IA ACT: les informations essentielles
- christophemichoud
- 1 oct.
- 6 min de lecture
Dernière mise à jour : 14 nov.
Qu'est-ce que l'IA ACT ?
L'IA Act (UE 2024/1689) est le tout premier règlement européen sur l'intelligence artificielle. Son objectif est de créer un cadre juridique clair pour encadrer le développement et l'utilisation de l'IA dans l'Union Européenne, en se basant sur une approche par les risques.
Les points clés :
Approche par les risques : Le règlement ne régule pas la technologie en général, mais ses usages, en les classant selon quatre niveaux de risque (inacceptable, élevé, limité, minimal).
Objectifs : Garantir que les systèmes d'IA soient sûrs, transparents et respectent les droits fondamentaux des citoyens, tout en favorisant l'innovation et la compétitivité de l'Europe.
Interdictions : Il interdit strictement certaines pratiques jugées trop dangereuses, comme la "notation sociale" ou l'utilisation d'IA subliminales.
Obligations strictes : Il impose des obligations lourdes pour les systèmes d'IA à haut risque (ex : dans la santé, la justice, le recrutement), incluant documentation technique, supervision humaine et transparence.
Transparence : Pour les systèmes à risque limité (ex : chatbots, "deepfakes"), la principale obligation est d'informer clairement l'utilisateur qu'il interagit avec une IA.
Qui est concerné par l'IA ACT?
L'IA Act concerne toute entité, où qu'elle soit dans le monde, qui développe, met sur le marché, ou utilise un système d'intelligence artificielle dans l'Union européenne.
Pour être plus précis, les principaux acteurs concernés sont :
Les fournisseurs de systèmes d'IA : Les entreprises ou développeurs qui créent des systèmes d'IA, y compris les modèles d'IA à usage général (comme les modèles de langage).
Les déployeurs de systèmes d'IA : Les organisations (publiques ou privées) qui utilisent des systèmes d'IA dans leurs activités (ex : une entreprise utilisant une IA pour le recrutement ou un hôpital utilisant une IA pour le diagnostic).
Les importateurs et les distributeurs de systèmes d'IA : Ceux qui commercialisent des IA fabriquées hors de l'UE sur le marché européen.
Toute entité si les résultats de son système d'IA sont utilisés par des personnes situées dans l'UE.
Le niveau de conformité dépend du niveau de risque du système d'IA, allant de l'interdiction pour les risques inacceptables à des obligations de transparence pour les risques limités.
Quelle différence entre IA ACT et le RGPD?
L'IA Act et le RGPD sont deux règlements européens distincts qui, loin de s'opposer, sont complémentaires. La principale différence réside dans leur objet de régulation :
Le RGPD (Règlement Général sur la Protection des Données) vise à protéger les données personnelles.
L'IA Act vise à réguler les systèmes d'intelligence artificielle en fonction des risques qu'ils présentent.
Tableau comparatif des objectifs et du champ d'application
Critère | RGPD (Règlement Général sur la Protection des Données) | IA Act (Règlement sur l'Intelligence Artificielle) |
Objectif | Protéger la vie privée et les données personnelles des individus. Il garantit les droits des personnes (accès, rectification, effacement, etc.). | Garantir que les systèmes d'IA sont sûrs, transparents, éthiques et non discriminatoires. Il vise à prévenir les risques sociétaux liés à l'IA. |
Champ d'application | S'applique à tout traitement de données personnelles, quel que soit l'outil ou la technologie utilisé. | S'applique aux systèmes d'IA mis sur le marché, mis en service ou utilisés dans l'Union européenne, que ces systèmes traitent ou non des données personnelles. |
Approche | Approche fondée sur les droits des personnes et les principes de protection des données (licéité, minimisation, finalité, etc.). | Approche fondée sur les risques de l'IA, avec des obligations plus strictes pour les systèmes à haut risque. |
Sanctions | Amendes pouvant aller jusqu'à 20 millions d'euros ou 4 % du chiffre d'affaires mondial (pour les infractions les plus graves). | Amendes pouvant aller jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial (pour les interdictions). |
Comment les deux règlements se complètent-ils ?
Un système d'IA n'échappe pas au RGPD sous prétexte qu'il est soumis à l'IA Act. S'il traite des données personnelles, il doit se conformer aux deux règlements.
L'IA Act impose des exigences techniques et de gouvernance pour les systèmes à haut risque, comme la mise en place d'un système de gestion des risques ou la qualité des données d'entraînement. Ces exigences contribuent directement à respecter les principes du RGPD, notamment le "Privacy by Design" (protection de la vie privée dès la conception).
Le RGPD, de son côté, fournit le cadre juridique pour le traitement des données par le système d'IA. Il impose de définir une base légale, de respecter le droit des personnes et de réaliser une analyse d'impact sur la protection des données (AIPD).
En somme, l'IA Act est le "RGPD de l'IA" car il établit des règles spécifiques à cette technologie, mais il ne remplace pas le RGPD, il le complète pour bâtir un cadre juridique cohérent et protecteur.
Quelles sont les obligations clés de l'IA Act ?
L'IA Act établit une distinction claire entre les obligations qui incombent au fournisseur (celui qui met le système sur le marché) et au déployeur (celui qui l'utilise).
Voici un tableau synthétique pour bien les différencier :
Rôle | Fournisseur de SIA (Provider) | Déployeur de SIA (Deployer) |
Définition | Toute personne qui développe, fabrique ou met sur le marché un système d'IA. | Toute personne, physique ou morale, qui utilise un système d'IA sous sa propre autorité et responsabilité. |
Phase concernée | Conception, développement, et mise sur le marché du système. | Utilisation et supervision du système une fois qu'il est en place. |
Obligations clés (pour un système à haut risque) | - Mettre en place un système de gestion des risques tout au long du cycle de vie. - Rédiger et conserver la documentation technique. - Mettre en place un système de gestion de la qualité. - Garantir la robustesse, la précision et la cybersécurité du système. - Assurer une surveillance humaine adéquate. - Effectuer une évaluation de conformité et apposer le marquage CE. - Enregistrer le système dans la base de données de l'UE. | - S'assurer que le système est utilisé conformément aux instructions d'utilisation. - Mettre en place une surveillance humaine appropriée pour les résultats de l'IA. - Conserver des journaux d'activité du système. - Surveiller le système pendant son utilisation et signaler les incidents graves aux autorités. - Si le déployeur apporte des modifications substantielles, il peut devenir fournisseur et assumer toutes les obligations correspondantes. |
Analogie | Le constructeur automobile qui est responsable de la conception et des caractéristiques de sécurité du véhicule. | Le conducteur du véhicule qui est responsable de son utilisation en respectant le Code de la route. |
Quelles sont les sanctions liés à l'IA Act ?
L'IA Act prévoit un régime de sanctions strict et dissuasif en cas de non-respect de ses dispositions. Les sanctions ne se limitent pas à de simples amendes, mais incluent également d'autres mesures pour les entreprises.
Le montant des amendes est gradué en fonction de la gravité de l'infraction et du type de manquement :
Pour l'utilisation de systèmes d'IA interdits : Il s'agit du niveau le plus élevé de sanction. L'amende peut atteindre jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial de l'entreprise, le montant le plus élevé étant retenu. Ces sanctions visent les systèmes d'IA qui présentent un risque inacceptable, comme ceux qui manipulent les personnes, exploitent leurs vulnérabilités ou qui sont utilisés pour la notation sociale.
Pour les violations des obligations relatives aux systèmes d'IA à haut risque : En cas de non-conformité aux exigences pour les systèmes à haut risque (par exemple, défaut de gestion des risques, manque de documentation ou de surveillance humaine), l'amende peut s'élever jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu.
Pour la fourniture d'informations incorrectes : La fourniture d'informations inexactes, incomplètes ou trompeuses aux autorités compétentes est également sanctionnée. L'amende peut atteindre jusqu'à 7,5 millions d'euros ou 1,5 % du chiffre d'affaires annuel mondial.
Il est à noter que pour les PME et les startups, les plafonds d'amendes sont réduits afin de tenir compte du principe de proportionnalité.
Outre les sanctions financières, la non-conformité à l'IA Act peut avoir d'autres conséquences importantes pour les entreprises :
Sanctions non pécuniaires : Les autorités de contrôle peuvent ordonner le retrait du marché ou le rappel des systèmes d'IA non conformes.
Atteinte à la réputation : Une sanction publique peut entraîner une perte de confiance des clients et nuire à l'image de marque.
Risques juridiques : Les particuliers qui s'estiment lésés par une décision d'un système d'IA peuvent engager des poursuites judiciaires contre l'entreprise.
Quand entrera en vigueur l'IA Act ?
L'IA Act, le règlement européen sur l'intelligence artificielle, est entré en vigueur le 1er août 2024.
Cependant, son application se fera de manière progressive, selon un calendrier échelonné :
2 février 2025 : Les interdictions relatives aux systèmes d'IA présentant des risques inacceptables sont applicables.
2 août 2025 : Les fournisseurs de modèles d'IA à usage général (GPAI) doivent se conformer aux exigences.
2 août 2026 : Toutes les autres dispositions du règlement sur l'IA deviennent applicables, en particulier les règles relatives aux systèmes d'IA à haut risque.
2 août 2027 : Les règles pour les systèmes d'IA à haut risque intégrés dans certains produits réglementés (comme les jouets ou les dispositifs médicaux) entrent en vigueur.
31 décembre 2030 : Les systèmes d'IA à haut risque utilisés dans les systèmes d'information à grande échelle dans les domaines de la liberté, de la sécurité et de la justice doivent être conformes.
