L’IA Act : Calendrier et entrée en vigueur

Vue d’ensemble

L’AI Act de l’UE représente un cadre réglementaire révolutionnaire visant à garantir des systèmes d’IA éthiques, sûrs et transparents dans l’Union européenne. Sa mise en œuvre progressive offre des orientations claires aux parties prenantes tout en favorisant l’innovation et la conformité. Voici un calendrier détaillé des principales étapes, de leurs implications et des actions préparatoires pour les organisations.

Date d’entrée en vigueur

1er août 2024 : L’AI Act de l’UE entre en vigueur

• Événement : Adoption officielle de l’AI Act de l’UE, 20 jours après sa publication au Journal officiel de l’UE le 12 juillet 2024.
• Objectif : Établit les bases juridiques de la loi. Bien qu’elle devienne applicable, la plupart des dispositions restent inapplicables, permettant une période de transition pour une mise en œuvre progressive.
• Implications immédiates :
  • Les organisations doivent entamer des audits internes et des analyses d’écarts pour évaluer l’alignement de leurs systèmes d’IA actuels avec les futures obligations.
  • Les secteurs dépendant de l’IA, tels que la santé, la finance et les forces de l’ordre, doivent prioriser la cartographie des cas d’utilisation en fonction des catégories de risques définies dans la loi.

Phase initiale de mise en œuvre

2 février 2025 : Interdiction des systèmes d’IA à risques inacceptables

• Portée des systèmes interdits :
  • IA utilisant des techniques subliminales pour manipuler les comportements ou décisions.
  • IA exploitant les vulnérabilités de groupes spécifiques (enfants, personnes âgées, handicapées).
  • Systèmes de scoring social, similaires à ceux de certains pays, interdits sans exception.
  • Identification biométrique en temps réel dans les espaces publics, sauf exceptions strictes pour les forces de l’ordre.
  • Systèmes de reconnaissance émotionnelle sur les lieux de travail ou dans les environnements éducatifs.
  • IA évaluant la probabilité qu’une personne commette des infractions criminelles en fonction de données personnelles.
• Focus sur la conformité :
  • Littératie en IA : Les organisations doivent renforcer la sensibilisation des employés aux pratiques éthiques de l’IA et assurer une formation pour ceux impliqués dans la conception, le déploiement ou la gestion des systèmes d’IA.
  • Révision des politiques : Les entreprises utilisant des outils biométriques ou des systèmes d’analyse des sentiments doivent évaluer leur conformité ou désactiver ces systèmes.

2 mai 2025 : Développement des codes de conduite pour les IA à usage général (GPAI)

• Rôle de facilitation : Le Bureau de l’IA de l’UE coordonne le processus de rédaction, impliquant les parties prenantes industrielles, le monde académique et les États membres.
• Portée des contenus : Ces codes devraient inclure des directives sur la transparence, des protocoles d’évaluation des risques et des bonnes pratiques opérationnelles.
• Considérations clés :
  • Gouvernance participative : Les parties prenantes doivent contribuer activement pour garantir que les spécificités sectorielles soient prises en compte.
  • Clause de sauvegarde : Si les codes volontaires sont jugés insuffisants, le Bureau de l’IA de l’UE pourra imposer des règles via des actes d’exécution.

2 août 2025 :

• Cadre de gouvernance pour les fournisseurs de GPAI : Les obligations des fournisseurs de GPAI, y compris les exigences de transparence et de réduction des risques, deviennent applicables.
• Préparations nationales :
  • Les États membres doivent désigner des autorités compétentes responsables de la supervision et de l’application de la réglementation sur l’IA.
  • La Commission européenne initie des examens annuels des pratiques interdites en matière d’IA pour répondre aux risques émergents.

Période principale d’application

2 février 2026 : Mise en œuvre des plans de surveillance post-commercialisation

• La Commission européenne adopte des modèles de plans de surveillance post-commercialisation pour les fournisseurs d’IA à haut risque.
• Les fournisseurs doivent mettre en œuvre des mécanismes permettant de surveiller et de signaler les performances réelles, garantissant une conformité et une sécurité continues.

2 août 2026 :

• Applicabilité complète pour les systèmes d’IA à haut risque : Les systèmes d’IA à haut risque définis dans l’annexe III doivent se conformer aux dispositions de la loi. Cela inclut les systèmes utilisés dans :
  • Biométrie : Outils de reconnaissance faciale, d’analyse de l’iris et de la voix.
  • Infrastructures critiques : IA assurant la sécurité dans les secteurs du transport ou de l’énergie.
  • Éducation : IA évaluant les performances ou aptitudes des étudiants.
  • Emploi : Outils de recrutement automatisés ou systèmes de surveillance des employés.
  • Services publics : IA déterminant l’éligibilité à des prestations sociales, des soins de santé ou des logements.
  • Forces de l’ordre et justice : Outils de police prédictive ou systèmes d’évaluation des preuves.
• Nouvelles obligations :
  • Sanctions et amendes pour non-conformité applicables.
  • Bacs à sable réglementaires : Chaque État membre doit établir au moins un bac à sable opérationnel pour favoriser l’innovation tout en garantissant la conformité.
  • La Commission révise et met à jour chaque année la liste des systèmes d’IA à haut risque pour maintenir la pertinence de la réglementation.

Délais prolongés de conformité

2 août 2027 : Date limite finale de conformité pour les systèmes GPAI existants

• Toutes les catégories de risques (y compris les systèmes de l’annexe II) doivent être pleinement conformes.
• Les systèmes d’IA à haut risque commercialisés dans l’UE avant le 2 août 2025 doivent respecter les exigences réglementaires.

Implications générales pour les parties prenantes

Préparation à la conformité :

• Cartographie des risques : Les organisations doivent classer leurs systèmes d’IA en catégories de risques (minimal, limité, élevé ou inacceptable) conformément à la loi.
• Documentation et transparence : Maintenir des dossiers complets sur la provenance des données, la conception des modèles et les cas d’utilisation prévus.

Investissement dans l’innovation :

• Bacs à sable d’IA : Fournir des environnements sûrs pour tester et affiner les systèmes d’IA sous supervision réglementaire.
• Priorisation de la R&D : Les entreprises peuvent explorer les applications de l’IA dans des catégories à faible risque avec des contraintes réglementaires minimales.

Effets mondiaux :

• Les entreprises non européennes proposant des produits/services d’IA dans l’UE doivent se conformer, influençant les tendances mondiales de gouvernance de l’IA.

Leadership en IA éthique :

• L’UE se positionne comme un leader mondial dans la gouvernance de l’IA, établissant un précédent pour d’autres juridictions telles que les États-Unis, le Canada et le Japon.

Conclusion

L’AI Act de l’UE représente un changement de paradigme dans la gouvernance de l’IA, équilibrant innovation et garanties éthiques. Sa mise en œuvre progressive garantit que les organisations disposent du temps nécessaire pour s’adapter tout en traitant rapidement les risques pressants. Les parties prenantes de tous les secteurs doivent agir de manière proactive, en utilisant la période de transition pour aligner leurs stratégies sur les exigences de conformité, renforcer la confiance et assurer la durabilité de leurs systèmes d’IA sur le marché européen.