Que retenir du Règlement IA n° 2024/1689 du 13/06/2024 « établissant des règles harmonisées concernant l’intelligence artificielle » ?

Pour la 1ʳᵉ fois dans le monde, un texte encadrant l’Intelligence Artificielle a été adopté le 13 juin 2024. Il s’agit d’une réglementation transversale de l’Union Européenne qui couvre presque tous les secteurs d’activité. Seuls les systèmes d’IA utilisés à des fins de défense ou militaires sont exclus du périmètre de ce Règlement.

Les objectifs exprès du législateur européen sont notamment les suivants :

  • fournir un cadre juridique harmonisé pour la mise en place et l’utilisation de systèmes d’IA
  • promouvoir l’adoption de l’intelligence artificielle axée sur l’humain et digne de confiance (éthique) tout en assurant un niveau élevé de protection de la santé, de la sécurité, des droits fondamentaux consacrés par la Charte y compris la démocratie.

L’entrée en vigueur est fixée le 1ᵉʳ aout 2024, mais l’entrée en application est prévue de manière progressive à compter du 2/02/2025 — d’abord pour les systèmes d'IA interdits — jusqu’au 2/08/2026.

Définition de l’IA : le Règlement adopte une définition unique de l’IA visant une grande diversité de systèmes :

« Un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui (…) déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».

→ exemple de fonctions diverses : modèles de langage, reconnaissance faciale, véhicules autonomes, système expert en matière médicale ou juridique...

Le Règlement adopte une approche par les risques : le règlement établit des règles en fonction du degré d’acceptation des risques engendrés par les systèmes d’IA, classés en 4 niveaux. 

 

→ Risques intolérables : interdiction expresse de systèmes d’IA ayant notamment pour effet de fausser le comportement par des pratiques trompeuses, d’exploiter des vulnérabilités, ou  d’évaluer ou classer les personnes en fonction de leur comportement social ou de leurs traits personnels, les systèmes qui prédisent le risque qu'une personne commette un crime ; il est interdit également de déduire des attributs sensibles par catégorisation biométrique, de procéder à la reconnaissance faciale par l'extraction d'images faciales sur l'internet ou d’images de vidéosurveillance, la déduction d’émotions sur le lieu de travail etc… Ces interdictions entrent en vigueur au 2 février 2025.
 

 

→ Hauts risques : exigences spécifiques et obligations renforcées des opérateurs de systèmes qui :

- soit répondent à deux conditions (être couvert par une législation de l’UE visée en Annexe I et être un produit ou intégré à un produit soumis à une vérification de conformité)

- soit sont listés en Annexe III : cela concerne les systèmes d’identification biométriques, de reconnaissance des émotions, ceux utilisés dans l’éducation par exemple pour déterminer l’accès à des établissements d’enseignement, dans le recrutement et l’emploi, ou encore par les services répressifs, etc…

  Risques limités règles harmonisées applicables à certains systèmes d’IA en matière de transparence, notamment s’il existe un risque de manipulation ;

→ Risque minimal : tous les systèmes d’IA qui ne relèvent pas des autres catégories listées ci-dessus.

En outre, les modèles d’IA à usage général (GPAI) qui concernent les IA capables d’exécuter de manière compétente un large éventail de tâches — notamment l’IA générative — susceptibles d’être intégrées dans une grande variété de systèmes, obéissent à un régime spécifique. Les fournisseurs de GPAI doivent répondre à des exigences d’information et de transparence et s’engager à respecter le droit d’auteur. Leurs obligations sont accrues lorsque les modèles de GPAI présentent un risque systémique. L’adhésion volontaire des fournisseurs à un code de bonne pratique vaut présomption de conformité.

Le règlement s’applique à toutes personnes publiques ou privées et impose des obligations de conformité aux acteurs des systèmes d’IA.

Quels sont les opérateurs économiques concernés ? Le règlement définit les responsabilités des différents acteurs soumis à des exigences réglementaires en fonction de l’étape de leur intervention : les acteurs ainsi définis sont : le fournisseur, le mandatairel’importateur, le distributeur et le « déployeur » (il s’agit de l’utilisateur personne physique ou morale qui en fait un usage professionnel).

A quelles étapes ?

  • lors de la mise sur le marché du système
  • Lors de la mise en service du système
  • Lors de l’utilisation par les professionnels du système

À noter toutefois que les fournisseurs dont le système d'IA relève des cas identifiés à « haut risque » au titre de l’Annexe III peuvent s’extraire des exigences y afférentes s’ils démontrent l’absence de risque important pour la santé, la sécurité ou les droits fondamentaux des personnes physiques.

Le texte a une portée extraterritoriale : concerne les systèmes d’IA mis sur le marché ou utilisés au sein de l’UE, y compris par des acteurs d’origine externe.

Empilement législatif : les acteurs devront articuler le règlement IA avec les règles issues du RGPD/ avec le DMA (Digital Market Act) et le DSA (Digital Services Act) qui demeurent applicables et répondent à des objectifs distincts. Ce sont les règles issues du DMA qui ont conduit Apple à retarder le lancement de son système d’IA générative au regard des règles du droit de la concurrence.

Autorités de contrôle : Le bureau de l’IA (Office AI), créé au sein de la Commission, sera chargé de contrôler la conformité et chaque État Membre doit désigner, dans le délai d’un an, un office national de gouvernance. En France, c’est naturellement la CNIL qui est pressentie pour être l’autorité nationale de contrôle.

Emilie Collomp -16 Décembre 2024 

https://collomp-avocat.com/blog/variations-sur-le-theme-de-lia-quelle-regulation-focus-sur-lia-act