Le mercredi 14 juin 2023, le Parlement européen a adopté le Artificial Intelligence Act (« AI Act »), un règlement régulant le développement et l’utilisation de l’intelligence artificielle (IA) au sein de l’Union européenne. Ce texte, qui détiendrait le record d’amendements législatifs, est désormais en discussion entre les Etats membres devant le Conseil. L’objectif est d’arriver à un accord d’ici la fin de l’année.
Si la date d’entrée en vigueur de cet AI Act demeure incertaine, les entreprises engagées dans le secteur de l’IA ont tout intérêt à anticiper cette future réglementation.
Quelles sont les principales mesures ?
Les objectifs
Le règlement permet d’harmoniser les législations des Etats membres relatives aux systèmes d’IA et offre ainsi une sécurité juridique favorable à l’innovation et aux investissements dans ce domaine. Le texte se veut ainsi protecteur mais équilibré afin de ne pas freiner le développement de l’innovation nécessaire pour relever les défis à venir (lutte contre le changement climatique, l’environnement, la santé). A l’instar du règlement général sur la protection des données (RGPD), dont on retrouve tout au long des articles la même logique, l’AI Act se pose comme une référence mondiale.
Le champ d’application est d’ailleurs volontairement large afin d’éviter tout contournement de la règlementation. Il s’applique ainsi tant aux fournisseurs de l’IA (qui développent ou font développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous leur propre nom ou leur propre marque) qu’aux utilisateurs (qui utilisent sous leur propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel).
Concrètement, il s’applique :
- aux fournisseurs, établis dans l’Union ou dans un pays tiers, qui mettent sur le marché ou mettent en service des systèmes d’IA dans l’Union ;
- aux utilisateurs de systèmes d’IA situés dans l’Union ;
- aux fournisseurs et aux utilisateurs de systèmes d’IA situés dans un pays tiers, lorsque les résultats générés par le système sont utilisés dans l’Union.
Une approche fondée sur les risques
L’intelligence artificielle est définie comme la capacité à générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions qui influencent l’environnement avec lequel le système interagit, que ce soit dans une dimension physique ou numérique.
Le règlement adopte une approche fondée sur les risques et introduit une distinction entre les utilisations de l’IA.
En ce qui concerne les systèmes d’IA à haut risque :
Les exigences minimales suivantes doivent être respectées :
- Etablir un système de gestion des risques : ce système consiste en un processus itératif continu qui se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui devra périodiquement faire l’objet d’une mise à jour méthodique.
- Assurer la qualité des jeux de données: les jeux de données d’entraînement, de validation et de test devront satisfaire aux critères de qualité et devront notamment être pertinents, représentatifs, exempts d’erreurs et complets. L’objectif est notamment d’éviter les « discriminations algorithmiques ».
- Formaliser une documentation technique : une documentation technique contenant toutes les informations utiles à l’évaluation de la conformité d’un système d’IA à haut risque devra être établie avant que ce système ne soit mis sur le marché ou mis en service et tenue à jour.
- Prévoir une traçabilité : la conception et le développement des systèmes d’IA à haut risque devront prévoir des fonctionnalités permettant l’enregistrement automatique des événements (« journaux ») pendant le fonctionnement de ces systèmes.
- Fournir une informationtransparente : les systèmes d’IA à haut risque seront accompagnés d’une notice d’utilisation contenant des informations relatives aux caractéristiques de l’IA (identité et coordonnées du fournisseur, caractéristiques, les capacités et les limites de performance du système d’IA, mesures de contrôle humain…) accessibles et compréhensibles pour les utilisateurs.
- Prévoir un contrôle humain: un contrôle effectif par des personnes physiques devra être prévu pendant la période d’utilisation du système d’IA.
- Assurer la sécurité du système : la conception et le développement des systèmes d’IA à haut risque devront atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, et de fonctionner de manière cohérente à cet égard tout au long de leur cycle de vie.
Les obligations pèsent sur tous les acteurs de la chaine – le fournisseur, l’importateur comme le distributeur – de sorte que chacun devra prendre ses responsabilités et faire preuve d’une vigilance accrue.
- Les fournisseurs devront notamment :
-démontrer le respect des exigences minimales suscitées en tenant une documentation technique ;
-soumettre leur système d’IA à une procédure d’évaluation de la conformité avant leur mise sur le marché ou leur mise en service ;
-prendre les mesures correctives nécessaires pour mettre en conformité le système d’IA, le retirer ou le rappeler ;
-coopérer avec les autorités nationales ;
-notifier les incidents graves et les dysfonctionnements touchant une IA à haut risque mise sur le marché aux autorités de surveillance de l’Etat membre où l’incident a eu lieu au plus tard 15 jours après que le fournisseur a eu connaissance de l’incident grave ou du dysfonctionnement.
A noter que ces obligations se répercutent également sur le fabricant du produit qui intègre un système d’IA à haut risque.
- L’importateur d’un système d’IA à haut risque devra s’assurer que le fournisseur de ce système d’IA a suivi la procédure appropriée d’évaluation de la conformité, que la documentation technique est établie et que le système porte le marquage de conformité requis et est accompagné de la documentation et de la notice d’utilisation requises.
- Les distributeurs devront également vérifier que le système d’IA à haut risque qu’ils entendent mettre sur le marché porte le marquage de conformité CE requis, qu’il est accompagné de la documentation et de la notice d’utilisation requises et que le fournisseur et l’importateur du système, selon le cas, ont respecté leurs obligations.
Contrôle de l’application des règles et gouvernance
Au niveau national, les États membres devront désigner une ou plusieurs autorités nationales compétentes et, parmi elles, l’autorité de contrôle nationale chargée de contrôler l’application et la mise en œuvre du règlement.
Un Comité européen de l’intelligence artificielle (composé des autorités de contrôle nationales) sera créé aux fins de fournir des conseils et une assistance à la commission européenne, notamment dans l’application cohérente du règlement au sein de l’Union.
Soutenir les PME et les start-ups via l’établissement de bacs à sable réglementaires sur l’IA et d’autres mesures visant à réduire la charge réglementaire.
Les bacs à sable réglementaires de l’IA offriront un environnement contrôlé qui facilitera le développement, la mise à l’essai et la validation de systèmes d’IA innovants pendant une durée limitée avant leur mise sur le marché ou leur mise en service conformément à un plan spécifique.
Sanctions
L’AI Act prévoit trois plafonds de sanction selon la nature de l’infraction :
- Des amendes administratives pouvant aller jusqu’à 30 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 6 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent en cas de :
-non-respect de l’interdiction frappant les pratiques en matière d’intelligence artificielle ;
-non-conformité du système d’IA avec les exigences relatives aux critères de qualité des données.
- La non-conformité du système d’IA avec les exigences ou obligations des autres dispositions de l’AI Act feront l’objet d’une amende administrative pouvant aller jusqu’à 20 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 4 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent
- La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés et aux autorités nationales compétentes en réponse à une demande fait l’objet d’une amende administrative pouvant aller jusqu’à 10 000 000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 2 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.
Artcile rédigé par Emilie de Vaucresson, Amanda Dubarry et Camille Leflour.