Le 2 février 2024, les États membres de l’Union européenne ont adopté à l’unanimité la première règlementation au monde visant à réguler l’intelligence artificielle. Ce texte prévoit une définition harmonisée à l’échelle européenne des notions clés et un ensemble d’obligations contraignantes à destination des acteurs de l’intelligence artificielle, sous peine de sanctions.
Le recours croissant aux outils d’intelligence artificielle (« IA ») et le déploiement des IA génératives « grand public » telles que « ChatGPT » ont suscité des préoccupations quant à leurs implications éthiques, sociales et juridiques.
Dans ce contexte, l’Union européenne (UE) se place en pionnière en élaborant la première règlementation au monde sur l’IA.
Le texte, dans sa version initiale proposée par la Commission européenne en 2021, faisait réponse à l’essor de la technologie de l’IA depuis les années 2010 et a évolué sous l’impulsion du succès des IA génératives.
Le règlement a été récemment voté par le Parlement européen le 13 février 2024 et devrait être, en principe, publié au courant de l’année 2024.
La version consolidée actuellement accessible devrait permettre aux opérateurs d’intégrer le texte dans leur stratégie de mise en conformité.
La définition d’un cadre règlementaire pour l’intelligence artificielle
- Une définition générale des SIA
Le règlement définit la notion de système d’intelligence artificielle (« SIA »), par tout « système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des informations qu’il reçoit : comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer les environnements physiques ou virtuels »[1].
Si la définition peut sembler pour certains peu adaptée, voire impossible à appliquer à tous les SIA à venir, elle semble répondre à l’objectif affiché d’encadrer le plus largement possible le secteur de l’IA au sein du marché intérieur.
- Champ d’application
L’Union européenne a pour objectif d’encadrer largement le secteur et a prévu pour cela de viser un certain nombre d‘acteurs. Ainsi, l’AI Act a vocation à s’appliquer à tous les fournisseurs, « déployeurs »[2], importateurs, distributeurs et fabricants de SIA, personnes physiques ou morales dont le siège est situé sur le territoire européen ou dont les produits sont commercialisés sur le marché européen[3].
- Une application extraterritoriale
Du point de vue de l’application territoriale, l’UE marque son ambition en prévoyant des hypothèses d’application extraterritoriale de l’AI Act.
Ainsi, l’AI Act s’appliquera aux entreprises situées en dehors de l’UE dans les cas suivants[4] :
- Si l’entreprise exporte les SIA en vue de les commercialiser au sein de l’UE ;
- Si les données de sortie du SIA sont exploitées dans l’UE.
Une approche fondée sur les risques
Parmi les innovations de l’AI Act, il faut retenir l’approche par les risques, aux termes de laquelle les différents SIA sont classés en quatre catégories selon les risques qu’ils pourraient représenter, à savoir :
- Les SIA à risque inacceptable ;
- Les SIA à haut risque ;
- Les SIA à risque faible et ;
- Les SIA à risque minime.
Selon la catégorie, et donc selon le niveau de risque associé, les acteurs de l’IA devront adopter des mesures plus ou moins contraignantes pour se conformer à la règlementation, notamment en matière de transparence ou de sécurité informatique.
Les SIA à risque minime (ex. : filtres à spams) : ces types de SIA seront encouragés à se conformer à un code de conduite volontaire[5].
Les SIA à risque faible (ex. : Chatbots) : ces SIA susceptibles d’interagir avec le public seront soumis à une obligation de transparence limitée, matérialisée notamment par la mention faite à l’utilisateur « généré par intelligence artificielle ».
Les SIA à haut risque (ex. : algorithmes de scoring statistique) : ces SIA feront l’objet d’une attention particulière et seront soumis à un ensemble d’exigences plus strictes telles que l’obligation de documentation, d’enregistrement du système dans la base de données de l’UE et la mise en place de mesures de conformité garantissant notamment la robustesse et la cybersécurité du système, un contrôle humain ainsi qu’une documentation technique[6]. La conformité à ces obligations se matérialisera notamment par l’apposition d’un marquage CE[7] de manière visible, lisible et indélébile[8].
Les SIA à risque inacceptable (ex. : systèmes d’identification biométrique à distance en temps réel sur l’espace public) : ces SIA seront quant à eux interdits, dans la mesure où ils contreviennent aux valeurs de l’UE et portent atteinte aux droits fondamentaux.
L’AI Act ne s’appliquera pas à tous les secteurs. Aussi, les SIA à des fins exclusivement militaires, de défense, de sécurité nationale, ou de recherche et développement[9] ne seront pas concernés par la règlementation.
- Le cas particulier de l’utilisation de SIA à risque inacceptable à des fins répressives
Par exception, le recours par les autorités répressives à un système d’identification biométrique à distance en temps réel dans les espaces accessibles au public sera autorisé sous certaines conditions[10].
En effet, l’utilisation de ce SIA à risque inacceptable devra être strictement nécessaire à la réalisation d’objectifs listés de façon exhaustive (ex. : enlèvement, traite d’humains, menace terroriste)[11].
En outre, il sera requis l’enregistrement du SIA dans la base de données nationale, la réalisation d’une analyse d’impact sur les droits fondamentaux, la délivrance d’une autorisation préalable par une autorité judiciaire ou administrative indépendante[12] et une notification faite à l’autorité nationale chargée de la protection des données (en France, la CNIL).
