L’AI Act ou RIA : un cadre règlementaire renforcé pour l’IA s’appliquant à l’ensemble des acteurs

L’ensemble des acteurs économiques est concerné

Le RIA s’applique aux acteurs publics et privés, à l’intérieur et à l’extérieur de l’UE, dès lors que le système d’IA est commercialisé ou affecte des personnes dans l’Union Européenne, et ce sur l’entièreté de la chaîne de valeur des systèmes d’IA, de la conception jusqu’à l’utilisation finale.

Le règlement concerne les opérateurs intervenant sur ces différentes étapes en distinguant deux types d’acteurs aux obligations propres : 
 

• Les « fournisseurs », qui créent, conçoivent émettent sur le marché des systèmes d’IA à usage général sous leur propre marque. Ils ont notamment des obligations lors des phases de conception et de mise sur le marché des solutions. 
• Les déployeurs, ou utilisateurs, qui utilisent un système d’IA dans leur environnement opérationnel et à titre professionnel, ont quant à eux des obligations postérieurement à la mise en marché. Lorsqu’une solution est importée, le déployeur doit s’assurer que les fournisseurs étrangers ont suivi la procédure de conformité.

Deux exceptions : les systèmes utilisés exclusivement à des activités personnelles et non-professionnelles et ceux utilisés à des fins militaires, de défense ou de sécurité nationale. 

Une approche européenne guidée par 4 niveaux de risques... 

Pour le Parlement européen, l’intelligence artificielle représente tout outil utilisé par une machine afin de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ». Les systèmes d’IA couverts par le RIA se caractérisent donc par cette « capacité d’inférence », correspondant à la capacité d’un outil à générer des prédictions, du contenu, des recommandations ou des décisions, qui peuvent influencer l’environnement physique ou virtuel. 

Le règlement adopte une approche basée sur les risques en catégorisant ces systèmes selon quatre niveaux de risques :  
 

🔴 Les systèmes d’IA à risque inacceptable, i.e. contraires aux valeurs de l’UE et au respect des droits fondamentaux, qui sont proscrits. 
Il peut s’agir, par exemple, de systèmes de notation sociale ou de surveillance biométrique prenant en compte des critères sensibles (croyances religieuses, origines ethniques, orientations sexuelles…). 

🟠 Les systèmes d’IA à risque élevé pouvant porter atteinte aux droits fondamentaux ou à la sécurité des individus sont soumis à des exigences strictes. 
Il peut s’agir par exemple d’infrastructures critiques en lien avec l’énergie, les transports, les dispositifs médicaux, les systèmes de recrutement, la justice ou de systèmes biométriques…).

🟡 Les systèmes d’IA à risque limité tels que des chatbots ou deepfakes, pouvant influencer les décisions / comportements des utilisateurs font l’objet d’une obligation d’information et transparence.

🟢 Les systèmes d’IA à risque minimal (ou nul), tels que des filtres anti spam ou jeux vidéos basés sur l’IA, ne font pas l’objet d’obligation spécifique. 

🔵 En complément de cette classification, le RIA couvre également une nouvelle catégorie de modèles dits à usage général (GPAI), notamment dans le domaine de l’IA générative.  Ces modèles, par exemple ceux de langage (LLM), se distinguent par leur capacité à accomplir un large éventail de tâches distinctes, ce qui complique leur classification dans les catégories existantes. 

... permettant de définir différents niveaux d’obligations ... 

En fonction de la classification du système d’IA, différents types d’obligations et de sanctions en cas de non-respect sont prévues par le RIA et s’imposent aux acteurs

🔴 Les systèmes d’IA à risques inacceptables sont interdits de mise sur le marché, de mise en service ou d’utilisation. 

🟠 Les systèmes d’IA à risques élevés impliquent le respect d’exigences renforcées. Les fournisseurs ont l’obligation de : 

• Maitriser le cycle de vie du système et fournir une documentation technique détaillée incluant les spécifications du système, les processus de conception et développement
• Définir et mettre en place la gouvernance et le système de gestion de la donnée pour garantir la qualité, l'exactitude et l'intégrité des données utilisées
• Effectuer une évaluation du risque et mettre en place des mesures de gestion des risques appropriées
• Effectuer une évaluation de conformité avant la mise sur le marché
• Enregistrer le système dans la base de données de l'UE et obtenir le marquage CE
• Définir et mettre en œuvre un plan de surveillance (en intégrant un contrôle humain) des performances des systèmes d'IA et signaler les incidents ou défaillances.

Les déployeurs ont quant à eux l’obligation de : 

• S'assurer que les systèmes d'IA utilisés ont été évalués et certifiés conformes aux exigences réglementaires
• Maintenir et mettre à jour la documentation technique, y compris l'utilisation et l'impact du système d'IA
• Mettre en place un dispositif de contrôle du système d’IA selon les instructions du fournisseur et notamment vérifier et valider la qualité des données utilisées et les résultats produits par les systèmes d'IA
• Participer en collaboration avec le fournisseur au plan de surveillance mise en œuvre
• Effectuer des audits réguliers pour s'assurer de la conformité continue des systèmes d'IA
• Garantir l’information des utilisateurs et clients quant à l'utilisation de l'IA et leurs droits associés.

