ADOPTION DE L’ARTIFICIAL INTELLIGENCE ACT PAR LE PARLEMENT EUROPEEN : QUE RETENIR ?

Le mercredi 14 juin 2023, le Parlement européen a adopté le Artificial Intelligence Act (« AI Act »), un règlement régulant le développement et l’utilisation de l’intelligence artificielle (IA) au sein de l’Union européenne. Ce texte, qui détiendrait le record d’amendements législatifs, est désormais en discussion entre les Etats membres devant le Conseil. L’objectif est d’arriver à un accord d’ici la fin de l’année.

 

Si la date d’entrée en vigueur de cet AI Act demeure incertaine, les entreprises engagées dans le secteur de l’IA ont tout intérêt à anticiper cette future réglementation.

 

Quelles sont les principales mesures ?

 

Les objectifs

 

Le règlement permet d’harmoniser les législations des Etats membres relatives aux systèmes d’IA et offre ainsi une sécurité juridique favorable à l’innovation et aux investissements dans ce domaine. Le texte se veut ainsi protecteur mais équilibré afin de ne pas freiner le développement de l’innovation nécessaire pour relever les défis à venir (lutte contre le changement climatique, l’environnement, la santé). A l’instar du règlement général sur la protection des données (RGPD), dont on retrouve tout au long des articles la même logique, l’AI Act se pose comme une référence mondiale.

 

Le champ d’application est d’ailleurs volontairement large afin d’éviter tout contournement de la règlementation. Il s’applique ainsi tant aux fournisseurs de l’IA (qui développent ou font développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous leur propre nom ou leur propre marque) qu’aux utilisateurs (qui utilisent sous leur propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel).

 

Concrètement, il s’applique :

  • aux fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union ;
  • aux utilisateurs de systèmes d’IA situés dans l’Union ;
  • aux fournisseurs et aux utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.

Une approche fondée sur les risques

 

L’intelligence artificielle est définie comme la capacité à générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions qui influencent l’environnement avec lequel le système interagit, que ce soit dans une dimension physique ou numérique.

Le règlement adopte une approche fondée sur les risques et introduit une distinction entre les utilisations de l’IA.

 

 

En ce qui concerne les systèmes d’IA à haut risque :

 

Les exigences minimales suivantes doivent être respectées :

 

  • Etablir un système de gestion des risques : ce système consiste en un processus itératif continu qui se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui devra périodiquement faire l’objet d’une mise à jour méthodique.
  • Assurer la qualité des jeux de données: les jeux de données d’entraînement, de validation et de test devront satisfaire aux critères de qualité et devront notamment être pertinents, représentatifs, exempts d’erreurs et complets. L’objectif est notamment d’éviter les « discriminations algorithmiques ».
  • Formaliser une documentation technique : une documentation technique contenant toutes les informations utiles à l’évaluation de la conformité d’un système d’IA à haut risque devra être établie avant que ce système ne soit mis sur le marché ou mis en service et tenue à jour.
  • Prévoir une traçabilité : la conception et le développement des systèmes d’IA à haut risque devront prévoir des fonctionnalités permettant l’enregistrement automatique des événements (« journaux ») pendant le fonctionnement de ces systèmes.
  • Fournir une informationtransparente : les systèmes d’IA à haut risque seront accompagnés d’une notice d’utilisation contenant des informations relatives aux caractéristiques de l’IA (identité et coordonnées du fournisseur, caractéristiques, les capacités et les limites de performance du système d’IA, mesures de contrôle humain…) accessibles et compréhensibles pour les utilisateurs.
  • Prévoir un contrôle humain: un contrôle effectif par des personnes physiques devra être prévu pendant la période d’utilisation du système d’IA.
  • Assurer la sécurité du système : la conception et le développement des systèmes d’IA à haut risque devront atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de manière cohérente à cet égard tout au long de leur cycle de vie.

Les obligations pèsent sur tous les acteurs de la chaine – le fournisseur, l’importateur comme le distributeur – de sorte que chacun devra prendre ses responsabilités et faire preuve d’une vigilance accrue.

