Supervision et application
L’AI Act de l’UE établit un système à plusieurs niveaux pour la supervision et l’application, impliquant à la fois les États membres et les organismes au niveau de l’UE. Au niveau de l’État membre, chaque pays doit désigner au moins une « autorité de notification » responsable de l’évaluation et de la notification des organismes d’évaluation de la conformité, et au moins une autorité de surveillance du marché (ASM) pour superviser la conformité générale. Ces autorités nationales compétentes doivent être dotées de ressources adéquates pour remplir leurs tâches, qui comprennent la fourniture de conseils, la réalisation d’enquêtes et l’application des dispositions de l’AI Act. Les ASM, en particulier, détiennent un pouvoir important en vertu du règlement sur la surveillance du marché, notamment le pouvoir d’exiger des informations, de mener des inspections, d’émettre des ordres de correction et, en fin de compte, d’imposer des sanctions en cas de violations.
Au niveau de l’UE, le Bureau de l’IA sert d’organe central pour développer l’expertise, coordonner la mise en œuvre et superviser les modèles d’IA à usage général. Le Bureau de l’IA joue un rôle clé dans la fourniture de conseils et de soutien et agit en tant qu’autorité de surveillance des modèles d’IA à usage général et de leurs fournisseurs. Il s’efforce d’encourager le respect de l’AI Act en rédigeant des lignes directrices et en offrant aux entreprises un moyen de mieux comprendre leurs obligations. Un nouveau Conseil de l’IA, composé de représentants de chaque État membre, conseille et assiste la Commission européenne et les États membres afin de garantir une application cohérente et efficace de l’AI Act dans l’ensemble de l’Union. La Commission européenne elle-même conserve des responsabilités telles que la préparation de la documentation, l’adoption d’actes délégués et la mise à jour de la base de données des systèmes d’IA à haut risque.
Pouvoirs d’application et sanctions
Le cadre de sanctions décrit dans l’AI Act prévoit des amendes substantielles en fonction de la gravité et du type d’infraction. Le non-respect des règles relatives aux pratiques d’IA interdites pourrait entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial total. D’autres infractions peuvent entraîner des pénalités allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires, tandis que la fourniture d’informations incorrectes ou trompeuses pourrait entraîner des amendes de 7,5 millions d’euros ou 1 % du chiffre d’affaires. Ces pénalités peuvent être appliquées dans des cas spécifiques, afin qu’elles restent cohérentes. Il est important de noter que ces amendes s’ajoutent à toute autre pénalité ou sanction prescrite par les lois des États membres. La double approche des sanctions peut accroître la pression pour réussir, et les entreprises doivent être conscientes non seulement de la réglementation globale de l’UE, mais aussi des pénalités potentielles ajoutées à celles des pénalités individuelles des États membres.
L’utilisation du Guide de la Loi Européenne sur l’IA peut aider les professionnels du droit.
Ce guide est conçu comme une ressource pratique pour les professionnels du droit internes naviguant dans les complexités de la Loi Européenne sur l’IA. Il vise à fournir des informations et des stratégies facilement applicables pour aider les entreprises à comprendre et à se conformer aux nouvelles réglementations. Le guide met en évidence les principaux domaines de la Loi sur l’IA qui sont les plus susceptibles d’affecter les entreprises, en accordant une attention particulière aux obligations distinctes imposées aux fournisseurs et aux deployeurs d’IA. En structurant son contenu autour des mesures de conformité pratiques que les entreprises devraient envisager, il permet aux professionnels du droit de traduire efficacement les exigences de la Loi sur l’IA en politiques et procédures internes réalisables.
Dans chaque section, le guide explique non seulement les exigences légales imposées par la Loi sur l’IA, mais il explore également les implications pratiques pour les entreprises. Une caractéristique centrale du guide est son attention aux détails dans la mise en évidence des mesures de conformité que les entreprises peuvent envisager de prendre, comblant ainsi le fossé entre la compréhension juridique et la mise en œuvre pratique. De plus, reconnaissant la relation complexe entre la Loi sur l’IA et le RGPD, le guide intègre une discussion spécifique de leur interaction, permettant aux professionnels du droit de tirer parti des programmes de conformité existants et de potentiellement rationaliser le processus de conformité.
