Intelligence artificielle et règlementation : voici les réponses à des questions que vous êtes en droit de vous poser!

Tout le monde s'accorde à dire : l'intelligence artificielle ne manque pas de susciter de questions variées et pertinentes, tant pour ce qui est de ses tenants e aboutissants qu'en ce qui concerne les modalités de sa réglementation en cours !

La Commission y répond sans langue de bois, en apportant des réponses claires, qui constituent autant de balises de réflexion, posées dans le tour de la question.

Une piqure de rappel est toujours bonne à prendre !

​​Pourquoi est-il nécessaire de réglementer l'utilisation de l'intelligence artificielle?

L'intelligence artificielle est susceptible d'apporter à nos sociétés des bénéfices très divers, qui vont de l'amélioration des soins médicaux aux progrès dans le monde de l'éducation. Face à la rapidité des avancées technologiques dans le domaine de l'IA, les membres de l'UE ont décidé d'agir de concert pour exploiter les possibilités offertes.

Le règlement de l'UE concernant l'IA est le tout premier acte législatif au monde en matière d'IA. Il vise à parer aux risques pour la santé, la sécurité et les droits fondamentaux. Le règlement protège également la démocratie, l'état de droit et l'environnement.

Si la plupart des systèmes d'IA présentent des risques minimes ou nuls, certains d'entre eux sont toutefois à l'origine de risques qu'il s'agit de maîtriser pour éviter qu'ils n'aient des effets indésirables.

Par exemple, l'opacité de nombreux algorithmes peut être source d'incertitudes et empêcher la bonne application de la législation actuellement en vigueur en matière de sécurité et de droits fondamentaux. Dans ce contexte, afin d'assurer le bon fonctionnement du marché intérieur des systèmes d'IA, il était nécessaire de prendre des mesures législatives en mettant en balance les bénéfices et les risques.

Cela concerne les applications de l'AI telles que les systèmes d'identification biométrique ou l'aide à la prise de décisions portant sur des aspects personnels importants, par exemple dans les domaines du recrutement, de l'éducation, de la santé ou du maintien de l'ordre.

Avec les récents progrès dans le domaine de l'IA; les systèmes d'IA sont plus puissants que jamais. Les modèles d'IA dits «à usage général», qui sont intégrés dans de nombreux systèmes d'IA, ont pris une telle importance dans l'économie et la société qu'on ne peut pas s'abstenir de les réglementer. Compte tenu des risques systémiques potentiels, l'UE met en place des règles et une surveillance efficaces.

À quels risques les nouvelles règles encadrant l'IA permettront-elles de faire face?

Les systèmes d'IA présentent un fort potentiel en matière d'avantages sociétaux, de croissance économique, de stimulation de l'innovation dans l'UE et de renforcement de la compétitivité de l'UE à l'échelle mondiale. Dans certains cas, cependant, les caractéristiques spécifiques de certains systèmes d'IA peuvent être à l'origine de nouveaux risques pour la sécurité des utilisateurs et les droits fondamentaux. Certains modèles d'AI très puissants dont l'utilisation est très répandue sont même susceptibles de présenter des risques systémiques

Ces risques peuvent créer de l'insécurité juridique pour les entreprises et potentiellement ralentir l'adoption des technologies de l'IA par les entreprises et les particuliers, du fait d'un manque de confiance. Or des réponses réglementaires disparates de la part des autorités nationales risqueraient de fragmenter le marché intérieur.

À qui s'applique le règlement concernant l'intelligence artificielle?

Le cadre juridique s'appliquera aussi bien aux acteurs du secteur public que du secteur privé, à l'intérieur comme à l'extérieur de l'UE, dès lors que le système d'IA est mis sur le marché dans l'Union ou que son utilisation a une incidence sur des personnes situées dans l'UE.

Cela peut concerner aussi bien les fournisseurs (par exemple, le développeur d'un outil d'analyse de CV) que les déployeurs de systèmes d'IA à haut risque (par exemple, une banque qui achète cet outil).Les importateurs de systèmes d'IA devront s'assurer que le fournisseur étranger a déjà suivi la procédure appropriée d'évaluation de la conformité, que le système d'IA porte la marque CE et qu'il est accompagné de la documentation technique exigée par le règlement.

En outre, certaines obligations sont prévues pour les fournisseurs de modèles d'IA à usage général, y compris les grands modèles d'IA générative.

Les fournisseurs de modèles libres et ouverts sont exemptés de la plupart de ces obligations. Cette exemption ne s'applique pas aux fournisseurs de modèles d'IA à usage général présentant des risques systémiques.

Les obligations ne s'appliquent pas non plus aux activités de recherche, de développement et de prototypage précédant la mise sur le marché, ni aux systèmes d'IA qui sont exclusivement destinés à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d'entité exerçant ces activités.

Quelles sont les catégories de risques?

