C’est officiel : le règlement de l’Union Européenne sur l’intelligence artificielle (IA), basé sur les risques, est entré en vigueur ce jeudi 1er août 2024. Cette loi, appelée « IA Act », marque le début d’une série d’échéances échelonnées de conformité qui s’appliqueront à différents types de développeurs et d’applications d’IA.
Une Approche Graduée Selon les Risques
L’approche de l’UE considère la plupart des applications de l’IA comme présentant peu ou pas de risque, et ne seront donc pas concernées par la réglementation. Cependant, un sous-ensemble d’utilisations potentielles de l’IA sont classées comme à haut risque :
- La biométrie et la reconnaissance faciale
- Les logiciels médicaux basés sur l’IA
- L’IA utilisée dans des domaines comme l’éducation et l’emploi
Les développeurs de ces systèmes devront garantir la conformité avec des obligations de gestion des risques et de qualité, notamment en réalisant une évaluation de conformité avant mise sur le marché, avec la possibilité d’être soumis à un audit réglementaire. Les systèmes à haut risque utilisés par les autorités du secteur public ou leurs fournisseurs devront également être enregistrés dans une base de données de l’UE.
Obligations de Transparence pour les IA à Risque Limité
Une troisième catégorie « à risque limité » s’applique aux technologies d’IA telles que les chatbots ou les outils pouvant être utilisés pour produire des deepfakes. Celles-ci devront répondre à certaines exigences de transparence pour garantir que les utilisateurs ne soient pas trompés.
Sanctions Graduées et Approche sur Mesure pour les GPAI
Les sanctions sont également graduées, avec des amendes pouvant atteindre 7% du chiffre d’affaires annuel mondial pour les violations d’applications d’IA interdites, jusqu’à 3% pour les violations d’autres obligations, et jusqu’à 1,5% pour la fourniture d’informations incorrectes aux régulateurs.
Un autre volet important de la loi s’applique aux développeurs de ce qu’on appelle les IA générales (GPAI). Là encore, l’UE a adopté une approche basée sur les risques, la plupart des développeurs de GPAI faisant face à des exigences de transparence légères. Seul un sous-ensemble des modèles les plus puissants, actuellement définis comme des modèles entraînés en utilisant une puissance de calcul totale de plus de 10^25 FLOP, devront entreprendre des mesures d’évaluation et d’atténuation des risques.
Si votre organisation tente de déterminer comment se conformer à l’IA Act, vous devez d’abord tenter de classifier tous les systèmes d’IA concernés. Identifiez les systèmes GPAI et autres que vous utilisez, déterminez comment ils sont classés et considérez les obligations découlant de vos cas d’utilisation.
– OpenAI, développeur de ChatGPT
Standards et Codes de Pratique en Cours d’Élaboration
Les exigences exactes pour les systèmes d’IA à haut risque dans le cadre de l’IA Act sont encore en cours d’élaboration, les organismes européens de normalisation étant impliqués dans le développement de ces stipulations. La Commission a donné aux organismes de normalisation jusqu’en avril 2025 pour effectuer ce travail, après quoi elle évaluera ce qu’ils auront proposé. Les normes devront ensuite être approuvées par l’UE avant d’entrer en vigueur pour les développeurs.
De même, ce que les développeurs de GPAI devront faire exactement pour se conformer à l’IA Act est toujours en discussion, car les Codes de pratique doivent encore être élaborés. L’AI Office, un organe de surveillance stratégique et de renforcement de l’écosystème de l’IA, a lancé cette semaine une consultation et un appel à participation à ce processus d’élaboration des règles, en déclarant qu’il s’attend à finaliser les Codes en avril 2025.
Prochaines Étapes pour les Entreprises
Alors que l’IA Act entre en vigueur, les entreprises et développeurs utilisant l’IA doivent maintenant évaluer comment ils seront impactés et quelles mesures ils devront prendre pour se conformer. Bien que de nombreux détails restent à définir, il est clair que cette réglementation aura un impact significatif sur le paysage de l’IA en Europe et au-delà dans les années à venir.
Les entreprises doivent commencer dès maintenant à auditer leurs systèmes d’IA, à évaluer les risques et à se préparer à répondre aux nouvelles obligations. Cela nécessitera une collaboration étroite entre les équipes techniques, juridiques et de conformité, ainsi qu’un suivi attentif de l’évolution des normes et des codes de pratique.
L’entrée en vigueur de l’IA Act marque le début d’une nouvelle ère pour l’IA en Europe – une ère de plus grande responsabilité, transparence et gestion des risques. Les entreprises qui s’adapteront le plus rapidement à ce nouveau paysage réglementaire seront les mieux placées pour tirer parti des immenses opportunités offertes par l’IA tout en protégeant leurs utilisateurs et la société dans son ensemble.