Mesures de conformité pratiques et interaction avec le RGPD
Chaque section propose des encadrés dédiés aux « Mesures de conformité pratiques », fournissant des actions concrètes que les entreprises peuvent entreprendre pour remplir leurs obligations. De plus, des encadrés « Interaction » mettent en évidence la relation entre la Loi sur l’IA et le RGPD, offrant des perspectives sur les programmes de conformité RGPD existants qui peuvent être adaptés à la conformité à la Loi sur l’IA. Des icônes sont utilisées pour indiquer visuellement le niveau de chevauchement, y compris un chevauchement important (nécessitant un effort supplémentaire minimal), un chevauchement modéré (servant de point de départ) et aucun chevauchement (nécessitant des mesures entièrement nouvelles). Cette approche permet aux professionnels du droit d’évaluer efficacement l’impact de la Loi sur l’IA sur leurs organisations et de développer des stratégies de conformité appropriées.
La loi européenne sur l’IA propose d’importants changements réglementaires pour les entreprises.
La loi européenne sur l’IA introduit d’importantes modifications réglementaires qui affectent les entreprises opérant au sein de l’Union européenne, ainsi que celles qui déploient ou fournissent des systèmes ou modèles d’IA sur le marché de l’UE, quel que soit leur emplacement physique. La loi impose des obligations aux divers acteurs de l’écosystème de l’IA, notamment les fournisseurs, les déployeurs, les importateurs et les distributeurs de systèmes d’IA. Selon le type de système d’IA utilisé, la loi prévoit des délais de conformité allant de 6 à 36 mois après son entrée en vigueur, ce qui oblige les équipes juridiques internes à évaluer rapidement l’impact potentiel de la loi et à élaborer des stratégies de mise en œuvre efficaces. Le fait de ne pas prendre en compte de manière proactive ces nouvelles obligations peut laisser les entreprises mal préparées, ce qui risque d’entraîner des contraintes de ressources pendant la phase de mise en œuvre de la conformité.
L’impact sur les entreprises dépend de leur rôle en tant que fournisseurs ou déployeurs de types particuliers de systèmes d’IA et/ou de modèles d’IA à usage général. Certains systèmes d’IA sont désormais considérés comme totalement interdits en raison des risques inhérents qu’ils présentent pour les droits fondamentaux. D’autres systèmes d’IA, comme ceux utilisés dans les infrastructures critiques, l’emploi ou les services publics, sont classés à haut risque et sont donc soumis aux exigences rigoureuses détaillées dans la loi sur l’IA. En outre, la loi comprend des réglementations spécifiques aux modèles d’IA à usage général, selon qu’ils sont considérés ou non comme présentant un risque systémique. Les entreprises doivent donc procéder à une analyse approfondie de leurs systèmes d’IA afin de déterminer s’ils sont soumis aux réglementations. Cela comprend la réalisation d’évaluations des risques appropriées, la mise en œuvre de mesures de protection techniques, la garantie d’une surveillance humaine et la tenue d’une documentation transparente.
Obligations pratiques pour toutes les entreprises
Au-delà des exigences sectorielles et échelonnées en fonction des risques, la loi européenne sur l’IA impose un changement fondamental à toutes les entreprises, quelle que soit leur implication spécifique dans le développement ou le déploiement de l’IA, en établissant des obligations en matière de culture numérique en matière d’IA. L’article 4 stipule que les fournisseurs et les déployeurs de systèmes d’IA doivent veiller à ce que leur personnel possède un niveau adéquat de culture numérique en matière d’IA, compte tenu de leurs rôles respectifs et de l’utilisation prévue des systèmes d’IA. Cela comprend, sans s’y limiter, la fourniture d’une formation et d’un enseignement continus aux membres du personnel. L’objectif est de favoriser la compréhension des technologies d’IA, de leurs risques potentiels et des exigences réglementaires imposées par la loi sur l’IA. Cela garantit un développement, un déploiement et une utilisation responsables des systèmes d’IA, préservant ainsi la santé, la sécurité et les droits fondamentaux.
