Loi sur l’IA : Règlement sur l’intelligence artificielle de l’Union européenne

Suite à l’émergence de différentes intelligences artificielles comme le populaire ChatGPT et après de nombreux mois de débat, le Parlement européen a approuvé la loi sur l’intelligence artificielle, qui établit des règles harmonisées en matière d’intelligence artificielle afin de garantir la sécurité et le respect des droits fondamentaux tout en stimulant l’innovation.

L’objectif de la loi sur l’intelligence artificielle est d’établir un cadre juridique uniforme, notamment en ce qui concerne le développement, la commercialisation et l’utilisation de l’intelligence artificielle conformément aux valeurs de l’Union européenne (ci-après, l’« UE »). En d’autres termes, réglementer l’introduction sur le marché et la mise en service de certains systèmes d’IA, car l’UE cherche à être le leader mondial dans le développement d’une IA sûre, digne de confiance et éthique.

Il convient de souligner que la loi sur l’intelligence artificielle s’appliquera à :

1. aux fournisseurs qui introduisent sur le marché ou mettent en service des systèmes d’IA ou qui introduisent sur le marché des modèles d’IA à usage général dans l’Union, que ces fournisseurs soient établis ou situés dans l’Union ou dans un pays tiers ;
2. aux responsables du déploiement de systèmes d’IA qui sont établis ou situés dans l’Union ;
3. aux fournisseurs et aux responsables du déploiement de systèmes d’IA qui sont établis ou situés dans un pays tiers, lorsque les informations de sortie générées par le système d’IA sont utilisées dans l’Union.
4. aux importateurs et distributeurs de systèmes d’IA ;
5. aux fabricants de produits qui introduisent sur le marché ou mettent en service un système d’IA avec leur produit et sous leur propre nom ou marque commerciale ;
6. aux représentants autorisés des fournisseurs qui ne sont pas établis dans l’Union ;
7. aux personnes concernées qui sont situées dans l’Union.

Parmi d’autres hypothèses qui sont développées tout au long de l’article 2 de la loi, elle ne s’appliquera pas aux systèmes d’IA développés ou utilisés exclusivement à des fins militaires ; ni aux autorités publiques de pays tiers ni aux organisations internationales lorsque ces autorités ou organisations utilisent des systèmes d’IA dans le cadre d’accords internationaux à des fins d’application de la loi et de coopération judiciaire avec l’Union ou avec un ou plusieurs États membres.

Pour la première fois, le concept de « Système d’intelligence artificielle (système d’IA) » est juridiquement défini : « un système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie, qui peut montrer une capacité d’adaptation après le déploiement et qui, pour des objectifs explicites ou implicites, déduit de l’information d’entrée qu’il reçoit la manière de générer de l’information de sortie, comme des prédictions, des contenus, des recommandations ou des décisions, qui peut influencer des environnements physiques ou virtuels ».

L’article fournit également une série de définitions des principaux participants à la chaîne de valeur de l’IA, tels que les fournisseurs, les distributeurs, les importateurs ou les utilisateurs de systèmes d’IA, entre autres.

En entrant dans la réglementation de la matière, la loi sur l’intelligence artificielle suit une approche basée sur le risque. Pour ce faire, elle distingue les systèmes d’IA qui posent :

1. Pratiques d’IA interdites : Ceux qui violent les droits fondamentaux, comme manipuler des personnes ou des groupes vulnérables de manière préjudiciable.
2. Systèmes d’IA à haut risque : Autorisés sur le marché européen avec des exigences obligatoires et une évaluation de la conformité ex ante.
3. Systèmes d’IA à risque limité : Exigences moins strictes.
4. Systèmes d’IA à risque faible ou minimal : Sans réglementations spéciales.