La Commission propose une approche fondée sur les risques comportant quatre niveaux en fonction du risque que présentent les systèmes d'AI, ainsi qu'une identification des risques propre aux modèles à usage général:

• Risque minimal: tous les systèmes d'IA peuvent être développés et utilisés à condition de respecter la législation actuelle; ils ne sont soumis à aucune obligation légale supplémentaire. La grande majorité des systèmes d'IA actuellement utilisés dans l'UE ou susceptibles de l'être appartiennent à cette catégorie. Les fournisseurs de ces systèmes peuvent volontairement choisir d'appliquer les exigences relatives à une IA digne de confiance, et adhérer à des codes de conduite volontaires.
• Risque élevé: un nombre limité de systèmes d'IA définis dans la proposition, qui peuvent avoir une incidence négative sur la sécurité des personnes ou sur leurs droits fondamentaux (tels que protégés par la charte des droits fondamentaux de l'UE), sont considérés comme présentant un risque élevé. Une liste des systèmes d'IA à haut risque, qui pourra être révisée pour tenir compte de l'évolution des utilisations de l'IA figure en annexe du règlement.
• Ces systèmes comprennent notamment des composantes de sécurité de produits couverts par la législation sectorielle de l'Union. Ils seront toujours considérés comme à haut risque dès lors que, dans le cadre de cette législation sectorielle, ils sont soumis à une évaluation de la conformité par un tiers.
• Risque inacceptable: un ensemble très limité d'utilisations particulièrement néfastes de l'IA qui sont contraires aux valeurs de l'UE parce qu'elles portent atteinte à des droits fondamentaux et seront donc interdites:
  
  • la notation sociale à des fins publiques et privées;
  • l'exploitation de la vulnérabilité des personnes, le recours à des techniques subliminales;
  • l'utilisation par les services répressifs de l'identification biométrique à distance en temps réel dans des espaces accessibles au public, sous réserve d'exceptions strictement limitées (voir ci-dessous);
  • la catégorisation biométrique des personnes physiques utilisant des données biométriques pour déduire leur race, leurs opinions politiques, leur appartenance syndicale, leurs convictions religieuses ou philosophiques ou leur orientation sexuelle; Il restera possible de filtrer des ensembles de données à partir de données biométriques à des fins répressives.
  • la police prédictive ciblant les individus;
  • la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, sauf pour des raisons médicales ou de sécurité (par exemple, surveillance de l'état de fatigue d'un pilote)
  • le moissonnage non ciblé d'images provenant de l'internet ou de la vidéosurveillance afin de constituer ou d'étendre des bases de données de reconnaissance faciale.

• Risque spécifique en matière de transparence: Pour certains systèmes d'IA, des obligations de transparence spécifiques sont imposées, notamment en cas de risque manifeste de manipulation (par exemple, du fait du recours à des chatbots). Les utilisateurs devraient savoir qu'ils interagissent avec une machine.

En outre, le règlement concernant l'IA tient compte des risques systémiques qui pourraient être dus à des modèles d'IA à usage général, notamment de grands modèles d'IA générative. Ces derniers ont des applications très diverses et constituent de plus en plus souvent la base de nombreux systèmes d'IA dans l'UE. Certains de ces modèles pourraient comporter des risques systémiques s'ils sont très puissants ou si leur utilisation est très répandue. Par exemple, des modèles puissants pourraient provoquer des accidents graves ou être utilisés à mauvais escient pour lancer des cyberattaques de grande ampleur. La propagation, par un modèle, de biais préjudiciables dans de nombreuses applications pourrait avoir des conséquences négatives pour de nombreuses personnes.

Comment savoir si un système d'IA présente un risque élevé?

Le règlement établit, outre une définition claire du «risque élevé», une méthode solide permettant de recenser les systèmes d'IA à haut risque pour l'application du cadre juridique. L'objectif est que les entreprises et les autres opérateurs jouissent d'une sécurité juridique.

La classification des risques repose sur la finalité assignée au système d'IA, conformément à la législation existante de l'UE en matière de sécurité des produits. Cela signifie que cette classification dépend de la fonction exécutée par le système d'IA, ainsi que du but spécifique dans lequel le système est utilisé et des modalités de cette utilisation.

Une liste des cas d'utilisation considérés comme à haut risque figure en annexe du règlement. La Commission assurera la mise à jour de cette liste et en garantira la pertinence. Les systèmes figurant sur la liste des risques élevés, qui exécutent des tâches procédurales strictement délimitées, améliorent le résultat d'activités humaines antérieures, n'influencent pas les décisions humaines ou n'accomplissent que des tâches purement préparatoires ne sont pas considérés comme présentant un risque élevé. Toutefois, tout système d'IA effectuant un profilage de personnes physiques est toujours considéré comme à haut risque.

Quelles sont les obligations des fournisseurs de systèmes d'IA à haut risque?

Avant qu'un fournisseur puisse mettre un système d'IA à haut risque sur le marché de l'UE ou le mettre en service d'une autre manière, ce système doit faire l'objet d'une évaluation de la conformité. Le fournisseur pourra ainsi démontrer que son système est conforme aux exigences obligatoires relatives à une IA digne de confiance (par exemple, la qualité des données, la documentation et la traçabilité, la transparence, le contrôle humain, l'exactitude, la cybersécurité et la robustesse). Cette évaluation doit être répétée si le système ou sa finalité sont substantiellement modifiés.

Les systèmes d'IA constituant des composants de sécurité de produits couverts par une législation sectorielle de l'UE seront toujours considérés comme à haut risque dès lors qu'ils font l'objet d'une évaluation de la conformité réalisée par un tiers en vertu de cette législation sectorielle. Pour les systèmes biométriques également, une évaluation de la conformité par un tiers est toujours requise

Les fournisseurs de systèmes d'IA à haut risque devront également mettre en œuvre des systèmes de gestion de la qualité et des risques afin de garantir qu'ils respectent les nouvelles exigences et de réduire au minimum les risques pour les utilisateurs et les personnes concernées, même après qu'un produit a été mis sur le marché.

