Premiers pas vers la conformité : répondre aux obligations précoces en vertu de la Loi sur l’IA de l’UE
La Loi sur l’intelligence artificielle (IA) de l’UE, entrée en vigueur le 1er août 2024, marque le premier cadre réglementaire complet au monde pour l’IA. Bien que la plupart des dispositions soient applicables à partir du 2 août 2026, certaines exigences clés, y compris les obligations de littératie en IA, la définition des systèmes d’IA et les interdictions de pratiques prohibées, ont pris effet le 2 février 2025. Ces premières étapes signalent le début d’un nouveau cadre réglementaire pour l’IA à travers l’Europe.
Pour aider les entreprises à naviguer dans ces obligations de conformité précoces, la Commission européenne a publié deux ensembles de lignes directrices en février 2025, incluant celles couvrant la définition des systèmes d’IA et les pratiques d’IA prohibées. Bien que ces lignes directrices ne soient pas contraignantes, elles aident les entreprises à évaluer comment ces règles affectent leurs opérations en matière d’IA et à s’assurer qu’elles sont prêtes pour la conformité.
Cet article décrit les deux domaines critiques que les entreprises doivent aborder à court terme : (1) intégrer la littératie en IA comme exigence opérationnelle de conformité, et (2) comprendre comment les systèmes d’IA sont définis et quelles pratiques sont interdites en vertu de la Loi.
Littératie en IA : une exigence de conformité fondamentale
La Loi sur l’IA de l’UE impose la littératie en IA comme une exigence de conformité fondamentale. Les organisations déployant l’IA doivent s’assurer que leurs employés, sous-traitants et tiers concernés possèdent les compétences et connaissances nécessaires pour déployer l’IA de manière responsable et gérer les risques associés.
Ce que signifie la littératie en IA dans la pratique
La littératie en IA ne se limite pas à la mise en œuvre de programmes de formation. En vertu de la Loi sur l’IA, il est impératif pour les organisations de démontrer que tout le personnel impliqué dans le déploiement et la supervision des systèmes d’IA comprend à la fois la technologie et ses risques. Ce changement impose aux entreprises de se concentrer sur des programmes éducatifs significatifs qui démontrent la compréhension et l’application au-delà de simples sessions de formation.
Un des plus grands défis auxquels les entreprises sont confrontées est la nature en rapide évolution de la technologie de l’IA. Les programmes de littératie en IA devraient être adaptés pour refléter les risques spécifiques à chaque secteur et être mis à jour régulièrement afin de suivre le rythme des développements technologiques rapides. Les petites organisations peuvent également avoir des difficultés à allouer des ressources à une formation complète sur l’IA, tandis que différents secteurs nécessiteront des approches adaptées en fonction des risques spécifiques.
Intégration de la gouvernance et attentes des régulateurs
Plutôt que de traiter la littératie en IA comme une obligation autonome, les entreprises devraient l’intégrer dans leurs cadres de gouvernance et de gestion des risques existants. Cela non seulement aidera les organisations à bâtir une culture d’utilisation responsable de l’IA, mais améliorera également la supervision de l’IA, la prise de décision et renforcera la confiance des parties prenantes. Bien que le non-respect de la mise en œuvre de la littératie en IA n’entraîne pas de pénalités directes, les régulateurs peuvent en tenir compte lors de la détermination des amendes pour des violations plus larges de la Loi sur l’IA.
Portée et pratiques d’IA prohibées : comprendre les limites
La définition du système d’IA est un pilier clé de la Loi sur l’IA, déterminant quelles technologies relèvent de son champ d’application.
Définir un système d’IA en vertu de la Loi : ce que les entreprises doivent savoir
La Loi sur l’IA de l’UE fournit une définition basée sur le cycle de vie de l’IA, englobant à la fois les phases de développement et de déploiement. Les lignes directrices sur les systèmes d’IA confirment qu’en raison de la grande variété d’applications de l’IA, il n’est pas possible de fournir une liste définitive des systèmes d’IA. Au lieu de cela, l’IA est définie à travers sept éléments clés :
- Un système basé sur une machine
- Conçu pour fonctionner avec des niveaux d’autonomie variables
- Qui peut faire preuve d’adaptabilité après le déploiement
- Fonctionnant pour des objectifs explicites ou implicites
- Inférant des entrées pour générer des sorties
- Produisant des prédictions, du contenu, des recommandations ou des décisions
- Influant sur des environnements physiques ou virtuels
Cependant, tous les sept éléments ne doivent pas être présents en tout temps pour qu’un système soit qualifié d’IA en vertu de la Loi. La définition vise à refléter la complexité et la diversité des systèmes d’IA tout en garantissant l’alignement avec les objectifs de la Loi.