Les étapes clés du calendrier de la loi sur l’IA sont clairement définies.
Le parcours de la loi européenne sur l’IA, de la proposition à l’application, a été marqué par des étapes clairement définies. La consultation publique initiale s’est clôturée le 6 août 2021, ouvrant la voie à une action législative. La Commission européenne a officiellement publié la proposition de loi sur l’IA le 21 avril 2021, exposant le cadre de la réglementation de l’IA. Le Parlement européen a adopté sa position de négociation le 14 juin 2023, signalant ses priorités pour la loi. Le Conseil a adopté sa position commune/approche générale le 6 décembre 2022, indiquant un alignement entre les États membres. Surtout, le 9 décembre 2023, le Parlement européen et le Conseil sont parvenus à un accord provisoire. Ces points de repère témoignent de la nature collaborative et itérative de l’élaboration des lois européennes, garantissant à toutes les parties prenantes une stratégie structurée en matière de gouvernance de l’IA.
Dates de mise en œuvre et d’application
Après avoir conclu un accord politique, les étapes formelles vers la mise en œuvre ont inclus le lancement du Bureau de l’IA le 21 février 2024. Le Parlement européen a donné son approbation finale le 13 mars 2024, suivi de l’approbation du Conseil le 24 mai 2024. La loi sur l’IA a été publiée au Journal officiel de l’UE le 12 juillet 2024, avant d’entrer officiellement en vigueur le 1er août 2024. Les différentes catégories de systèmes d’IA ont des dates d’application échelonnées, ce qui permet aux entreprises de s’adapter stratégiquement. Les systèmes identifiés comme interdits et les programmes d’alphabétisation en matière d’IA sont entrés en vigueur le 2 février 2025. Les obligations générales relatives aux modèles d’IA sont entrées en vigueur le 2 août 2025, suivies de la plupart des obligations supplémentaires (y compris les systèmes d’IA à haut risque de l’annexe III) deux ans après l’entrée en vigueur de la loi, le 2 août 2026. Les systèmes d’IA à haut risque placés à l’annexe I entreront en vigueur le 2 août 2027. Ces délais offrent une stratégie progressive adaptée aux fournisseurs et aux utilisateurs, en fonction du type de système d’IA.
Comprendre le champ d’application de la loi sur l’IA est essentiel pour les entreprises.
La portée territoriale de la loi sur l’IA s’étend au-delà des frontières physiques de l’UE, impactant les entreprises à l’échelle mondiale. L’applicabilité territoriale est déterminée par trois critères clés : le lieu de l’entité, la mise sur le marché du système ou du modèle d’IA et l’utilisation géographique du résultat du système d’IA. Si une entreprise est établie ou située dans l’UE et déploie un système d’IA, la loi sur l’IA s’applique. En outre, la loi englobe les fournisseurs – quel que soit leur emplacement – qui mettent des systèmes d’IA sur le marché de l’UE ou les mettent en service au sein de l’UE. Cela comprend les systèmes d’IA utilisés par les fabricants de produits sous leur propre marque. De manière critique, la loi sur l’IA cible également les fournisseurs et les opérateurs dont les résultats des systèmes d’IA sont utilisés au sein de l’UE, quel que soit le lieu de leur établissement, et protège les personnes au sein de l’UE affectées par l’utilisation des systèmes d’IA. Cette large portée nécessite que les entreprises, quelle que soit leur base géographique, déterminent méticuleusement leurs obligations en vertu de la loi sur l’IA afin de garantir la conformité, d’éviter les pénalités potentielles et de maintenir l’intégrité opérationnelle au sein du marché de l’UE.
