Le 13 mars 2024, le Parlement européen a approuvé le règlement relatif à l’intelligence artificielle (règlement IA, ou AI Act). Après des années de négociations, la première loi étoffée sur l’IA au monde devient pratiquement réalité. Le règlement doit encore être adopté officiellement par le Conseil européen. Ensuite, il faut attendre la publication au Journal officiel de l’Union européenne.
Ce règlement contient :
- des règles harmonisées pour la commercialisation, la mise en service et l’utilisation des systèmes d’IA dans l’Union européenne ;
- une interdiction de certaines pratiques en matière d’IA ;
- des exigences spécifiques pour les systèmes d’IA à haut risque et des obligations pour les opérateurs de ces systèmes ;
- des prescriptions de transparence harmonisées pour certains systèmes d’IA ;
- des règles harmonisées pour la commercialisation de modèles d’IA à usage général ;
- des règles relatives au suivi du marché, à la surveillance du marché, à la gouvernance et à l’application de ces règles ;
- des mesures en vue de soutenir l’innovation, en mettant l’accent sur les PME, y compris les start-up.
Objectif
L’Europe veut ainsi créer un cadre juridique uniforme pour :
- garantir le bon fonctionnement du marché intérieur et éviter ainsi la fragmentation du marché ;
- stimuler et soutenir l’innovation ;
- protéger les citoyens et les entreprises des effets néfastes des systèmes d’IA sur les droits fondamentaux, comme la démocratie, l’État de droit et l’environnement.
Approche basée sur les risques
Bien que l’IA apporte de nombreux avantages économiques et sociaux, elle implique également des risques.
C’est pourquoi l’Europe opte pour une approche basée sur les risques : plus le risque est élevé, plus les règles sont strictes. À cet égard, une distinction est opérée entre les applications d’IA avec :
- un risque inacceptable ;
- un haut risque ;
- un risque limité.
La catégorie de risque d’un système d’IA définit les obligations auxquelles le système doit répondre.
Les modèles d’IA à usage général reçoivent leur propre ensemble de règles.
Attention ! Tous les systèmes d’IA ne relèvent pas de ce règlement. Pensez par exemple aux systèmes d’IA :
- qui ne relèvent pas de l’un des niveaux de risque susmentionnés, tels que les filtres antispam ;
- spécialement développés et mis en service dans le seul but de la recherche scientifique et du développement scientifique ;
- qui sont libérés sous des licences gratuites et open source. L’Europe prévoit toutefois des exceptions à cette règle, par exemple lorsqu’ils présentent un haut risque ou lorsqu’ils relèvent de catégories spécifiques qui imposent des exigences de transparence plus strictes...
- …
Favoriser l’innovation
Les États membres doivent prévoir des environnements afin de réaliser des
tests dans des conditions réelles. Ceux-ci doivent être accessibles aux PME et aux start-up. Cela permet de développer et de tester des systèmes d’IA innovateurs avant qu’ils ne soient disponibles pour tous.
Sanctions
Les contrevenants s’exposent à des amendes élevées.
Ainsi, l’amende administrative en cas d’infraction à l’interdiction de certains systèmes d’IA peut atteindre 35 millions d’euros ou, si le contrevenant est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total pour l’exercice comptable précédent, selon la valeur la plus élevée.
Entrée en vigueur et application ?
Le Conseil européen doit encore approuver officiellement le règlement.
Il faut ensuite attendre la publication du règlement au Journal officiel de l’Union européenne. Il entre en vigueur 20 jours après cette publication et est d’application 24 mois après.
Pour certaines parties, la réglementation s’applique déjà plus tôt, par exemple pour :
- l’interdiction de certains systèmes d’IA (présentant un risque inacceptable) : 6 mois après l’entrée en vigueur du règlement AI ;
- les règles relatives aux modèles d’IA à usage général : 12 mois après l’entrée en vigueur ;
- pour une catégorie spécifique de systèmes d’IA à haut risque, de gouvernance et de sanctions : 36 mois après l’entrée en vigueur.
Attention !Ce règlement s’applique généralement et directement dans tous les pays de l’Union européenne, comme le RGPD.