Les systèmes d'IA à haut risque déployés par les pouvoirs publics ou par des entités agissant en leur nom devront être enregistrés dans une base de données publique de l'UE, sauf si ces systèmes sont utilisés à des fins répressives et de gestion de la migration. Dans ce dernier cas, ils devront être enregistrés dans une partie non publique de la base de données qui ne sera accessible qu'aux autorités de surveillance concernées.

Les autorités de surveillance du marché contribueront à la surveillance des produits après leur mise sur le marché au moyen d'audits et en offrant aux fournisseurs la possibilité de signaler les incidents graves ou les manquements aux obligations en matière de droits fondamentaux dont ils viendraient à avoir connaissance. Toute autorité de surveillance du marché peut, pour des raisons exceptionnelles, autoriser la mise sur le marché d'un système d'IA à haut risque.

Ces exigences permettront aux autorités nationales de disposer, en cas d'infraction, des informations nécessaires pour déterminer si le système d'IA a été utilisé dans le respect de la législation.

Quels sont les exemples de cas d'utilisation à haut risque tels que définis à l'annexe III?

• Les systèmes utilisés en lien avec certaines infrastructures critiques, par exemple dans les domaines de la circulation routière et de la fourniture d'eau, de gaz, de chauffage et d'électricité;
• dans les domaines de l'éducation et de la formation professionnelle, par exemple, les systèmes utilisés pour évaluer les acquis d'apprentissage, orienter le processus d'apprentissage et surveiller les comportements malhonnêtes;
• les systèmes utilisés dans le domaine de l'emploi, de la gestion de la main-d'œuvre et de l'accès à l'emploi indépendant, par exemple pour placer des offres d'emploi ciblées, pour analyser et filtrer les candidatures et pour évaluer les candidats;
• dans le domaine de l'accès à certains services et prestations essentiels, publics et privés (tels que les soins de santé), les systèmes utilisés pour évaluer la solvabilité des personnes physiques ainsi que pour évaluer les risques et déterminer la tarification des assurances vie et assurances maladie;.
• certains systèmes utilisés dans les domaines du maintien de l'ordre, du contrôle des frontières, de l'administration de la justice et des processus démocratiques;
• les systèmes destinés à évaluer et hiérarchiser les appels d'urgence;
• les systèmes d'identification biométrique, de catégorisation et de reconnaissance des émotions (en dehors des catégories interdites);
• les systèmes de recommandation des très grandes plateformes en ligne ne figurent pas dans cette liste parce qu'ils relèvent du champ d'application d'autres actes législatifs (règlement sur les services numériques et règlement sur les marchés numériques).

Comment les modèles d'IA à usage général sont-ils réglementés?

Les modèles d'IA à usage général, notamment les grands modèles d'IA générative ont des applications très diverses. Certains modèles spécifiques peuvent être intégrés dans de nombreux systèmes d'IA.

Il est important qu'un fournisseur souhaitant utiliser un modèle d'IA à usage général pour construire un système dispose de toutes les informations nécessaires pour s'assurer que son système est sûr et respecte les obligations prévues par le règlement.

Par conséquent, le règlement oblige les fournisseurs de ces modèles à mettre certaines informations à la disposition des fournisseurs en aval. Ces obligations de transparence permettent de mieux comprendre ces modèles.

Les fournisseurs de modèles doivent, de surcroît, appliquer des procédures permettant de garantir qu'ils respectent la législation sur les droits d'auteur lorsqu'ils entraînent leurs modèles.

En outre, certains de ces modèles pourraient comporter des risques systémiques en raison de leur puissance ou de la large utilisation qui en est faite.

Actuellement, on considère que les modèles d'IA à usage général qui ont été entraînés avec une puissance de calcul totale supérieure à 10^25 FLOPS présentent des risques systémiques, car plus la quantité de calcul nécessaire à l'entraînement est élevée, plus les modèles tendent à être puissants. Le Bureau de l'IA (établi au sein de la Commission) peut mettre à jour ce seuil en fonction des progrès technologiques et peut en outre, dans des cas particuliers, désigner d'autres modèles comme présentant des risques systémiques, en se fondant sur d'autres critères (par exemple le nombre d'utilisateurs ou le degré d'autonomie du modèle).

Les fournisseurs de modèles présentant des risques systémiques sont par conséquent tenus d'évaluer et d'atténuer les risques, de signaler les incidents graves, de procéder à des essais et à des évaluations de modèles conformément à l'état de la technique, de garantir la cybersécurité et de fournir des informations sur la consommation d'énergie de leurs modèles.

Pour ce faire, il leur est demandé de collaborer avec le Bureau européen de l'IA afin d'élaborer des codes de conduite constituant le principal outil de définition des règles en coopération avec d'autres experts. Un comité scientifique jouera un rôle essentiel dans la surveillance des modèles d'IA à usage général. Un comité scientifique jouera un rôle essentiel dans la surveillance des modèles d'IA à usage général.

Pourquoi le seuil de 10^25 FLOPS est-il approprié pour déterminer les systèmes d'IA à usage général présentant des risques systémiques?