Au-delà de la portée territoriale, il est essentiel de comprendre la portée personnelle et matérielle de la loi sur l’IA. Les principales cibles de la loi sont les fournisseurs et les opérateurs de systèmes d’IA, chacun ayant des responsabilités distinctes. Cependant, la définition de « fournisseur » peut s’étendre aux importateurs, aux distributeurs et même aux fabricants de produits dans certaines conditions. Plus précisément, si ces entités apposent leur marque sur un système d’IA à haut risque, le modifient substantiellement ou modifient sa destination prévue pour le classer comme à haut risque, elles assument les obligations d’un fournisseur. Néanmoins, la loi prévoit plusieurs exceptions, notamment pour les opérateurs qui sont des personnes physiques utilisant des systèmes d’IA à des fins purement personnelles et non professionnelles, et pour les systèmes d’IA développés uniquement à des fins de recherche et développement scientifiques. Une portée temporelle échelonnée impacte également la compréhension de la loi sur l’IA. Les obligations de conformité sont progressives, allant de six à trente-six mois à compter de l’entrée en vigueur de la loi, en fonction du type de système d’IA. Les systèmes d’IA à haut risque déjà sur le marché avant le 2 août 2026 ne relèvent de la compétence de la loi qu’à la suite de modifications importantes de leur conception. Cette complexité souligne la nécessité pour les entreprises d’évaluer attentivement leurs rôles et les calendriers applicables pour une planification complète de la conformité.
Définition des concepts cruciaux au sein de l’AI Act.
L’AI Act repose sur un ensemble de concepts définis avec précision qui déterminent sa portée et son application. Le terme « système d’IA » lui-même est méticuleusement défini comme un système basé sur une machine, conçu pour fonctionner avec différents niveaux d’autonomie, capable de s’adapter après son déploiement. Ce système déduit de ses entr
Applications pratiques pour les entreprises établies.
L’AI Act de l’UE introduit un nouveau paradigme pour les entreprises qui développent, déploient ou utilisent des systèmes d’IA. Il est crucial de comprendre les obligations découlant de cette législation pour la planification stratégique et l’atténuation des risques. En reconnaissant les rôles et responsabilités spécifiques attribués aux fournisseurs et aux déployeurs d’IA, les entreprises peuvent aborder de manière proactive les exigences de conformité et les intégrer à leurs cadres existants. Cette section fournit un aperçu détaillé des applications pratiques pour les entreprises et une analyse systématique des mesures qui peuvent être prises pour une conformité pratique.
Les entreprises devraient commencer par mener un audit complet de l’IA afin d’identifier tous les systèmes d’IA en cours d’utilisation et de les classer en fonction de leur niveau de risque. Cela implique de déterminer si le système d’IA est interdit, à haut risque ou soumis à de simples exigences de transparence. Ensuite, les systèmes d’IA doivent être classés davantage en fonction du fait que l’entreprise se qualifie en tant que fournisseur d’IA ou de déployeur d’IA, conformément au cadre de risque. La compréhension de l’interaction entre les responsabilités du fournisseur et du déployeur est essentielle, car les organisations peuvent assumer les deux rôles. Cette classification minutieuse délimitera les obligations précises et éclairera les stratégies spécifiques requises pour leur contexte unique.
Obligations du fournisseur
Les fournisseurs de systèmes d’IA à haut risque doivent adopter une approche proactive et holistique. Ils doivent établir un système complet de gestion des risques afin d’identifier et d’atténuer les risques raisonnablement prévisibles tout au long du cycle de vie de l’IA, y compris la gestion de la qualité des données, la documentation technique, la tenue des registres et les mesures correctives. Ils doivent également assurer la transparence envers les déployeurs et définir des mesures de contrôle humain. Pour les fournisseurs de systèmes, la surveillance après la mise sur le marché et la gestion des incidents deviennent essentielles. Les exigences de transparence s’étendent à l’information des individus sur l’interaction avec un système d’IA, et au marquage du contenu généré par l’IA en conséquence. Pour les fournisseurs d’IA de modèles d’IA à usage général, cette politique doit être conforme aux exigences strictes du droit d’auteur de l’UE. Le respect des normes harmonisées contribue à démontrer la conformité aux exigences de l’AI Act.
