Comprendre l'AI Act. Un guide pour les acteurs wallons

L'AI Act est une législation européenne qui vise à réguler l'utilisation et le développement des systèmes d'intelligence artificielle (IA) au sein de l'Union européenne. Quels sont les changements attendus pour les entreprises et organisations publiques wallonnes ? Quelles sont les démarches à réaliser et dans quels délais ? Cet article fournit une série d'informations et de ressources utiles.

Le 1er août 2024, l'AI Act entrait en vigueur en Europe. Son objectif est de réguler l'utilisation de l'intelligence artificielle (IA) en garantissant un équilibre entre innovation technologique et protection des droits fondamentaux des citoyens.

Ce cadre juridique s’applique aux acteurs publics et privés à l’intérieur et à l’extérieur de l’UE tant que le système d’IA est mis sur le marché au sein de l'Union européenne (UE) ou que son utilisation a un impact sur les personnes situées dans l’UE.

Dans les textes, la Commission européenne mentionne 3 acteurs majeurs concernés par les systèmes IA, et donc sujets à des obligations qui leur sont propres :

• Fournisseurs : Toutes personnes ou organismes qui développent ou font développer un système d'IA qu'ils commercialisent ou mettent en service sous leur propre marque ou nom dans l'UE.
• Déployeurs : Ils déploient des solutions d'IA auprès d'autres organisations. Les déployeurs sont généralement des sous-traitants, des offreurs de services en IA.
• Utilisateurs : Ils regroupent les organisations qui intègrent directement des systèmes d'IA dans leurs processus internes.

L'Union Européenne classe les systèmes d'IA selon un principe d'évaluation des risques, basé sur l'impact potentiel du système sur les droits fondamentaux, la sécurité et le bien-être des individus. Il existe 4 niveaux de risque liés aux systèmes IA :

• Risque inacceptable (interdit)
  Un système d’IA est considéré comme à risque inacceptable s’il présente un danger grave pour les droits fondamentaux ou la sécurité. Par exemple, les systèmes de notation sociale, de manipulation cognitive ou de surveillance dans les espaces publics.
  Ces systèmes sont tout simplement interdits conformément au chapitre 2, article 5.
  
• Risque élevé (strictement réglementé)
  Un système d’IA peut être considéré comme à haut risque dans deux situations : si le système est utilisé dans des domaines sensibles comme l’éducation, le recrutement, la sécurité publique ou l’immigration, répertoriés dans une liste spécifique (annexe III), ou s'il est utilisé comme composant de sécurité d'un produit ou comme produits eux-mêmes couverts par la législation européenne (annexe I). Par exemple, algorithme d'aide au diagnostic médical, systèmes gérant des infrastructures critiques telles que le réseau de transport, outils de profilage, système de pilotage de robots ou de drones, etc.
  Ces systèmes sont hautement réglementés conformément au chapitre 3, section 3. Ils nécessitent une documentation détaillée fournie par les fournisseurs, une analyse des risques, des tests de sécurité, la validation de l'utilisateur dans la décision finale et la surveillance post-commercialisation.
  
• Risque limité (transparence requise)
  Un système d’IA est classé comme à risque limité lorsqu’il peut être utilisé en toute sécurité avec des obligations minimales de transparence. Par exemple, les chatbots conversationnels, recommandation de contenu ou d'articles.
  Ces systèmes sont soumis à des contraintes de transparence conformément au chapitre 4, article 50. C'est-à-dire que l'utilisateur doit être tenu informé que le contenu est généré par une IA afin de pouvoir prendre du recul sur la réponse et le fournisseur doit veiller à ce que les sources soient identifiables.
  
• Risque minimal (pas de régulation spécifique)
  Ces systèmes ne présentent aucun risque et ne sont pas réglementés. Par exemple, les assistants vocaux, outils de productivité ou de planification.

Au-delà de ces 4 niveaux de risque, la Commission européenne applique des obligations supplémentaires aux fournisseurs des "modèles à usage général" (GPAI). Ces modèles se caractérisent par une grande capacité de calcul et de très nombreux paramètres, générant ainsi une nouvelle forme de risque, les risques systémiques. Un modèle rentre dans cette catégorie s'il compte plus de 10(^25) opérations à virgule flottante. Dans ce cas, les fournisseurs doivent en informer la Commission européenne, évaluer et atténuer les risques systémiques, effectuer des évaluations de modèles, signaler les incidents graves et garantir une cybersécurité adéquate de leurs modèles.

Dans la pratique, pour identifier la catégorie de risque dans laquelle se situe un système IA, une organisation doit impérativement consulter les articles de référence. Pour une analyse approfondie, il est recommandé de consulter un organisme d’évaluation de la conformité ou un expert juridique.

• Février 2025 : interdiction des systèmes inacceptables (chapitre 1 article 1 à 4, et chapitre 2 article 5).
• Mai 2025 : publication des codes de pratique afin que les fournisseurs de modèles IA à usage général (GPAI) puissent démontrer leur conformité (récital 179).
• Août 2025 : Application des règlementations liées aux modèles d'IA à usage général (GPAI) mis sur le marché / mis en service après mai 2025 (article 111).
• Août 2026 : Application des règlementations dans leur quasi totalité pour les usages à haut risque listés dans l'annexe 3.
• Août 2027 : Application des règlementations liées aux modèles GPAI mis sur le marché / mis en service avant mai 2025. Mais également la mise en application des règlementations sur les usages à haut risques relatifs aux produits.

L'article 113 spécifie les dates des entrées en vigueur et applications.

• Pour les systèmes interdits, jusqu'à 35 millions d'euros d'amende ou 7% du chiffre d'affaires annuel
• Pour les exigences des GPAI : jusqu'à 15 millions d'euros d'amende ou 3% du chiffre d'affaires annuel
• Pour des informations incorrectes, incomplètes ou manquantes de la part d'un fournisseur : jusqu'à 7,5 millions d'euros d'amende ou 1,5% du chiffre d'affaires annuel

Les sanctions sont décrites plus en détails dans le chapitre 12.

Le Namur Digital Institute (NADI) et le Research Centre in Information, Law and Society (CRIDS) ont créé une série de vidéos intitulée "11 nuances de l'AI Act". Ces vidéos détaillent les principaux aspects du règlement de manière claire et accessible.

Présentation de la loi sur l'IA - notions de base et essentielles

Classification des systèmes d’IA

Modèles d’IA à usage général

Retrouvez toutes les vidéos via ce lien.

Le cabinet Lexing a développé une brochure pour mieux appréhender les enjeux juridiques liés à l'intelligence artificielle et ainsi préparer votre projet à s’intégrer au mieux dans un environnement légal complexe et en constante mutation.

Elle constitue une ressource précieuse pour les entreprises souhaitant naviguer dans ce paysage réglementaire complexe et tirer parti des avantages concurrentiels offerts par l'IA.

Informations et téléchargement de la brochure.