En avril 2021, la Commission européenne a dévoilé sa proposition phare, très attendue, de règlement sur l’intelligence artificielle. Couramment appelée Artificial Intelligence Act (l’« AI Act »), elle constitue la première tentative globale au monde de mettre en place une réglementation horizontale des systèmes d’IA. L’AI Act vise à traiter les risques préjudiciables associés à l’IA et à ses usages spécifiques, tout en favorisant une innovation responsable dans ce domaine. S’il est adopté, cet instrument redéfinira durablement les méthodes par lesquelles les entreprises développent, déploient, maintiennent et utilisent les technologies d’intelligence artificielle.

‍

Principales caractéristiques de l’AI Act

Définition de « système d’intelligence artificielle » (système d’IA) :

La Commission a présenté une définition large d’un système d’IA, qui s’étend aux technologies fondées sur des logiciels et englobe un certain nombre d’approches et de techniques d’IA largement définies : les systèmes d’« apprentissage automatique », les systèmes « fondés sur la logique et la connaissance » et les « approches statistiques ».

Approche fondée sur le risque :

La réglementation adoptera une approche pyramidale fondée sur le risque pour traiter les risques liés à l’IA, en adaptant les exigences et les obligations des acteurs du marché au niveau de risque présenté par leurs systèmes d’IA. Les quatre catégories de risque sont examinées plus en détail ci-dessous.

1. Risque inacceptable. Au sommet de cette pyramide se trouve une catégorie de cas d’utilisation de l’IA qui sont considérés comme présentant un risque inacceptable pour les utilisateurs et la société dans son ensemble et qui, à ce titre, sont purement et simplement interdits. La liste des systèmes interdits comprend notamment des technologies d’IA impliquant la manipulation subliminale, l’identification biométrique en temps réel, le score social par les autorités publiques ou l’exploitation de groupes sociaux vulnérables.

2. Haut risque. Bien qu’autorisées, des exigences renforcées sont proposées pour un large éventail de systèmes d’IA à haut risque susceptibles d’avoir une incidence défavorable sur la sécurité d’une personne ou sur ses droits fondamentaux. Les applications relevant de cette catégorie comprennent les systèmes utilisés dans les infrastructures, l’éducation, l’emploi, l’application de la loi ainsi que ceux constituant un composant de sécurité d’un produit déjà soumis à la législation de l’UE en matière de santé et de sécurité. Les règles spécifiques applicables aux systèmes à haut risque exigent notamment que les organisations :

• mettent en place des systèmes de gestion des risques afin de garantir qu’une évaluation adéquate des risques soit menée pour un système donné ;

• préparent une documentation technique complète concernant leurs systèmes ;

• soumettent leurs applications à une évaluation de conformité préalable au déploiement ;

• maintiennent des procédures de gouvernance et de gestion des données de haute qualité ; et

• veillent à ce que le système respecte des normes élevées de robustesse, de cybersécurité et de précision.

3. Risque limité. Les applications qui ne sont pas explicitement interdites ou classées à haut risque restent largement non réglementées. Les systèmes à risque limité sont soumis à des règles de transparence moins contraignantes, qui exigent simplement que les utilisateurs soient informés qu’ils interagissent avec un outil d’IA.

4. Risque minimal. Bien qu’aucune exigence spécifique n’existe pour les applications qui n’entrent dans aucune autre catégorie et présentent donc un risque minimal, il est recommandé aux entreprises d’adopter une approche fondée sur l’éthique pour tous les systèmes d’IA, quel que soit le niveau de risque en jeu. En effet, l’article 69 de l’AI Act constitue une disposition « fourre-tout » qui encourage les fournisseurs et les utilisateurs de systèmes d’IA à moindre risque à observer volontairement, de manière proportionnée, les mêmes normes que leurs homologues à haut risque.

Qui est responsable de la conformité et quelles sont les conséquences en cas de violation :

Des obligations différentes s’appliqueront à chaque acteur du marché en fonction du rôle qu’il joue dans le cycle de vie de l’IA. L’AI Act distingue entre les « fournisseurs », les « utilisateurs », les « importateurs » et les « distributeurs » et impose à chacun des obligations différentes. Les sanctions prévues par le projet actuel de l’EU AI Act sont élevées. Les amendes pour les violations les plus graves pourraient atteindre 6 % du chiffre d’affaires annuel.

