Contact

Trending

Artificial Intelligence Act : Que faut-il savoir ?

L'intelligence artificielle apporte des avantages économiques et sociétaux, mais génère aussi de nouveaux risques pour les individus. L’Artificial Intelligence Act présente une approche réglementaire européenne de l'IA basée sur les risques, sans entraver abusivement le développement technologique.

  1. Que comprend le 'Artificial Intelligence Act' ?
  2. Focus et conséquences
  3. Comment les systèmes à haut risque seront-ils affectés ?
  4. Comment pouvons-nous aider ?
01

Que comprend le 'Artificial Intelligence Act' ?

Objectifs principaux

  • Veiller à ce que les systèmes d'IA disponibles sur le marché européen soient sûrs et respectent les droits fondamentaux des citoyens et les valeurs de l'UE. 

  • Garantir la sécurité juridique pour faciliter l'investissement et l'innovation dans l'IA. 

  • Améliorer la gouvernance et l'application effective de la législation existante sur les droits fondamentaux et les exigences de sécurité pour les systèmes d'IA. 

  • Faciliter le développement d'un marché unique pour les applications d'IA sûres, légales et fiables, et prévenir la fragmentation du marché. 

Quelles entreprises sont concernées ?

  • Les fournisseurs qui distribuent ou utilisent des systèmes d'IA dans l'Union européenne, que ces fournisseurs soient établis dans l'Union ou dans un pays tiers (portée extraterritoriale) ;   

  • Les déployeurs de systèmes d'IA situés dans l'Union européenne ;   

  • Les fournisseurs et déployeurs de systèmes d'IA situés dans un autre pays si les résultats générés par le système sont destinés à être utilisés dans l'UE (portée extraterritoriale) ;   

  • Les importateurs et les distributeurs de systèmes d'IA.   

 

Amendes 

Jusqu'à 7 % du chiffre d'affaires annuel mondial total ou 35 millions d'euros, en fonction de l'infraction constatée. Les États membres sont responsables de l'élaboration de leurs propres régimes de sanctions. 

Amendes 

Jusqu'à 7 % du chiffre d'affaires annuel mondial total ou 35 millions d'euros, en fonction de l'infraction constatée. Les États membres sont responsables de l'élaboration de leurs propres régimes de sanctions. 

7%

Autorités de surveillance 

  • Bureau européen de la Commission Artificielle   

  •  Autorités nationales à créer ou à nommer selon les pays    

 

Règlements associés 

Le règlement sur l'IA fait partie du paquet européen de réglementation des données et est donc lié à la DSA, la DGA, la DMA, etc., mais aussi au GDPR et à la récente proposition de directive sur la responsabilité en matière d'IA. 

Calendrier

Dates clés 

  • 13 mars 2024 : Vote parlementaire sur le texte   

  • 14 juin 2024 : Approbation par le Conseil européen   

  • 12 juillet 2024 : Publication au Journal officiel de l'UE   

  • 1er août 2024 : Entrée en vigueur 

 

Délais de mise en conformité progressifs 

  • 2 février 2025 : interdictions relatives aux risques inacceptables liés à l'IA (6 mois après l'entrée en vigueur)   

  • 2 août 2025 : entrée en vigueur des obligations pour les fournisseurs de modèles d'IA à usage général. Nomination des autorités compétentes des États membres. Révision annuelle par la Commission de la liste des IA interdites (modifications potentielles) (12 mois après l'entrée en vigueur).  

  • 2 février 2026 : la Commission met en œuvre l'acte sur la surveillance après la mise sur le marché (18 mois après l'entrée en vigueur).  

  • 2 août 2026 : les obligations entrent en vigueur pour les systèmes d'IA à haut risque énumérés à l'annexe III. Les États membres doivent avoir mis en œuvre les règles relatives aux sanctions, y compris les amendes administratives. Les autorités des États membres doivent avoir mis en place au moins un bac à sable réglementaire opérationnel en matière d'IA. Examen par la Commission de la liste des systèmes d'IA à haut risque et modification éventuelle de cette liste (24 mois après l'entrée en vigueur).  

  • 2 août 2027 : les obligations entrent en vigueur pour les systèmes d'IA à haut risque destinés à être utilisés comme composants de sécurité d'un produit. Les obligations entrent en vigueur pour les systèmes d'IA à haut risque dans lesquels l'IA elle-même est un produit et le produit doit faire l'objet d'une évaluation de la conformité par un tiers en vertu des lois spécifiques existantes de l'UE (36 mois après l'entrée en vigueur).   

