L’IA Act en 6 questions : comment mettre votre entreprise en conformité

Le fondateur de l’IA Académie, Dominique Monéra, décrypte la nouvelle réglementation européenne sur l’intelligence artificielle.

Maïté Hellio
Par Maïté Hellio Publié le
Le texte entrera progressivement en application à compter du 1er août 2024.
Le texte entrera progressivement en application à compter du 1er août 2024. © misu/stock adobe.com

L’Union européenne vient de se doter de la législation la plus rigoureuse au monde en matière de régulation de l’intelligence artificielle : l’IA Act. Publié au journal officiel de l’Union européenne le 12 juillet, le règlement entrera en vigueur progressivement à partir du 1er août 2024. Dominique Monéra, fondateur de l’IA Académie, spécialisée dans l’accompagnement des entreprises sur les sujets liés à l’IA, détaille les principaux enjeux de ce texte.

L’UE définit l’IA comme « tous les systèmes basés sur une machine, conçus pour fonctionner avec différents niveaux d’autonomie. A partir de données qu’on lui transmet, cette machine génère des prédictions ou des recommandations, prend des décisions, crée des contenus, qui peuvent influencer des environnements physiques ou virtuels », explique l’expert.

1.    Pourquoi l’Union européenne a-t-elle adopté une législation sur l’IA ?

Si l’Union européenne a souhaité encadrer les usages de l’intelligence artificielle, c’est pour couvrir tout un éventail de risques non pris en compte par la règlementation actuelle : « les biais des algorithmes, les questions de propriété intellectuelle, les problèmes de responsabilité, par exemple dans le secteur médical (diagnostic…) ou du transport (voitures autonomes) ».

La philosophie du texte est d’empêcher que l’IA puisse menacer :

  • les droits fondamentaux des personnes
  • la santé des personnes
  • la sécurité des personnes

2.    Quelle classification des systèmes d’IA est établie par l’IA Act ?

Les systèmes d’intelligence artificielle sont catégorisés en fonction des risques qu’ils font peser sur les trois éléments cités plus haut.

L’IA Act définit quatre niveaux de risque :

  • Inacceptable
  • Elevé ou à haut risque
  • Moyen ou à risque spécifique en matière de transparence
  • Minimal

L’usage de modèles d’IA entrant dans la catégorie des risques inacceptables sera tout bonnement interdit au sein de l’Union européenne. « A titre d’exemple, il peut s’agir d’applications utilisant des techniques subliminales pour influencer le vote d’une personne, de technologies pouvant exploiter les vulnérabilités des enfants, des personnes en situation de handicap ou de précarité financière. S’ajoutent à cela les algorithmes qui effectuent une évaluation sur la base du comportement social d’un individu (comme la notation sociale pratiquée en Chine), ceux qui permettent de déduire des émotions ou bien d’effectuer une identification biométrique à distance en temps réel, illustre Dominique Monéra. Certaines exceptions à cette interdiction existent toutefois pour les forces de l’ordre ou les militaires, mais ces usages sont également très strictement encadrés par l’IA Act. »

Les systèmes d’IA à risque élevé ou haut risque sont ceux dont le développement et l’usage seront soumis à des exigences renforcées. « Ce sont, entre autres, ceux utilisés dans les infrastructures de transport (avion, voitures autonomes), dans le cadre médical ou dans des processus décisionnels (recrutement, orientation scolaire…) »

« Les systèmes d’IA à risque spécifique en matière de transparence, par exemple les chatbots, ou à risques minimes, comme ceux présents dans les détecteurs de spam ou les jeux vidéo, seront, quant à eux, peu impactés par la nouvelle réglementation », poursuit le fondateur de l’IA Académie.