1. Contexte
Le 13 mars 2024, le Parlement européen a approuvé le règlement relatif à l’intelligence artificielle (règlement IA, ou AI Act). Après des années de négociations, la première loi étoffée sur l’IA au monde devient pratiquement réalité. Le règlement doit encore être adopté officiellement par le Conseil européen. Ensuite, il faut attendre la publication au Journal officiel de l’Union européenne.
Le règlement contient :
- des règles harmonisées pour la commercialisation, la mise en service et l’utilisation des systèmes d’IA dans l’Union européenne ;
- une interdiction de certaines pratiques en matière d’IA ;
- des exigences spécifiques pour les systèmes d’IA à haut risque et des obligations pour les opérateurs de ces systèmes ;
- des prescriptions de transparence harmonisées pour certains systèmes d’IA ;
- des règles harmonisées pour la commercialisation de modèles d’IA à usage général ;
- des règles relatives au suivi du marché, à la surveillance du marché, à la gouvernance et à l’application de ces règles ;
- des mesures en vue de soutenir l’innovation, en mettant l’accent sur les PME, y compris les start-up.
Il couvre un large éventail d’applications d’IA, comme les chatbots, les outils de sélection de CV...
2. L’objectif ?
L’Europe veut ainsi créer un cadre juridique uniforme pour :
- garantir le bon fonctionnement du marché intérieur et éviter la fragmentation du marché ;
- stimuler et soutenir l’innovation ;
- protéger les citoyens et les entreprises des effets néfastes des systèmes d’IA sur les droits fondamentaux, comme la démocratie, l’État de droit et l’environnement. L’utilisation de l’IA avec ses caractéristiques spécifiques (p. ex : opacité, complexité, dépendance aux données, comportement autonome) peut en effet avoir un impact négatif sur un certain nombre de droits fondamentaux ancrés dans la « Charte des droits fondamentaux de l’Union européenne ».
3. Qu’est-ce qu’un système d’IA ?
Un système d’IA est un système automatisé :
- conçu pour fonctionner à différents niveaux d’autonomie ; et
- qui peut présenter une capacité d’adaptation après le déploiement ; et
- qui peut, pour des objectifs explicites ou implicites, générer à partir des informations reçues des résultats tels que des contenus, des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels.
4. Approche basée sur les risques
Bien que l’IA apporte de nombreux avantages économiques et sociaux, elle implique également des risques. C’est pourquoi le règlement suit une approche basée sur les risques : plus le risque est élevé, plus les règles sont strictes.
À cet égard, une distinction est opérée entre les applications d’IA avec :
- un risque inacceptable ;
- un haut risque ;
un risque limité.
La catégorie de risque d’un système d’IA définit les obligations auxquelles le système d’IA doit répondre.
Les modèles d’IA à usage général reçoivent leur propre ensemble de règles.
Attention ! Tous les systèmes d’IA ne relèvent pas de ce règlement. Pensez par exemple aux systèmes d’IA :
- qui ne relèvent pas de l’un des niveaux de risque susmentionnés, tels que les filtres antispam ;
- spécialement développés et mis en service dans le seul but de la recherche scientifique et du développement scientifique ;
- qui sont libérés sous des licences gratuites et open source. L’Europe prévoit toutefois des exceptions à cette règle, par exemple lorsqu’ils présentent un haut risque ou lorsqu’ils relèvent de catégories spécifiques qui imposent des exigences de transparence plus strictes...
- …
4.1. Systèmes d’IA présentant un risque inacceptable
Certains systèmes d’IA font l’objet d’une interdiction totale. Ils sont contraires aux normes et valeurs européennes fondamentales, par exemple en raison d’une violation des droits fondamentaux.
Par exemple, il est interdit de commercialiser, de mettre en service à cette fin spécifique ou d’utiliser des systèmes d’IA pour déduire les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement. Sauf lorsque l’utilisation du système d’IA est destinée à être importée ou commercialisée pour des raisons médicales ou de sécurité.
Cependant, il existe aussi des exceptions pour les systèmes d’IA « interdits », mais nous n’approfondirons pas ce point dans ce bulletin d’information.
