Législation sur l’IA

Le règlement sur l’IA [règlement (UE) 2024/1689 établissant des règles harmonisées sur l’intelligence artificielle] est le tout premier cadre juridique complet en matière d’IA au monde. L’objectif des règles est de favoriser une IA digne de confiance en Europe.

La législation sur l’IA établit un ensemble clair de règles fondées sur les risques pour les développeurs et les déployeurs d’IA en ce qui concerne les utilisations spécifiques de l’IA. La législation sur l’IA fait partie d’un ensemble plus large de mesures visant à soutenir le développement d’une IA digne de confiance, qui comprend également le train de mesures sur l’innovation en matière d’IA, le lancement d’usines d’IA et le plan coordonné sur l’IA. Ensemble, ces mesures garantissent la sécurité, les droits fondamentaux et une IA centrée sur l’homme, et renforcent l’adoption, l’investissement et l’innovation dans l’IA dans l’ensemble de l’UE.

Afin de faciliter la transition vers le nouveau cadre réglementaire, la Commission a lancé le pacte sur l’IA, une initiative volontaire qui vise à soutenir la mise en œuvre future, à dialoguer avec les parties prenantes et à inviter les fournisseurs et les déployeurs d’IA d’Europe et d’ailleurs à se conformer à l’avance aux principales obligations de la législation sur l’IA. 

Pourquoi avons-nous besoin de règles sur l’IA?

La législation sur l’IA garantit que les Européens peuvent faire confiance à ce que l’IA a à offrir. Alors que la plupart des systèmes d’IA ne présentent aucun risque et peuvent contribuer à résoudre de nombreux défis sociétaux, certains systèmes d’IA créent des risques auxquels nous devons faire face pour éviter des résultats indésirables.

Par exemple, il est souvent impossible de savoir pourquoi un système d'IA a pris une décision ou une prédiction et pris une action particulière. Il peut donc devenir difficile d’évaluer si une personne a été injustement désavantagée, par exemple dans une décision d’embauche ou dans une demande de régime d’intérêt public.

Bien que la législation existante offre une certaine protection, elle est insuffisante pour relever les défis spécifiques que les systèmes d’IA peuvent poser.

Une approche fondée sur les risques

La législation sur l’IA définit quatre niveaux de risque pour les systèmes d’IA:

Risque inacceptable

Tous les systèmes d’IA considérés comme une menace manifeste pour la sécurité, les moyens de subsistance et les droits des personnes sont interdits. La législation sur l’IA interdit huit pratiques, à savoir:

1. manipulation et tromperie préjudiciables fondées sur l’IA
2. exploitation nocive des vulnérabilités fondée sur l’IA
3. notation sociale
4. Évaluation ou prévision des risques d’infraction pénale individuelle
5. grattage non ciblé de matériel internet ou CCTV pour créer ou développer des bases de données de reconnaissance faciale
6. la reconnaissance des émotions sur les lieux de travail et dans les établissements d’enseignement;
7. catégorisation biométrique pour déduire certaines caractéristiques protégées
8. identification biométrique à distance en temps réel à des fins répressives dans des espaces accessibles au public

Risque élevé

Les cas d’utilisation de l’IA qui peuvent présenter des risques graves pour la santé, la sécurité ou les droits fondamentaux sont classés comme étant à haut risque. Ces cas d'utilisation à haut risque comprennent:

• Composants de sécurité de l’IA dans les infrastructures critiques (par exemple, les transports), dont la défaillance pourrait mettre en danger la vie et la santé des citoyens
• Solutions d’IA utilisées dans les établissements d’enseignement, qui peuvent déterminer l’accès à l’éducation et le cours de la vie professionnelle d’une personne (par exemple, la notation des examens)
• Composants de sécurité des produits basés sur l’IA (par exemple, application de l’IA en chirurgie assistée par robot)
• Outils d’IA pour l’emploi, la gestion des travailleurs et l’accès au travail indépendant (par exemple, logiciels de tri de CV pour le recrutement)
• Certains cas d’utilisation de l’IA utilisés pour donner accès à des services privés et publics essentiels (par exemple, notation de crédit empêchant les citoyens d’obtenir un prêt)
• Systèmes d’IA utilisés pour l’identification biométrique à distance, la reconnaissance des émotions et la catégorisation biométrique (par exemple, système d’IA permettant d’identifier rétroactivement un voleur à l’étalage)
• Cas d’utilisation de l’IA dans les services répressifs susceptibles d’interférer avec les droits fondamentaux des personnes (par exemple, évaluation de la fiabilité des éléments de preuve)
• Cas d’utilisation de l’IA dans la gestion des migrations, de l’asile et des contrôles aux frontières (par exemple, examen automatisé des demandes de visa)
• Solutions d’IA utilisées dans l’administration de la justice et les processus démocratiques (par exemple, solutions d’IA pour préparer les décisions de justice)

