Discover the EU AI Act: the pioneering regulatory framework for ethical, secure and innovative artificial intelligence in Europe

IA Act, une réglementation historique pour l’intelligence artificielle en Europe

L’intelligence artificielle (IA) transforme profondément les secteurs économiques, sociaux et technologiques. Cependant, son développement rapide soulève des questions cruciales en matière d’éthique, de sécurité et de respect des droits fondamentaux. Pour y répondre, l’Union européenne a adopté l’IA Act, le premier cadre juridique complet au monde pour encadrer l’IA selon une approche basée sur le risque. Entré en vigueur en juillet 2024, ce règlement s’appliquera progressivement jusqu’en 2027, avec des échéances clés à respecter dès 2025.

L’IA Act ne se contente pas d’imposer des contraintes : il offre aux entreprises une opportunité unique de structurer leurs pratiques d’IA de manière éthique, sécurisée et compétitive. Ce texte instaure une gouvernance, alliant coordination européenne et adaptation locale. Pour les professionnels, comprendre ses enjeux est essentiel pour anticiper les changements et transformer ces obligations en leviers d’innovation responsable.

Qui est concerné par l’IA Act, et quels systèmes sont réglementés ?

L’IA Act s’applique à toute organisation, qu’elle soit européenne ou internationale, qui développe, déploie ou utilise des systèmes d’IA sur le marché européen. Cela inclut les entreprises basées hors de l’UE si leurs solutions sont destinées à des utilisateurs ou des clients en Europe. Cette approche reflète la volonté de l’Union Européenne d’imposer ses standards à l’échelle mondiale, à l’instar du RGPD pour la protection des données.

Une classification fondée sur quatre niveaux de risque

Pour adapter les obligations aux enjeux réels, l’IA Act classe les systèmes d’IA en quatre catégories, selon leur impact potentiel sur les droits fondamentaux, la sécurité et la santé des citoyens. Cette classification permet de cibler les réglementations là où elles sont le plus nécessaires, sans entraver l’innovation dans les domaines à faible impact.

Les systèmes à risque inacceptable sont purement et simplement interdits. Ils regroupent les pratiques jugées trop dangereuses pour les droits fondamentaux ou la sécurité, comme la manipulation subliminale, qui vise à influencer les comportements à l’insu des individus, ou les systèmes de scoring social, qui évaluent et classent les citoyens en fonction de leur comportement. L’identification biométrique en temps réel dans les espaces publics est également prohibée, sauf exceptions strictement encadrées (comme la lutte contre le terrorisme).

Les systèmes à risque élevé sont soumis à des obligations strictes, car ils concernent des domaines sensibles comme le recrutement, l’éducation, la santé ou les infrastructures critiques. Par exemple, un algorithme utilisé pour évaluer des candidats lors d’un processus de recrutement, ou pour diagnostiquer des maladies, devra respecter des exigences renforcées en matière de transparence, de traçabilité et de contrôle humain. Ces systèmes sont détaillés dans l’Annexe III de l’IA Act, qui liste les cas d’usage critiques, comme la biométrie, l’emploi ou les services publics essentiels.

Les systèmes à risque limité, tels que les chatbots ou les outils de génération de contenu, doivent respecter des règles de transparence. Les utilisateurs doivent être clairement informés qu’ils interagissent avec une IA, afin d’éviter toute confusion ou manipulation. Cette catégorie vise à encadrer les usages les plus courants de l’IA, sans pour autant les sur-réglementer.

Enfin, la majorité des systèmes d’IA, comme les filtres anti-spam ou les jeux vidéo, relèvent du risque minimal. Ils ne sont soumis à aucune obligation spécifique au-delà des lois existantes, ce qui préserve un espace de liberté pour les innovations les moins risquées.

Quelles sont les obligations pour les systèmes d’IA à haut risque ?

Les entreprises qui développent ou utilisent des systèmes d’IA classés à haut risque doivent se conformer à un ensemble d’exigences strictes, conçues pour garantir la sécurité, la transparence et le respect des droits fondamentaux. Ces obligations, détaillées dans le Titre III de l’IA Act, couvrent l’ensemble du cycle de vie du système, de sa conception à son retrait du marché.

Parmi les principales exigences, on retrouve la gestion continue des risques, qui implique une évaluation régulière des dangers potentiels et la mise en œuvre de mesures pour les atténuer. Les données utilisées pour entraîner, valider et tester le système doivent être pertinentes, représentatives et exemptes de biais, afin d’éviter les discriminations ou les erreurs de jugement.

Une documentation technique complète doit être constituée avant la mise sur le marché. Ce dossier détaille le fonctionnement du système, ses limites, les mesures de sécurité mises en œuvre et les résultats des évaluations de risque. Il sert de référence pour les autorités de régulation et permet de démontrer la conformité du système.

