupations en matière de vie privée et les besoins en matière de sécurité. 
   

Tous les systèmes d’IA considérés comme une menace pour la sécurité, les moyens de subsistance et les droits des personnes seront interdits. Crédit image : Commission européenne
Les systèmes d’IA identifiés comme présentant un risque élevé comprendront ceux utilisés dans des domaines clés tels que les infrastructures critiques (par exemple, les transports), l’enseignement ou la formation professionnelle (par exemple, la notation des examens), les composants de sécurité des produits (par exemple, l’IA en chirurgie assistée par robot) et l’emploi (par exemple, les logiciels de tri de CV). Les systèmes d’IA à haut risque seront soumis à des obligations strictes avant de pouvoir être mis sur le marché :

• Des systèmes adéquats d'évaluation et d'atténuation des risques. 
• Enregistrement des activités afin de garantir la traçabilité des résultats. 
• Des informations claires et suffisantes pour la personne chargée du déploiement. 
• Des mesures de contrôle humain appropriées afin de minimiser les risques. 
• Un haut niveau de fiabilité, de sécurité et de précision. 
• Une documentation détaillée fournit toutes les informations relatives au système et à sa finalité, afin de permettre aux autorités d'évaluer sa conformité. 
   

Par ailleurs, les systèmes d’IA considérés comme présentant un risque limité seront soumis à des obligations spécifiques en matière de transparence afin de garantir que les utilisateurs soient informés lorsque cela s’avère nécessaire. Lors de l’utilisation d’un chatbot, par exemple, les utilisateurs devront être informés qu’ils interagissent avec une machine afin de pouvoir décider en toute connaissance de cause s’ils souhaitent continuer à utiliser le système. Les prestataires devront également veiller à ce que le contenu généré par l’IA soit identifiable.

Les systèmes d'IA présentant un risque minime ne feront l'objet d'aucune restriction et pourront être utilisés librement. Cela inclut des applications telles que les jeux vidéo basés sur l'IA ou les filtres anti-spam.

Qui sera concerné ?
La loi européenne sur l’IA concernera principalement les fournisseurs, dont la définition large englobe toutes les entités juridiques — qu’il s’agisse d’autorités publiques, d’institutions, d’entreprises ou d’autres organismes — qui développent des systèmes d’IA ou commandent leur développement. Cette définition large garantit que toute organisation impliquée dans la mise sur le marché européen de technologies d’IA ou dans la mise en service de tels systèmes au sein de l’Union relève du champ d’application de la loi. Les responsabilités des fournisseurs au titre de la loi comprennent, sans s’y limiter :

• Respect des droits de l'homme : veiller à ce que leurs systèmes d'IA ne portent pas atteinte aux droits fondamentaux des personnes, notamment la protection de la vie privée, la non-discrimination et la protection des données à caractère personnel. 
• Gestion des risques : mener des évaluations approfondies des risques afin d’identifier et d’atténuer tout préjudice potentiel que leurs systèmes d’IA pourraient causer aux individus ou à la société.
  Mesures de transparence : fournir des informations claires et compréhensibles sur le fonctionnement de leurs systèmes d’IA, la logique qui sous-tend les décisions prises par l’IA et les implications de leur utilisation. 
• Normes de qualité et de sécurité : respecter les normes de qualité et de sécurité prédéfinies qui garantissent que les systèmes d'IA sont fiables, sécurisés et adaptés à l'usage auquel ils sont destinés. 
   

La loi européenne sur l'IA aborde également les responsabilités des utilisateurs de systèmes d'IA, qu'il s'agisse de personnes morales ou de personnes physiques. Cela étend le champ d'application de la loi aux particuliers, et non plus uniquement aux entreprises ou aux organisations.  

