AI Act : comment l’UE veut remettre l’intelligence artificielle à sa place
Censée entrer en vigueur en ce mois de juin, la loi sur l’IA de l’UE régira divers aspects du développement et de l’utilisation de l’intelligence artificielle, notamment par les entreprises, les administrations et les instituts de recherche. Mais qu’est-ce que cela signifie concrètement ?
L’intelligence artificielle (IA) va être soumise à des règles au sein de l’Union européenne. L’AI Act, récemment adopté par le Conseil et le Parlement, devrait effectivement entrer en vigueur en juin. Cette législation a pour objectif de maîtriser les dangers des systèmes IA.
Il faudra patienter deux ans pour la mise en œuvre de tous les aspects de la loi puisque les différents points sont soumis à des délais plus ou moins longs.
L’AI Act en bref
La loi se fonde sur une approche basée sur les risques. Cela signifie que plus le risque que l’utilisation d’un système IA nuise à des personnes est élevé, plus son utilisation sera rendue difficile. Il existe toutefois quelques exceptions (par exemple pour les autorités judiciaires), ce qui n’enchante ni les défenseurs de la vie privée, ni les groupes de défense des droits de l’homme.
Comment fonctionne l’approche fondée sur les risques ?
Il existe trois niveaux de risque (quatre en fait, les deux derniers étant rassemblés en un) :
Risque inacceptable
Les applications IA présentent un « risque inacceptable » au sens de l’article 5, paragraphe 1 lorsqu’elles :
- manipulent le comportement humain,
- attribuent une valeur à un comportement ou à une caractéristique d’une personne (crédit social/scoring social),
- exploitent les faiblesses ou la vulnérabilité d’une personne,
- reconnaissent en temps réel les systèmes publics et permettent ainsi l’identification biométrique d’une personne.
Certaines parties prenantes se disputent encore sur ce dernier point, et ce, pour deux raisons. Premièrement, deux exceptions ont été définies (la défense contre le terrorisme et la poursuite d’infractions graves). Deuxièmement, la définition du terme « en temps réel » n’est pas claire. Les détracteurs craignent que même des fractions de seconde ne puissent plus être définies comme « en temps réel » après un moment et donc que l’interdiction de l’identification biométrique soit contournée).
Haut risque
Les systèmes d’IA à haut risque présentent un risque important pour la santé, la sécurité ou les droits fondamentaux. Ce sont par exemple des systèmes utilisés dans la circulation routière, dans les hôpitaux, dans l’application des lois ou dans le secteur bancaire.
Source : Shutterstock
Des règles spéciales visent donc les systèmes dits « à haut risque ». Les fournisseurs sont responsables du respect de ces règles et cela fera l’objet de vérifications. Ils doivent ainsi créer un système de gestion des risques et de la qualité article 9. Ils devront entre autres expliquer l’impact de l’utilisation de leurs systèmes IA sur les utilisateurs et proposer une formation au préalable. C’est ce que l’on retrouve à l’article 8 (et ss.).
Risque faible ou minime
L’article 52 détermine ce qui constitue un degré de risque faible ou minime des systèmes IA. Il s’agit ici de systèmes qui interagissent avec l’homme ou qui génèrent du contenu,
comme les chatbots, l’IA des jeux vidéo, les filtres spam, les algorithmes de recherche et les deep fakes. Ces derniers doivent toutefois être identifiés comme tels. Si de tels systèmes interagissent avec des personnes, la personne doit en être informée. Exemple : si une boutique en ligne utilise ChatGPT pour des fonctions d’aide, la fenêtre du chat doit clairement indiquer que l’on échange avec une IA et non avec un humain.
Par ailleurs, si vous travaillez sur un système IA pour une entreprise, un questionnaire permet de savoir à quelle catégorie appartiendrait le système. S’affichent alors les obligations et le moment où il faudra s’y conformer après l’entrée en vigueur de l’AI Act.