4.2. Systèmes d’IA à haut risque – obligations lourdes
Le règlement définit quels systèmes d’IA sont des systèmes « à haut risque ». Il s’agit de systèmes d’IA qui ont un effet négatif sur la sécurité ou les droits fondamentaux,
comme les systèmes d’IA destinés à être utilisés pour :
- le recrutement ou la sélection de personnes physiques. C’est-à-dire pour publier des offres d’emploi ciblées, analyser et filtrer des candidatures et évaluer des candidats ;
- la prise de décisions ayant une influence sur les conditions de travail, la facilitation ou la fin de la relation de travail ;
- l’attribution de tâches sur la base de comportements individuels ou de caractéristiques personnelles ;
le suivi et l’évaluation des prestations et du comportement des personnes dans de tels emplois.
Ces systèmes peuvent en effet avoir des conséquences considérables sur les futures opportunités de carrière et de subsistance de ces personnes, ainsi que sur les droits des travailleurs.
De tels systèmes peuvent entraîner la persistance de modèles historiques de discrimination, par exemple à l’égard des femmes, de certaines tranches d’âge, des personnes handicapées ou des personnes ayant une certaine origine raciale ou ethnique ou une certaine orientation sexuelle.
Les systèmes d’IA utilisés pour surveiller les prestations et le comportement de ces personnes peuvent également porter atteinte à leurs droits fondamentaux en matière de protection des données et de vie privée.
Obligations du système d’IA à « haut risque »
Des exigences élevées sont imposées à un système d’IA présentant un haut risque.
En résumé, pour un système d’IA à haut risque :
- on établit, exécute, documente et maintient un système de gestion des risques ;
- on le développe sur la base de séries de données de haute qualité afin d’exclure autant que possible les risques et les résultats discriminatoires (lors de la formation de modèles d’IA avec des données) ;
- on établit la documentation technique avant la commercialisation ou la mise en service de ce système, et on l’actualise systématiquement ;
- il est techniquement conçu de manière à ce que les événements soient enregistrés automatiquement pendant leur cycle de vie (« journaux »). Et ce, afin de garantir la traçabilité des résultats ;
il est suffisamment transparent pour permettre aux utilisateurs d’interpréter les résultats d’un système et de les utiliser de manière appropriée.
Le système est également accompagné d’instructions d’utilisation dans un format numérique ou autre approprié contenant des informations concises, complètes, correctes et claires qui sont pertinentes, accessibles et compréhensibles pour les utilisateurs ;
- il a été conçu et développé de manière à pouvoir être contrôlé efficacement par des personnes physiques pendant la période d’utilisation. Un contrôle humain est donc requis ;
- il offre un niveau approprié de précision, de robustesse et de cybersécurité.
En outre, les systèmes d’IA à haut risque doivent passer par une procédure d’évaluation de la conformité avant d’être mis sur le marché ou en service, afin de garantir un haut niveau de fiabilité.
4.3. Systèmes d’IA à risque limité – Obligation de transparence
Si un système d’IA n’implique aucun risque significatif de dommage pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, il ne s’agit en principe pas d’un système d’IA à haut risque et les obligations susmentionnées ne s’appliquent donc pas.
Mais attention : certains systèmes d’IA sont soumis à des obligations d’information et de transparence vis-à-vis des utilisateurs, même s’ils n’impliquent pas de haut risque.
Ces obligations s’appliquent en effet à tous les systèmes d’IA qui :
- sont destinés à une interaction directe avec des personnes ; ou
- sont utilisés pour reconnaître des émotions ou classer des personnes en catégories sur la base de données biométriques (sauf si cela complète un autre service commercial et si cela s’avère strictement nécessaire pour des raisons techniques objectives) ; ou
- génèrent ou manipulent du contenu (par exemple deep fakes).
Ainsi, un système d’IA qui interagit avec des personnes devra clairement communiquer qu’il s’agit d’un système d’IA. Sur cette base, un utilisateur peut décider s’il souhaite l’utiliser ou non en faisant un choix bien informé.
Les images, fichiers audio et contenus vidéo artificiels ou manipulés (« deep fakes ») doivent également être clairement spécifiés.
4.4. Modèles d’IA à usage général
De plus, les modèles d’IA à usage général (IA générative) font l’objet d’un ensemble de règles propres.
En effet, ils ne sont pas nécessairement classés comme des modèles à haut risque.