‍

État actuel des lieux

Depuis sa publication, le texte a fait l’objet de nombreux commentaires de la part des autres fonctions législatives de l’Union européenne et de tiers intéressés. Certains des principaux points en suspens sont examinés plus en détail ci-dessous.

Définition du « système d’intelligence artificielle » :

La détermination de ce qui constitue un « système d’IA » est cruciale pour l’attribution des responsabilités au titre de l’AI Act. Le vaste champ de la définition énoncée à l’article 3(1), qui tente de définir ce concept, a fait l’objet de nombreuses controverses parmi les acteurs du secteur. Un amendement de compromis présenté par la présidence tchèque du Conseil européen a cherché à lever les ambiguïtés créées par cette définition étendue. Cette définition plus étroite exclut les logiciels traditionnels du champ d’application du règlement en introduisant deux exigences supplémentaires : (1) les systèmes doivent être développés au moyen de techniques d’apprentissage automatique et d’approches fondées sur la connaissance ; et (2) les applications ciblées doivent être des « systèmes génératifs » qui influencent les environnements avec lesquels elles interagissent.

Répartition des responsabilités entre les « fournisseurs » et les « utilisateurs » d’IA :

L’AI Act impose en grande partie les obligations de conformité aux fournisseurs (c’est-à-dire à ceux qui développent un système d’IA donné), plutôt qu’aux utilisateurs. Les organisations sectorielles ont fait valoir que cette répartition descendante des responsabilités pourrait s’avérer problématique lorsque des services d’IA sont utilisés à des fins imprévisibles en aval et qu’il peut être difficile de déterminer avec précision qui est le fournisseur.

IA à usage général :

La classification d’une application comme système d’IA à usage général dépend de sa capacité à exécuter plusieurs tâches dans une variété de contextes. En mai de cette année, les décideurs de l’UE ont annoncé leur intention d’étendre les exigences de l’EU AI Act à toute IA à usage général, même dans des circonstances d’utilisation à faible risque. Cela s’est révélé controversé, les opposants faisant valoir qu’il s’agit d’un écart fondamental par rapport à l’approche fondée sur le risque au cœur de la proposition et que cela menace d’étouffer l’innovation. En septembre de cette année, le Conseil a proposé un compromis consistant à exiger qu’une IA à usage général fasse l’objet d’une procédure d’évaluation complète des risques, ce qui exclurait les systèmes d’IA à usage général à faible risque des exigences plus rigoureuses prévues par l’AI Act, et cette proposition a été généralement bien accueillie.

Principes de base obligatoires :

Une recommandation visant à introduire des principes fondamentaux obligatoires d’équité, de transparence et de responsabilité pour tous les systèmes d’IA (quel que soit leur niveau de risque) a été déposée par des députés du Parlement européen (MPE) et attend une décision finale.

Normes :

Parallèlement au processus législatif, la Commission a demandé aux organismes européens de normalisation, CEN et CENLEC, d’élaborer des normes techniques pour évaluer la conformité à l’AI Act. Bien que les normes élaborées par ces organismes soient volontaires, les organisations qui démontrent que leurs systèmes les respectent bénéficieront d’une présomption de conformité avec l’AI Act.

Le défi

L’AI Act progresse encore dans le processus législatif complexe de l’UE. Toutefois, de nombreuses organisations ont déjà commencé à s’y préparer. À mesure que le secteur mûrit, les avantages d’une démarche proactive, telle que la mise en œuvre de systèmes de gestion des risques et la conduite d’examens techniques détaillés, apportent des bénéfices évidents aux organisations, indépendamment de toute nécessité réglementaire en ce sens.

Il subsiste néanmoins de nombreux défis dans le cadre de ce processus. Comprendre le rôle qu’un acteur du marché joue dans l’écosystème, naviguer dans la complexité de l’établissement des niveaux de risque, puis déterminer l’applicabilité des obligations pertinentes au titre de l’AI Act et s’y conformer impose indéniablement une charge aux acteurs de ce domaine. La plateforme Enzai a été conçue dans cette optique et peut aider les organisations à naviguer rapidement et efficacement dans cet espace afin qu’elles puissent se concentrer sur la création de technologies d’IA pérennes.

Enzai est la plateforme leader de gouvernance de l’IA d’entreprise, conçue spécialement pour aider les organisations à passer d’une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire de l’IA complet et garantir la conformité à l’AI Act de l’UE. En automatisant des flux de travail complexes, Enzai permet aux entreprises de développer l’adoption de l’IA en toute confiance tout en restant alignées sur des normes mondiales telles que ISO 42001 et NIST.