IA Act. Présentation et contexte

IA Act. Contexte & réglementation

L’AI Act est le règlement européen 🇪🇺 qui encadre le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle. C’est la première loi au monde qui tente de réguler l’IA de façon globale. Son ambition est double : protéger les droits fondamentaux, la sécurité des personnes et le fonctionnement démocratique, tout en favorisant l’innovation et la confiance dans les technologies d’IA. L’Union européenne ne cherche pas à freiner l’IA, mais à éviter ses usages dangereux. Pour cela, elle adopte une approche fondée sur le niveau de risque. Plus un système peut avoir un impact important sur la vie des gens, plus les règles sont strictes. Le règlement s’applique non seulement aux entreprises européennes, mais aussi aux acteurs situés hors de l’UE dès lors que leurs systèmes d’IA sont utilisés sur le territoire européen, ce qui lui donne une portée extraterritoriale comparable à celle du RGPD.

Le cœur du texte repose sur une classification des systèmes d’IA en quatre niveaux de risque. Le premier niveau correspond aux risques dits « inacceptables ». Certains usages sont considérés comme incompatibles avec les valeurs européennes et sont donc interdits. Cela inclut notamment la notation sociale des individus par les autorités publiques, les systèmes qui exploitent les vulnérabilités de certaines personnes (comme les enfants ou les personnes en situation de handicap) pour manipuler leur comportement, ou encore les techniques de manipulation subliminale causant un préjudice. L’identification biométrique à distance en temps réel dans l’espace public, comme la reconnaissance faciale de masse, est en principe interdite, avec des exceptions très encadrées pour les forces de l’ordre. L’idée est claire : certaines lignes rouges éthiques ne doivent pas être franchies.

Le deuxième niveau concerne les systèmes à « haut risque », qui constituent la partie la plus importante du règlement. Ces systèmes ne sont pas interdits, mais ils sont fortement encadrés car ils peuvent affecter de manière significative la sécurité ou les droits des personnes. On retrouve ici des domaines comme le recrutement (tri de CV ou évaluation automatisée des candidats), l’éducation (systèmes influençant l’orientation ou la notation), l’accès à des services essentiels comme le crédit ou les aides sociales, la santé, les infrastructures critiques comme l’énergie ou les transports, ainsi que certains usages dans la justice, le maintien de l’ordre ou la gestion des frontières. Les fournisseurs de ces systèmes doivent mettre en place un véritable système de gestion des risques tout au long du cycle de vie du produit. Ils doivent garantir la qualité des données utilisées pour entraîner les modèles, afin de limiter les biais, constituer une documentation technique détaillée, assurer la traçabilité grâce à des enregistrements permettant des audits, et offrir un niveau de transparence suffisant. L’IA ne doit pas fonctionner sans supervision humaine, et le système doit être robuste, précis et protégé contre les cyberattaques. Avant leur mise sur le marché, certains de ces systèmes doivent passer par une évaluation de conformité, comparable au marquage CE pour d’autres produits réglementés.

Le troisième niveau correspond aux risques limités. Ici, le danger est moins important, mais la transparence est essentielle. Les utilisateurs doivent savoir qu’ils interagissent avec une machine. Cela vise par exemple les chatbots ou les systèmes générant des images, des vidéos ou des voix artificielles, comme les deepfakes. Les obligations portent surtout sur l’information des personnes afin d’éviter la tromperie. Le quatrième niveau, celui du risque minimal, couvre la grande majorité des systèmes d’IA, comme les filtres anti-spam ou les recommandations de films. Ces usages ne sont soumis à aucune contrainte lourde, même si l’UE encourage l’adoption de codes de conduite volontaires.

L’AI Act traite aussi des modèles d’IA à usage général, comme les grands modèles de langage capables d’être intégrés dans de nombreuses applications. Leurs fournisseurs doivent fournir de la documentation technique, résumer les données d’entraînement en tenant compte notamment du respect du droit d’auteur, et mettre en place des politiques de gestion des risques. Pour les modèles les plus puissants, considérés comme présentant un « risque systémique » en raison de leur impact potentiel à grande échelle, les obligations sont renforcées : tests approfondis, évaluation des risques globaux, mesures de cybersécurité accrues et signalement des incidents graves.

Le règlement prévoit également un système de gouvernance. Chaque État membre doit désigner des autorités nationales chargées de la surveillance, tandis qu’un AI Office européen assure la coordination au niveau de l’Union. Certains systèmes à haut risque doivent être enregistrés dans une base de données européenne, et les entreprises doivent coopérer avec les autorités en cas de contrôle ou d’enquête.

Les sanctions prévues sont importantes et rappellent celles du RGPD. Les violations les plus graves, notamment l’utilisation de pratiques interdites, peuvent entraîner des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial annuel. D’autres manquements entraînent aussi des sanctions élevées, ce qui montre la volonté de l’UE d’assurer une application effective du texte.

Au-delà de l’Europe, l’AI Act pourrait avoir un impact mondial. Comme pour le RGPD, beaucoup d’entreprises internationales pourraient appliquer ces règles de manière globale plutôt que de gérer des standards différents selon les régions. On parle parfois d’« effet Bruxelles », par lequel la régulation européenne devient un standard international de fait. L’objectif est de trouver un équilibre : éviter un développement incontrôlé de l’IA, sans pour autant bloquer l’innovation, afin de promouvoir une intelligence artificielle digne de confiance et centrée sur l’humain.

En résumé

l’AI Act classe les systèmes d’IA selon leur niveau de risque, interdit certains usages jugés inacceptables, impose des obligations strictes aux systèmes à haut risque, prévoit des règles spécifiques pour les modèles d’IA généraux et génératifs, met en place une structure de surveillance européenne et des sanctions lourdes, et cherche à façonner un cadre dans lequel l’IA reste innovante tout en respectant les droits et la sécurité des personnes. C’est en quelque sorte le pendant du RGPD pour l’intelligence artificielle.