Obligations du déployeur
Les déployeurs doivent s’assurer de l’alignement avec les instructions d’utilisation du fournisseur et affecter un contrôle humain compétent. Si un déployeur a le contrôle des données d’entrée, il doit s’assurer que les données sont appropriées. Ils doivent surveiller les systèmes d’IA et signaler les incidents de manière appropriée. Lors du déploiement de systèmes d’IA sur le lieu de travail, la transparence avec les employés est obligatoire. De plus, les exigences de transparence s’étendent à l’information des individus sur l’interaction avec un système d’IA, et à l’information si celui-ci vient aider à la prise de décisions impliquant ledit individu. Dans certains cas, les déployeurs doivent effectuer des évaluations d’impact sur les droits fondamentaux, ou rendre autrement claires les politiques d’IA relatives au traitement des données.
Des directives pratiques sont offertes à toutes les entreprises pour se conformer à la loi.
L’AI Act de l’UE impose plusieurs mesures pratiques à toutes les entreprises, quel que soit leur rôle spécifique en tant que fournisseurs ou déployeurs de systèmes d’IA. Une exigence fondamentale est d’atteindre un niveau suffisant de culture de l’IA parmi le personnel et les personnes concernées. Cela nécessite des mesures pour garantir que les personnes impliquées dans l’exploitation et l’utilisation des systèmes d’IA possèdent les connaissances techniques, l’expérience, l’éducation et la formation nécessaires. Le niveau approprié de culture dépendra du contexte dans lequel les systèmes d’IA sont utilisés et de l’impact potentiel sur les individus ou les groupes. Par conséquent, les entreprises doivent investir activement dans des programmes de formation à l’IA adaptés aux différents rôles et responsabilités au sein de l’organisation, en promouvant une compréhension à la fois des avantages potentiels et des risques inhérents associés aux technologies d’IA.
Les entreprises doivent évaluer les systèmes d’IA qu’elles fournissent ou déploient et s’assurer que leur personnel est correctement préparé à travailler avec ces systèmes. Un programme de formation à l’IA solide et mis à jour sera essentiel pour se conformer à cette disposition. Les programmes de formation sur le RGPD peuvent être mis à profit, mais nécessiteront probablement des mises à jour ou de nouveaux processus (certains techniques) pour garantir la conformité aux critères spécifiques de qualité des données de l’AI Act pour les données de formation, de validation et de test en relation avec le développement de systèmes d’IA. Les entreprises peuvent être en mesure de tirer parti de certains efforts de responsabilisation du RGPD dans le processus de préparation de la documentation technique, comme pour la description des mesures de cybersécurité applicables. Les exigences en matière de journalisation recoupent partiellement les exigences de sécurité des données et les meilleures pratiques en vertu du RGPD, mais sont plus spécifiques et nécessitent une mise en œuvre technique. Il est prévu que les organisations développent et mettent en œuvre des capacités techniques et des processus spécifiques pour se conformer à cette exigence. Les fournisseurs seront également tenus de tenir compte de la période de conservation des journaux dans leurs calendriers de conservation des données.
Présentation des obligations pratiques pour les entreprises concernant les fournisseurs selon la loi sur l’IA.
