En avril 2021, la Commission européenne a dévoilé son très attendu projet de proposition phare sur la réglementation de l’intelligence artificielle. Communément appelé le règlement sur l’intelligence artificielle (l’« AI Act »), il représente la première tentative globale au monde de mettre en œuvre une réglementation horizontale des systèmes d’IA. L’AI Act vise à traiter les risques préjudiciables associés à l’IA et à ses usages spécifiques, tout en favorisant l’innovation responsable dans ce domaine. S’il est adopté, cet instrument redéfinira durablement les méthodes par lesquelles les entreprises développent, déploient, maintiennent et utilisent les technologies d’intelligence artificielle.

‍

Principales caractéristiques de l’AI Act

Définition de « système d’intelligence artificielle » (système d’IA) :

La Commission a proposé une définition large d’un système d’IA, qui s’étend aux technologies logicielles couvrant un certain nombre d’approches et de techniques d’IA largement définies : l’« apprentissage automatique », les systèmes « fondés sur la logique et les connaissances » et les « approches statistiques ».

Approche fondée sur le risque :

La réglementation adoptera une approche pyramidale fondée sur le risque pour traiter le risque lié à l’IA, en adaptant les exigences et obligations des acteurs du marché au niveau de risque présenté par leurs systèmes d’IA. Les quatre catégories de risque sont examinées plus loin ci-dessous.

1. Risque inacceptable. Au sommet de cette pyramide se trouve une catégorie de cas d’usage de l’IA considérés comme présentant un risque inacceptable pour les utilisateurs et la société dans son ensemble, et qui sont par conséquent purement et simplement interdits. La liste des systèmes interdits comprend, sans s’y limiter, les technologies d’IA impliquant une manipulation subliminale, l’identification biométrique en temps réel, la notation sociale par les autorités publiques ou l’exploitation de groupes sociaux vulnérables.

2. Risque élevé. Bien que permis, des exigences renforcées sont proposées pour un large éventail de systèmes d’IA à haut risque susceptibles d’avoir une incidence négative sur la sécurité d’une personne ou sur ses droits fondamentaux. Les applications relevant de cette catégorie incluent les systèmes utilisés dans les infrastructures, l’éducation, l’emploi, le maintien de l’ordre, ainsi que ceux constituant un composant de sécurité d’un produit déjà soumis à la législation de l’UE en matière de santé et de sécurité. Les règles spécifiques applicables aux systèmes à haut risque exigent notamment que les organisations :

• mettent en place des systèmes de gestion des risques afin de garantir qu’une évaluation adéquate des risques est menée au regard d’un système donné;

• préparent une documentation technique exhaustive concernant leurs systèmes;

• soumettent leurs applications à une évaluation de conformité préalable au déploiement;

• maintiennent des procédures de gouvernance et de gestion des données de haute qualité; et

• s’assurent que le système est conforme à des normes élevées de robustesse, de cybersécurité et de précision.

3. Risque limité. Les applications qui ne sont pas explicitement interdites ou qualifiées de haut risque restent en grande partie non réglementées. Les systèmes à risque limité sont soumis à des règles de transparence moins contraignantes qui exigent simplement que les utilisateurs soient informés qu’ils interagissent avec un outil d’IA.

4. Risque minimal. Bien qu’aucune exigence spécifique n’existe pour les applications qui n’entrent dans aucune autre catégorie, et présentent donc un risque minimal, il est recommandé que les entreprises adoptent une approche fondée sur l’éthique pour tous les systèmes d’IA, quel que soit le niveau de risque concerné. En effet, l’article 69 de l’AI Act constitue une disposition « fourre-tout » qui encourage les fournisseurs et utilisateurs de systèmes d’IA à moindre risque à se conformer volontairement, de manière proportionnée, aux mêmes normes que leurs homologues à haut risque.

Qui est responsable de la conformité et quelles sont les conséquences en cas de manquement :

Différentes obligations s’appliqueront à chaque acteur du marché selon le rôle qu’il joue dans le cycle de vie de l’IA. L’AI Act distingue entre les « fournisseurs », les « utilisateurs », les « importateurs » et les « distributeurs » et impose différentes obligations à chacun. Les sanctions prévues par le projet actuel de l’AI Act de l’UE sont élevées. Les amendes pour les violations les plus graves pourraient atteindre jusqu’à 6 % du chiffre d’affaires annuel.