Ce seuil correspond aux modèles d'IA à usage général les plus avancés actuellement, à savoir GPT-4 d'OpenAI et probablement Gemini de Google DeepMind.

On ne dispose pas encore d'une compréhension suffisante des capacités des modèles situés au-dessus de ce seuil. Ils pourraient présenter des risques systémiques et il est par conséquent raisonnable de soumettre leurs fournisseurs à des obligations supplémentaires.

La quantité de FLOPS est un premier indicateur des capacités du modèle, et le seuil exact de FLOPS peut être augmenté ou abaissé par le Bureau européen de l'IA, par exemple en fonction des progrès accomplis dans la mesure objective des capacités des modèles et des évolutions de la puissance de calcul nécessaire pour atteindre un niveau de performance donné.

Le règlement concernant l'IA peut être modifié pour mettre à jour le seuil de FLOPS (au moyen d'un acte délégué).

Le règlement sur l'IA est-il adapté aux évolutions futures?

Le règlement introduit différents niveaux de risques et fournit des définitions claires, y compris pour l'IA à usage général.

Il fixe des exigences axées sur les résultats pour les systèmes d'IA à haut risque, mais en ce qui concerne les solutions techniques et la mise en œuvre concrètes, il s'en remet principalement à des normes dictées par l'industrie, ce qui garantira au cadre juridique la souplesse nécessaire pour s'adapter aux différents cas d'utilisation, ainsi qu'aux évolutions futures afin de permettre de nouvelles solutions technologiques.

En outre, le règlement sur l'IA peut être modifié par des actes délégués et des actes d'exécution, notamment pour mettre à jour le seuil de FLOPS (acte délégué), pour ajouter des critères permettant de classer certains modèles d'IA à usage général comme présentant des risques systémiques (acte délégué), et pour modifier les modalités de mise en place de bacs à sable réglementaires et des éléments du plan d'essais en conditions réelles (actes d'exécution).

Comment le règlement sur l'IA régit-il l'identification biométrique?

L'utilisation à des fins répressives de l'identification biométrique à distance en temps réel dans des espaces accessibles au public (c'est-à-dire la reconnaissance faciale par des caméras de télévision en circuit fermé) est interdite, sauf dans les cas suivants:

• les activités répressives concernant 16 infractions spécifiques;
• la recherche ciblée de victimes spécifiques, en cas d'enlèvement, de traite et d'exploitation sexuelle d'êtres humains, et de personnes disparues; ou
• la prévention d'une menace pour la vie ou la sécurité physique de personnes, ou la réponse à une menace actuelle ou prévisible d'attaque terroriste.

Les 16 infractions de la liste sont:

• le terrorisme;
• la traite des êtres humains;
• l'exploitation sexuelle des enfants et la pédopornographie;
• le trafic illicite de stupéfiants et de substances psychotropes;
• le trafic illicite d'armes, de munitions et d'explosifs;
• l'homicide volontaire;
• les coups et blessures graves;
• le trafic illicite d'organes et de tissus humains;
• le trafic illicite de matières nucléaires et radioactives;
• l'enlèvement, la séquestration et la prise d'otage;
• les crimes relevant de la juridiction de la Cour pénale internationale;
• le détournement d'avion/de navire;
• le viol;
• les crimes contre l'environnement;
• les vols organisés ou à main armée;
• le sabotage, et la participation à une organisation criminelle impliquée dans une ou plusieurs des infractions énumérées ci-dessus.

L'identification biométrique à distance en temps réel par les services répressifs sera subordonnée à une autorisation préalable octroyée par une autorité judiciaire ou une autorité administrative indépendante dont la décision est contraignante. En cas d'urgence, cette autorisation pourra être accordée dans les 24 heures; si l'autorisation est refusée, toutes les données et les résultats devront être supprimés.

Une analyse d'impact sur les droits fondamentaux devra être réalisée au préalable et être notifiée à l'autorité de surveillance du marché compétente et à l'autorité chargée de la protection des données. En cas d'urgence, le système peut commencer à être utilisé sans enregistrement.

L'utilisation de systèmes d'IA pour l'identification biométrique à distance a posteriori (identification de personnes dans du contenu vidéo récolté auparavant) de personnes faisant l'objet d'une enquête nécessite de recevoir l'autorisation préalable d'une autorité judiciaire ou d'une autorité administrative indépendante, et d'être notifiée aux autorités chargées de la protection des données et de la surveillance du marché.

Pourquoi faut-il des règles spécifiques pour encadrer l'identification biométrique à distance?

L'identification biométrique peut prendre différentes formes. Elle peut être utilisée pour l'authentification des utilisateurs, par exemple pour déverrouiller un smartphone, ou dans le cadre de la vérification/l'authentification aux points de passage frontaliers pour vérifier que l'identité d'une personne correspond à celle indiquée sur ses documents de voyage (comparaison «un à un»).

L'identification biométrique est également susceptible d'être utilisée à distance pour identifier une personne dans une foule, par exemple en comparant son image avec celles contenues dans une base de données (comparaison «un à plusieurs»).

L'exactitude des résultats des systèmes de reconnaissance faciale peut varier considérablement en fonction d'un large éventail de facteurs, tels que la qualité de la caméra, la lumière, la distance, la base de données, l'algorithme ainsi que l'appartenance ethnique, l'âge ou le sexe de l'individu. Il en va de même pour la reconnaissance de la voix ou de la démarche et les autres systèmes biométriques. Le taux de fausses acceptations des systèmes hautement avancés est en diminution constante.