La transparence envers les utilisateurs est également une obligation clé. Les entreprises doivent informer clairement les utilisateurs sur les capacités et les limites du système, ainsi que sur les décisions qu’il peut prendre. Cette exigence vise à établir un climat de confiance et à permettre aux utilisateurs de comprendre et éventuellement de contester les décisions automatisées.

Un contrôle humain doit toujours être possible, que ce soit pour superviser, corriger ou annuler les décisions prises par le système. Cette exigence permet d’éviter une automatisation excessive et de garantir que les humains conservent le dernier mot dans les processus critiques.

Les systèmes doivent également être robustes et sécurisés, avec une protection contre les cyberattaques et les dysfonctionnements. Cette robustesse est particulièrement importante pour les systèmes utilisés dans des domaines sensibles, comme la santé ou les infrastructures critiques.

Enfin, les systèmes à haut risque doivent être enregistrés dans une base de données européenne dédiée, et faire l’objet d’une surveillance post-commercialisation pour détecter et corriger rapidement tout problème. Certains systèmes peuvent cependant être exemptés s’ils remplissent des conditions précises, comme l’explique l’article 6(2) de l’IA Act.

Qui veille à l’application de l’IA Act ?

L’application de l’IA Act repose sur une gouvernance à deux niveaux, combinant une coordination centrale au niveau européen et une mise en œuvre locale par les États membres. Cette approche permet d’assurer une application cohérente du règlement tout en tenant compte des spécificités nationales.

Au niveau européen : une coordination centralisée

Le Bureau européen de l’IA, opérationnel depuis février 2024, joue un rôle central dans la coordination et la supervision des modèles d’IA à usage général. Il est chargé de rédiger les actes délégués, d’administrer la base de données européenne des systèmes d’IA à haut risque et de veiller à l’application uniforme du règlement.

Le Conseil européen de l’IA rassemble un représentant de chaque État membre. Son rôle est d’harmoniser les pratiques entre les différents pays et de garantir une application cohérente de l’IA Act.

Un forum consultatif, composé d’experts et de parties prenantes, apporte des conseils techniques et stratégiques aux institutions européennes. Ce forum permet d’intégrer les retours du terrain et d’adapter les directives aux réalités des entreprises et des utilisateurs.

Au niveau national : des autorités désignées dans chaque pays

Chaque État membre de l’UE désigne ses propres autorités pour contrôler la conformité des systèmes d’IA et sanctionner les manquements. Ces autorités varient selon les pays, mais elles partagent une mission commune : veiller au respect des obligations légales et accompagner les entreprises dans leur mise en conformité.

En France, la DGCCRF (Direction Générale de la Concurrence, de la Consommation et de la Répression des Fraudes) et la CNIL (Commission Nationale de l’Informatique et des Libertés) sont les principales autorités compétentes. La DGCCRF contrôle la conformité des systèmes d’IA au regard des obligations légales, tandis que la CNIL se concentre sur les aspects liés à la protection des données et des droits fondamentaux.

Calendrier des échéances : des dates clés à retenir

L’IA Act entre en vigueur de manière progressive, avec des échéances précises à respecter :

  • 2 février 2025 : entrée en vigueur des interdictions concernant les systèmes à risque inacceptable, ainsi que des règles sur l’alphabétisation IA.
  • 2 août 2025 : mise en place des autorités nationales et application des règles pour les modèles d’IA à usage général.
  • 2 août 2026 : application générale du règlement, à l’exception des systèmes liés à la législation harmonisée.
  • 2 août 2027 : application complète de l’IA Act, y compris pour les systèmes soumis à évaluation de conformité.
Bannière incitative pour télécharger un livre blanc intitulé 'Comprendre l’impact environnemental de l’IA', avec une illustration de documents imprimés et un bouton d’appel à l’action 'Téléchargez notre livre blanc'

Normes harmonisées : comment prouver sa conformité ?

Pour faciliter la mise en conformité des entreprises, l’Union européenne a introduit le concept de normes harmonisées. Ces normes, publiées au Journal officiel de l’UE, offrent une présomption de conformité aux entreprises qui les appliquent. Autrement dit, si une entreprise respecte ces normes, ses systèmes d’IA seront considérés comme conformes à l’IA Act, sauf preuve du contraire.

Sept normes en préparation pour couvrir tous les aspects clés

Actuellement, sept normes européennes sont en cours de rédaction pour soutenir la mise en œuvre de l’IA Act. Elles aborderont des thèmes variés, tels que :

  • La gestion des risques, pour évaluer et atténuer les dangers potentiels tout au long du cycle de vie du système.
  • La qualité des données, afin de garantir que les données utilisées pour entraîner les modèles d’IA sont pertinentes, représentatives et exemptes de biais.
  • La cybersécurité, pour protéger les systèmes contre les cyberattaques et les dysfonctionnements.
  • La transparence, afin d’informer clairement les utilisateurs sur les capacités et les limites des systèmes d’IA.

