L’Acte sur l’IA : Une Réglementation Historique Entre en Vigueur
Le 4 février 2025, la Commission européenne a publié les directives concernant les pratiques d’IA prohibées, telles que définies par l’Acte sur l’IA, qui est entré en vigueur le 1er août 2024.
Le Sommet sur l’Action de l’IA s’est tenu à Paris (France) les 10 et 11 février 2025, rassemblant des chefs d’État et de gouvernement, des dirigeants d’organisations internationales et des PDG. Cet événement a été marquant, avec la participation de presque 100 pays et de plus de 1 000 représentants du secteur privé et de la société civile.
Les dernières semaines ont été chargées pour ceux qui observent l’IA sur le continent européen. D’une part, l’émission de nouvelles directives concernant l’Acte sur l’IA, et d’autre part, le Sommet sur l’Action de l’IA, ont mis en lumière des débats cruciaux sur la réglementation versus l’innovation.
Réglementation contre Innovation
Le sommet a fourni une plateforme pour réfléchir à la question : l’innovation l’emporte-t-elle sur la réglementation ? Cependant, il peut être soutenu que négliger les risques inhérents à l’IA ne favorisera pas nécessairement l’innovation. Les défis actuels en Europe semblent plus liés à la fragmentation du marché et au manque de capital-risque.
Il est essentiel que les gouvernements démocratiques adoptent des mesures pratiques, au lieu de simples platitudes, en se concentrant sur les risques pour la stabilité sociale, politique et économique mondiale dus à l’utilisation abusive des modèles d’IA.
Un Système Réglementaire à Quatre Niveaux
L’Acte sur l’IA suit un système basé sur quatre niveaux de risque. Le niveau le plus élevé, le « risque inacceptable », comprend des systèmes d’IA considérés comme une menace claire pour la sécurité sociétale. Huit pratiques sont comprises dans ce niveau :
- Manipulation et tromperie basées sur l’IA nuisible
- Exploitation de vulnérabilités par l’IA nuisible
- Notation sociale
- Évaluation ou prédiction des risques criminels individuels
- Récupération non ciblée d’informations sur Internet ou de matériel de vidéosurveillance pour créer ou élargir des bases de données de reconnaissance faciale
- Reconnaissance émotionnelle dans les lieux de travail et les établissements d’éducation
- Catégorisation biométrique pour déduire certaines caractéristiques protégées
- Identification biométrique à distance en temps réel à des fins d’application de la loi dans des espaces accessibles au public
Les dispositions de ce niveau, y compris la récupération d’informations sur Internet pour créer des bases de données de reconnaissance faciale, sont désormais interdites, les entreprises risquant des amendes pouvant atteindre 35 millions d’euros ou 7 % de leur chiffre d’affaires annuel mondial, selon ce qui est le plus élevé, en cas de non-conformité. Cependant, l’application des niveaux suivants devra attendre août 2025.
Niveau de Risque Élevé
Le niveau de « risque élevé » comprend des cas d’utilisation de l’IA qui peuvent poser des risques sérieux pour la santé, la sécurité ou les droits fondamentaux. Cela inclut des menaces pour les infrastructures critiques (par exemple, les transports), dont l’échec pourrait mettre en danger la vie et la santé des citoyens, ainsi que des solutions d’IA utilisées dans les établissements d’éducation, qui peuvent déterminer l’accès à l’éducation et la trajectoire professionnelle d’un individu.
Bien qu’ils ne soient pas interdits, les systèmes d’IA à haut risque seront soumis à des obligations légales avant de pouvoir être mis sur le marché, y compris des systèmes adéquats d’évaluation et de mitigation des risques ainsi qu’une documentation détaillée fournissant toutes les informations nécessaires.
Risques Minimaux ou Nuls
Suivant le niveau de risque élevé, il existe un niveau de « risques minimaux ou nuls ». Cela signifie des obligations de transparence plus légères, qui peuvent impliquer que les développeurs et les déployeurs s’assurent que les utilisateurs finaux sont conscients qu’ils interagissent avec l’IA. Par exemple, dans des cas pratiques tels que les chatbots et les deepfakes, l’explicabilité est également inscrite dans cette législation, car les entreprises d’IA pourraient être amenées à partager des informations sur les raisons pour lesquelles un système d’IA a fait une prédiction et a pris une action.
Réactions Internationales et Développements Technologiques
Lors du sommet, l’impact de ces nouvelles directives a été discuté, avec des critiques de la réglementation européenne par les États-Unis, qui ont averti contre une coopération avec la Chine. Les États-Unis et le Royaume-Uni ont refusé de signer la déclaration du sommet sur l’IA ‘inclusive’, un affront qui a douché les espoirs d’une approche unifiée pour réglementer la technologie. Ce document était soutenu par 60 signataires incluant la France, la Chine, l’Inde, le Japon, l’Australie et le Canada.
Des startups telles qu’OpenAI, qui récemment a exhorté le Congrès américain à réglementer l’IA, ont fait valoir que l’Acte sur l’IA pourrait freiner le développement commercial de l’IA en Europe.
Le sommet s’est tenu à un moment de changements rapides, avec la startup chinoise DeepSeek défiant les États-Unis avec la récente sortie de son modèle à poids ouverts R1. Un autre acteur open-source, la startup française Mistral AI, qui vient de publier son modèle Le Chat, a joué un rôle significatif, annonçant des partenariats avec l’agence nationale pour l’emploi en France, la société de défense européenne Helsing, et Stellantis, le constructeur automobile qui possède les marques Peugeot, Citroën, Fiat et Jeep.
Le lancement de l’initiative InvestAI, d’un montant de 200 milliards d’euros, visant à financer quatre gigafactories d’IA pour former de grands modèles d’IA, a été perçu comme une partie d’une stratégie plus large pour favoriser le développement ouvert et collaboratif de modèles d’IA avancés dans l’UE.