Si un taux de 99 % de résultats justes peut globalement sembler satisfaisant, il n'en présente pas moins un risque élevé s'il conduit à soupçonner un innocent. Même un taux d'erreur de 0,1 % est important s'il concerne des dizaines de milliers de personnes.

Comment les règles protègeront-elles les droits fondamentaux?

Il existe déjà une solide protection des droits fondamentaux et contre les discriminations au niveau de l'UE et des États membres, mais la complexité et l'opacité de certaines applications d'IA («boîtes noires») posent un problème.

Une approche de l'IA centrée sur l'humain implique de garantir que les applications d'IA respectent la législation relative aux droits fondamentaux. La sujétion de l'utilisation de systèmes d'IA à haut risque à des exigences en matière de responsabilité et de transparence, conjuguée à un renforcement des moyens de contrôle du respect de ces exigences, garantira la prise en compte de l'obligation de conformité à la législation dès le stade du développement.

En cas d'infraction, les autorités nationales auront accès, en vertu de ces exigences, aux informations nécessaires pour enquêter et vérifier si l'IA a été utilisée dans le respect du droit de l'UE.

En outre, le règlement sur l'IA exige que les déployeurs qui sont des organismes de droit public ou des opérateurs privés fournissant des services publics et les opérateurs fournissant des systèmes à haut risque procèdent à une analyse d'impact relative aux droits fondamentaux.

Qu'est-ce qu'une analyse d'impact relative aux droits fondamentaux? Qui doit procéder à une telle analyse d'impact et quand?

L'utilisation d'un système d'IA à haut risque peut avoir un impact sur les droits fondamentaux. Par conséquent, les déployeurs qui sont des organismes de droit public ou des opérateurs privés fournissant des services publics et les opérateurs fournissant des systèmes à haut risque devront procéder à une analyse d'impact relative aux droits fondamentaux et en notifier les résultats à l'autorité nationale.

Cette analyse consistera à décrire dans quels processus du déployeur le système d'IA à haut risque sera utilisé, pendant combien de temps et à quelle fréquence il est prévu de l'utiliser, quelles catégories de personnes physiques et de groupes de personnes sont susceptibles d'être affectées par son utilisation dans ce contexte spécifique, quels risques spécifiques de préjudice encourent les catégories de personnes ou groupes de personnes concernées; elle décrira également la mise en œuvre des mesures de contrôle par des êtres humains et les mesures qui seront prises en cas de réalisation des risques.

Si le fournisseur s'acquitte déjà de cette obligation dans le cadre de l'analyse d'impact relative à la protection des données, l'analyse d'impact relative aux droits fondamentaux sera réalisée conjointement avec celle-ci.

Comment le règlement sur l'IA traite-t-il le problème des biais sexistes ou raciaux dans le cadre de l'IA?

Il est très important de veiller à ce que les systèmes d'IA ne créent pas ni ne reproduisent de biais. Au contraire, lorsqu'ils sont correctement conçus et utilisés, les systèmes d'IA peuvent contribuer à réduire les discriminations structurelles et les biais existants et conduire ainsi à des décisions plus équitables et non discriminatoires (par exemple en matière de recrutement).

Tel est l'objectif des nouvelles exigences contraignantes qui s'appliqueront à tous les systèmes d'IA à haut risque. Il faut que les systèmes d'IA soient techniquementrobustes pour garantir que la technologie est adaptée à sa finalité et que les résultats faussement positifs ou négatifs n'affectent pas de manière disproportionnée les groupes protégés (par exemple, en raison de leur race ou de leur origine ethnique, de leur sexe ou de leur âge).

Il faudra également que les systèmes d'IA à haut risque soient entraînés et testés sur la base d'ensembles de données suffisamment représentatifs, afin de réduire au minimum le risque de biais inéquitables dans la conception même du modèle et de permettre un traitement adéquat de ce risque par des mesures de détection et de correction et autres mesures d'atténuation.

Il faut aussi qu'ils soient traçables et auditables, ce qui implique qu'une documentation appropriée doit être conservée, y compris les données utilisées pour entraîner l'algorithme, essentielles pour toute enquête a posteriori.

Un système de vérification de la conformité avant et après mise sur le marché devra garantir une surveillance régulière des systèmes d'IA et un traitement rapide des risques potentiels.

Quand le règlement sur l'IA sera-t-il pleinement applicable?

Une fois adopté par le Parlement européen et le Conseil, le règlement sur l'IA entrera en vigueur vingt jours après sa publication au Journal officiel. Après son entrée en vigueur, il entrera progressivement en application et sera pleinement applicable au bout de 24 mois, selon le calendrier suivant:

• 6 mois après l'entrée en vigueur, les États membres suppriment progressivement les systèmes interdits;
• au bout de 12 mois: les obligations relatives à la gouvernance de l'IA à usage général deviennent applicables;
• au bout de 24 mois: toutes les dispositions du règlement sur l'IA deviennent applicables, y compris les obligations imposées pour les systèmes à haut risque définis à l'annexe III (liste des cas d'utilisation à haut risque);
• au bout de 36 mois: les obligations imposées pour les systèmes à haut risque définis à l'annexe II (liste d'actes législatifs d'harmonisation de l'Union) s'appliquent.