 

  • Les fournisseurs devront notamment :

-démontrer le respect des exigences minimales suscitées en tenant une documentation technique ;

-soumettre leur système d’IA à une procédure d’évaluation de la conformité avant leur mise sur le marché ou leur mise en service ;

-prendre les mesures correctives nécessaires pour mettre en conformité le système d’IA, le retirer ou le rappeler ;

-coopérer avec les autorités nationales ;

-notifier les incidents graves et les dysfonctionnements touchant une IA à haut risque mise sur le marché aux autorités de surveillance de l’Etat membre où l’incident a eu lieu au plus tard 15 jours après que le fournisseur a eu connaissance de l’incident grave ou du dysfonctionnement.

 

A noter que ces obligations se répercutent également sur le fabricant du produit qui intègre un système d’IA à haut risque.

 

  • L’importateur d’un système d’IA à haut risque devra s’assurer que le fournisseur de ce système d’IA a suivi la procédure appropriée d’évaluation de la conformité, que la documentation technique est établie et que le système porte le marquage de conformité requis et est accompagné de la documentation et de la notice d’utilisation requises.
  • Les distributeurs devront également vérifier que le système d’IA à haut risque qu’ils entendent mettre sur le marché porte le marquage de conformité CE requis, qu’il est accompagné de la documentation et de la notice d’utilisation requises et que le fournisseur et l’importateur du système, selon le cas, ont respecté leurs obligations.

 

Contrôle de l’application des règles et gouvernance

 

Au niveau national, les États membres devront désigner une ou plusieurs autorités nationales compétentes et, parmi elles, l’autorité de contrôle nationale chargée de contrôler l’application et la mise en œuvre du règlement.

 

Un Comité européen de l’intelligence artificielle (composé des autorités de contrôle nationales) sera créé aux fins de fournir des conseils et une assistance à la commission européenne, notamment dans l’application cohérente du règlement au sein de l’Union.

 

Soutenir les PME et les start-ups via l’établissement de bacs à sable réglementaires sur l’IA et d’autres mesures visant à réduire la charge réglementaire.

 

Les bacs à sable réglementaires de l’IA offriront un environnement contrôlé qui facilitera le développement, la mise à l’essai et la validation de systèmes d’IA innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service conformément à un plan spécifique.

 

Sanctions

 

 L’AI Act prévoit trois plafonds de sanction selon la nature de l’infraction :

  • Des amendes administratives pouvant aller jusqu’à 30 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 6 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas de :

-non-respect de l’interdiction frappant les pratiques en matière d’intelligence artificielle ;

-non-conformité du système d’IA avec les exigences relatives aux critères de qualité des données.

  • La non-conformité du système d’IA avec les exigences ou obligations des autres dispositions de l’AI Act feront l’objet d’une amende administrative pouvant aller jusqu’à 20 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent
  • La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 10 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

 

 


Artcile rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.

Les influenceurs à l’épreuve de la réglementation

Téléchargez notre article en cliquant ici.

 

La loi n° 2023-451 du 9 juin 2023 visant à encadrer l’influence commerciale et à lutter contre les dérives des influenceurs sur les réseaux sociaux a été publiée au Journal Officiel le 10 juin.

 

Nouvelles définitions

 

La loi définit désormais les influenceurs comme « les personnes physiques ou morales qui, à titre onéreux, communiquent au public par voie électronique des contenus visant à faire la promotion, directement ou indirectement, de biens, de services ou d’une cause quelconque exercent l’activité d’influence commerciale par voie électronique » ainsi que l’activité d’agent influenceur qui consiste à « représenter ou à mettre en relation, à titre onéreux » les personnes exerçant l’activité d’influence commerciale

 

Certaines activités interdites ou plus encadrées et dans tous les cas une obligation de transparence

 

Si les influenceurs doivent déjà respecter les dispositions légales existantes encadrant les pratiques publicitaires lors des placements de produits, ils devront en outre s’interdire toute promotion directe ou indirecte de traitements médicamenteux, de la chirurgie esthétique, de produits alcoolisés ou contenant de la nicotine, de certains produits et services financiers (notamment les crypto-monnaies), des abonnements à des pronostics de paris sportifs ou encore des produits impliquant des animaux sauvages. Ils devront aussi respecter les dispositions encadrant la promotion des jeux d’argent et de hasard.