Les pratiques d’IA interdites seront celles qui, entre autres, violent les droits fondamentaux. Par exemple, les pratiques qui ont un grand potentiel pour manipuler les personnes au moyen de techniques subliminales qui transcendent leur conscience ou qui profitent des vulnérabilités de groupes vulnérables spécifiques, comme les mineurs ou les personnes handicapées, pour modifier de manière substantielle leur comportement d’une manière qui est susceptible de leur causer des préjudices physiques ou psychologiques à eux ou à d’autres personnes.

En revanche, les pratiques d’IA à haut risque seront autorisées sur le marché européen à condition qu’elles remplissent certaines exigences obligatoires et soient soumises à une évaluation de la conformité ex ante. Il convient de souligner que le devoir d’implémentation de systèmes de gestion des risques associés aux systèmes d’IA à haut risque est réglementé pour les fournisseurs d’IA.

Le système de gestion des risques consistera en un processus continu qui sera mené tout au long du cycle de vie d’un système d’IA à haut risque, lequel nécessitera des mises à jour systématiques périodiques afin de détecter et d’atténuer les risques pertinents des systèmes d’IA pour la santé, la sécurité et les droits fondamentaux. Il comprendra les étapes suivantes :

• l’identification et l’analyse des risques connus et prévisibles liés à chaque système d’IA à haut risque ;
• l’estimation et l’évaluation des risques qui pourraient survenir lorsque le système d’IA à haut risque en question est utilisé conformément à sa finalité prévue et lorsqu’il est fait un usage abusif raisonnablement prévisible ;
• l’évaluation d’autres risques qui pourraient survenir à partir de l’analyse des données recueillies avec le système de suivi postérieur à la commercialisation auquel se réfère l’article 61 ;
• l’adoption de mesures opportunes de gestion des risques conformément aux dispositions des paragraphes suivants.

En matière de protection des données personnelles, l’obligation est imposée aux utilisateurs de systèmes d’IA à haut risque de réaliser une évaluation d’impact relative à la protection des données que leur impose l’article 35 du RGPD, le cas échéant.

L’Office européen de l’IA sera le centre de l’expertise en IA dans toute l’Union européenne. Il jouera un rôle clé dans l’application de la loi, en particulier pour l’IA à usage général, encouragera le développement et l’utilisation d’une IA fiable et la coopération internationale. L’Office de l’IA a été créé au sein de la Commission européenne en tant que centre de connaissances spécialisées en IA et constitue la base d’un système européen unique de gouvernance de l’IA.

De plus, chaque État membre nommera ou constituera au moins une autorité notifiante qui sera responsable de l’établissement et de la mise en œuvre des procédures nécessaires à l’évaluation, à la désignation et à la notification des organismes d’évaluation de la conformité, ainsi que de leur surveillance.

L’Espagne a été le premier pays de l’Union européenne à constituer l’Agence espagnole de supervision de l’intelligence artificielle (AESIA), dont le siège sera établi à A Coruña.

Enfin, au niveau des sanctions, la loi sur l’IA prévoit des amendes administratives de divers montants (jusqu’à 35 000 000 EUR ou, si l’infraction est commise par une entreprise, jusqu’à 7 % du chiffre d’affaires total annuel mondial de l’exercice financier précédent, si ce montant est supérieur), en fonction de la gravité de l’infraction. Les États membres doivent établir le régime de sanctions, y compris les amendes administratives, et adopter toutes les mesures nécessaires pour garantir son application correcte et efficace.

Bien qu’il reste encore une dernière vérification juridique et linguistique, son approbation semble prévue avant la fin de la législature. De plus, la loi devra être formellement adoptée par le Conseil.

La loi sur l’IA de l’UE représente une étape importante vers l’établissement d’un cadre réglementaire clair dans le but d’établir une IA sûre et éthique. Au moment de son entrée en vigueur, elle aura un impact sur les fournisseurs et les utilisateurs de systèmes d’IA dans l’Union européenne, assurant la protection des données et des droits fondamentaux, et favorisant la confiance dans les intelligences artificielles.