Comment l'application effective du règlement sur l'IA sera-t-elle contrôlée?

Les États membres jouent un rôle clé dans l'application et le contrôle du respect de ce règlement. À cet égard, chaque État membre devrait désigner une ou plusieurs autorités nationales compétentes pour surveiller l'application et la mise en œuvre des règles, ainsi que pour mener des activités de surveillance du marché.

Pour permettre un gain d'efficience et garantir l'existence d'un point de contact officiel avec le public et les homologues, chaque État membre devrait désigner une autorité nationale de surveillance, qui sera également chargée de le représenter au sein du Comité européen de l'intelligence artificielle.

Une expertise technique supplémentaire sera fournie par un forum consultatif, représentant une sélection équilibrée de parties prenantes, dont l'industrie, les jeunes pousses, les PME, la société civile et le monde universitaire.

Par ailleurs, la Commission créera, en son sein, un nouveau Bureau européen de l'intelligence artificielle, qui surveillera les modèles d'IA à usage général, coopérera avec le Comité européen de l'intelligence artificielle et sera épaulé par un groupe scientifique d'experts indépendants.

Pourquoi est-il nécessaire de créer un Comité européen de l'intelligence artificielle et quel sera son rôle?

Le Comité européen de l'intelligence artificielle sera constitué de représentants de haut niveau des autorités nationales de surveillance compétentes, du Contrôleur européen de la protection des données et de la Commission. Son rôle sera de faire en sorte que la mise en œuvre du nouveau règlement sur l'IA soit aisée, effective et harmonisée.

Le Comité formulera des recommandations et des avis à l'intention de la Commission concernant les systèmes d'IA à haut risque et d'autres aspects pertinents pour la mise en œuvre effective et uniforme des nouvelles règles. Enfin, il apportera également son soutien aux activités de normalisation dans ce domaine.

Quelles sont les tâches du Bureau européen de l'IA?

Le Bureau de l'IA a pour mission de développer l'expertise et les capacités de l'Union dans le domaine de l'intelligence artificielle et de contribuer à la mise en œuvre de la législation de l'Union en matière d'intelligence artificielle au sein d'une structure centralisée.

En particulier, le bureau de l'IA sera chargé de faire appliquer et de superviser les nouvelles règles que doivent respecter les modèles d'IA à usage général. Il s'agira notamment d'élaborer des codes de bonnes pratiques précisant les règles à suivre, de jouer un rôle dans la classification des modèles présentant des risques systémiques et de contrôler la mise en œuvre effective et le respect du règlement. Cette dernière tâche sera facilitée par le pouvoir d'exiger des documents, de réaliser des évaluations de modèles, d'enquêter en cas d'alerte et de demander aux fournisseurs de prendre des mesures correctives.

Le Bureau de l'IA assurera la coordination en ce qui concerne la politique en matière d'intelligence artificielle et la collaboration entre les institutions, organes et agences de l'Union concernés, ainsi qu'avec les experts et les parties prenantes. En particulier, il assurera un lien étroit avec la communauté scientifique afin de soutenir l'application de la législation, servira de point de référence international pour les experts indépendants et les organisations d'experts et facilitera les échanges et la collaboration avec les institutions similaires dans le monde entier.

Quelle est la différence entre le Comité de l'IA, le Bureau de l'IA, le forum consultatif et le groupe scientifique d'experts indépendants?

Le Comité de l'IA a un rôle étendu consistant à fournir des conseils et une assistance à la Commission et aux États membres.

Le Bureau de l'IA sera créé au sein de la Commission et sera chargé de développer l'expertise et les capacités de l'Union dans le domaine de l'intelligence artificielle et de contribuer à la mise en œuvre de la législation de l'Union en matière d'intelligence artificielle. En particulier, le bureau de l'IA sera chargé de faire appliquer et de superviser les nouvelles règles que doivent respecter les modèles d'IA à usage général.

Le forum consultatif sera constitué d'une sélection équilibrée de parties prenantes, dont l'industrie, les jeunes pousses, les PME, la société civile et le monde universitaire. Il sera institué pour conseiller et fournir une expertise technique au Comité de l'IA et à la Commission, ses membres étant désignés par le Comité parmi les parties prenantes.

Le groupe scientifique d'experts indépendants soutiendra la mise en œuvre et l'application du règlement en ce qui concerne les modèles et systèmes d'IA à usage général, et les États membres auront accès à ce pool d'experts.

Quelles sont les sanctions en cas d'infraction?

En cas de mise sur le marché ou d'utilisation de systèmes d'IA qui ne respectent pas les exigences du règlement, les États membres devront prévoir des sanctions effectives, proportionnées et dissuasives, notamment des amendes administratives, s'il y a infraction, et les communiquer à la Commission.

Le règlement fixe des seuils qui devront être pris en compte:

• jusqu'à 35 millions d'EUR ou 7 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent (le montant le plus élevé étant retenu) pour les infractions correspondant à des pratiques interdites ou à un non-respect des exigences relatives aux données;
• jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent en cas de non-respect d'une des autres exigences ou obligations prévues par le règlement, y compris en cas d'infraction aux règles relatives aux modèles d'IA à usage général;
• jusqu'à 7,5 millions d'EUR ou 1,5 % du chiffre d'affaires annuel mondial total réalisé au cours de l'exercice précédent si des informations inexactes, incomplètes ou trompeuses ont été fournies aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande.
• Pour chaque catégorie d'infraction, le seuil sera le plus faible des deux montants pour les PME et le plus élevé des deux pour les autres entreprises.