De plus, pour une meilleure information des abonnés et jeunes utilisateurs des réseaux sociaux, les influenceurs devront indiquer, de manière claire, lisible et identifiable, les mentions « publicité » ou « collaboration commerciale » en cas de partenariats et « images retouchées » ou « images virtuelles » sur leurs photos et vidéos concernées par l’utilisation de filtres ou de procédés d’intelligence artificielle.

 

Vers une responsabilité accrue des influenceurs pour lutter contre le drop-shipping

 

Afin de s’adapter au phénomène du dropshipping, les influenceurs seront dorénavant responsables de plein droit vis-à-vis des acheteurs, au sens de l’article 15 de la LCEN, des produits qu’ils vendent sur leurs réseaux sociaux. Ils devront donc communiquer à l’acheteur les informations prévues à l’article L. 221‑5 du code de la consommation, ainsi que l’identité du fournisseur, et s’assurer de la disponibilité des produits et de leur licéité, notamment du fait qu’il ne s’agit pas de produits contrefaisants.

 

 Vers plus de formalisme contractuel y compris pour les influenceurs établis à l’étranger

 

Les influenceurs devront formaliser des contrats écrits avec leurs agents et les annonceurs, quand les sommes en jeu dépassent un certain seuil, qui sera défini au sein d’un décret d’application. Ces contrats devront inclure plusieurs clauses obligatoires (concernant par exemple les conditions de rémunération, la soumission au droit français, les missions confiées, …). La loi prévoit également que l’annonceur, son mandataire et l’influenceur seront « solidairement responsables des dommages causés aux tiers dans l’exécution du contrat d’influence qui les lie ».

Ces obligations s’imposent à tous les influenceurs s’adressant à un public français, ce qui inclut les influenceurs établis à l’étranger. Ces derniers devront ainsi désigner sur le territoire de l’Union européenne une personne morale ou physique responsable pénalement en cas d’infraction. Le texte impose également à ceux qui exercent hors de l’Union européenne ou de l’espace économique européen de souscrire une assurance civile dans l’Union.

 

Quant aux plateformes hébergeant les contenus des influenceurs, elles doivent permettre aux internautes de signaler tout contenu non conforme aux nouvelles dispositions relatives à l’influence commerciale.

 

Renforcement des pouvoirs de la DGCCRF

 

Outre sa mission de contrôle, la Direction générale de la concurrence, de la consommation et de la répression des fraudes (DGCCRF), bénéficie de pouvoirs renforcés pour infliger des injonctions assorties d’astreintes et mises en demeure à l’encontre des influenceurs. Une brigade de l’influence commerciale composée de 15 agents a ainsi été créée au sein de la DGCCRF.

En cas de violation des obligations posées par ce texte, les influenceurs risqueront jusqu’à 2 ans de prison et 300 000 euros d’amende et pourront être interdits d’exercer.

 

Est également encourue la peine d’interdiction, définitive ou provisoire, « d’exercer l’activité professionnelle ou sociale dans l’exercice ou à l’occasion de l’exercice de laquelle l’infraction a été commise ».

 

Publication d’un guide de bonne conduite

 

Afin d’accompagner les influenceurs dans la mise en conformité des contenus qu’ils proposent et de leur activité, un guide de bonne conduite a été diffusé par le gouvernement. Le secteur attend maintenant les décrets d’application, qui doivent fournir des précisions sur les changements opérés pour l’activité des créateurs de contenu.

 

 


Article rédigé par Véronique Dahan, Emilie de Vaucresson, Thomas Lepeytre et Romain Soiron.