AI Act : le Réglement sur l'IA

L'intelligence artificielle (IA) représente une avancée technologique majeure aux implications profondes dans tous les aspects de la société moderne. De plus, ce phénomène s'est accéléré avec l'arrivée des IA génératives telles que ChatGPT, Midjourney, Dall-E, Gemini (Bard), LLAMA.

De la santé à la finance en passant par l'industrie et les services publics, l'IA promet des avantages considérables.

Cependant, son déploiement soulève également des préoccupations éthiques, sociales et juridiques, conduisant ainsi les gouvernements à mettre en place des réglementations pour encadrer son utilisation.

L'Union européenne a approuvé une nouvelle législation sur l'intelligence artificielle (IA) en avril 2024 : le règlement sur l'IA, la première loi globale sur l'IA au monde.

Définition de l'intelligence artificielle

L'intelligence artificielle (IA) sert à automatiser des tâches, analyser des données, prendre des décisions, personnaliser les expériences utilisateur et créer des systèmes autonomes dans divers domaines tels que la santé, la finance, la fabrication et bien d'autres encore.

Le développement d'une intelligence artificielle implique la conception, l'entraînement et l'optimisation d'algorithmes et de modèles informatiques pour permettre à un système de simuler des processus cognitifs humains ou d'accomplir des tâches spécifiques de manière autonome.

Le système d'intelligence artificielle est développé en utilisant diverses techniques d'apprentissage, les principales sont les suivantes :

• Apprentissage supervisé : dans cette méthode, le modèle d'IA est entraîné sur un ensemble de données étiquetées, où chaque exemple de données est associé à une étiquette ou une sortie désirée.
• Apprentissage non supervisé : le modèle d'IA est exposé à des données non étiquetées et cherche à découvrir des structures ou des modèles intrinsèques à ces données.
• Apprentissage par renforcement : un agent qui interagit avec un environnement dynamique et reçoit des récompenses ou des pénalités en fonction des actions qu'il prend.

Les systèmes d’IA peuvent apprendre et s’adapter à partir des données, tandis que les outils classiques se limitent à exécuter des instructions prédéfinies.

L’intelligence artificielle ne se réduit pas à l’exécution de commandes : elle implique la capacité de raisonner et de s’adapter en fonction de l’expérience

C'est quoi l'AI Act ?

L'AI Act, ou RIA, est une réglementation conçue pour encadrer et promouvoir le développement ainsi que la mise sur le marché des systèmes d'intelligence artificielle au sein de l'Union européenne.

Lancé par la Commission européenne en avril 2021, l'AI Act est rentré en vigueur le 12 juillet 2024, après trois années de négociations.

Quel est l'objectif de l'AI Act ?

Le règlement sur l'IA a pour objectif d'établir des directives claires et précises à l'attention des développeurs et des utilisateurs d'IA.

Il introduit des mesures de soutien à l’innovation, en mettant particulièrement l’accent sur l’accompagnement des PME et des jeunes pousses.

Cette initiative a pour but de favoriser le développement d'une IA de confiance, garantissant les droits fondamentaux, la sécurité et les principes éthiques, tout en encourageant et en renforcent l’investissement et l’innovation de l’IA dans l’ensemble de l’UE.

Pourquoi la régulation de l'intelligence artificielle est-elle nécessaire ?

Le règlement sur l'IA vise à instaurer la confiance des citoyens européens dans les technologies de l'Intelligence artificielle. Bien que la plupart des systèmes d'IA présentent peu de risques et contribuent à résoudre divers défis sociétaux, certains d'entre eux posent des risques qu'il est important d'éviter.

