Comprendre l'IA Act et ses enjeux
Extrait sondage juin 2024 : Les Français soutiennent toujours l’IA Act - Odoxa : Odoxa
Pourquoi une loi sur l'IA ?
L'intelligence artificielle (IA) est omniprésente et révolutionne de nombreux secteurs en automatisant des tâches et en analysant des données massives. Cependant, ces avancées s'accompagnent de risques, notamment en termes de droits fondamentaux, de discrimination, et de protection des données. Pour répondre à ces défis, l'Union Européenne a adopté l'IA Act, la première législation mondiale dédiée à l'encadrement de l'IA, visant à encadrer les usages et promouvoir une IA éthique et sécurisée.
Qu'est-ce que l'IA Act ?
Le Conseil européen adopte officiellement la loi sur l'IA de l'UE le 21 mai 2024. L'IA Act établit un cadre réglementaire structuré autour de quatre niveaux de risques pour les systèmes d'IA (SIA) :
▪️ Risques inacceptables : interdits, comme les systèmes de catégorisation biométrique déduisant des attributs sensibles (race, opinions politiques, appartenance syndicale, croyances religieuses ou philosophiques, vie sexuelle ou orientation sexuelle), à l'exception de l'étiquetage ou du filtrage d'ensembles de données biométriques acquis légalement ou lorsque les forces de l'ordre catégorisent des données biométriques ou la notation sociale, c'est-à-dire l'évaluation ou la classification d'individus ou de groupes sur la base de leur comportement social ou de leurs traits personnels, ce qui entraîne un traitement préjudiciable ou défavorable de ces personnes.
▪️ Risques élevés : soumis à des mesures strictes de conformité, tels que les systèmes utilisés dans l'éducation, la santé ou le recrutement (pour éviter toute discrimination)
▪️ Risques limités : nécessitant des mesures de transparence, comme les chatbots ou des conversations téléphoniques de type numéro vert.
▪️ Risques minimaux ou absents : exemptés de règles spécifiques, comme les filtres anti-spam.
Quelles obligations pour les entreprises ?
Les obligations varient selon le niveau de risque.
Prenons l’exemple des systèmes à risques élevés, les fournisseurs doivent :
- Obtenir un marquage CE et signer la déclaration de conformité
- Mettre en place un système de gestion des risques et de la qualité
- Assurer la transparence (gouvernance des données) et la traçabilité
- Garantir la surveillance humaine et la robustesse et cybersécurité du système
Les utilisateurs, quant à eux, doivent contrôler les données d'entrée, conserver les journaux, et suspendre l'utilisation en cas de non-conformité.
A noter, la CNIL a mis en ligne un guide permettant à tout un chacun d’effectuer une auto-évaluation de son produit afin de voir si ce dernier est conforme au règlement AI Act.
Qui est concerné ?
Le règlement s'applique à tous les opérateurs de Systèmes d’IA (fournisseurs et utilisateurs), conçus au sein de l'UE mais également à tout opérateur traitant sur le marché européen, même originaire d’un pays hors UE.
Sanctions et impacts
Les sanctions peuvent atteindre 35 millions d'euros ou 7% du chiffre d'affaires annuel pour les violations graves (article 99). L'IA Act vise à protéger les citoyens et à garantir une utilisation responsable de l'IA, tout en favorisant l'innovation et la compétitivité des entreprises européennes
Contrairement au RGPD applicable de façon identique à toutes tailles d’entreprises, l’IA Act a une partie dédiée aux PME et jeunes pousses avec des dispositions plus favorables (telles que des exigences de documentations ou sanctions amoindries).
Calendrier
La publication officielle de l'IA Act au Journal officiel de l'Union européenne sera faite prochainement (juin/juillet 2024), avec une entrée en vigueur prévue en 2026.
La loi sur l'IA entrera en vigueur 20 jours après sa publication au Journal officiel. À partir de cette date, les étapes suivantes s'enchaîneront selon le calendrier suivant Article 113.
Néanmoins, certaines mesures, comme l'interdiction des systèmes à risque inacceptable, seront appliquées dès 2024.