Le texte encadre aussi l’utilisation des modèles d’IA à usage général, qui englobent les modèles d’IA générative. Pour ce type de systèmes (difficiles à ranger dans l’une des quatre catégories de risque, en raison du grand nombre de tâches qu’ils sont en mesure d’accomplir), l’IA Act prévoit plusieurs niveaux d’obligation : des mesures de transparence sur les sources qui alimentent ces modèles et de documentation minimales aux actions d’évaluation et d’atténuation des risques systémiques de certains modèles (risques de cyberattaques, d’accidents majeurs, de discrimination…).

3.    Comment déterminer le niveau de risque de vos systèmes d’IA ?

La Commission européenne a mis en place un vérificateur de conformité à la loi européenne sur l’IA, accessible sur son site internet.

Après y avoir entré des informations telles que la nature de votre organisation, votre champ d’application de l’IA, le type d’IA utilisée (à usage général ou spécifique), l’outil déterminera la catégorie de risque associée aux systèmes que vous utilisez dans le cadre professionnel. Il vous indiquera notamment s’ils font partie de la liste des systèmes interdits dans l’UE ou s’il faut vous plier à des obligations particulières (en matière de transparence, d’information sur les capacités du systèmes d’IA ou d’accès technique, par exemple).

4.    Comment mettre votre entreprise en conformité avec l’IA Act ?

Dominique Monéra conseille aux entreprises de demander l’aide d’un juriste pour vérifier la mise en conformité avec la réglementation européenne : « Cet expert devra être en lien avec l’organisme notifiant local, le représentant national de l’Office AI, un bureau spécialement créé au sein de la Commission européenne pour contrôler la mise en conformité. En France, cet organisme notifiant sera probablement la Cnil (Commission nationale de l’informatique et des libertés. »

« En fonction du niveau de risque associé, l’entreprise devra mettre en place des formalités en termes de suivi, de supervision humaine de la machine, de publication des sources (notamment pour les images générées par l’IA)… Pour cela, le Chief Data Officer devra travailler main dans la main avec le Data Management Officer », poursuit-il.

L’entreprise devra enfin déclarer le ou les systèmes d’IA qu’elle utilise auprès de la Commission européenne, ce qui débouchera sur un marquage UE de ceux-ci.

5.    Quel calendrier respecter ?

  • Le 2 février 2025, les IA présentant des risques inacceptables seront interdites.
  • Le 2 août 2025, le règlement s’appliquera aux modèles d’IA à usage général (comme GPT4). A cette date les autorités au sein des Etats membres, relais de la Commission européenne, seront nommées.
  • Le 2 Août 2026, toutes les règles du règlement deviendront applicables, en particulier l’application des règles relatives IA à haut risque dans les domaines de la biométrie, des infrastructures critiques, de l’éducation, de l’emploi, de l’accès aux services publics essentiels, de l’application de la loi, de l’immigration et de l’administration de la justice. Toutefois, une partie des systèmes d’IA à haut risque comme les jouets, les équipements radio, les dispositifs médicaux de diagnostic in vitro, la sécurité de l’aviation civile et les véhicules agricoles, bénéficieront d’une année supplémentaire pour se mettre en conformité le 2 août 2027.

6.    Quelles sanctions prévues en cas de non-conformité ?

En cas de mise sur le marché ou d’utilisation d’un système d’IA qui ne respecte pas les exigences du règlement, vous vous exposez à une amende de 35 millions d’euros ou au versement de 7% de votre chiffre d’affaires (c’est le montant le plus élevé qui s’appliquera, sauf pour les PME).

D'autres articlesIA

.

Quelle est votre question signature en entretien ?

Participez au premier article collaboratif de Helloworkplace.

Racontez-nous !
Visuel promo
Accueil Articles Vie pro L’IA Act en 6 questions : comment mettre votre entreprise en conformité

Bien s’équiper pour bien recruter

Logo CVthèque Hellowork

CVthèque

Trouvez les meilleurs candidats sur la CVthèque Hellowork.
Logo Marque employeur

Marque employeur

Créez la différence avec votre marque employeur.
Logo Magnet

Site carrière

Obtenez une site carrière clé en main avec Magnet.
Logo Basile

Cooptation

Recrutez les meilleurs talents avec Basile.