Bien que les lois existantes comme le RGPD offrent une certaine protection, elles ne sont pas suffisantes pour souligner les risques que l'IA peut présenter. C'est pourquoi des règles ont été proposées pour :

• Cibler les risques spécifiques associés à l'IA
• Interdire les pratiques d'IA présentant des risques inacceptables
• Définir des critères clairs pour les systèmes d'IA utilisés dans ces applications
• Imposer des obligations spécifiques aux utilisateurs et fournisseurs de ces applications
• Exiger une évaluation de la conformité avant la mise en service ou la commercialisation d'un système d'IA
• Surveiller l'application des règles après la commercialisation d'un système d'IA
• Mettre en place une structure de gouvernance aux niveaux européen et national.

Cependant, il existe quelques exclusions notables du champ d'application du RIA (Article 2), tel que : les activités à des fins militaires, de défense ou de sécurité nationale; les systèmes d'IA développés et mis en service exclusivement à des fins de recherche et développement scientifiques, ou encore l'utilisation de systèmes d'IA par des personnes physiques pour des activités strictement personnelles et non professionnelles.

Les formes de risques

L'approche qu'adopte l'AI Act est fondée sur les risques. Le cadre réglementaire établit 4 catégories de risque pour les systèmes d'intelligence artificielle (SIA). Selon les étages de la pyramide, les exigences ne seront pas les mêmes.

Les risques inacceptables :

Les systèmes et modèles d'intelligence artificielle présentant un risque inacceptable sont proscrits et ne peuvent être mis sur le marché ni utilisés à l'exportation dans l'Union européenne. Il s'agit des systèmes d'IA considérés comme une menace claire pour la sécurité, les moyens de subsistance et les droits des personnes, de la notation sociale par les gouvernements aux jouets utilisant une assistance vocale qui encourage les comportements dangereux.

Exemples : scoring social, lidentification biométrique généralisée, deepfakes, manipulation de contenu, etc.)

Les risques élevés :

Les systèmes d'intelligence artificielle jugés à haut risque englobent les domaines suivants :

1. Les infrastructures critiques telles que les transports, pouvant mettre en péril la vie et la santé des citoyens.
2. L'éducation et la formation professionnelle, qui peuvent influencer l'accès à l'éducation et aux opportunités professionnelles tout au long de la vie d'une personne, par exemple à travers l'évaluation des examens.
3. Les composants de sécurité des produits, comme l'utilisation de l'IA dans la chirurgie assistée par robot.
4. L'emploi, la gestion des employés et l'accès au travail indépendant, par exemple avec l'utilisation de logiciels de tri de CV pour les processus de recrutement.
5. Les services publics et privés essentiels, par exemple l'utilisation de l'IA pour évaluer le crédit et refuser aux citoyens la possibilité d'obtenir un prêt.
6. Les services répressifs qui pourraient porter atteinte aux droits fondamentaux des individus, comme l'évaluation de la fiabilité des preuves.
7. La gestion de la migration, de l'asile et du contrôle aux frontières, par exemple à travers l'examen automatisé des demandes de visa.
8. L'administration de la justice et les processus démocratiques, tels que les solutions d'IA utilisées pour rechercher des décisions de justice.

Comment opèrent concrètement les fournisseurs de systèmes d'IA à haut risque ?

Les systèmes d'IA à haut risque doivent respecter des obligations strictes avant d'être autorisés sur le marché, comprenant :

• L'implémentation de méthodes d'évaluation et de réduction des risques adéquates.
• L'utilisation de ensembles de données de haute qualité pour minimiser les risques et éviter les résultats discriminatoires.
• La tenue d'un registre de logs pour garantir la traçabilité des résultats.
• La création d'une documentation détaillée fournissant toutes les informations nécessaires sur le système et son objectif, afin de permettre aux autorités d'évaluer sa conformité.
• La fourniture d'informations claires et appropriées pour les utilisateurs.
• La mise en place de mesures de surveillance humaine pour minimiser les risques.
• Le maintien d'un niveau élevé de robustesse, de sécurité et de précision.

Tous les systèmes d'identification biométrique à distance sont considérés comme présentant un haut risque et sont donc soumis à des exigences strictes. L'utilisation de tels systèmes dans des espaces publics à des fins répressives est fondamentalement interdite.