En vertu de cette loi, les utilisateurs de systèmes d'IA sont tenus de :

• Utilisez les systèmes d'IA de manière responsable : respectez les instructions et les recommandations du fabricant pour une utilisation conforme et sûre des technologies d'IA. 
• Suivi et signalement : Assurer le suivi des performances des systèmes d'IA en service et signaler tout dysfonctionnement ou risque rencontré aux autorités compétentes ou aux fournisseurs concernés. 
• Gouvernance des données : veiller à ce que toutes les données utilisées dans le cadre des systèmes d'IA soient traitées conformément à la législation européenne stricte en matière de protection des données, telle que le RGPD, afin de protéger la vie privée et les données personnelles des individus. 
   

Quel sera le champ d'application de la loi européenne sur l'IA ?
La loi sur l'IA est un texte législatif historique qui portera sur plusieurs domaines clés liés au déploiement et à l'exploitation des systèmes d'IA.  

Éthique et responsabilité
Les systèmes d'IA sont susceptibles d'avoir un impact considérable sur la société, tant positif que négatif. Les considérations éthiques sont primordiales, car les décisions prises par ces systèmes peuvent avoir des répercussions sur la vie, les moyens de subsistance et les droits des personnes.  

La loi sur l'IA vise à garantir que l'IA soit développée et utilisée de manière éthique, dans le respect des droits de l'homme et de la sécurité des personnes. Elle insiste sur la nécessité de concevoir les systèmes d'IA selon une approche centrée sur l'humain, en accordant la priorité au bien-être humain et aux normes éthiques.

Transparence et responsabilité
L’un des défis posés par les systèmes d’IA, en particulier ceux fondés sur l’apprentissage automatique et l’apprentissage profond, réside dans leur nature de « boîte noire ». Cette opacité peut rendre difficile la compréhension du processus décisionnel, ce qui soulève des inquiétudes quant à l’équité, aux biais et à la discrimination.  

La loi sur l'IA impose une plus grande transparence et une documentation plus complète concernant les systèmes d'IA, en exigeant des explications sur leur fonctionnement, la logique qui sous-tend leurs décisions et les données qu'ils utilisent. Cela est essentiel pour renforcer la responsabilité et garantir que les systèmes d'IA ne perpétuent ni n'aggravent les inégalités sociales.

Compétitivité
Dans la course mondiale au progrès technologique, l’Union européenne entend se positionner comme un leader en matière d’innovation éthique dans le domaine de l’IA. En établissant des règles claires et harmonisées pour l’IA, la loi sur l’IA vise à créer un environnement stable et prévisible, propice à l’investissement et à la recherche dans les technologies d’IA.  

Cette clarté réglementaire vise à renforcer la compétitivité des entreprises européennes sur la scène internationale, en leur permettant d'innover tout en respectant des normes éthiques et de sécurité élevées.

Confiance des utilisateurs finaux
L'acceptation et la confiance du public envers les technologies d'IA sont essentielles à leur adoption généralisée et à leur succès. La loi sur l'IA vise à renforcer la confiance du public dans les systèmes d'IA en mettant en place des garanties solides, des normes éthiques et des exigences de transparence.  

Veiller à ce que les technologies d'IA soient utilisées de manière à protéger la société et à lui apporter des avantages devrait renforcer la confiance des citoyens, ce qui est essentiel pour intégrer l'IA dans divers aspects de la vie quotidienne et de l'économie.

La réglementation en matière d’IA dans d’autres juridictions
L’Union européenne n’est pas la seule à s’efforcer de réglementer l’IA : les États-Unis et le Royaume-Uni ont également réalisé des progrès significatifs dans la mise en place de politiques nationales.

En Californie, où sont implantés des leaders du secteur de l’IA tels qu’OpenAI, Microsoft et Google, un projet de loi a récemment été déposé dans le but d’établir « des normes de sécurité claires, prévisibles et fondées sur le bon sens pour les développeurs des systèmes d’IA les plus vastes et les plus puissants », en adoptant une approche qui se concentre spécifiquement sur les entreprises développant les modèles à très grande échelle et sur le risque qu’elles puissent causer des dommages à grande échelle si elles ne font l’objet d’aucun contrôle.  

