AI Act : Comprendre la nouvelle réglementation européenne sur l'IA

AI Act : Comprendre la nouvelle réglementation européenne sur l'IA

Jérémy Latorre Réglementation, Ia, Europe 3 novembre 2024 4 min de lecture

1. Contexte et objectifs

Pourquoi l’AI Act ? L’AI Act est la première réglementation complète au monde sur l’IA. Elle vise à :

  • Garantir la sécurité des systèmes d’IA pour les utilisateurs.
  • Protéger les droits fondamentaux (vie privée, non-discrimination).
  • Encourager l’innovation tout en limitant les risques.
  • Harmoniser les règles au sein de l’UE pour éviter la fragmentation du marché.

Champ d’application : S’applique à tous les acteurs (développeurs, fournisseurs, utilisateurs) qui mettent sur le marché ou utilisent des systèmes d’IA dans l’UE, quel que soit leur lieu d’établissement.

2. Classification des systèmes d’IA par niveau de risque

L’AI Act classe les systèmes d’IA en 4 catégories, selon leur niveau de risque pour les droits fondamentaux et la sécurité.

Niveau de risqueDescriptionExemplesObligations
InacceptableSystèmes interdits car contraires aux valeurs de l’UE- Systèmes de “social scoring” par les gouvernements
- IA manipulant le comportement humain		Interdiction totale
Haut risqueSystèmes pouvant impacter la sécurité, les droits fondamentaux ou l’environnement- IA dans les infrastructures critiques (énergie, transports)
- Recrutement, éducation, santé		- Évaluation de conformité stricte
- Documentation technique détaillée
- Enregistrement dans une base de données européenne
Risque limitéSystèmes avec des obligations de transparence- Chatbots, deepfakes, systèmes de reconnaissance d’émotionsInformations claires pour l’utilisateur (ex : “Ce contenu est généré par IA”)
Risque minimalSystèmes sans risque significatif- Jeux vidéo, filtres photo, recommandations de contenuAucune obligation spécifique (mais bonnes pratiques encouragées)

3. Obligations pour les acteurs concernés

Pour les développeurs/fournisseurs d’IA

Systèmes à haut risque :

  • Réaliser une évaluation de conformité avant mise sur le marché.
  • Tenir une documentation technique détaillée (données utilisées, algorithmes, résultats des tests).
  • Mettre en place un système de gestion des risques et de traçabilité.
  • Enregistrement dans la base de données européenne des systèmes d’IA à haut risque.
  • Surveillance post-commercialisation (signalement des incidents).

Transparence :

  • Pour les systèmes à risque limité (ex : chatbots), informer clairement les utilisateurs qu’ils interagissent avec une IA.

Pour les utilisateurs d’IA

  • Vérifier que les systèmes d’IA utilisés sont conformes à l’AI Act.
  • Signaler tout incident ou non-conformité aux autorités compétentes.

4. Gouvernance et sanctions

  • Autorités nationales : Chaque État membre désigne une autorité de surveillance (ex : en France, la CNIL pour les aspects liés à la protection des données).
  • Comité européen de l’IA : Coordination entre les États membres pour une application homogène.
  • Sanctions :
    • Amendes jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires mondial (le montant le plus élevé étant retenu) pour les infractions graves (ex : utilisation d’un système interdit).
    • Amendes proportionnelles pour les autres manquements (ex : 1,5% du CA pour des manquements à la documentation).

5. Calendrier d’application

  • 2024 : Adoption définitive du texte.
  • 2025 :
    • Application des interdictions pour les systèmes à risque inacceptable (6 mois après l’entrée en vigueur).
    • Obligations pour les systèmes à haut risque (12 à 24 mois après l’entrée en vigueur, selon les secteurs).
  • 2026-2027 : Pleine application pour tous les acteurs.

6. Exemples concrets d’application

Santé : Un hôpital utilisant une IA pour diagnostiquer des maladies devra :

  • Documenter les données d’entraînement et les biais potentiels.
  • Mettre en place un système de traçabilité des décisions.
  • Signaler tout incident (ex : erreur de diagnostic due à l’IA).

Recrutement : Une entreprise utilisant une IA pour trier des CV devra :

  • Évaluer les risques de discrimination.
  • Rendre compte de la méthodologie utilisée.
  • Permettre un recours humain en cas de décision contestée.

7. Liens avec d’autres cadres (ISO 42001, Charte IA Responsable)

Complémentarité :

  • L’AI Act fixe des règles obligatoires.
  • Les normes ISO 42001/42005 fournissent des bonnes pratiques pour se conformer (ex : mise en place d’un système de management de l’IA).
  • Les Chartes IA Responsable (ex : charte française) renforcent l’engagement éthique au-delà des obligations légales.

Synergies : Une organisation conforme à l’ISO 42001 aura plus de facilité à respecter l’AI Act, car elle aura déjà documenté ses processus et évalué ses risques.

8. Ressources utiles

  • Texte officiel : AI Act (UE 2024).
  • Guides pratiques :
    • Commission européenne : Fiches sectorielles (santé, transport, etc.).
    • Autorités nationales (ex : CNIL en France).
  • Outils :
    • Checklists de conformité.
    • Modèles de documentation technique.

9. Points de vigilance

  • Complexité : La classification des systèmes d’IA peut être subjective (ex : un chatbot peut être considéré comme “risque limité” ou “haut risque” selon son usage).
  • Évolution : L’AI Act sera régulièrement mis à jour pour s’adapter aux avancées technologiques.
  • Impact international : Bien que l’AI Act s’applique à l’UE, il influence les réglementations mondiales (effet “Brussels Effect”).
:
: