Perspectives sur la Loi européenne sur l'intelligence artificielle

En avril 2021, la Commission européenne a dévoilé sa proposition de projet phare très attendue sur la réglementation de l'intelligence artificielle. Communément appelée la législation sur l'intelligence artificielle (l'« IA Act »), elle représente la première tentative complète au monde de mettre en œuvre une réglementation horizontale des systèmes d'IA. L'IA Act est destiné à lutter contre les risques néfastes associés à l'IA et à ses utilisations spécifiques, tout en promouvant une innovation responsable dans ce domaine. S'il est adopté, cet instrument redéfinira de manière permanente les méthodes par lesquelles les entreprises développent, déploient, maintiennent et utilisent les technologies d'intelligence artificielle.

‍

Principales caractéristiques de l'IA Act

Définition de « système d'intelligence artificielle » (système d'IA) :

La Commission a proposé une définition large de système d'IA, qui s'étend aux technologies logicielles englobant l'une des nombreuses approches et techniques d'IA définies de manière générale : l'« apprentissage automatique », les systèmes « logiques et basés sur la connaissance » et les « approches statistiques ».

Approche fondée sur le risque :

La réglementation adoptera une approche pyramidale, axée sur le risque, pour lutter contre les risques liés à l'IA, en adaptant les exigences et les obligations des acteurs du marché en fonction du niveau de risque présenté par leurs systèmes d'IA. Les quatre catégories de risques sont détaillées ci-dessous.

1. Risque inacceptable. Au sommet de cette pyramide se trouve une catégorie de cas d'utilisation de l'IA jugés comme présentant un risque inacceptable pour les utilisateurs et la société dans son ensemble, et qui sont par conséquent purement et simplement interdits. La liste des systèmes interdits comprend, sans s'y limiter, les technologies d'IA impliquant une manipulation subliminale, l'identification biométrique en temps réel, la notation sociale par les autorités publiques ou l'exploitation de groupes sociaux vulnérables.

2. Risque élevé. Bien qu'elles soient autorisées, des exigences accrues sont proposées pour un vaste éventail de systèmes d'IA à haut risque susceptibles d'avoir un impact négatif sur la sécurité d'un individu ou ses droits fondamentaux. Les applications de cette catégorie comprennent les systèmes dans les domaines des infrastructures, de l'éducation, de l'emploi, du maintien de l'ordre, ainsi que ceux représentant un composant de sécurité d'un produit déjà soumis à la législation européenne sur la santé et la sécurité. Les règles spécifiques applicables aux systèmes à haut risque exigent, entre autres, que les organisations :

• établissent des systèmes de gestion des risques pour garantir qu'une évaluation adéquate des risques soit entreprise pour un système donné ;

• préparent une documentation technique complète concernant leurs systèmes ;

• soumettent leurs applications à une évaluation de conformité avant leur déploiement ;

• maintiennent des procédures de gouvernance et de gestion des données de haute qualité ; et

• veillent à ce que le système soit conforme à des normes élevées de robustesse, de cybersécurité et de précision.

3. Risque limité. Les applications qui ne sont pas explicitement interdites ou qualifiées de risquées restent largement non réglementées. Les systèmes à risque limité sont soumis à des règles de transparence moins contraignantes, qui exigent simplement que les utilisateurs soient informés qu'ils interagissent avec un outil d'IA.

4. Risque minimal. Bien qu'il n'existe pas d'exigences spécifiques pour les applications qui n'entrent dans aucune autre catégorie, et qui présentent donc un risque minimal, il est recommandé aux entreprises d'adopter une approche éthique pour tous les systèmes d'IA, quel que soit le niveau de risque concerné. En effet, l'article 69 de l'IA Act fait office de disposition « fourre-tout » qui encourage les fournisseurs et les utilisateurs de systèmes d'IA à faible risque à respecter volontairement, sur une base proportionnelle, les mêmes normes que leurs homologues à haut risque.

Qui est responsable de la conformité et quelles sont les conséquences en cas de violation :

Des obligations distinctes s'appliqueront à chaque acteur du marché en fonction du rôle qu'il joue dans le cycle de vie de l'IA. L'IA Act distingue les « fournisseurs », les « utilisateurs », les « importateurs » et les « distributeurs », et impose des obligations différentes à chacun. Les sanctions prévues par le projet actuel de l'IA Act de l'UE sont lourdes. Les amendes pour les infractions les plus flagrantes pourraient s'élever jusqu'à 6 pour cent du chiffre d'affaires annuel.