Par ailleurs, la loi locale n° 144 de la ville de New York, adoptée en 2021 et applicable aux employeurs utilisant des systèmes automatisés de sélection des candidats (AEDT) pour évaluer ces derniers, impose la réalisation d'un audit visant à détecter les biais dans les processus de recrutement automatisés.  

Des mesures sont également prises au niveau fédéral. En octobre, le président Biden a publié un décret visant à établir de nouvelles normes en matière de sûreté et de sécurité de l'IA. Ce décret prévoit les mesures suivantes :

• Les développeurs des systèmes d'IA les plus puissants doivent communiquer au gouvernement américain les résultats de leurs tests de sécurité ainsi que d'autres informations essentielles.  
• Élaborer des normes, des outils et des tests permettant de garantir que les systèmes d'IA sont sûrs, sécurisés et fiables.  
• Se prémunir contre les risques liés à l'utilisation de l'IA pour mettre au point des matières biologiques dangereuses. 
• Protéger les Américains contre la fraude et la tromperie liées à l'IA en établissant des normes et des bonnes pratiques pour détecter les contenus générés par l'IA et authentifier les contenus officiels. 
• Mettre en place un programme de cybersécurité de pointe visant à développer des outils d'intelligence artificielle permettant de détecter et de corriger les vulnérabilités des logiciels critiques. 
• Ordonner l'élaboration d'un mémorandum sur la sécurité nationale qui définisse les mesures à prendre en matière d'intelligence artificielle et de sécurité. 
   

Parallèlement, les législateurs britanniques élaborent également leurs propres règles. Le gouvernement britannique a publié en mars 2023 son livre blanc sur l’IA, qui présente ses propositions visant à réglementer l’utilisation de l’IA au Royaume-Uni. Ce livre blanc s’inscrit dans la continuité du document d’orientation sur la réglementation de l’IA, qui exposait la vision du gouvernement britannique concernant l’avenir d’un régime réglementaire « favorable à l’innovation » et « adapté au contexte » en matière d’IA au Royaume-Uni.

Le Livre blanc propose une approche différente de celle de la loi européenne sur l'IA en matière de réglementation de l'IA. Plutôt que d'introduire de nouvelles règles générales pour réglementer l'IA au Royaume-Uni, le gouvernement britannique cherche à définir des orientations pour le développement de l'IA en collaboration avec les autorités de régulation existantes, telles que la Financial Conduct Authority, et à leur donner les moyens de réglementer l'utilisation de l'IA dans le cadre de leurs compétences respectives.  

Interactions entre la loi européenne sur l’IA et le RGPD de l’UE
Lorsque la loi européenne sur l’IA entrera en vigueur, elle figurera parmi les premières et les plus importantes réglementations au monde en matière d’IA. Cela a naturellement amené à s’interroger sur ses implications pour le règlement général sur la protection des données (RGPD), entré en vigueur en 2018.

La loi sur l’IA et le RGPD diffèrent quant à leur champ d’application. La loi sur l’IA s’applique aux prestataires, aux utilisateurs et aux acteurs de l’ensemble de la chaîne de valeur de l’IA, tandis que le RGPD s’applique de manière plus restreinte à ceux qui traitent des données à caractère personnel ou proposent des biens ou des services, y compris des services numériques, à des personnes concernées au sein de l’UE. Les systèmes d’IA qui ne traitent pas de données à caractère personnel ne relèveront donc pas du RGPD.  

Il convient toutefois de nuancer ce propos. L’une des divergences potentielles entre la loi sur l’IA et le RGPD réside dans l’obligation faite aux fournisseurs de systèmes d’IA de faciliter la supervision humaine. Cependant, les mesures à prendre pour y parvenir n’ont pas encore été définies, pas plus que le degré de supervision humaine requis pour des systèmes d’IA spécifiques. Cela pourrait impliquer que les systèmes d’IA ne soient pas considérés comme partiellement automatisés ; par conséquent, les obligations prévues à l’article 22 pourraient s’appliquer.  