Les systèmes d’IA à haut risque sont soumis à des obligations strictes avant de pouvoir être mis sur le marché:

• des systèmes adéquats d'évaluation et d'atténuation des risques
• haute qualité des ensembles de données alimentant le système afin de réduire au minimum les risques de résultats discriminatoires
• journalisation de l'activité pour assurer la traçabilité des résultats
• une documentation détaillée fournissant toutes les informations nécessaires sur le système et son objectif pour permettre aux autorités d’évaluer sa conformité;
• des informations claires et adéquates à l’intention du déployeur;
• mesures de surveillance humaine appropriées
• niveau élevé de robustesse, de cybersécurité et de précision

Risque limité

Il s’agit des risques associés à un besoin de transparence concernant l’utilisation de l’IA. La législation sur l’IA introduit des obligations de divulgation spécifiques afin de veiller à ce que les êtres humains soient informés lorsque cela est nécessaire pour préserver la confiance. Par exemple, lors de l’utilisation de systèmes d’IA tels que les chatbots, les humains devraient être informés qu’ils interagissent avec une machine afin de pouvoir prendre une décision en connaissance de cause.

En outre, les fournisseurs d’IA générative doivent veiller à ce que les contenus générés par l’IA soient identifiables. En outre, certains contenus générés par l’IA devraient être étiquetés de manière claire et visible, à savoir les faux profonds et les textes publiés dans le but d’informer le public sur des questions d’intérêt public.

Risque minimal ou nul

La législation sur l’IA n’introduit pas de règles pour l’IA qui est considérée comme présentant un risque minimal ou nul. La grande majorité des systèmes d’IA actuellement utilisés dans l’UE relèvent de cette catégorie. Cela inclut des applications telles que les jeux vidéo compatibles avec l'IA ou les filtres anti-spam.

Comment tout cela fonctionne-t-il dans la pratique pour les fournisseurs de systèmes d’IA à haut risque?

Comment tout cela fonctionne-t-il dans la pratique pour les fournisseurs de systèmes d’IA à haut risque?

Une fois qu’un système d’IA est sur le marché, les autorités sont chargées de la surveillance du marché, les déployeurs assurent la surveillance et le suivi humains, et les fournisseurs disposent d’un système de surveillance après commercialisation. Les fournisseurs et les déployeurs signaleront également les incidents graves et les dysfonctionnements.

Une solution pour une utilisation fiable des grands modèles d'IA

Les modèles d’IA à usage général peuvent accomplir un large éventail de tâches et deviennent la base de nombreux systèmes d’IA dans l’UE. Certains de ces modèles pourraient comporter des risques systémiques s'ils sont très performants ou largement utilisés. Afin de garantir une IA sûre et digne de confiance, la législation sur l’IA met en place des règles pour les fournisseurs de ces modèles. Cela inclut la transparence et les règles relatives au droit d'auteur. Pour les modèles qui peuvent comporter des risques systémiques, les fournisseurs devraient évaluer et atténuer ces risques.

Les règles du règlement sur l’IA relatives à l’IA à usage général entreront en vigueur en août 2025. Le Bureau de l’IA facilite l’élaboration d’un code de bonnes pratiques pour détailler ces règles. Le code devrait constituer un outil central permettant aux fournisseurs de démontrer le respect de la législation sur l’IA, en intégrant des pratiques de pointe. 

Gouvernance et mise en œuvre

Le Bureau européen de l’IA et les autorités des États membres sont responsables de la mise en œuvre, de la supervision et de l’application de la législation sur l’IA. Le comité de l’IA, le groupe scientifique et le forum consultatif orientent et conseillent la gouvernance de la législation sur l’IA. En savoir plus sur la gouvernance et l’application de la législation sur l’IA.  

Prochaines étapes

La législation sur l’IA est entrée en vigueur le 1er août 2024 et sera pleinement applicable deux ans plus tard, le 2 août 2026, à quelques exceptions près:

• interdictions et obligations en matière d’alphabétisation en matière d’IA entrées en vigueur le 2 février 2025
• les règles de gouvernance et les obligations applicables aux modèles d’IA à usage général deviennent applicables le 2 août 2025
• les règles applicables aux systèmes d’IA à haut risque – intégrés dans des produits réglementés – bénéficient d’une période de transition prolongée jusqu’au 2 août 2027;