Nous Contacter

L’UE Interdit les Systèmes d’IA à « Risque Inacceptable »

L’Union Européenne vient de franchir une étape majeure dans la régulation de l’intelligence artificielle. Depuis ce dimanche 2 février, les régulateurs européens ont désormais le pouvoir d’interdire l’utilisation de systèmes d’IA considérés comme présentant un « risque inacceptable » ou causant des préjudices. Cette première échéance de conformité marque l’entrée en vigueur concrète de la Loi sur l’IA de l’UE, ce vaste cadre réglementaire sur l’intelligence artificielle qui avait été définitivement approuvé par le Parlement européen en mars dernier, après des années de développement.

Un large champ d’application

La portée de la Loi sur l’IA est ambitieuse. Elle vise à couvrir une multitude de cas d’usage où l’intelligence artificielle est susceptible d’apparaître et d’interagir avec les individus, des applications grand public aux environnements physiques. L’approche de l’UE définit quatre grands niveaux de risque :

  • Risque minimal (ex : filtres anti-spam) : aucune supervision réglementaire
  • Risque limité (ex : chatbots service client) : supervision réglementaire légère
  • Risque élevé (ex : IA pour recommandations médicales) : forte supervision réglementaire
  • Risque inacceptable : interdiction pure et simple

C’est sur cette dernière catégorie, au cœur des exigences de conformité de ce mois-ci, que se concentre l’attention.

Des pratiques prohibées

Voici quelques-unes des activités d’IA désormais proscrites :

  • La notation sociale (profils de risque basés sur le comportement)
  • La manipulation subliminale ou trompeuse des décisions
  • L’exploitation des vulnérabilités (âge, handicap, statut socio-économique…)
  • La prédiction de la criminalité basée sur l’apparence
  • L’inférence des caractéristiques personnelles (orientation sexuelle…) via la biométrie
  • La collecte de données biométriques « en temps réel » dans les lieux publics à des fins de maintien de l’ordre
  • L’inférence des émotions au travail ou à l’école
  • La création ou l’expansion de bases de données de reconnaissance faciale par aspiration d’images en ligne ou issues de caméras de surveillance

Les entreprises qui seront prises en train d’utiliser ces applications d’IA dans l’UE s’exposeront à de lourdes sanctions financières, quel que soit leur lieu d’implantation. Elles pourront écoper d’amendes allant jusqu’à 35 millions d’euros, ou 7% de leur chiffre d’affaires annuel de l’exercice précédent, selon le montant le plus élevé.

Un engagement volontaire préalable

En réalité, cette échéance du 2 février est en partie une formalité. Dès septembre dernier, plus d’une centaine d’entreprises avaient signé le Pacte IA de l’UE, un engagement volontaire à commencer à appliquer les principes de la Loi sur l’IA en amont de son entrée en application. Parmi les signataires figuraient des géants comme Amazon, Google et OpenAI. Cependant, des acteurs majeurs comme Meta, Apple ou la startup française d’IA Mistral avaient décidé de ne pas y adhérer.

Pour les organisations, une préoccupation majeure concernant la Loi sur l’IA de l’UE est de savoir si des lignes directrices, des normes et des codes de conduite clairs arriveront à temps – et surtout, s’ils apporteront aux organisations une clarté sur la conformité.

Rob Sumroy, responsable technologie du cabinet d’avocats britannique Slaughter and May

Quelques exceptions et zones grises

Certaines des interdictions de la Loi sur l’IA comportent des exceptions. Par exemple, les forces de l’ordre sont autorisées à utiliser des systèmes de collecte de données biométriques dans les lieux publics s’ils aident à effectuer une « recherche ciblée », par exemple pour une victime d’enlèvement, ou à prévenir une menace « spécifique, substantielle et imminente » pour la vie. Cette exemption nécessite l’autorisation de l’organe directeur compétent.

La loi prévoit également des exceptions pour les systèmes qui déduisent les émotions sur les lieux de travail et dans les écoles lorsqu’il existe une justification « médicale ou de sécurité », comme les systèmes conçus pour un usage thérapeutique.

La Commission européenne a déclaré qu’elle publierait des lignes directrices supplémentaires au « début de l’année 2025 », à la suite d’une consultation des parties prenantes en novembre. Cependant, ces directives n’ont pas encore été publiées. Il n’est également pas clair comment d’autres lois existantes pourraient interagir avec les interdictions et les dispositions connexes de la Loi sur l’IA.

Il est important que les organisations se rappellent que la réglementation sur l’IA n’existe pas de manière isolée. D’autres cadres juridiques, tels que le RGPD, la directive NIS2 et le règlement DORA, interagiront avec la Loi sur l’IA, créant des défis potentiels – en particulier autour des exigences de notification d’incident qui se chevauchent. Comprendre comment ces lois s’articulent sera tout aussi crucial que de comprendre la Loi sur l’IA elle-même.

Rob Sumroy

Cette première étape de l’application de la Loi sur l’IA de l’UE marque le début d’une nouvelle ère dans la gouvernance de l’intelligence artificielle. Si de nombreuses questions restent en suspens quant aux modalités précises d’application, une chose est sûre : l’Europe est déterminée à établir des garde-fous éthiques forts autour des technologies d’IA, afin de protéger les droits et libertés des citoyens. Les prochains mois et années s’annoncent décisifs pour façonner un avenir numérique plus responsable et centré sur l’humain.

Précédent

Google « Ask for Me » : L’IA Qui Passe des Appels à Votre Place

Suivant

OpenAI Révolutionne la Recherche avec « Deep Research »

À lire également