  • D'ici à la fin de 2030 : des obligations entrent en vigueur pour certains systèmes d'IA qui sont des composants des systèmes de technologie de l'information à grande échelle établis par la législation de l'UE dans les domaines de la liberté, de la sécurité et de la justice, tels que le système d'information Schengen. 

02

Focus et conséquences

Objectif clé

Classification des systèmes en fonction des risques  

  • Interdiction des systèmes d'IA présentant des risques intolérables (article 5). 

  • Obligations accrues pour les systèmes d'IA à haut risque. 

  •  Obligations moins étendues pour les systèmes d'IA à usage général qui ne présentent pas de risques systémiques et pour les systèmes interagissant avec les êtres humains. 

  •  Réalisation d'analyses d'impact sur les droits fondamentaux pour certains systèmes à haut risque. 

Responsabilité des fournisseurs et des déployeurs 

  • Les déployeurs sont désormais responsables de l'utilisation des systèmes d'IA : ils doivent mettre en place une surveillance humaine pour s'assurer que le système est utilisé de manière responsable et résoudre les problèmes éventuels. Les données utilisées par le système doivent être pertinentes et à jour.   

  •  Les fournisseurs doivent s'assurer que leurs systèmes d'IA sont conformes aux exigences de la loi sur l'IA, telles que la tenue d'une documentation technique détaillée et la fourniture d'informations claires sur les capacités, les limites et les performances du système.  

Harmonisation du marché intérieur 

  • Création d'un office européen de l'IA et d'autorités nationales de contrôle pour garantir la sécurité juridique en vérifiant la mise en œuvre effective de la réglementation et en sanctionnant les mauvaises pratiques.   

  •  Enregistrement des systèmes d'IA à haut risque dans une base de données européenne. 

  •  L'obtention d'un marquage CE sera nécessaire avant la mise sur le marché d'un système d'IA à haut risque.    

Bacs à sable réglementaires 

  • Les autorités nationales peuvent mettre en place des « bacs à sable » réglementaires qui offrent un environnement contrôlé pour tester des technologies innovantes pendant une durée limitée. Ces bacs à sable sont basés sur un plan d'essai convenu avec les autorités compétentes afin de garantir la conformité du système d'IA innovant et d'accélérer l'accès au marché. Les PME et les start-ups peuvent y avoir accès en priorité. 

Impacts

Pratiques interdites en matière d'intelligence artificielle 

Les systèmes d'IA qui contreviennent aux valeurs de l'Union européenne en violant les droits fondamentaux sont interdits : 

  • La manipulation inconsciente du comportement ; 

  • L'exploitation des vulnérabilités de certains groupes pour fausser leur comportement ; 

  • La notation sociale basée sur l'IA à des fins générales par les autorités publiques ; 

  • L'utilisation de systèmes d'identification biométrique à distance « en temps réel » dans des espaces accessibles au public pour l'application de la loi (avec des exceptions) ; 

  • L'évaluation sociale, l'IA de type « dark pattern ».  

Systèmes à haut risque (définis et répertoriés par la Commission européenne) 

Les entreprises sont soumises à plusieurs obligations liées à la documentation, aux systèmes de gestion des risques, à la gouvernance, à la transparence ou à la sécurité, en fonction de leur statut (fournisseur, utilisateur, distributeur et autres tiers). Ces systèmes doivent également être déclarés à l'UE et porter un marquage CE.  

Systèmes à risques spécifiques 

Il s'agit des systèmes qui (i) interagissent avec les humains, (ii) sont utilisés pour détecter des émotions ou déterminer l'association avec des catégories (sociales) sur la base de données biométriques, ou (iii) génèrent ou manipulent du contenu (« deep fakes »). Pour ces systèmes, il existe une obligation de divulguer si le contenu est généré par des moyens automatisés ou non. 

Systèmes à risque non élevé 

Création et application volontaires d'un code de conduite qui peut inclure des engagements en matière de durabilité environnementale, d'accessibilité pour les personnes handicapées, de participation des parties prenantes à la conception et au développement des systèmes d'IA et de diversité des équipes de développement. 