En principe, ils doivent toutefois satisfaire :
- à certaines exigences de transparence (par exemple : établir et actualiser la documentation technique...) ; et
- à la législation européenne relative aux droits d’auteur.
Des exigences complémentaires existent pour les modèles plus puissants susceptibles d’entraîner des risques systémiques, comme la réalisation d’évaluations du modèle, l’appréciation et l’atténuation des risques systémiques et le reporting des incidents.
5. Obligations liées aux systèmes à haut risque pour les fournisseurs et autres parties
Le règlement IA dispose d’un vaste champ d’application et contient des obligations pour toute personne qui développe, commercialise, déploie ou utilise de l’IA dans l’Union européenne.
Des obligations spécifiques s’appliquent donc selon qu’il s’agit de fournisseurs, d’importateurs, de distributeurs ou d’exploitants. Pour une meilleure compréhension, nous vous expliquons ci-dessous ce que l’on entend par :
Fournisseur
Un fournisseur est une personne physique ou morale, une instance publique, une agence ou un autre organisme :
- qui développe ou fait développer un système d’IA ou un modèle d’IA à des fins générales ; et
- met ce système ou modèle sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ;
Exploitant (utilisateur)
Un exploitant est une personne physique ou morale, une instance publique, une agence ou un autre organisme qui utilise un système d’IA sous sa propre responsabilité. Sauf lorsque le système d’IA est utilisé dans le cadre d’une activité personnelle à caractère non professionnel. En effet, le règlement ne s’applique pas aux personnes physiques qui utilisent des systèmes d’IA dans le cadre d’une activité purement personnelle et non professionnelle.
Importateur
Un importateur est une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA portant le nom ou la marque d’une personne physique ou morale établie dans un pays tiers ;
- Distributeur
Un distributeur est une personne physique ou morale faisant partie de la chaîne d’approvisionnement autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union.
Dès lors, l’utilisateur ne peut pas présupposer que c’est le fournisseur qui s’en charge. En effet, le règlement IA impose également des règles aux utilisateurs d’applications d’IA à haut risque, même si elles sont moins nombreuses que celles applicables aux fournisseurs.
L’utilisateur doit par exemple :
- prendre des mesures techniques et organisationnelles pour pouvoir utiliser le système d’IA conformément aux prescriptions du fournisseur ;
- veiller à ce qu’il y ait toujours un contrôle humain, par des travailleurs suffisamment formés à cet effet et disposant de l’autorité nécessaire ;
- sauvegarder les fichiers journaux générés automatiquement par le système d’IA « à haut risque », dans la mesure où ils sont sous leur contrôle, pendant une période appropriée. Ou au moins durant six mois, sauf si le droit de l’Union ou le droit national applicable en définit autrement. Plus particulièrement, la législation de l’Union européenne relative à la protection des données à caractère personnel (RGPD).
- …
Obligation d’information
Avant de mettre en service ou d’utiliser un système d’IA à haut risque sur le lieu de travail, les employeurs informent leurs représentants des travailleurs et les travailleurs concernés qu’ils seront soumis à l’utilisation d’un système d’IA à haut risque.
Ces informations sont fournies conformément aux règles, procédures et pratiques en vigueur dans l’État membre en matière d’information des travailleurs et de leurs représentants.
6. Alphabétisation en IA
Les fournisseurs et utilisateurs de systèmes d’IA prennent des mesures pour garantir, dans la mesure du possible, un niveau de connaissance suffisant de l’IA (alphabétisation en IA) auprès de leur personnel et d’autres personnes exploitant et utilisant des systèmes d’IA en leur nom. Ils tiennent compte de ce qui suit :
leurs connaissances techniques, leur expérience, leur enseignement et leur formation ; et
le contexte dans lequel les systèmes d’IA seront utilisés ;
les personnes ou groupes de personnes vis-à-vis desquelles les systèmes d’IA seront utilisés.
7. Sanctions
Les contrevenants risquent de lourdes sanctions.
Par exemple, l’amende administrative en cas d’utilisation d’applications d’IA interdites peut s’élever à 35 millions d’euros ou, si le contrevenant est une entreprise, à 7 % de son chiffre d’affaires annuel mondial total pour l’exercice comptable précédent, selon la valeur la plus élevée.