Des exceptions sont autorisées dans des circonstances spécifiques et réglementées de manière stricte, telles que la prévention d'une menace terroriste imminente.

Ces utilisations nécessitent une autorisation préalable d'un organisme judiciaire ou d'un autre organisme indépendant, ainsi que des limitations appropriées en termes de durée, de zone géographique et de bases de données consultées.

Les risques limités/modérés :

Un risque limité ou modéré fait référence aux dangers liés au manque de transparence dans l'utilisation de l'intelligence artificielle.

La législation sur l'IA introduit des obligations spécifiques en matière de transparence pour assurer que les individus sont informés lorsque cela est nécessaire, renforçant ainsi la confiance.

Exemple : lors de l'interaction avec des systèmes d'IA tels que les chatbots, les individus doivent être informés qu'ils communiquent avec une machine, afin qu'ils puissent prendre une décision éclairée sur la poursuite ou la rétractation de leur interaction.

Les fournisseurs devront donc garantir que le contenu produit par l'IA est identifiable. De plus, les textes générés par l'IA et publiés dans le but d'informer le public sur des questions d'intérêt général devront être clairement indiqués comme étant générés par l'intelligence artificielle.

Cette exigence s'applique également aux contenus audio et vidéo qui pourraient constituer des deepfakes.

Les risques minimes ou nul:

La législation sur l'intelligence artificielle, AI Act, autorise l'utilisation libre de l'IA présentant un risque minimal. La plupart des systèmes d'IA actuellement en utilisation dans l'UE entrent dans cette catégorie.

Exemple : Bot de jeux vidéos, filtres antispams etc.

Quels sont les sanctions en cas de non-respect de l'AI Act ?

Des pénalités significatives, similaires à celles prévues par le RGPD en cas de non-respect du Règlement, sont envisagées pour les infractions à l'AI Act.

Le non-respect du règlement entraîne des sanctions, y compris des amendes administratives. Les montants maximaux varient en fonction de la gravité de l'infraction et de la taille de l'entreprise.

En cas de non-conformité aux règles concernant les risques inacceptables, une amende pouvant atteindre 30 millions d'euros ou 7% du chiffre d'affaires pour les entreprises est prévue. Pour les autres violations de l'AI Act, l'amende peut s'élever à 20 millions d'euros ou 5% du chiffre d'affaires pour les entreprises.

Les personnes physiques ou morales peuvent introduire une réclamation auprès de l'autorité de surveillance du marché concernée (Article 85) et ont droit à une explication concernant les décisions prises par les systèmes d'IA (Article 86).

De plus, l'AI Act prévoit des amendes pour le défaut de coopération avec les autorités nationales de l'Union européenne, pouvant aller jusqu'à 10 millions d'euros ou 2% du chiffre d'affaires.

Calendrier d'application échelonnée du RIA

• 2 février 2025 : Application des dispositions générales et du chapitre concernant les pratiques interdites.
• 2 août 2025 : Application du chapitre concernant les autorités notifiantes et organismes notifiés), du chapitre concernant l'IA à usage général, du chapitre concernant la gouvernance, du chapitre relatif aux sanctions.
• 2 août 2026 : Applicabilité générale du règlement.
• 2 août 2027 : Application des obligations spécifiques liées aux systèmes d'IA à haut risque, composants de sécurité de produits (Article 6 §1).
• 2 août 2030 : Les fournisseurs et déployeurs de systèmes d'IA à haut risque destinés à être utilisés par des autorités publiques doivent se conformer aux exigences et obligations du règlement.

Répondre aux exigences de l'AI Act avec Dastra

Notre Logiciel Dastra, vous aidera très facilement à mettre en place la conformité à la réglementation de l'AI Act. Dastra inclut désormais un registre des systèmes d'IA complet avec analyse des risques intégrées, cartographie des actifs, données et modèles d'IA concernés.