IA Act : ce qui change pour les entreprises dès février 2025

C’est une première mondiale : une loi encadrant rigoureusement l’utilisation de l’intelligence artificielle s’applique dans l’Union européenne depuis le 2 février 2025. Adopté en mai 2024, l’IA Act vise à protéger les droits fondamentaux, la santé et la sécurité des personnes en prohibant ou réglementant les usages les plus risqués de cette technologie. Quelles sont les premières obligations pour les entreprises et les prochaines échéances à avoir en tête ?

Les modèles d’IA à risque inacceptable interdits

Pour rappel, l’IA Act définit un système d’IA comme « un système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie, qui peut s’adapter après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels ».

Le règlement européen classe les cas d’utilisation de l’intelligence artificielle en quatre catégories : à risque minimal, à risque spécifique en matière de transparence, à haut risque et à risque inacceptable.

La première étape du calendrier, qui est donc entrée en vigueur le 2 février, concerne l’interdiction pure et simple de tous les systèmes d’IA entrant dans la catégorie « risque inacceptable », à savoir :

• ceux qui déploient des techniques subliminales, manipulatrices ou trompeuses pour fausser le comportement et entraver la prise de décision éclairée ;
• ceux qui exploitent des vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique pour fausser le comportement et causer des dommages importants ;
• les systèmes de catégorisation biométrique déduisant des attributs sensibles (race, opinions politiques, appartenance syndicale, croyances religieuses ou philosophiques, vie sexuelle ou orientation sexuelle) ;
• la notation sociale, c’est-à-dire l’évaluation ou la classification d’individus ou de groupes sur la base de leur comportement social ou de leurs traits personnels ;
• l’évaluation du risque qu’une personne commette des infractions pénales sur la seule base d’un profilage ou de traits de personnalité ;
• la constitution de bases de données de reconnaissance faciale ;
• la déduction des émotions sur le lieu de travail ou dans les établissements d’enseignement ;
• les systèmes d’identification biométrique à distance (RBI) « en temps réel » dans les espaces accessibles au public pour les forces de l’ordre.

Les entreprises utilisant l’IA à ces fins sont tenues de désactiver ces technologies depuis le 2 février 2025, sauf cas d’usages très spécifiques autorisés par le règlement (par exemple pour des raisons de sécurité ou de santé). Pour savoir à quelle catégorie appartiennent les systèmes d’IA utilisés au sein de votre entreprise, rendez-vous sur le vérificateur de conformité mis en place par la Commission européenne.

Les entreprises doivent formaliser leurs usages de l’IA

Depuis le 2 février, les fournisseurs et les utilisateurs de systèmes d’IA doivent aussi prendre « des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d’IA à leur personnel et aux autres personnes chargées du fonctionnement et de l’utilisation des systèmes d’IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, du contexte dans lequel les systèmes d’IA doivent être utilisés et des personnes ou groupes de personnes sur lesquels les systèmes d’IA doivent être utilisés ».

La loi laisse la main aux entreprises pour structurer leur politique d’utilisation de l’IA en interne. Ce chantier peut prendre la forme de formations, d’une charte d’utilisation de l’IA, de documentation écrite sur les process, de mise à disposition d’informations, de consultation d’experts juridiques…

Et ensuite ?

Les prochaines étapes de l’IA Act concernent l’usage des systèmes d’IA à usage général et des systèmes d’IA à haut risque :

• Le 2 août 2025, le règlement s’appliquera aux modèles d’IA à usage général (comme GPT4). A la même date, les autorités nationales compétentes seront nommées au sein de chaque Etat-membre. Elles serviront de point de contact à la Commission européenne pour tous les sujets liés à l’IA Act.
• Le 2 août 2026, quasiment toutes les règles du règlement deviendront applicables, en particulier celles relatives à l’IA à haut risque dans les domaines de la biométrie, des infrastructures critiques, de l’éducation, de l’emploi, de l’accès aux services publics essentiels, de l’application de la loi, de l’immigration et de l’administration de la justice. Entrent notamment dans cette catégorie les systèmes d’IA destinés à être utilisés pour le recrutement ou la sélection de personnes physiques (par exemple pour publier des offres d’emploi ciblées, pour analyser et filtrer les candidatures et pour évaluer les candidats) et les systèmes d’IA destinés à être utilisés pour prendre des décisions concernant les conditions des relations de travail, la promotion ou la résiliation des relations contractuelles liées au travail, pour attribuer des tâches sur la base du comportement individuel ou de traits ou caractéristiques personnels, ou pour surveiller et évaluer les performances et le comportement des personnes dans le cadre de ces relations.
• Le 2 août 2027, le reste des règles concernant les IA à haut risque comme les jouets, les équipements radio, les dispositifs médicaux de diagnostic in vitro, la sécurité de l’aviation civile et les véhicules agricoles entreront dans le champ d’application de la loi.

Retrouvez l’enquête de Hellowork recruteur sur Comment les recruteurs utilisent-ils l’IA générative ?