Le 12 juillet 2024, l’Union européenne a franchi une étape décisive en publiant au Journal officiel le Règlement (UE) 2024/1689, communément appelé « AI Act ». Ce texte constitue le premier cadre juridique complet au monde visant à réguler les systèmes d’intelligence artificielle (IA) au sein de l’Union.
Objectifs et champ d’application
L’AI Act vise à harmoniser les règles concernant la mise sur le marché, la mise en service et l’utilisation des systèmes d’IA dans l’UE, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux des citoyens. Il s’applique aux fournisseurs, utilisateurs, importateurs et distributeurs de systèmes d’IA, qu’ils soient établis au sein de l’Union ou dans des pays tiers, dès lors que les systèmes ou leurs résultats sont utilisés dans l’UE.
Approche fondée sur les risques
Le règlement adopte une approche basée sur les risques, classant les systèmes d’IA en plusieurs catégories :
-
Risque inacceptable : Certaines pratiques d’IA sont interdites, telles que les systèmes manipulant le comportement humain de manière susceptible de causer des préjudices physiques ou psychologiques, ou ceux exploitant les vulnérabilités de groupes spécifiques, comme les enfants ou les personnes en situation de handicap.
-
Risque élevé : Les systèmes d’IA présentant un risque élevé, par exemple ceux utilisés dans des dispositifs médicaux ou des infrastructures critiques, doivent satisfaire à des exigences strictes en matière de gestion des risques, de gouvernance des données, de documentation technique, de transparence, de surveillance humaine, de robustesse et de cybersécurité.
-
Risque limité ou minimal : Les systèmes d’IA présentant un risque limité ou minimal sont soumis à des obligations de transparence spécifiques, notamment informer les utilisateurs lorsqu’ils interagissent avec une IA, sans exigences supplémentaires.
Obligations des acteurs concernés
Les obligations varient en fonction du rôle des acteurs dans le cycle de vie des systèmes d’IA :
-
Fournisseurs : Ils doivent garantir la conformité de leurs systèmes d’IA aux exigences du règlement avant leur mise sur le marché, effectuer des évaluations de conformité, établir une documentation technique détaillée, et mettre en place des systèmes de gestion des risques et de la qualité.
-
Utilisateurs : Ils sont tenus d’utiliser les systèmes d’IA conformément aux instructions du fournisseur, de surveiller leur fonctionnement et de signaler tout incident ou dysfonctionnement aux autorités compétentes.
-
Importateurs et distributeurs : Ils doivent s’assurer que les systèmes d’IA qu’ils importent ou distribuent sont conformes au règlement et veiller à ce que la documentation requise soit disponible.
Gouvernance et sanctions
Le règlement prévoit la création de l’Office de l’IA au sein de la Commission européenne, chargé de superviser sa mise en œuvre et de coordonner les autorités nationales de surveillance. Les États membres doivent désigner des autorités nationales compétentes pour assurer l’application du règlement sur leur territoire.
En cas de non-conformité, des sanctions significatives sont prévues, pouvant atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial de l’entreprise concernée, le montant le plus élevé étant retenu.
Calendrier de mise en œuvre
L’AI Act est entré en vigueur le 1ᵉʳ août 2024. Les dispositions relatives aux pratiques d’IA interdites s’appliqueront à partir du 2 février 2025, tandis que la majorité des autres dispositions entreront en application le 2 août 2026. Les obligations concernant les systèmes d’IA à usage général s’appliqueront à partir du 2 août 2025, avec des délais supplémentaires pour les systèmes déjà sur le marché.
L’AI Act représente une avancée majeure dans la régulation de l’intelligence artificielle, établissant un équilibre entre l’innovation technologique et la protection des droits fondamentaux au sein de l’Union européenne.
Sources :