Comment l’UE définit l’intelligence artificielle
La définition de l’IA par l’UE est assez large, elle n’englobe pas que les grands modèles de langage comme ChatGPT ou Gemini. Un document de 18 pages énumère par le menu détail tout ce qui est considéré comme une IA.
Je récapitule les critères ici pour vous épargner cette fastidieuse lecture. Un logiciel est considéré comme une intelligence artificielle lorsqu’il :
- emploie des approches d’apprentissage automatique/profond OU
- emploie des approches fondées sur la logique et les connaissances OU
- maîtrise des approches statistiques, l’estimation bayésienne, des méthodes de recherche et d’optimisation
afin de
- poursuivre des objectifs définis par l’homme OU
- prédire ou recommander des résultats ou des contenus OU
- influencer l’environnement
Qui doit respecter cette loi sur l’IA ?
En principe, tous ceux qui développent, fournissent ou utilisent un système IA, c’est-à-dire en premier lieu, les entreprises, les instituts de recherche et les administrations. À quelques exceptions près là encore : la loi sur l’IA ne s’applique pas tout à fait de la même façon aux systèmes utilisés exclusivement à des fins militaires. Ce qu’il faut retenir, c’est qu’elle concerne aussi les entreprises suisses et d’autres pays dès lors qu’un système IA est accessible et utilisable depuis l’UE.
Qui vérifie que la loi soit respectée ?
Tout d’abord, chaque État membre est responsable du respect de la loi sur l’IA. Tous sont obligés de créer des autorités de surveillance. Ensuite, le Bureau européen de l’IA agit à l’échelle de l’UE et coopère avec les autorités nationales pour coordonner des actions communes, par exemple.
Source : consilium.europa.eu
Ceux qui ne respectent pas la loi sur l’IA peuvent être sanctionnés. Et comme c’était déjà le cas avec la législation sur les marchés numériques et d’autres lois européennes, les sanctions ne sont pas à prendre à la légère. En cas de pratiques interdites, les amendes peuvent atteindre 35 millions d’euros ou jusqu’à 7 % du chiffre d’affaires annuel mondial de l’entreprise fautive. Pour Meta, dont le chiffre d’affaires annuel s’élève à 134,9 milliards de dollars des États-Unis, on arriverait donc à 9,4 milliards !
En cas d’infraction dans la catégorie haut risque, l’UE limite l’amende à 15 millions ou à 3 % des recettes annuelles. La communication d’informations mensongères pourra en outre coûter jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel.
Quelle est la prochaine étape ?
La loi sur l’IA devrait entrer en vigueur dans les prochains jours. Les différents délais de mise en œuvre courront pendant deux ans, après quoi elle sera entièrement applicable. Mais là aussi, ces délais varient :
- les systèmes d’IA présentant un risque inacceptable seront interdits dans un délai de six mois (donc d’ici la fin 2024), après quoi ils ne pourront plus être utilisés.
- Pour les systèmes d’IA en général, comme ChatGPT ou Google Gemini, les règles s’appliquent après 12 mois.
- Pour les systèmes d’IA considérés comme à haut risque et qui existent déjà aujourd’hui, cela prendra plus de temps. Dans leur cas, la loi sur l’IA n’entrera en vigueur qu’au bout de 36 mois, car l’adaptation est plus longue et plus délicate selon l’UE.
Les États membres de l’UE doivent avoir mis en place la surveillance susmentionnée et les structures adéquates dans les 12 mois suivant l’entrée en vigueur.
Chaque année, même après l’expiration des délais, la Commission européenne vérifiera s’il y a lieu de modifier la catégorisation ou la loi en général. Après tout, l’IA progresse à toute vitesse...
Photo d’en-tête : Shutterstock
Depuis que j'ai découvert comment activer les deux canaux téléphoniques de la carte RNIS pour obtenir une plus grande bande passante, je bricole des réseaux numériques. Depuis que je sais parler, je travaille sur des réseaux analogiques. Un Winterthourois d'adoption au cœur rouge et bleu.