Ces normes fourniront aux entreprises des lignes directrices précises pour se conformer aux exigences de l’IA Act, tout en clarifiant les attentes des régulateurs. Elles faciliteront également l’accès au marquage CE, qui atteste de la conformité d’un produit aux exigences européennes.

Deux voies pour obtenir le marquage CE

Les entreprises ont deux options pour obtenir le marquage CE et prouver la conformité de leurs systèmes d’IA :

  1. Appliquer les normes harmonisées : cette approche est la plus simple et la plus sécurisée, car elle garantit une conformité automatique.
  2. Démontrer la conformité par d’autres moyens : cette voie est plus complexe, car elle nécessite de s’appuyer sur des spécifications internes ou des normes alternatives. Elle peut cependant être utile pour les entreprises dont les produits ne sont pas couverts par les normes harmonisées existantes.

Quels sont les risques en cas de non-conformité ?

Le non-respect des obligations imposées par l’IA Act expose les entreprises à des sanctions financières sévères, parmi les plus élevées jamais introduites pour une réglementation technologique. Ces amendes visent à dissuader les pratiques non conformes et à garantir le respect des droits fondamentaux et de la sécurité des citoyens.

Les entreprises utilisant des systèmes interdits (comme ceux relevant du risque inacceptable) s’exposent à des amendes pouvant atteindre 35 millions d’euros ou 7% de leur chiffre d’affaires mondial, selon le montant le plus élevé. Ces sanctions ciblent les pratiques les plus dangereuses, comme la manipulation subliminale ou le scoring social, qui sont jugées incompatibles avec les valeurs européennes.

Pour les systèmes à haut risque, le non-respect des obligations peut entraîner des amendes allant jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires mondial. Ces sanctions s’appliquent aux entreprises qui ne respectent pas les exigences en matière de gestion des risques, de transparence ou de contrôle humain.

Enfin, fournir des informations incorrectes, incomplètes ou trompeuses aux autorités ou aux utilisateurs peut coûter jusqu’à 7,5 millions d’euros ou 1% du chiffre d’affaires mondial. Cette sanction vise à garantir la fiabilité des informations communiquées et à éviter les pratiques de contournement des règles.

Au-delà des amendes, les entreprises non conformes s’exposent à des risques juridiques, comme des poursuites pour non-respect des droits fondamentaux, ainsi qu’à des risques réputationnels, avec une perte de confiance de la part des clients, des partenaires et des régulateurs. Enfin, le non-respect des règles peut entraîner des risques opérationnels, comme le retrait forcé des produits du marché ou l’interruption de projets stratégiques.

Comment se préparer à l’IA Act ?

Pour anticiper l’entrée en vigueur de l’IA Act et se mettre en conformité, les entreprises doivent adopter une démarche proactive et structurée. Voici les étapes clés à suivre :

1. Cartographier les systèmes d’IA utilisés ou développés

La première étape consiste à identifier tous les systèmes d’IA utilisés ou développés au sein de l’entreprise, puis à les classer selon leur niveau de risque (inacceptable, élevé, limité ou minimal). Cette cartographie permet de prioriser les actions et d’allouer les ressources nécessaires à la mise en conformité.

2. Évaluer les risques et documenter les processus

Une fois les systèmes identifiés, il est essentiel d’évaluer les risques associés à chacun d’eux et de documenter les processus de conformité. Cela implique de vérifier que les données utilisées sont pertinentes et exemptes de biais, que les systèmes sont robustes et sécurisés, et que les utilisateurs sont informés de manière transparente.

3. Former les équipes aux enjeux de l’IA Act

La formation des équipes est un élément clé pour garantir une mise en conformité efficace. Les collaborateurs doivent comprendre les implications de l’IA Act pour leur travail quotidien, que ce soit en matière de gestion des données, de transparence ou de contrôle humain. Cette formation permet de créer une culture d’entreprise alignée sur les principes de l’IA responsable.

4. Suivre l’évolution des normes et des directives

Enfin, les entreprises doivent rester informées des dernières mises à jour réglementaires et adapter leurs pratiques en conséquence. Cela inclut le suivi des normes harmonisées en préparation, ainsi que des recommandations des autorités européennes et nationales. Une veille active permet de maintenir la conformité et de saisir les opportunités offertes par un cadre réglementaire clair et stable.

Conclusion : l’IA Act, une opportunité pour une intelligence artificielle responsable

L’IA Act représente bien plus qu’une simple contrainte réglementaire : c’est un cadre ambitieux pour développer une intelligence artificielle sûre, transparente et alignée sur les valeurs européennes. En se préparant dès maintenant, les entreprises peuvent non seulement éviter les sanctions, mais aussi renforcer la confiance de leurs clients et partenaires, tout en contribuant à un écosystème numérique plus responsable.

Restez informé de l’actualité du Numérique Responsable

S'inscrire à notre newsletter

L’heure du bilan carbone numérique statique et administratif est révolue,
il est temps d'agir et de piloter dynamiquement votre performance numérique extra financière.

Fruggr, Performance by Sustainability