Comprendre le Règlement européen sur l'IA en 6 questions !

Quel est l'objectif du règlement européen sur l'IA ?

Tout premier acte législatif au monde sur l'IA, le Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle vise à établir un cadre juridique uniforme, en particulier pour le développement, la mise sur le marché, la mise en service et l'utilisation de systèmes d'intelligence artificielle tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l'Union européenne.

Que prévoit le Règlement européen sur l'IA ?

Le règlement européen vise avant tout à protéger les utilisateurs puisque les fournisseurs d'IA, vont devoir respecter des obligations qui seront modulées en fonction du risque que présente l'usage des systèmes d'IA.

Le texte propose ainsi un régime graduel.

Les usages considérés comme faisant peser un risque « inacceptable » sont tout simplement interdits même si des exceptions existent. On y retrouve notamment la reconnaissance des émotions des apprenants dans les établissements d'enseignement (article 5 du Règlement IA (RIA)).

C'est sur les usages jugés « à haut risque » que l'encadrement est le plus détaillé. Il s'agit des usages qui peuvent avoir une incidence négative sur droits fondamentaux des personnes (article 6 du RIA). Une liste des cas d'utilisation considérés comme à haut risque figure en annexe III du RIA. Dans les domaines de l'éducation et de la formation professionnelle, il s'agit des systèmes d'IA utilisés par exemple, pour évaluer les acquis d'apprentissage, orienter le processus d'apprentissage et surveiller les comportements malhonnêtes.

Dans ce champ des IA à haut risque, le modèle de régulation mis en place par le règlement s'inscrit dans le sillon du RGPD notamment en imposant dès l'amont une mise en conformité (déclarée) du système avec la pré-constitution de preuves de cette conformité, pour faciliter les contrôles. Le régime implique notamment une politique contraignante de gouvernance des données utilisées pour l'entraînement, la validation ou encore les tests, afin de s'assurer de leur qualité et éviter les biais, une obligation de transparence et d'information au bénéfice des utilisateurs, une surveillance humaine du système visant à prévenir ou minimiser les risques et des obligations d'exactitude et de cybersécurité.

Les usages évalués à faible risque sont guidés par un principe de transparence. Il s'agit par exemple, du recours à des robots conversationnels ou à des tuteurs personnels pour le stagiaire dans un outil LMS ou un ENT. Les utilisateurs devront savoir qu'ils interagissent avec une machine, l'objectif étant de limiter les manipulations possibles.

Les systèmes qui présentent un risque minime ne sont pas régulés par le texte. Ce qui, évidemment, ne signifie pas qu'ils ne supportent pas le poids d'autres législations, portant notamment sur la sécurité des produits ou les données à caractère personnel.

Pour les prestataires de formation, les obligations dépendront du type d'IA utilisées. D'évidence, la qualification du système d'IA est un enjeu fondamental.

Quelles sont les règles applicables aux modèles d'IA à usage général ?

Sont considérées comme des « modèles d'IA à usage général » (Mistral Ai, Open AI, …) par le RIA, les modèles d'IA, y compris lorsque ces modèles d'IA sont entraînés à l'aide d'un grand nombre de données utilisant l'auto-supervision à grande échelle, qui présentent une généralité significative et sont capables d'exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peuvent être intégrés dans une variété de systèmes ou d'applications en aval, à l'exception des modèles d'IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché (article 3 RIA).

Les fournisseurs de ces modèles doivent mettre certaines informations à la disposition des fournisseurs en aval. Ces obligations de transparence permettent de mieux comprendre ces modèles (article 53 RIA). Ils doivent, de surcroît, appliquer des procédures permettant de garantir qu'ils respectent la législation sur les droits d'auteur lorsqu'ils entraînent leurs modèles (considérant 104 du RIA).

Certains de ces modèles pourraient comporter des risques systémiques en raison de leur puissance ou de la large utilisation qui en est faite. Les fournisseurs de modèles présentant des risques systémiques sont par conséquent tenus d'évaluer et d'atténuer les risques, de signaler les incidents graves, de procéder à des essais et à des évaluations de modèles conformément à l'état de la technique, de garantir la cybersécurité et de fournir des informations sur la consommation d'énergie de leurs modèles (article 55 RIA).

A qui va s'appliquer le Règlement européen sur l'IA ?

Le nouveau cadre juridique mis en place s'appliquera aussi bien aux acteurs du secteur public que du secteur privé, à l'intérieur comme à l'extérieur de l'UE, dès lors que le système d'IA est mis sur le marché dans l'Union ou que son utilisation a une incidence sur des personnes situées dans l'UE (article 2 RIA).

Quelles seront les sanctions en cas de non-respect du Règlement européen sur l'IA ?

Le RIA prévoit des sanctions graduées en fonctions de l'obligation qui n'a pas été respectée. La sanction la plus élevée est celle prononcée en raison du non-respect de l'interdiction des pratiques en matière d'IA posant des risques inacceptable (article 5 RIA). Ce manquement fait l'objet d'amendes administratives pouvant aller jusqu'à 35 M€ ou, si l'auteur de l'infraction est une entreprise, jusqu'à 7 % de son chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, le montant le plus élevé étant retenu (article 99 RIA). Les fournisseurs de modèles d'IA à usage général peuvent se voir infliger par la commission des amendes n'excédant pas 3 % de leur chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent, ou 15 M€, le montant le plus élevé étant retenu, lorsque la Commission constate que le fournisseur, de manière délibérée ou par négligence a enfreint les dispositions du RIA (article 101 RIA).

Le Règlement prévoit une structure de gouvernance ad hoc pour faire respecter le RIA, reposant sur une double gouvernance, au niveau européen, avec la mise en place d'un comité européen de l'IA (article 65 et 66 RIA) et au niveau de chaque Etat membre, la désignation d'une ou plusieurs autorité compétente pour endosseur le rôle d'autorité de surveillance du marché (articles 70 et 74 RIA).

Quel est le calendrier d'application du Règlement européen sur l'IA ?

Le Règlement est applicable à partir du 2 août 2026, toutefois certaines dispositions entrent en application avant ou après cette date :

(1) Système d'IA utilisé comme composant de sécurité d'un produit ou s'il s'agit d'un produit lui-même couvert par la législation européenne. Les fournisseurs de systèmes d'IA à haut risque sont encouragés à commencer à se conformer, sur une base volontaire, aux obligations pertinentes du règlement dès la période transitoire.

Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l'intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l'intelligence artificielle)Texte présentant de l'intérêt pour l'EEE