La loi européenne sur l’IA impose des obligations pratiques importantes aux entreprises considérées comme des « fournisseurs » de systèmes d’IA. Ces obligations varient en fonction du niveau de risque du système d’IA, les exigences les plus strictes étant appliquées aux systèmes d’IA à haut risque. Les fournisseurs sont responsables de s’assurer que leurs systèmes d’IA sont conformes aux exigences de la loi sur l’IA avant de les mettre sur le marché ou de les mettre en service. Les obligations couvrent un large éventail, comprenant la gestion des risques, la gouvernance des données, la documentation technique, la transparence, la supervision humaine et la cybersécurité. Un thème central est la mise en œuvre de systèmes robustes de gestion de la qualité (SGQ) pour assurer une conformité continue tout au long du cycle de vie du système d’IA. Le non-respect de ces obligations peut entraîner des amendes substantielles et des dommages à la réputation, soulignant la nécessité d’une approche proactive et globale de la gouvernance de l’IA.
Pour les systèmes d’IA à haut risque, les fournisseurs doivent établir un système de gestion des risques pour identifier, analyser et atténuer les risques potentiels pour la santé, la sécurité et les droits fondamentaux. Cela implique des contrôles de la qualité des données, des tests rigoureux et des mesures de cybersécurité. La loi sur l’IA impose la création d’une documentation technique détaillant la conception, les fonctionnalités et les performances du système. La documentation doit être complète et continuellement mise à jour pour refléter tout changement ou modification apporté au système d’IA. Les fournisseurs doivent également assurer une transparence adéquate en fournissant des instructions claires et accessibles aux utilisateurs, détaillant les caractéristiques, les limitations et les risques potentiels du système d’IA. Pour accroître encore la confiance et la fiabilité des utilisateurs, le fournisseur doit assurer des niveaux appropriés de contrôle humain sur le système, permettant aux opérateurs de passer outre si nécessaire.
Modèles d’IA à usage général
Pour les modèles d’IA à usage général, les fournisseurs doivent respecter l’ensemble des conditions clés de l’article 53. Tout d’abord, ceux qui développent les modèles doivent conserver une documentation complète et à jour du système, y compris la formation, l’évaluation et les tests pertinents. La documentation et les détails doivent être transmis aux autres systèmes d’IA qui ont l’intention d’intégrer le modèle d’IA à usage général. Les entreprises créant de l’IA doivent mettre en œuvre des politiques pour se conformer au droit d’auteur ainsi que des résumés du contenu utilisé pour la formation du modèle d’IA. Les modèles d’IA à usage général qui présentent également un risque systémique sont soumis à des obligations plus strictes, notamment des évaluations des risques systémiques potentiels au niveau de l’UE, le maintien de la cybersécurité relative au modèle, et un rapport sans délai des informations pertinentes sur les incidents graves et les mesures potentiellement correctives.
Obligations pratiques pour les entreprises concernant les utilisateurs de la loi sur l’IA
La loi sur l’IA impose plusieurs obligations pratiques aux utilisateurs de systèmes d’IA, en particulier ceux classés comme à haut risque. L’une des principales exigences est le respect des instructions d’utilisation du fournisseur. Les utilisateurs doivent mettre en œuvre des mesures techniques et organisationnelles appropriées pour garantir que les systèmes d’IA à haut risque sont utilisés conformément aux instructions fournies par le fournisseur du système. Cela implique une compréhension approfondie des capacités, des limites et de la finalité du système, ainsi que la mise en œuvre de contrôles pour prévenir toute utilisation abusive ou tout écart par rapport aux paramètres opérationnels prescrits. Pour faciliter la conformité, les utilisateurs doivent tenir un registre des systèmes à haut risque en cours d’utilisation, ainsi que des instructions correspondantes. L’attribution de la responsabilité du suivi de la conformité au sein de l’organisation peut également renforcer considérablement la responsabilisation. De plus, il est essentiel que les utilisateurs restent informés de toute mise à jour ou modification des instructions via les canaux de communication établis avec les fournisseurs de systèmes d’IA.