Afin d'harmoniser les règles et pratiques nationales en matière de fixation des amendes administratives, la Commission compte s'appuyer sur l'avis du Comité de l'IA pour élaborer des lignes directrices.

Les institutions, organes et agences de l'Union européenne devant montrer l'exemple, ils devront également se conformer aux règles et pourront faire l'objet de sanctions; le Contrôleur européen de la protection des données aura le pouvoir de leur infliger des amendes.

Que peuvent faire les personnes concernées par une violation des dispositions réglementaires?

Le règlement sur l'IA prévoit le droit d'introduire une réclamation auprès d'une autorité nationale. Sur cette base, les autorités nationales peuvent lancer des activités de surveillance du marché, conformément aux procédures prévues par les règlements relatifs à la surveillance du marché.

En outre, la proposition de directive sur la responsabilité en matière d'IA vise à fournir aux personnes demandant réparation des dommages causés par des systèmes d'IA à haut risque des moyens efficaces d'identifier les responsables potentiels et d'obtenir des preuves pertinentes pour une demande d'indemnisation. À cette fin, la proposition de directive prévoit la divulgation d'éléments de preuve concernant certains systèmes d'IA à haut risque soupçonnés d'avoir causé des dommages.

De plus, la directive révisée sur la responsabilité du fait des produits garantira la possibilité d'une indemnisation en cas de décès, de lésions corporelles ou de dommages matériels causés par un produit défectueux dans l'Union et précisera que les systèmes d'IA, et les produits qui intègrent des systèmes d'IA, sont également couverts par les règles existantes.

Comment fonctionnent les codes de conduite volontaires pour les systèmes d'IA à haut risque?

Les fournisseurs d'applications qui ne sont pas à haut risque pourront garantir que leur système d'IA est digne de confiance en élaborant leur propre code de conduite volontaire, ou en adhérant au code de conduite d'une association représentative.

Pour certains systèmes d'IA, ces codes de conduite volontaires s'appliqueront parallèlement aux obligations de transparence.

La Commission encouragera les associations du secteur et autres organisations représentatives à en adopter.

Comment fonctionnent les codes de bonnes pratiques pour les modèles d'IA à usage général?

La Commission invite les fournisseurs de modèles d'IA à usage général et d'autres experts à travailler conjointement sur un code de bonnes pratiques.

Une fois élaborés et approuvés à cette fin, ces codes peuvent être utilisés par les fournisseurs de modèles d'IA à usage général pour apporter la preuve du respect des obligations pertinentes découlant du règlement sur l'IA, à l'instar de ce qui est fait pour le RGPD.

L'élaboration de ces codes est particulièrement importante pour préciser les règles applicables aux fournisseurs de modèles d'IA à usage général présentant des risques systémiques, afin de garantir des règles efficaces et à l'épreuve du temps en matière d'évaluation et d'atténuation des risques, ainsi que concernant d'autres obligations.

Le règlement sur l'IA contient-il des dispositions relatives à la protection de l'environnement et à la durabilité?

L'objectif de la proposition de règlement sur l'IA est de parer aux risques pour la sécurité et les droits fondamentaux, y compris le droit fondamental à un niveau élevé de protection de l'environnement. L'environnement est également l'un des intérêts juridiques explicitement mentionnés et protégés.

La Commission sera chargée de demander aux organisations européennes de normalisation une publication en matière de normalisation relative aux processus d'établissement de rapports et de documentation afin d'améliorer la performance des systèmes d'IA en matière de ressources, par exemple concernant la réduction de la consommation d'énergie et d'autres ressources par le système d'IA à haut risque tout au long de son cycle de vie, et relative au développement économe en énergie de modèles d'IA à usage général.

De surcroît, la Commission sera chargée de présenter, au plus tard deux ans après la date d'application du règlement et tous les quatre ans par la suite, un rapport sur l'état d'avancement de l'élaboration de publications en matière de normalisation relatives au développement économe en énergie de modèles d'IA à usage général, et à évaluer la nécessité de nouvelles mesures ou actions, y compris de mesures ou actions contraignantes.

En outre, les fournisseurs de modèles d'IA à usage général, qui sont entraînés sur de grandes quantités de données et ont donc tendance à consommer beaucoup d'énergie, seront tenus de divulguer leur consommation d'énergie.

La Commission sera chargée d'élaborer une méthode appropriée pour cette évaluation.

S'agissant des modèles d'IA à usage général présentant des risques systémiques, il faudra en outre en évaluer l'efficacité énergétique.

En quoi les nouvelles règles soutiendront-elles l'innovation?

Le cadre réglementaire peut favoriser l'adoption de l'IA de deux manières. D'une part, si la confiance des utilisateurs s'accroît, la demande d'IA des entreprises et des pouvoirs publics pour leur usage propre augmentera aussi. D'autre part, l'harmonisation des règles et le renforcement de la sécurité juridique permettront aux fournisseurs d'IA d'accéder à des marchés plus grands, en proposant des produits que les utilisateurs et les consommateurs apprécient et achètent. Les règles ne s'appliqueront que dans la mesure où elles sont strictement nécessaires et en imposant le moins de contraintes possible aux opérateurs économiques, grâce à une structure de gouvernance légère.

