Loi sur l'IA de l'UE: Les principales règles et ce qu'elles signifient pour les entreprises

Loi sur l'IA de l'UE : Qu'est-ce que c'est ?

Le développement de l'intelligence artificielle (IA, a franchi une étape très médiatisée fin 2022 avec ChatGPT (Chatbot Generative Pre-trained Transformer). La version 4 existe depuis mars 2023. Le premier modèle de la gamme est sorti en juin 2018. En mars de la même année, la Commission de l'Union européenne (UE) avait déjà mis en place un groupe d'experts chargé, entre autres, d'élaborer une proposition de lignes directrices sur l'éthique de l'IA.

Entre-temps, cette approche est devenue la proposition d'une loi européenne sur l'intelligence artificielle. Son nom : Loi sur l'IA de l'UE. En juin 2023, le Parlement européen a adopté sa position de négociation à ce sujet. Dans le même temps, des discussions se poursuivent avec les pays de l'UE au sein du Conseil sur la forme finale de la loi.

Cette initiative, la première de ce type au monde, poursuit deux objectifs principaux. D'une part, la loi doit encourager le développement de l'IA et renforcer le potentiel concurrentiel de l'UE dans ce domaine. D'autre part, elle doit garantir que la technologie est à la fois centrée sur l'humain et fiable. Pour ce faire, l'IA développée et utilisée dans l'UE doit respecter les droits et les valeurs de l'Union européenne. La loi sur l’IA de l'UE doit créer le cadre juridique nécessaire à cet effet.

Important : le projet de loi est un règlement. Cela signifie qu'il est directement applicable dans les États membres de l'UE et qu'il n'est pas nécessaire de le transposer dans le droit national. Une fois entré en vigueur, le règlement fera partie du droit national et pourra être appliqué dans les pays concernés.

Aperçu : les principaux points de la loi

Le point central est une classification des systèmes d'IA en fonction de leurs risques, en particulier pour la santé, la sécurité et les droits fondamentaux des personnes. La loi sur l'IA de l'UE prévoit donc quatre niveaux :

• inacceptable
• élevé
• limité
• minimal

Les systèmes d'IA présentant un risque inacceptable sont interdits s'ils constituent une menace pour les personnes et manipulent leur comportement. Cela s'applique, par exemple, aux jouets à commande vocale, qui favorisent un comportement dangereux chez les enfants. Le scoring social est également inacceptable, tout comme les systèmes d'identification biométrique en temps réel et à distance (reconnaissance faciale). En principe, cette classification couvre tous les programmes qui portent atteinte au droit à la dignité, à la non-discrimination, à l'égalité et à la justice.

Les systèmes d'IA à risque élevé ont un impact négatif sur la sécurité ou les droits fondamentaux. Cela pourrait concerner d'une part les logiciels pour l'aviation, les voitures, les appareils médicaux et les ascenseurs, à condition qu'ils relèvent de la loi européenne sur la sécurité des produits. D'autre part, cela s'applique aux systèmes de huit domaines spécifiques qui doivent être enregistrés dans une base de données de l'UE :
 

• Identification biométrique et catégorisation des personnes physiques
• Gestion et exploitation des infrastructures critiques
• Éducation et formation professionnelle
• Emploi, gestion des travailleurs et accès au travail indépendant
• Accès et jouissance des services privés essentiels et des services et avantages publics
• Application de la loi
• Gestion de la migration, de l'asile et du contrôle des frontières
• Assistance dans l'interprétation juridique et l'application de la loi

Tous les systèmes d'IA à risque élevé seront évalués avant d'être mis sur le marché et également tout au long de leur cycle de vie.

Les systèmes d'IA présentant un risque limité doivent être conçus de manière tellement transparente que les personnes qui y sont confrontées puissent reconnaître l'IA qui les sous-tend. Par exemple, les systèmes tels que ChatGPT devraient divulguer que leur contenu a été généré par l'IA tout en offrant des mesures de protection contre la génération de contenu illégal.

Les systèmes d'IA présentant un risque faible ou minimal doivent être conformes à la législation en vigueur. Les filtres anti-spam et les jeux vidéo en sont des exemples.

L'implication dans des pratiques d'IA interdites peut entraîner une amende pouvant aller jusqu'à 40 millions d'euros ou un montant pouvant atteindre 7 % du chiffre d'affaires mondial annuel d'une entreprise, le montant le plus élevé étant retenu.

Cela va bien au-delà de la plus importante loi européenne sur la protection des données à ce jour, le règlement général sur la protection des données (RGPD). Cela prévoit des amendes pouvant aller jusqu'à 20 millions d'euros, soit jusqu'à 4 % du chiffre d'affaires mondial d'une entreprise. En cas d'infractions multiples, cela peut toutefois s'additionner. La mère de Facebook, Meta, a été particulièrement touchée par cela. Elle a dû payer un total de 2,5 milliards d'euros d'ici mai 2023 en raison de diverses violations des règles du RGPD.
 

Qui est concerné par la loi sur l'IA de l'UE ?

La loi s'applique dans une large mesure aux fournisseurs et aux opérateurs de systèmes d'IA. En outre, le projet actuel du Parlement prévoit que les importateurs et les détaillants de systèmes d'IA ainsi que les représentants des fournisseurs de systèmes d'IA basés dans l'UE soient inclus.

Les fournisseurs sont des acteurs qui développent des systèmes d'IA afin de les commercialiser ou de les mettre en service dans l'UE (par exemple OpenAI). Cela s'applique indépendamment du fait qu'ils soient basés dans l'UE. En outre, le projet de loi vise à ce que les fournisseurs qui mettent en service des systèmes d'IA en dehors de l'UE puissent être couverts si le développeur ou le distributeur du système d'IA est établi dans l'UE.

Les opérateurs de systèmes d'IA, quant à eux, sont des personnes physiques ou morales qui utilisent l'IA dans le cadre de leurs activités professionnelles. Ils peuvent utiliser des API (interfaces de programmation d'applications) pour intégrer des produits d'IA dans leurs propres produits, ou simplement utiliser des systèmes d'IA comme outils internes. Les fournisseurs et les opérateurs de systèmes d'IA basés en dehors de l'UE peuvent également être couverts si les résultats générés doivent être utilisés dans l'UE.

Les personnes qui utilisent des systèmes d'IA dans le cadre d'activités privées et non professionnelles ne sont pas concernées par la loi.

Cela s'applique également à certaines catégories de systèmes d'IA, y compris, par exemple, à des fins de recherche, de test et de développement ou pour des logiciels développés ou utilisés exclusivement à des fins militaires.

Que signifie la loi pour les entreprises ?

Toute personne qui développe, déploie ou utilise professionnellement l'IA dans ou pour un public de l'UE sera, dans une certaine mesure, concernée par la loi. Toutefois, en raison de la manière dont la loi définit les systèmes d'IA à risque élevé, la plupart des applications commerciales ne devraient pas entrer dans cette catégorie. Par exemple, le développement de systèmes d'intelligence artificielle à des fins de montage musical ou de jeux vidéo doit être différencié des systèmes destinés à influencer les gens via les réseaux sociaux ou les électeurs lors de campagnes politiques.

Toutefois, la popularité croissante des systèmes d'IA générative signifie que davantage de développeurs pourraient tomber dans le champ d'application de la loi. Si les modifications actuelles sont adoptées, ces développeurs (mais pas les opérateurs) devront probablement se conformer à certaines exigences, même s'ils ne font pas partie de la catégorie à risque élevé.