🟡 Pour les systèmes d’IA à risque limité, les fournisseurs ont l’obligation d’informer les utilisateurs qu’ils interagissent avec un système d’IA et doivent, dans certains cas, enregistrer le système dans la base de données du l’UE. Les déployeurs ont également des obligations de transparence vis-à-vis de l’utilisateur final quant au traitement de leurs données personnelle et l’origine artificielle du contenu (audio ou vidéo). 

🟢 Pour les systèmes à risque minimal, aucune obligation, les acteurs ont la possibilité d’adhérer s’ils le souhaitent à une charte de bonnes pratiques. 

🔵 Concernant les GPAI, différents niveaux d’obligation sont prévus de la transparence et la fourniture de documentation minimale à la mise en place des mesures approfondies d’évaluation en vue d’atténuer les risques systémiques pouvant être inhérents à certains de ces modèles.

... et de sanctions en cas de non-respect

Des sanctions en cas de non-respect sont prévues par la règlementation européenne, proportionnelles à la gravité de l’infraction, en fonction notamment du type de système. 

💶 Amendes financières : 

Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial selon la gravité de l’infraction (Ex : non respect des interdictions de mise en marché / utilisation de système d’IA, informations trompeuses ou erronées…)

🚫 Interdiction de mise en marché : 

Les autorités peuvent interdire temporairement ou définitivement la mise sur le marché de systèmes d'IA non conformes, empêchant ainsi leur déploiement jusqu'à ce que les problèmes soient corrigés.

📝 Obligation de mise en conformité :

Les entreprises doivent corriger les non-conformités identifiées dans un délai spécifié (Ex : mise à jour du système d’IA, production de documentation manquante…) 

💶 Indemnisation des victimes :

En cas de préjudice causé par des systèmes d'IA non conformes, les entreprises peuvent être tenues de verser des indemnités aux victimes ou de couvrir les coûts de réparation.

📰 Publication des sanctions : 

Dans certains cas, les décisions concernant les sanctions peuvent être publiées pour informer le public et garantir la transparence. Cela peut inclure des communiqués de presse ou des publications sur les sites web des autorités.
 

Le RIA prévoit une structure de gouvernance à deux niveaux, européen et national, pour assurer la mise en place de cette règlementation à l’échelle européenne. 

La gouvernance du RIA repose sur plusieurs structures et instances clés autour de la Commission Européenne pour assurer une application cohérente et efficace à travers l’Union Européenne. 
 

Au niveau Européen :

• Comité européen de l’IA (AI Board) : cet organe central rassemble des représentants de chaque État membre et des observateurs comme le Contrôleur européen de la protection des données. Il est chargé de superviser la mise en œuvre du RIA au sein de l'Union européenne et de coordonner les efforts pour une application uniforme du règlement.
• Bureau de l’IA (AI Office) : le Bureau de l’IA participe aux travaux du Comité européen de l’IA, mais sans droit de vote. Il supervise les modèles d’IA à usage général, collabore avec les autorités nationales pour la surveillance des systèmes d’IA à haut risque, développe et met à jours des méthodologies d’évaluation des modèles d’IA. 
• Forum consultatif (Advisory Forum) : cet organe multi-acteurs conseille le Comité européen de l’IA et la Commission européenne dans l’exercice de leurs missions, apportant des perspectives variées et des recommandations.
• Groupe scientifique d’experts indépendants (Scientifics Panel) : composé de scientifiques de haut niveau, ce groupe soutient le Bureau de l’IA dans la supervision des modèles d’IA à usage général et aide les autorités nationales dans leurs activités d’application de la loi en identifiant par exemple les risques systémiques liés à l'IA et en proposant des recommandations sur la classification des modèles d'IA conforme aux avancées scientifiques.

Au niveau national, chaque État membre doit désigner une ou plusieurs autorités compétentes pour agir en tant qu’autorité nationale de surveillance du marché. Ces autorités sont responsables de la bonne application du RIA sur le territoire nationale, de la supervision du “bac à sable” national, de la réalisation des contrôles et de l’imposition des amendes le cas échéant. 

Une mise en application échelonnée entre février 2025 et aout 2027

📅  3 ans sont prévus entre l’entrée en vigueur du RIA et la mise en application complète : 

12 juillet 2024 : Publication au Journal Officiel (JO) de l’Union Européenne

1er août 2024 : Entrée en vigueur du RIA

2 février 2025 : Entrée en application des interdictions relatives aux systèmes d’IA à risques inacceptables

2 août 2025 : Entrée en vigueur des règles pour les fournisseurs d'IA à usage général (GPAI) et nomination des autorités nationales

2 août 2026 : Toutes les dispositions deviennent applicables (à l’exception de certaines catégories d’IA à haut risques) et les bacs à sable règlementaires nationaux doivent être mis en œuvre par les autorités nationales 

2 août 2027 : Entrée en vigueur complète du RIA 
 

En parallèle, pour appuyer l’entrée en application, des normes harmonisées européennes seront définies pour préciser les exigences applicables aux systèmes d’IA concernés et garantir au plus tôt une IA plus responsable et éthique pour les citoyens de l’Union Européenne. 

Alors, n’attendez plus et anticipez dès maintenant votre mise en conformité !