Les organisations doivent noter que cette définition ne doit pas être appliquée de manière mécanique. Chaque système doit être évalué individuellement en fonction de ses caractéristiques spécifiques. Bien que de nombreux systèmes d’IA répondent à la définition établie dans la Loi, tous ne seront pas soumis à la réglementation. En fin de compte, la Cour de justice de l’Union européenne sera responsable des interprétations autorisées de la classification des systèmes d’IA.
Pratiques d’IA prohibées : ce qui est interdit
L’Article 5 de la Loi sur l’IA décrit les pratiques d’IA qui présentent des risques inacceptables pour les droits fondamentaux, la sécurité publique et les valeurs démocratiques. Ces interdictions seront revues annuellement par la Commission européenne, permettant à la liste d’évoluer parallèlement aux développements technologiques.
Tandis que certaines interdictions ciblent principalement les gouvernements et les forces de l’ordre, d’autres ont des implications directes pour les entreprises. Deux des restrictions les plus significatives affectant les applications commerciales de l’IA sont l’exploitation des vulnérabilités et le scoring social.
- Exploitation des vulnérabilités (Article 5(1)(b))
- Scoring social (Article 5(1)(c))
Les systèmes d’IA qui exploitent intentionnellement les vulnérabilités des individus, basées sur l’âge, le handicap ou le statut socio-économique, en particulier des enfants ou des individus à risque, entraînant des dommages significatifs, sont strictement prohibés. Les lignes directrices sur l’IA prohibée définissent les vulnérabilités de manière large, englobant les susceptibilités cognitives, émotionnelles et physiques.
Un exemple clé est celui des jouets alimentés par l’IA conçus pour manipuler les enfants afin de les inciter à adopter des comportements risqués, comme passer trop de temps en ligne ou prendre des décisions dangereuses. Un autre exemple inclut des mécanismes addictifs propulsés par l’IA, tels que des programmes de renforcement qui exploitent les boucles de dopamine pour augmenter l’engagement des utilisateurs.
Le scoring social fait référence aux systèmes d’IA qui évaluent ou classifient les individus en fonction de leur comportement social, de leurs caractéristiques personnelles ou de traits inférés, entraînant un traitement préjudiciable ou disproportionné.
Cette interdiction s’applique dans deux cas : (1) lorsque le scoring social entraîne des conséquences négatives dans un contexte non lié, comme utiliser les habitudes de dépenses financières d’un individu pour déterminer son employabilité ; et (2) lorsque les conséquences du scoring social sont disproportionnées par rapport au comportement évalué.
Les lignes directrices sur l’IA prohibée et la jurisprudence récente illustrent comment ces interdictions seront appliquées en pratique. Le profilage des individus à l’aide de systèmes d’évaluation alimentés par l’IA peut tomber sous l’IA prohibée si toutes les conditions nécessaires sont remplies. Cependant, bien que la plupart des modèles de scoring et d’évaluation alimentés par l’IA des entreprises soient peu susceptibles de relever de cette interdiction, les organisations doivent examiner l’utilisation des données et les critères de scoring pour éviter des violations involontaires.
Par exemple, une entreprise spécialisée dans l’analyse de données commerciales et l’évaluation des risques, comme Dun & Bradstreet, est peu susceptible d’être considérée comme engageant un scoring social prohibé en vertu de la Loi sur l’IA. Ses modèles évaluent la santé financière des entreprises et des individus, à des fins commerciales légitimes, plutôt que d’évaluer les individus en fonction de leur comportement social ou de leurs traits de personnalité. En revanche, une compagnie d’assurance collectant des données de transactions bancaires — sans lien avec l’éligibilité à l’assurance vie — et les utilisant pour ajuster les prix des primes pourrait s’engager dans un scoring social prohibé.
Conclusion : se préparer à la conformité
Les entreprises devraient évaluer si leurs systèmes d’IA relèvent du champ d’application de la Loi sur l’IA, examiner leurs programmes de littératie en IA et passer en revue leurs outils alimentés par l’IA pour des risques potentiels liés à l’exploitation des vulnérabilités ou au scoring social. Étant donné les mises à jour annuelles de la liste des pratiques prohibées, les entreprises devront également surveiller de près les évolutions réglementaires pour rester conformes.
Bien que la Loi sur l’IA présente de nouveaux défis réglementaires, elle offre également un cadre pour une gouvernance responsable de l’IA. Les entreprises qui adoptent une approche proactive de la conformité — en intégrant la littératie en IA dans les cadres de gouvernance, en évaluant les risques liés à l’IA et en garantissant un déploiement responsable — atténueront non seulement leur exposition légale, mais atteindront également une maturité dans la gouvernance de l’IA, renforceront la confiance des consommateurs et amélioreront leur position concurrentielle dans une économie axée sur l’IA.