Un encadrement renforcé pour les IA à usage général
- Des obligations supplémentaires
L’AI Act crée une catégorie spécifique de modèles d’IA « à usage général »[13] (« GPAI »), parmi lesquels figurent les modèles de fondation, et les définit comme étant les IA capables d’exécuter un large éventail de tâches distinctes et pouvant être intégré en aval dans différents SIA.
Ces modèles seront distingués selon leur puissance de calcul et leur nature open source ou non.
Ainsi, les modèles dont la puissance de calcul est supérieure à la limite fixée par l’AI Act seront regardés comme présentant un risque systémique et soumis à une série d’obligations complémentaires telles que l’élaboration d’une documentation technique identifiant et listant les risques systémiques ou encore des tests d’adversité, etc.
- Une attention particulière à la protection des données personnelles et au droit d’auteur
Les GPAI, et plus particulièrement les « large generative models » (ex. : ChatGPT), capables de générer du texte, des images et autres contenus, devront tenir à jour une documentation technique comprenant notamment les méthodes de test du modèle et rendre accessible au public le résumé des bases de données d’entrainement[14].
Tous les acteurs de l’IA se doivent bien sûr de respecter la règlementation en vigueur ou à venir. Toutefois cette obligation est expressément prévue pour les fournisseurs de modèles de GPAI, lesquels devront mettre en place les mesures nécessaires à garantir le respect de la règlementation en vigueur en matière de protection des données personnelles (RGPD) et de droit d’auteur[15].
Des sanctions proportionnelles au niveau de risque
Le manquement aux obligations prévues par l’AI Act expose les opérateurs à une amende dont le montant maximum peut varier notamment en fonction du type de SIA.
Ainsi, le texte distingue les manquements impliquant un SIA à risque inacceptable des autres SIA, et prévoit un régime de sanction spécifique pour les fournisseurs de GPAI.
En définitive, les sanctions pourront s’élever, pour les plus graves, jusqu’à :
- 35 000 000 d’euros ;
- ou 7 % du chiffre d’affaires annuel mondial pour les personnes morales.
Le montant le plus élevé étant retenu[16].
Cela étant, un régime de sanction aménagé est prévu pour les PME et entreprises en démarrage, pour lesquelles le montant le plus faible sera retenu[17].
L’UE a donc souhaité se donner les moyens de faire appliquer le texte et sa vision d’un marché de l’IA conforme à ses valeurs, avec un niveau de sanction très élevé parmi les différents textes applicables au sein du marché intérieur.
Une gouvernance harmonisée par le biais d’un système d’autorités nationales et d’un Bureau européen de l’IA
L’UE a par ailleurs créé un Bureau européen de l’intelligence artificielle[18], veillant à la mise en œuvre coordonnée du futur règlement à l’échelle européenne, ainsi que la désignation d’autorités nationales de contrôle de l’IA.
La CNIL s’était déjà positionnée en 2021 en faveur d’une attribution de ces compétences aux autorités de protection des données[19].
Il semble que c’est dans cette direction que les institutions s’orientent. En effet, lors du premier rapport parlementaire sur l’IA du 14 février 2024[20], les députés ont formellement proposé de désigner la CNIL comme autorité de contrôle de l’intelligence artificielle.
Prochaines étapes et entrée en application
Le texte doit désormais être voté lors de la séance plénière du Parlement prévue en principe pour mi 2024 afin d’être formellement adopté et entrera en vigueur vingt jours à compter de sa publication au journal officiel.
Le règlement entrera en application progressivement selon le niveau de risque à compter du jour de sa publication au journal officiel[21] :
- 6 mois pour l’interdiction de commercialisation des SIA à risque inacceptable ;
- 12 mois pour la mise en conformité des GPAI ;
- 24 mois pour la mise en conformité des SIA non régulés par d’autres textes européens ;
- 36 mois pour les SIA à haut risque déjà régulés par d’autres textes européens.
Lire la version consolidée de la proposition de règlement UE 2021/0106 établissant des règles harmonisées concernant l’intelligence artificielle (version en anglais)
[1] « AI Act » article 3 .1).
[2] « AI Act » article 3 .4) : « toute personne physique ou morale, autorité publique, agence ou autre organisme utilisant un système d’IA sous son autorité, sauf si le système d’IA est utilisé dans le cadre d’une activité personnelle non professionnelle ».
[3] « AI Act » article 2 .1).
[5] « AI Act », article 69.
[6] « AI Act », articles 8 et suivants.
[7] « AI Act », article 3 .24) : le « marking of conformity » est le marquage selon lequel le fournisseur indique que le SIA est conforme aux exigences de l’AI Act, plus précisément les dispositions du titre 3 chapitre 2 relatif aux SIA à haut risque.
[9] « AI Act » article 2 .3) et suivants.
[10] « AI Act », article 5.
[11] « AI Act », article 5.1.d).
[13] « AI Act », article 3. 44b).
[14] « AI Act », article 52c .a) et d).
[15] Directive « copyright » : Directive (UE) 2019/790 du Parlement européen et du Conseil du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique.
[16] « AI Act » articles 71.3) et suivants.
[17] « AI Act » article 71 .5a).
[18] Décision C/2024/1459 de la Commission du 24 janvier 2024, créant le Bureau européen de l’intelligence artificielle.
[19] https://www.cnil.fr/fr/intelligence-artificielle-lavis-de-la-cnil-et-de-ses-homologues-sur-le-futur-reglement-europeen
[20] Rapport parlementaire sur l’IA du 14 février 2024.