Focus : Systèmes d'IA à usage général

Les systèmes d'IA à usage général sont des systèmes d'IA qui ont un large éventail d'utilisations possibles, à la fois pour une utilisation directe et pour l'intégration dans d'autres systèmes d'IA. Ils peuvent être appliqués à de nombreuses tâches différentes dans des domaines variés, souvent sans modification ni ajustement substantiels. Contrairement à l'IA étroite, qui est spécialisée dans des tâches spécifiques, l'IA polyvalente peut apprendre, s'adapter et appliquer des connaissances à de nouvelles situations, faisant preuve de polyvalence, d'autonomie et de capacité à généraliser à partir d'expériences passées.  

 

Impact de la loi sur l'IA sur les systèmes d'intelligence artificielle à usage général :   

  • Des codes de conduite seront établis au niveau de l'Union européenne pour guider les fournisseurs dans l'application des règles relatives aux modèles d'intelligence artificielle à usage général (GPAI).    

  • Risque systémique : Un modèle GPAI représente un risque systémique s'il s'avère qu'il possède des capacités à fort impact sur la base d'outils techniques et de méthodologies appropriés, y compris des indicateurs et des critères de référence.    

  • Obligations spécifiques concernant les risques systémiques : 

    • Notifier la Commission européenne en cas de risque systémique et atténuer ces risques dans la mesure du possible. 

    • Effectuer l'évaluation des modèles conformément aux protocoles et outils normalisés. 

    • Signaler les incidents graves aux autorités nationales et à l'Office AI.

    • Protection de la cybersécurité. 

  • Obligations des prestataires :  

    • Élaborer et tenir à jour la documentation technique du modèle et la partager avec d'autres fournisseurs s'ils souhaitent intégrer le modèle GPAI dans d'autres systèmes.  

    • Établir une politique pour se conformer à la législation de l'UE en matière de droits d'auteur.  

    • Publier un résumé détaillé du contenu utilisé pour la formation au modèle GPAI (sur la base du modèle fourni par l'Office AI).

03

Comment les systèmes à haut risque seront-ils affectés ?

Types de systèmes à haut risque

Il s'agit notamment du composant de sécurité d'un produit ou d'un produit nécessitant une évaluation de la conformité par un tiers conformément aux réglementations existantes (Dir 2009/48/CE sur la sécurité des jouets, Reg 2016/424/EU sur les téléphériques, etc). 

Elle inclut également les produits listés à l'annexe III : 

  • Identification biométrique et catégorisation des personnes 

  • Gestion et exploitation d'infrastructures critiques 

  • Éducation et formation professionnelle 

  • Emploi, gestion des travailleurs et accès au travail indépendant 

  • Accès aux services privés essentiels et aux services et prestations publics, et jouissance de ces services et prestations 

  • Application de la loi 

  • Gestion des migrations, de l'asile et des contrôles aux frontières 

  • Administration de la justice et processus démocratiques

Exigences des systèmes

  • Système de gestion des risques 

Processus itératif continu mis en œuvre tout au long du cycle de vie d'un système d'IA à haut risque (identification, évaluation des risques, adoption et test des mesures de gestion des risques). 

  • Précision, robustesse et cybersécurité 

Mise en œuvre de mesures et d'informations dans les instructions 

  • Surveillance humaine 

Assurer une surveillance humaine pendant la période d'utilisation du système d'IA 

  • Transparence et information des utilisateurs 

Conception et instructions transparentes pour les utilisateurs 

  • Tenue de registres 

Conception et développement avec des capacités permettant l'enregistrement automatique des événements 

  • Documentation technique 

Démonstration de la conformité du système d'IA à haut risque avec les exigences. 

  • Données et gouvernance des données 

Formation, validation et test des ensembles de données pour s'assurer qu'ils répondent aux critères de qualité 