Au-delà du respect des instructions du fournisseur, les utilisateurs sont tenus de mettre en œuvre une surveillance humaine. Cela implique de désigner des personnes possédant les compétences, la formation, l’autorité et le soutien nécessaires pour superviser l’utilisation des systèmes d’IA à haut risque. Ces personnes doivent posséder une compréhension globale des capacités et des limitations du système, être vigilantes contre les biais d’automatisation, interpréter avec précision les sorties du système et avoir le pouvoir de ne pas tenir compte, de remplacer ou d’annuler l’entrée du système lorsque cela est nécessaire. En outre, les utilisateurs qui exercent un contrôle sur les données d’entrée des systèmes d’IA à haut risque doivent s’assurer que les données sont pertinentes et suffisamment représentatives compte tenu de la finalité du système. Cela nécessite un processus de présélection pour évaluer l’adéquation des données, y compris leur exactitude et leur absence de biais, afin de garantir que le système fonctionne efficacement et équitablement. Les obligations continues pour les utilisateurs comprennent la surveillance continue des systèmes d’IA et, dans certains cas, la réalisation d’évaluations d’impact sur les droits fondamentaux.
Exigences spécifiques en matière de transparence
La loi comprend également des exigences en matière de transparence pour les utilisateurs utilisant des systèmes tels que la reconnaissance des émotions et la catégorisation biométrique, et ceux qui génèrent ou manipulent des images, de l’audio, de la vidéo et du texte. Les exigences de transparence telles que celles incluses dans l’article 50 (5) de la loi sur l’IA créent des exigences supplémentaires pour les utilisateurs afin de garantir qu’au plus tard lors de la première interaction, le système d’IA est déployé de manière transparente.
Le cadre de la supervision et de l’application de la loi sur l’IA est établi.
La supervision et l’application de la loi sur l’IA seront gérées à la fois au niveau des États membres et au niveau de l’UE, avec des rôles et des responsabilités distincts attribués à diverses autorités. Au niveau des États membres, chaque pays est tenu de désigner au moins une « autorité de notification » chargée d’évaluer et de surveiller les organismes d’évaluation de la conformité, et au moins une « Autorité de Surveillance du Marché » (ASM) pour superviser la conformité des fournisseurs, des déployeurs et des autres entités au sein de la chaîne de valeur de l’IA. Les ASM sont dotées de vastes pouvoirs de surveillance du marché, d’enquête et d’application de la loi, y compris la capacité d’exiger des informations, d’effectuer des inspections sur place, d’émettre des injonctions de conformité, de prendre des mesures correctives et d’imposer des sanctions. Les États membres sont également tenus d’établir un point de contact unique pour la loi sur l’IA afin de faciliter la communication et la coordination. Toutes les entreprises soumises à la loi sur l’IA doivent coopérer pleinement avec ces autorités nationales compétentes.
Au niveau de l’UE, le Bureau de l’IA, créé par la Commission européenne, joue un rôle clé dans le développement de l’expertise, la contribution à la mise en œuvre du droit de l’UE en matière d’IA et la surveillance de la conformité en ce qui concerne les modèles d’IA à usage général. Le Conseil de l’IA, composé de représentants de chaque État membre, conseille et assiste la Commission européenne et les États membres pour assurer une application cohérente et efficace de la loi sur l’IA. La Commission européenne a également un certain nombre de responsabilités, telles que la préparation de la documentation, l’adoption d’actes délégués et la gestion de la base de données pour les systèmes d’IA à haut risque. Les pouvoirs d’exécution dont disposent les ASM comprennent des amendes importantes en cas de non-conformité, structurées en fonction de la gravité de l’infraction, les sanctions les plus élevées étant applicables aux pratiques d’IA interdites. De plus, les individus et les organisations ont le droit de déposer des plaintes auprès de leur ASM nationale s’ils estiment qu’une infraction à la loi sur l’IA a été commise, renforçant ainsi les mécanismes de responsabilité de la loi.
Un glossaire des termes utilisés dans la loi sur l’IA est élaboré.