‍

État actuel des travaux

Depuis sa publication, le texte a suscité de nombreux commentaires de la part des autres fonctions législatives de l’Union européenne et de tiers intéressés. Certains des principaux points en suspens sont examinés plus en détail ci-dessous.

Définition du « système d’intelligence artificielle » :

La détermination de ce qui constitue un « système d’IA » est cruciale pour l’attribution des responsabilités au titre de l’AI Act. Le vaste champ de la définition de l’article 3(1), qui tente de définir ce concept, a fait l’objet de nombreuses controverses parmi les parties prenantes du secteur. Un amendement de compromis proposé par la présidence tchèque du Conseil européen a cherché à lever les ambiguïtés créées par cette définition extensive. Cette définition plus étroite exclut les systèmes logiciels traditionnels du champ d’application de la réglementation en introduisant deux exigences supplémentaires : (1) que les systèmes soient développés au moyen de techniques d’apprentissage automatique et d’approches fondées sur les connaissances ; et (2) que les applications ciblées soient des « systèmes génératifs » qui influencent les environnements avec lesquels elles interagissent.

Répartition des responsabilités entre les fournisseurs et les utilisateurs de l’IA :

L’AI Act impose en grande partie les obligations de conformité aux fournisseurs (c’est-à-dire à ceux qui développent un système d’IA donné), plutôt qu’aux utilisateurs. Les organisations professionnelles ont fait valoir que cette répartition descendante des responsabilités pourrait s’avérer problématique dans les cas où les services d’IA sont utilisés à des fins imprévisibles en aval et lorsqu’il peut être difficile d’établir avec certitude qui est exactement le fournisseur.

IA à usage général :

La classification d’une application en tant que système d’IA à usage général dépend de sa capacité à exécuter plusieurs tâches dans une variété de contextes. En mai de cette année, les décideurs de l’UE ont annoncé leur intention d’étendre les exigences de l’AI Act de l’UE à tous les systèmes d’IA à usage général, même dans des circonstances d’utilisation à faible risque. Cela s’est révélé controversé, les opposants faisant valoir qu’il s’agit d’une rupture fondamentale avec l’approche fondée sur le risque au cœur de la proposition et qu’une telle mesure risque d’entraver l’innovation. En septembre de cette année, le Conseil a proposé un compromis en exigeant que l’IA à usage général fasse l’objet d’une procédure complète d’évaluation des risques, ce qui exclurait les systèmes d’IA à usage général à faible risque des exigences plus rigoureuses prévues par l’AI Act, et cette proposition a été globalement bien accueillie.

Principes de base obligatoires :

Une recommandation visant à introduire des principes fondamentaux obligatoires d’équité, de transparence et de responsabilité pour tous les systèmes d’IA (quel que soit leur niveau de risque) a été déposée par des députés au Parlement européen (MPE) et attend une décision finale.

Normes :

Parallèlement au processus législatif, la Commission a demandé aux organismes européens de normalisation, CEN et CENLEC, d’élaborer des normes techniques pour évaluer la conformité à l’AI Act. Bien que les normes élaborées par ces organismes soient volontaires, les organisations qui démontreront que leurs systèmes s’y conforment bénéficieront d’une présomption de conformité à l’AI Act.

Le défi

L’AI Act poursuit encore son parcours dans le processus législatif complexe de l’UE. Toutefois, de nombreuses organisations ont déjà commencé à se préparer à l’AI Act. À mesure que le domaine mûrit, les avantages d’adopter des mesures proactives, telles que la mise en place de systèmes de gestion des risques et la réalisation d’examens techniques détaillés, présentent des bénéfices évidents pour les organisations, indépendamment de toute obligation réglementaire en ce sens.

Il reste encore de nombreux défis dans ce processus. Comprendre le rôle qu’un acteur du marché joue dans l’écosystème, naviguer dans la complexité que représente la détermination des niveaux de risque puis l’application et le respect des obligations pertinentes au titre de l’AI Act constitue sans aucun doute une charge pour les acteurs de ce domaine. La plateforme Enzai a été conçue dans cette optique et peut aider les organisations à naviguer rapidement et efficacement dans cet environnement afin qu’elles puissent se concentrer sur la création de technologies d’IA pérennes.

Si vous souhaitez en savoir plus sur nos solutions AI Act de l’UE, veuillez nous contacter à l’adresse hey@enz.ai afin de voir comment nous pouvons vous aider. Consultez notre blog pour lire des articles sur les approches de la réglementation de l’IA aux États-Unis et au Royaume-Uni.

‍