Focus sur les systèmes à risque élevé

OBLIGATIONS DES FOURNISSEURS OBLIGATIONS DES DISTRIBUTEURS OBLIGATIONS DES UTILISATEURS
EXIGENCES GÉNÉRALES S'assurer que le système est conforme. Prendre les mesures correctives nécessaires si le système d'IA à risque élevé n'est pas conforme Pas de distribution d'un système à risque élevé non conforme et si le système d'IA à risque élevé est déjà sur le marché, prendre des mesures correctives Les conditions de stockage ou de transport ne doivent pas compromettre la conformité du système aux exigences Vérifier que le système IA à risque élevé porte le marquage de conformité CE requis S’assurer de la pertinence des données entrées dans le système Arrêter l'utilisation du système s'il est considéré comme présentant des risques pour la santé, la sécurité, pour la protection des droits fondamentaux, ou en cas d'incident grave ou de dysfonctionnement
Prendre les mesures correctives nécessaires si le système d'IA à haut risque n'est pas conforme. Les conditions de stockage ou de transport ne doivent pas compromettre la conformité du système aux exigences.
Vérifier que le système d'IA à haut risque porte la marque de conformité CE requise
PROCESSUS Disposer d'un système de gestion de la qualité (stratégie, procédures, ressources, etc.) Contrôle par un tiers : pour vérifier que le fournisseur et l'importateur du système ont respecté les obligations énoncées dans le présent règlement et que des mesures correctives ont été prises ou sont en train de l'être. Conserver les journaux générés automatiquement par le système s'ils sont sous leur contrôle.
Rédiger la documentation technique
Évaluation de la conformité Déclaration de l'UE et marquage CE
Concevoir et développer des systèmes dotés de capacités d'enregistrement automatique des événements
Gérer les journaux générés automatiquement par le système
Établir et documenter un système de surveillance après la mise sur le marché
TRANSPARENCE & INSTRUCTIONS Concevoir des systèmes transparents S'assurer que le système d'IA est accompagné d'un mode d'emploi et de la documentation nécessaire. Obligation d'utiliser et de surveiller les systèmes en suivant les instructions d'utilisation qui les accompagnent
Projet de mode d'emploi
INFORMATION & INSCRIPTION Obligation d'informer les autorités nationales compétentes en cas de risques pour la santé, la sécurité, la protection des droits fondamentaux ou en cas d'incidents et de dysfonctionnements graves. Obligation d'informer le fournisseur/importateur d'un système à haut risque non conforme et les autorités nationales compétentes Obligation d'informer le fournisseur/distributeur ou l'autorité de surveillance du marché si l'utilisateur ne peut pas joindre le fournisseur et si les systèmes présentent des risques pour la santé, la sécurité et la protection des droits fondamentaux des personnes concernées.
Enregistrer le système dans la base de données de l'UE
04

Comment pouvons-nous aider ?

Nous nous appuyons sur des équipes d'experts très complémentaires pour vous proposer une conformité robuste, fiable et efficace, en adéquation avec vos objectifs stratégiques, votre utilisation de l'IA, vos processus internes et votre gouvernance. Nos consultants s'engagent à vous aider à gérer vos risques et à créer des synergies dans le cadre de vos projets d'IA.  

  • Spécialistes de la conformité  

  • Scientifiques des données   

  • Experts en cybersécurité   

Nous avons construit au fil des années des facilitateurs clés qui permettront d'accélérer le projet : cadre modulaire de gouvernance de l'IA, benchmark des meilleures pratiques du marché, modèles de cartographie des systèmes, automatisations d'évaluation du code, modules de formation matures, solutions personnalisées fonctionnelles au PoC, politiques, chartes et procédures standard, etc. 

Grâce à notre vaste expérience dans l'accompagnement de nos clients en matière de gouvernance de l'IA et d'évaluation des risques liés à l'IA, notre équipe sera en mesure de s'approprier rapidement vos besoins spécifiques et de gagner du temps en interagissant efficacement avec vos data scientists. 

Contactez-nous pour savoir comment nous pouvons vous aider

Sia Partners intègre ces données dans sa base de donnée client pour vous adresser des communications marketing (invitations à des évènements, newsletters et envoi de nouvelles offres commerciales).
Ces données seront conservées pendant 3 ans avant d'être supprimées et vous pouvez retirer à tout moment votre consentement au traitement de vos données.
Pour en savoir plus sur la gestion de vos données personnelles et pour exercer vos droits, nous vous invitons à consulter notre Politique de protection des données.

CAPTCHA
Cette question sert à vérifier si vous êtes un visiteur humain ou non afin d'éviter les soumissions de pourriel (spam) automatisées.

Sia Partners traite vos données personnelles afin de répondre à votre demande de contact. Vous disposez de droits sur vos données. Pour plus d’informations, nous vous invitons à consulter notre Politique de protection des données.