Construire une fois, se conformer deux fois : la prochaine phase de la loi sur l’IA de l’UE est à nos portes
La Union Européenne a ouvert une nouvelle ère de réglementation de l’IA avec la Loi sur l’Intelligence Artificielle (« la Loi »), entrée en vigueur le 1er août 2024. Ce cadre juridique complet pour l’intelligence artificielle est déjà en train de redéfinir le développement, le déploiement et la gouvernance de l’IA, non seulement en Europe, mais à l’échelle mondiale.
Les premières obligations substantielles de la Loi ont commencé à s’appliquer début 2025, et la prochaine étape critique imposant des obligations étendues pour les modèles d’IA à usage général (GPAI) et de nouvelles structures de gouvernance entrera en vigueur le 2 août 2025. Pour les développeurs, fournisseurs et déployeurs d’IA, cette date marque un passage crucial de la préparation à la mise en œuvre.
Mise en œuvre par phases
Pour faciliter la transition vers ce nouveau régime réglementaire, la Loi sur l’IA de l’UE est mise en œuvre par phases. Chaque étape introduit de nouvelles obligations, permettant aux organisations de s’adapter à leurs opérations, à leur gouvernance et à leur infrastructure technique.
– Le 2 février 2025 a marqué la première grande échéance de conformité. À partir de cette date, les interdictions de certaines pratiques d’IA à haut risque et inacceptables, énoncées à l’article 5, sont devenues exécutoires. Cela inclut des interdictions sur les techniques d’IA manipulatrices, les systèmes exploitants ciblant des groupes vulnérables, et la surveillance biométrique en temps réel dans les espaces publics (avec des exceptions étroites). Les organisations doivent également s’assurer que le personnel interagissant avec les systèmes d’IA possède une compétence adéquate en matière d’IA.
– Le 2 août 2025 introduira la prochaine vague d’obligations, axée sur la gouvernance et les modèles GPAI. Cette phase active le Bureau européen de l’IA et le Conseil européen de l’intelligence artificielle (EAIB), qui superviseront l’application et la coordination entre les États membres. À cette date, des autorités nationales doivent également être désignées. Les fournisseurs de modèles GPAI, en particulier ceux proposant des modèles de langage de grande taille, feront face à de nouvelles obligations horizontales, y compris la transparence, la documentation et la conformité au droit d’auteur.
– Le 2 août 2026 verra le cadre plus large entrer pleinement en vigueur, y compris les obligations pour la plupart des systèmes d’IA à haut risque.
– Le 2 août 2027 marquera la dernière échéance de conformité, lorsque les obligations de l’article 6(1) pour les systèmes à haut risque seront entièrement exécutoires.
Qu’est-ce que la Loi sur l’IA de l’UE ?
La Loi sur l’IA de l’UE (Règlement (UE) 2024/1689) établit le premier cadre juridique complet au monde pour réglementer l’intelligence artificielle. La Loi introduit une approche basée sur le risque pour la réglementation de l’IA, visant à garantir que les systèmes d’IA mis sur le marché de l’UE soient sûrs et respectent les droits fondamentaux. La Loi classe les systèmes d’IA en fonction du risque associé :
– Risque inacceptable. Les pratiques d’IA considérées comme une menace claire pour la sécurité, la vie ou les droits sont interdites en vertu de l’article 5. Cela inclut les systèmes utilisant des techniques subliminales pour manipuler le comportement, exploiter les vulnérabilités de groupes spécifiques, ou mettre en œuvre le scoring social par les autorités publiques.
– Haut risque. Les systèmes d’IA à haut risque sont impliqués dans des fonctions critiques telles que l’identification biométrique à distance, la sécurité des infrastructures, l’éducation, l’accès aux services publics et privés, l’application de la loi, et l’administration de la justice.
– Risque limité. Les chatbots d’IA tombent généralement dans la catégorie de risque limité et doivent respecter certaines obligations de transparence.
– Risque minimal ou nul. La grande majorité des systèmes d’IA actuellement utilisés dans l’UE relèvent de cette catégorie et ne sont pas soumis à des obligations légales supplémentaires.
Modèles et systèmes d’IA à usage général
La Loi fait une distinction entre les modèles GPAI et les systèmes GPAI. Un modèle GPAI est la base qui peut être intégrée dans un système d’IA. Les articles 53 à 55 énoncent les obligations réglementaires pour le fournisseur de modèle. Si un système GPAI est déployé dans un contexte à haut risque, il peut être soumis à l’ensemble des obligations prévues pour les systèmes d’IA à haut risque en vertu de la Loi.
Le prochain jalon : les obligations GPAI entrent en vigueur le 2 août 2025
Prévue pour mise en œuvre le 2 août 2025, le chapitre V de la Loi définit les exigences de classification et de conformité pour les modèles d’IA à usage général. Un modèle GPAI est défini comme un modèle d’IA capable d’effectuer une large gamme de tâches distinctes et pouvant être intégré dans divers systèmes ou applications en aval.
Les fournisseurs de modèles GPAI sont soumis à des obligations de transparence, y compris la préparation et la mise à jour de la documentation technique pour le modèle, ainsi que des informations à fournir aux fournisseurs en aval qui souhaitent intégrer le modèle dans leur propre système d’IA.
Portée extraterritoriale
Une des caractéristiques définissantes de la Loi sur l’IA de l’UE est son portée extraterritoriale. La Loi s’applique non seulement aux entités établies au sein de l’UE, mais aussi aux organisations non-UE dont les systèmes ou résultats d’IA sont utilisés au sein de l’UE. Cela signifie qu’une entreprise basée en dehors de l’UE peut être soumise à la Loi si ses outils d’IA sont utilisés pour évaluer des candidats au sein de l’UE.
Considérations stratégiques
Le non-respect des obligations de la Loi peut entraîner des amendes administratives allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé. Les entreprises doivent prendre des mesures proactives pour se conformer aux exigences de la Loi afin d’éviter des risques financiers significatifs.
Les actions recommandées incluent :
– Cartographier l’exposition à l’UE. Identifier quels modèles ou services d’IA sont accessibles par des utilisateurs ou entités basés dans l’UE.
– Classer les systèmes d’IA. Réaliser une évaluation structurée des risques pour déterminer la classification des systèmes d’IA.
– Réviser les pratiques de développement de modèles. Préparer à divulguer des résumés de données d’entraînement et à mettre en œuvre des stratégies de mitigation des risques robustes.
– Planifier la gouvernance interne. Créer ou renforcer les fonctions de conformité avec une expertise spécifique en IA.
– Désigner un représentant de l’UE tôt. Identifier et embarquer un représentant autorisé pour faciliter la transition vers la conformité.
– Surveiller les orientations de l’UE et les normes harmonisées. Rester engagé avec les organismes de normalisation européens pour comprendre comment la Loi sera appliquée en pratique.
En conclusion, la Loi sur l’IA de l’UE, avec son accent sur la documentation, la mitigation des risques et la transparence des modèles, pourrait devenir un modèle réglementaire mondial. Les entreprises doivent s’adapter rapidement à ces nouvelles exigences pour rester compétitives sur le marché mondial.