Le 8 décembre, les décideurs de l'Union européenne ont atteint une étape importante en finalisant la Loi sur l'intelligence artificielle (IA), établissant ainsi le premier cadre réglementaire complet au monde pour l'intelligence artificielle. En tant que leader mondial de la gouvernance numérique et des données, l'UE a toujours établi des normes sur de nombreuses questions, y compris la protection des données et les pratiques de publicité ciblée. Après un long parcours législatif débuté en avril 2021, la Loi sur l'IA est prête à transformer la gouvernance de l'IA, annonçant l'effet "Bruxelles" qui élèvera les normes de l'IA dans l'économie mondiale.
Le texte officiel est actuellement en cours de révisions finales, mais les dirigeants de l'UE s'attendent à ce que la Loi sur l'IA soit officiellement adoptée en avril 2024, avec une mise en œuvre progressive débutant en 2026.
Qu'est-ce que la Loi sur l'IA de l'UE ?
La Loi sur l'IA représente un cadre juridique novateur introduit par la Commission européenne en avril 2021, visant à garantir la sécurité, la responsabilité et la transparence des systèmes d'IA sur le marché de l'UE. Adopting une approche basée sur les risques, la Loi supervisera les développeurs, distributeurs, importateurs et utilisateurs d'IA, évaluant soigneusement les impacts potentiels négatifs des systèmes d'IA. Plus le risque d'une application d'IA est élevé, plus la supervision requise sera importante. Cette législation rappelle le Règlement général sur la protection des données (RGPD) de l'UE, qui a influencé les normes mondiales de protection de la vie privée depuis son adoption en 2016.
Qui est concerné par la Loi sur l'IA ?
La Loi sur l'IA définit des responsabilités spécifiques pour les différentes entités impliquées dans l'écosystème de l'IA, y compris les développeurs, distributeurs et utilisateurs. Il convient de noter que même les entreprises basées hors de l'UE peuvent relever de la juridiction de la Loi si leurs systèmes d'IA produisent des résultats utilisés au sein de l'UE. Par exemple, une entreprise sud-américaine développant un système d'IA ayant un impact sur les résidents de l'UE pourrait être soumise à la Loi.
La Loi sur l'IA ne s'appliquera pas aux applications militaires ou de sécurité nationale, mais elle définit des conditions strictes pour l'utilisation de systèmes d'identification biométrique à distance par les forces de l'ordre.
Le projet de Loi sur l'IA, adopté par le Parlement européen en juin 2023, souligne deux catégories clés d'acteurs :
- Fournisseur : Ce terme désigne les développeurs qui offrent des systèmes d'IA sous leur propre marque, qu'ils soient gratuits ou payants. Un exemple de fournisseur est OpenAI avec ChatGPT sur le marché de l'UE.
- Déployeur : Ce terme remplace « Utilisateur » et désigne les entités qui utilisent des systèmes d'IA à des fins professionnelles ou commerciales.
Les obligations de conformité reposent principalement sur le Fournisseur d'IA, reflétant la responsabilité des contrôleurs de données sous le RGPD. Cependant, le nombre d'utilisateurs d'IA (Déployeurs) dépassera de loin celui des Fournisseurs, surtout en ce qui concerne les systèmes à haut risque, où les Déployeurs joueront un rôle clé dans la gestion des risques liés à l'IA.
Classification des risques des pratiques en IA
Avec un accent sur la protection des droits et de la sécurité des utilisateurs finaux, la Loi sur l'IA classifie les systèmes d'IA en quatre catégories de risques :
1. IA inacceptable : Cette catégorie interdit l'utilisation des technologies d'IA menaçant les valeurs démocratiques ou les droits humains, telles que les systèmes de crédit social et la surveillance biométrique intrusive.
2. IA à haut risque : Les systèmes d'IA pouvant causer des dommages significatifs à des secteurs critiques—comme les infrastructures, l'emploi et la santé publique—sont considérés comme à haut risque. Les développeurs de ces systèmes doivent répondre à des exigences strictes, y compris des évaluations de conformité, l'enregistrement, la gouvernance des données et des protocoles de cybersécurité.
3. IA à faible risque : Les systèmes présentant des risques mineurs, tels que les chatbots simples, requièrent des mesures de transparence, obligeant les utilisateurs à être informés lorsque le contenu est généré par l'IA.
4. IA à risque minimal ou nul : Cette catégorie couvre les applications à faible risque, y compris les résumés automatisés et les filtres anti-spam, qui ne présentent généralement pas de risque significatif pour les utilisateurs.
Sanctions en cas de non-conformité
Le non-respect des dispositions de la Loi sur l'IA peut entraîner des pénalités substantielles. Celles-ci vont de 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial à 35 millions d'euros ou 7 % du chiffre d'affaires mondial, selon la gravité de la violation. La version du Parlement de 2023 propose les amendes potentielles suivantes :
- IA inacceptable : Jusqu'à 7 % du chiffre d'affaires annuel mondial, en hausse par rapport aux 6 % précédents.
- IA à haut risque : Jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial.
- IA à usage général (ex. : ChatGPT) : Amendes pouvant atteindre 15 millions d'euros ou 2 % du chiffre d'affaires mondial, avec des dispositions spéciales pour les applications d'IA générative.
- Fourniture d'informations incorrectes : Amendes allant jusqu'à 7,5 millions d'euros ou 1,5 % des revenus mondiaux.
Préparation à la Loi sur l'IA
Pour naviguer efficacement dans la Loi sur l'IA, les organisations doivent adopter une stratégie de gouvernance complète, incluant des contrôles internes solides et une gestion de la chaîne d'approvisionnement. Les entreprises développant ou déployant des systèmes d'IA à haut risque doivent effectuer des évaluations approfondies de leurs opérations et envisager les questions suivantes :
- Quels départements utilisent des outils d'IA ?
- Ces outils traitent-ils des informations propriétaires ou des données personnelles sensibles ?
- Ces cas d'utilisation relèvent-ils des catégories inacceptables, à haut risque ou à faible risque comme défini par la Loi sur l'IA ?
- L'entreprise agit-elle en tant que Fournisseur d'IA ou Déployeur d'IA ?
- Quelles stipulations existent dans les accords avec les fournisseurs concernant la protection des données et la conformité ?
L'initiative de l'UE concernant la Loi sur l'IA pourrait déclencher des mouvements significatifs dans les approches législatives mondiales de gestion des risques liés à l'IA. Couplée avec le récent décret exécutif américain sur l'IA annoncé en octobre, cet accord décisif ouvre la voie à une ère transformative sur la manière dont les entreprises peuvent exploiter la technologie de l'IA de manière responsable et efficace.
Classement