8. Stimuler l’innovation
Les États membres doivent mettre en place des environnements de test dans des conditions réelles qui doivent être accessibles aux PME et aux start-up. Cela permet de développer et de tester des systèmes d’IA innovateurs avant qu’ils ne soient disponibles pour tous.
En outre, l’Europe prévoit des mesures visant à alléger la charge administrative pour les PME et les entreprises débutantes.
Nous n’aborderons pas ce point plus en détail.
9. Entrée en vigueur ?
Le Conseil européen doit encore approuver officiellement le règlement.
Il faut ensuite attendre la publication du règlement au Journal officiel de l’Union européenne. Il entre en vigueur 20 jours après cette publication et est d’application 24 mois après.
Pour certaines parties, la réglementation s’applique déjà plus tôt, par exemple pour :
- l’interdiction de certains systèmes d’IA (présentant un risque inacceptable) : 6 mois après l’entrée en vigueur du règlement AI ;
- les règles liées aux modèles d’IA générative : 12 mois après l’entrée en vigueur ;
- pour une catégorie spécifique de systèmes d’IA à haut risque, de gouvernance et de sanctions : 36 mois après l’entrée en vigueur.
Quelles sont les implications pour l’employeur ?
Tant les entreprises qui souhaitent utiliser l’IA que celles qui commercialisent elles-mêmes des applications d’IA, en tant que fournisseur, importateur ou distributeur, doivent faire le nécessaire pour se conformer aux obligations du règlement. Le règlement prévoit des obligations spécifiques tant pour les fournisseurs de systèmes d’IA à haut risque que pour les exploitants, les importateurs et les distributeurs de ces systèmes.
Les employeurs qui souhaitent utiliser des systèmes d’IA comme aide dans le cadre du recrutement et de la gestion du personnel (= haut risque) devront donc prêter attention aux obligations liées à ces systèmes.
L’employeur, en tant qu’utilisateur, doit par exemple :
- prendre des mesures techniques et organisationnelles pour pouvoir utiliser le système d’IA conformément aux prescriptions du fournisseur ;
- veiller à ce qu’il y ait toujours un contrôle humain, par des travailleurs suffisamment formés à cet effet et disposant de l’autorité nécessaire ;
- sauvegarder les fichiers journaux générés automatiquement par le système d’IA « à haut risque », dans la mesure où ils sont sous leur contrôle, pendant une période appropriée. Ou au moins durant six mois, sauf si le droit de l’Union ou le droit national applicable en définit autrement. Plus particulièrement, la législation de l’Union européenne relative à la protection des données à caractère personnel.
- …
En outre, un distributeur, importateur, exploitant ou tiers peut, dans certaines circonstances, être considéré comme un fournisseur de système d’IA à haut risque aux fins de l’application de ce règlement. Par exemple, si l’objectif d’un système d’IA déjà commercialisé ou en cours d’utilisation change, de sorte que ce système devient ou reste un système à haut risque.
Informez les représentants des travailleurs et les travailleurs concernés
Avant de mettre en service ou d’utiliser un système d’IA à haut risque sur le lieu de travail, les employeurs informent leurs représentants des travailleurs et les travailleurs concernés qu’ils seront soumis à l’utilisation d’un système d’IA à haut risque.
Ces informations sont fournies conformément aux règles, procédures et pratiques en vigueur dans l’État membre en matière d’information des travailleurs et de leurs représentants.
Assurez l’alphabétisation en IA de votre personnel
En tant qu’utilisateurs ou fournisseurs, les employeurs doivent garantir un niveau de connaissance suffisant de l’IA auprès de leur personnel et d’autres personnes qui exploitent et utilisent des systèmes d’IA en leur nom. Ils tiennent compte de ce qui suit :
leurs connaissances techniques, leur expérience, leur enseignement et leur formation ; et
le contexte dans lequel les systèmes d’IA seront utilisés ;
les personnes ou groupes de personnes vis-à-vis desquelles les systèmes d’IA seront utilisés.
Attention ! Ce règlement IA n’est évidemment pas la seule réglementation dont un employeur doit tenir compte lors de l’utilisation de systèmes d’IA. Pensez par exemple au RGPD, à la législation antidiscrimination...