Le règlement sur l'IA permet en outre la création de bacs à sable réglementaires et la réalisation d'essais en conditions réelles, qui offrent un environnement contrôlé pour tester des technologies innovantes pendant une période limitée, favorisant ainsi l'innovation par les entreprises, les PME et les jeunes pousses conformément au règlement sur l'IA. Ces initiatives, combinées à d'autres mesures telles que les nouveaux réseaux de centres d'excellence en matière d'IA et le partenariat public-privé sur l'intelligence artificielle, les données et la robotique, ainsi que l'accès à des pôles européens d'innovation numérique et à des installations de test et d'expérimentation, contribueront à créer les conditions-cadres dont les entreprises ont besoin pour développer et déployer l'IA.

Les essais en conditions réelles des systèmes d'IA à haut risque peuvent être menés pendant une durée maximale de 6 mois (qui peut être prolongée de 6 mois supplémentaires). Avant les essais, un plan doit être établi et soumis à l'autorité de surveillance du marché, qui doit approuver ce plan ainsi que les conditions d'essai spécifiques, ceux-ci étant par défaut approuvés de manière tacite si aucune réponse n'a été donnée dans un délai de 30 jours. Les essais peuvent faire l'objet d'inspections inopinées de la part de l'autorité.

Les essais en conditions réelles ne peuvent être réalisés que moyennant des garanties spécifiques: par exemple, les utilisateurs des systèmes testés en conditions réelles doivent donner leur consentement éclairé, les essais ne doivent pas avoir d'effet négatif sur ces utilisateurs, les résultats doivent être réversibles ou doivent pouvoir être ignorés, et les données des utilisateurs doivent être supprimées après l'achèvement du test. Une protection particulière sera accordée aux groupes vulnérables, c'est-à-dire aux personnes âgées ou souffrant d'un handicap physique ou mental.

Au-delà du règlement sur l'IA, comment l'UE va-t-elle faciliter et soutenir l'innovation dans le domaine de l'IA?

L'approche de l'UE en matière d'intelligence artificielle repose sur l'excellence et la confiance; elle vise à stimuler la recherche et les capacités industrielles tout en garantissant la sécurité et la protection des droits fondamentaux. Les citoyens et les entreprises doivent pouvoir bénéficier des avantages de l'IA tout en se sentant en sécurité et protégés. La stratégie européenne en matière d'IA vise à faire de l'UE un pôle mondial de l'IA et à faire en sorte que l'IA soit centrée sur l'humain et digne de confiance. En avril 2021, la Commission a présenté son train de mesures sur l'IA, qui comprenait notamment: (1) un réexamen du plan coordonné dans le domaine de l'intelligence artificielle et (2) sa proposition de règlement établissant des règles harmonisées en matière d'IA.

Avec le plan coordonné dans le domaine de l'IA, c'est une stratégie globale visant à promouvoir le développement et l'adoption de l'IA en Europe que la Commission européenne a adoptée. Cette stratégie met l'accent sur la création de conditions propices au développement et à l'adoption de l'IA; sur la nécessité de faire en sorte que l'UE soit l'endroit où l'excellence prévaut, du laboratoire au marché; sur le renforcement de la fiabilité de l'IA; et sur la mise en place d'un leadership stratégique dans les secteurs à fort impact.

La Commission entend tirer parti des activités des États membres en coordonnant et en harmonisant leurs efforts, afin de favoriser une approche cohérente et synergique du développement et de l'adoption de l'IA. La Commission a également mis en place la plateforme de l'alliance européenne pour l'IA, qui réunit des parties prenantes du monde universitaire, de l'industrie et de la société civile afin d'échanger connaissances et idées sur les politiques en matière d'IA.

En outre, le plan coordonné prévoit plusieurs mesures visant à exploiter les ressources que constituent les données, à promouvoir les capacités de calcul essentielles, à accroître les capacités de recherche, à soutenir un réseau européen d'installations de test et d'expérimentation, et à soutenir les PME par l'intermédiaire de pôles européens d'innovation numérique (PEIN).

Quelle est la dimension internationale de l'approche de l'UE?

Le règlement sur l'IA et le plan coordonné dans le domaine de l'IA s'inscrivent dans le cadre des efforts déployés par l'Union européenne pour être au premier rang mondial de la promotion à l'échelle internationale d'une IA digne de confiance. L'IA est un domaine qui a acquis une importance stratégique, au carrefour des enjeux géopolitiques, commerciaux et sécuritaires.

Vu l'utilité et le potentiel de l'IA, les pays du monde entier choisissent de l'utiliser comme moyen de manifester leur volonté d'avancement technologique. La réglementation de l'IA n'en est qu'à ses débuts, et l'UE prendra des mesures pour promouvoir la définition de normes mondiales en la matière, en étroite collaboration avec ses partenaires internationaux conformément au système multilatéral fondé sur des règles et aux valeurs qu'elle défend. L'UE entend renforcer les partenariats, coalitions et alliances avec ses partenaires (comme le Japon, les États-Unis l'Inde, le Canada, la Corée du Sud, Singapour, ou la région de l'Amérique latine et des Caraïbes) ainsi qu'avec les organisations multilatérales (par exemple, l'OCDE, le G7 et le G20) et régionales (par exemple, le Conseil de l'Europe).

*Communiqué mis à jour le 14.12.2023