‍

La situation actuelle

Depuis sa publication, la loi a fait l'objet de nombreux commentaires de la part des autres instances législatives de l'Union européenne et des tiers intéressés. Certains des principaux points en suspens sont détaillés ci-dessous.

Définition du « système d'intelligence artificielle » :

La détermination de ce qui constitue un « système d'IA » est essentielle pour l'attribution des responsabilités en vertu de l'IA Act. Le champ d'application de la définition de l'article 3, paragraphe 1, qui tente de définir le concept, a fait l'objet de nombreuses controverses parmi les acteurs du secteur. Un amendement de compromis proposé par la présidence tchèque du Conseil européen a cherché à lever les ambiguïtés créées par cette définition extensive. Cette définition plus étroite exclut les systèmes logiciels traditionnels du champ d'application du règlement en introduisant deux exigences supplémentaires : (1) que les systèmes soient développés à l'aide de techniques d'apprentissage automatique et d'approches basées sur la connaissance ; et (2) que les applications visées soient des « systèmes génératifs » qui influencent les environnements avec lesquels ils interagissent.

Répartition des responsabilités entre les « fournisseurs » et les « utilisateurs » d'IA :

L'IA Act impose principalement des obligations de conformité aux fournisseurs (c'est-à-dire ceux qui développent un système d'IA donné) plutôt qu'aux utilisateurs. Les organismes professionnels ont fait valoir que cette répartition descendante des responsabilités pourrait s'avérer problématique dans les cas où les services d'IA sont utilisés à des fins imprévisibles en aval et où il peut être difficile d'identifier précisément le fournisseur.

IA à usage général :

La classification d'une application en tant que système d'IA à usage général dépend de sa capacité à effectuer de multiples tâches dans divers contextes. En mai de cette année, les décideurs politiques de l'UE ont annoncé leur intention d'étendre les exigences de l'IA Act de l'UE à toutes les IA à usage général, même dans le cas d'une utilisation à faible risque. Cette proposition s'est révélée controversée, ses opposants affirmant qu'elle représente une rupture fondamentale avec l'approche fondée sur le risque qui est au cœur du projet et qu'elle menace de freiner l'innovation. En septembre de cette année, le Conseil a proposé un compromis en exigeant que l'IA à usage général soit soumise à une procédure complète d'évaluation des risques, ce qui exclurait les systèmes d'IA à usage général à faible risque des exigences les plus rigoureuses de l'IA Act, une proposition qui a été généralement bien accueillie.

Principes fondamentaux obligatoires :

Une recommandation visant à introduire des principes fondamentaux obligatoires d'équité, de transparence et de responsabilité pour tous les systèmes d'IA (quel que soit le niveau de risque) a été déposée par des députés du Parlement européen (députés européens) et est en attente d'une décision finale.

Normes :

Parallèlement au processus législatif, la Commission a demandé aux organismes de normalisation européens, le CEN et le CENELEC, d'élaborer des normes techniques pour évaluer la conformité avec l'IA Act. Bien que les normes élaborées par ces organismes soient facultatives, les organisations qui démontrent que leurs systèmes y satisfont bénéficieront d'une présomption de conformité avec l'IA Act.

Le défi

L'IA Act poursuit son parcours au sein du processus législatif complexe de l'UE. Toutefois, de nombreuses organisations ont déjà commencé à se préparer à sa mise en œuvre. À mesure que ce domaine gagne en maturité, les avantages de prendre des mesures proactives, telles que la mise en place de systèmes de gestion des risques et la réalisation d'audits techniques approfondis, présentent des bénéfices clairs pour les organisations, indépendamment de toute obligation réglementaire.

Il reste encore de nombreux défis à relever. Comprendre le rôle qu'un acteur du marché joue dans l'écosystème, naviguer dans la complexité de l'établissement des niveaux de risque, puis déterminer l'applicabilité et se conformer aux obligations correspondantes en vertu de l'IA Act représente indéniablement une charge pour ceux qui opèrent dans ce domaine. La plateforme Enzai a été conçue dans cette optique, et peut aider les organisations à s'orienter rapidement et efficacement dans cet environnement afin qu'elles puissent se concentrer sur le développement de technologies d'IA durables.

Enzai est la plateforme leader de gouvernance de l'IA d'entreprise, spécialement conçue pour aider les organisations à passer d'une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques de l'IA fournit l'infrastructure spécialisée requise pour gérer la gouvernance de l'IA agentique, maintenir un inventaire complet de l'IA et assurer la conformité à l'IA Act de l'UE. En automatisant des processus complexes, Enzai permet aux entreprises de déployer l'IA à grande échelle en toute confiance, tout en garantissant l'alignement avec les normes mondiales telles que ISO 42001 et NIST.