La loi sur l’IA souligne également que les fournisseurs de systèmes d’IA à haut risque pourraient être amenés à traiter des catégories particulières de données à caractère personnel à des fins de surveillance et de détection des biais. Il est intéressant de noter que la loi sur l’IA ne prévoit pas explicitement de base légale pour cela, et que les dispositions du RGPD constituent une zone d’ombre lorsqu’elles sont appliquées dans ce contexte.  

Il pourrait exister une base juridique valable pour éviter les biais dans les données et la discrimination en vertu de la disposition relative à l’intérêt légitime prévue à l’article 6, paragraphe 1, point f), mais lors du traitement de catégories particulières de données, il faut également respecter une exception prévue à l’article 9, paragraphe 2. Cela signifie qu’un simple intérêt légitime ne suffit pas. Bien qu’en théorie, les opérateurs de systèmes puissent obtenir le consentement explicite des personnes concernées pour traiter des données afin d’éliminer les biais, cela n’est tout simplement pas réalisable.

Voici deux exemples de points de friction potentiels qui pourraient surgir entre la loi européenne sur l'IA et le RGPD. Ces deux cadres juridiques constituent des dispositifs complexes, dont le champ d'application, les définitions et les exigences diffèrent, ce qui posera des défis en matière de conformité et de cohérence, auxquels il faudra remédier.

Quand la loi sur l'IA entrera-t-elle en vigueur ?
La loi sur l'IA devait initialement entrer en vigueur en 2022, mais, comme c'est souvent le cas avec des projets législatifs d'une telle envergure, elle a connu des contretemps.  

L'UE a officiellement approuvé la loi sur l'IA le 13 mars 2024, lorsque les députés européens ont voté en faveur de son adoption, avec une majorité de 523 voix pour et 461 voix contre. Le Conseil européen devrait désormais entériner officiellement le texte final de la loi sur l'IA en avril 2024. Une fois cette dernière étape formelle franchie et les travaux linguistiques sur la loi sur l’IA achevés, celle-ci sera publiée au Journal officiel de l’UE et entrera en vigueur 20 jours après sa publication.

Une fois que la loi sur l'IA sera entrée en vigueur, les organisations disposeront d'un délai compris entre six et 36 mois pour se conformer à ses dispositions, en fonction du type de système d'IA qu'elles développent ou déploient :

• 6 mois pour les systèmes d'IA interdits ; 
• 12 mois pour les obligations spécifiques relatives aux systèmes d'IA à usage général ; 
• 24 mois pour la plupart des autres engagements, y compris les systèmes à haut risque visés à l'annexe III ; et 
• 36 mois pour les obligations relatives aux systèmes à haut risque visés à l'annexe II. 
   

Alors que cette législation historique est en passe d'entrer en vigueur, les entreprises doivent en comprendre les implications et se préparer aux changements qu'elle entraînera. Cette préparation implique plusieurs mesures clés visant à garantir la conformité et à tirer parti des opportunités qu'un environnement d'IA bien réglementé peut offrir.

Tout d’abord, les entreprises devraient procéder à un examen approfondi de leurs systèmes et applications d’IA existants. Cet audit devrait viser à identifier les domaines dans lesquels leur technologie pourrait ne pas être conforme à la future réglementation. Étant donné que la loi sur l’IA met l’accent sur les niveaux de risque, il est essentiel de comprendre où se situe chaque système en termes d’impact potentiel sur les droits et la sécurité des personnes. Les entreprises pourraient devoir modifier ou supprimer certaines fonctionnalités d’IA relevant des catégories à haut risque ou jugées inacceptables au regard de la loi.

Les entreprises doivent également s'attacher à mettre en place des processus internes solides garantissant la transparence et la responsabilité lors de l'utilisation de l'IA. Cela implique d'adopter des pratiques de documentation transparentes, de veiller à ce que les processus décisionnels basés sur l'IA soient explicables, et de mettre en place des mécanismes de suivi et de compte rendu concernant les performances et l'impact de l'IA.