La loi européenne sur l’IA introduit de nombreux termes techniques et juridiques. La compréhension de ces définitions est cruciale pour que les entreprises se conforment aux dispositions de la loi. Bien qu’un glossaire complet dépasse le cadre de cette section, des termes clés tels que « système d’IA », « modèle d’IA à usage général », « destination prévue », « mauvaise utilisation raisonnablement prévisible », « mise à disposition sur le marché », « mise sur le marché », « mise en service » et « incident grave » sont essentiels pour interpréter et appliquer les exigences de la loi. Ces définitions, telles qu’énoncées à l’article 3 de la loi sur l’IA, délimitent la portée de celle-ci et les obligations des différents acteurs. Une interprétation cohérente de ces termes dans toute l’UE est nécessaire pour une application et une exécution uniformes de la loi sur l’IA, garantissant un marché harmonisé pour les technologies d’IA.
Il est également essentiel de distinguer les principaux acteurs tels que les « fournisseurs » et les « déployeurs », car chaque rôle comporte des responsabilités distinctes en vertu de la loi sur l’IA. Un fournisseur est généralement l’entité qui développe ou met un système d’IA sur le marché, tandis qu’un déployeur utilise le système d’IA dans ses opérations. Les responsabilités de chacun, énoncées tout au long de la loi, sont intrinsèquement liées. Par exemple, une communication claire de la destination prévue d’un système d’IA du fournisseur au déployeur est cruciale pour que le déployeur utilise le système conformément aux instructions du fournisseur et aux exigences plus générales de la loi. En outre, le concept de « destination prévue » est lui-même un terme défini, soulignant l’importance d’interpréter les systèmes d’IA et leur utilisation conformément aux informations fournies par le fournisseur.
Définitions et concepts clés
Afin de promouvoir la compréhension de l’IA et de faciliter davantage la clarté, la Commission européenne a publié des lignes directrices qui précisent la définition de « système d’IA » au titre de la loi sur l’IA. Outre la délimitation précise fournie par ces définitions, une compréhension plus large des concepts sous-jacents – tels que l’approche fondée sur les risques, la transparence et la surveillance humaine – est importante. Sans une compréhension ferme de ces définitions et concepts essentiels, la conformité à la loi sur l’IA reste un objectif insaisissable. L’examen et la compréhension réguliers de l’évolution des orientations de la Commission européenne, du bureau de l’IA et du conseil de l’IA seront essentiels pour maintenir une interprétation précise des termes et des définitions de la loi.
Les sections de contact importantes sont répertoriées pour les différents membres de la direction et les équipes UE/RU.
Ce document se termine par des sections de contact complètes désignées pour le personnel de direction et les membres des équipes UE/RU. Ces sections servent de ressources essentielles pour les personnes recherchant une expertise ou une assistance spécifique en matière de conformité à la loi sur l’IA. En fournissant un accès direct aux personnes clés au sein des équipes respectives, le document vise à faciliter une communication claire et efficace, permettant aux parties prenantes de naviguer plus facilement dans les complexités de la réglementation de l’IA. Une communication appropriée est primordiale dans cette phase naissante d’application réglementaire, alors que les autorités et les organisations commencent à se confronter aux implications pratiques de la loi européenne sur l’IA.
L’inclusion d’informations de contact détaillées pour les membres de la direction souligne l’importance de la supervision exécutive dans la conformité à la loi sur l’IA. Ces personnes possèdent souvent la vision stratégique et le pouvoir de décision nécessaires pour guider les organisations à travers le paysage réglementaire. Parallèlement, la liste des membres des équipes UE/RU reconnaît les nuances régionales distinctes de la réglementation de l’IA, reconnaissant que les stratégies de conformité peuvent devoir être adaptées à des juridictions spécifiques. Cette dualité garantit aux parties prenantes l’accès à la fois à des orientations stratégiques de haut niveau et à une expertise de terrain pertinente pour leur situation particulière. Ensemble, ces sections donnent la priorité aux informations de haut niveau et pratiques pour guider les utilisateurs dans leurs questions juridiques et de mise en œuvre concernant la loi.
