Régulation de l’IA : l’Union européenne adopte son règlement

Au cours des dernières années, l'Intelligence Artificielle (IA) a pris une place considérable dans la société. Le lancement de ChatGPT en novembre 2022 marque un tournant. Face à cette innovation, un large consensus a émergé sur la nécessité de réglementer cette technologie afin de contrôler ses répercussions. Dans cette optique, le 13 mars 2024, les députés européens ont très largement voté le projet de règlement de régulation de l’intelligence artificielle ou AI Act. Un texte historique pour l’UE ! Analyse avec le cabinet d’Avocats Touati La Motte Rouge.

Régulation de l’IA par l’Union européenne : une approche centrée sur les risques

L’Union européenne n’a jamais nié les bénéfices sociaux et économiques de l’IA, notamment pour des secteurs clés comme l’agriculture, les transports ou encore la santé. Les députés ont toutefois souhaité fournir un cadre juridique de l’IA clair, basé essentiellement sur les risques que cette nouvelle technologie fait courir à la société et à l’humanité dans son ensemble. La question de l’atteinte potentielle aux droits fondamentaux était donc au cœur des débats. Elle a donné lieu à l’identification de 4 niveaux de risques et à la mise en place d’obligations adaptées pour chacun de ces niveaux.

Lorsque le risque est inacceptable

Le texte proclame une interdiction de l’IA. C’est le cas notamment lorsqu’il s’agit d’un système visant à :

• Exploiter la vulnérabilité des enfants ou des personnes en situation de handicap ;
• Mettre en place une notation sociale ;
• Identifier une personne à distance en temps réel via la biométrique (des exceptions sont prévues pour la recherche d’un enfant disparu, la localisation des suspects dans les affaires de terrorisme, de trafic d’êtres humains ou encore de pédopornographie).

Lorsque le risque est élevé

Si la sécurité et les droits des personnes sont en danger, l’AI Act impose un certain nombre d’obligations renforcées :

• Traçabilité de l’utilisation de la technologie ;
• Transparence vis-à-vis des utilisateurs ;
• Nécessité d’un contrôle humain.

L’objectif pour le fournisseur est d’“atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité”.

Par ailleurs, le système d’intelligence artificielle à risque élevé sera évalué par l’UE et inscrit dans un registre officiel au niveau de l’Union.

Ce niveau de risque concerne notamment l'identification biométrique, la gestion des infrastructures critiques ou encore l’accès à certains services jugés essentiels (crédits bancaires, services publics, prestations sociales, justice, etc.).

Lorsque le risque est faible

Les chatbots en ligne, par exemple, proposés sur le site internet des entreprises, sont identifiés comme à faible risque.

Certaines obligations en matière de transparence sont imposées au fournisseur. L’utilisateur doit donc savoir qu’il s’agit d’un robot et non pas d’un être humain.

Lorsque le risque est minimal

Il s’agit de tous les systèmes d’IA qui ne mettent pas en danger les droits des citoyens. Parmi eux, on retrouve les filtres anti-spams dans les emails, par exemple.

Pour les deux dernières catégories de risques, l’AI Act encourage les fournisseurs à développer des codes de conduite. Cette mesure reste toutefois facultative.

Bon à savoir : quid des modèles d’IA à usage général

ChatGPT en est l’exemple parfait. Les fournisseurs de ce type d’IA ont l’obligation de fournir une documentation technique et des instructions d’utilisation. Ils doivent, par ailleurs, se conformer à la directive sur les droits d’auteur. Un résumé des contenus utilisés pour entraîner leurs algorithmes devra également être dévoilé.

À qui s’applique l’AI Act ?

Le champ d’application du Règlement est large. Il concerne bien évidemment les utilisateurs et les fournisseurs de systèmes d’intelligence artificielle créés au sein de l’UE.

Mais les opérateurs des pays tiers n’échappent pas à cette nouvelle législation. Tous ceux intervenant sur le marché de l’Union européenne sont donc concernés par les mesures prises par le Parlement européen.

En revanche, l’intelligence artificielle utilisée “exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités” n’est pas soumise à l’AI Act.

Bon à savoir : quelles sont les sanctions prévues par l’AI Act ?

La non-conformité aux dispositions de l’AI Act peut coûter cher. Le texte prévoit, en effet, une amende jusqu’à 30 millions d’euros ou 7 % du chiffre d’affaires annuel consolidé de l’entreprise concernée.

Régulation de l’IA par l’Union européenne : quelles sont les prochaines étapes ?

Si le texte a été adopté par le Parlement, son entrée en vigueur n’est prévue que pour 2026. Son contenu doit encore être vérifié par les juristes-linguistes, avant d’être publié au Journal officiel de l’Union européenne. Par ailleurs, certaines mesures entreront en application au fur à mesure.

Les entreprises ont donc le temps de se mettre en conformité. Elles doivent toutefois anticiper, dès à présent, les obligations prévues par le AI Act, en sollicitant l'accompagnement d’avocats en intelligence artificielle.

Par ailleurs, plusieurs acteurs de la Tech ont soulevé le déséquilibre engendré par le texte et le risque pour l’innovation. Pour de nombreux lobbies, le Règlement pourrait ralentir les investissements en matière d’IA et renforcer le retard de l’Union européenne sur la Chine et les États-Unis en la matière. D’autres pointent du doigt les coûts élevés de mise en conformité, notamment pour les fournisseurs de systèmes d’intelligence artificielle considérés comme à haut risque.

Plusieurs États, dont la France, ont d’ores et déjà déclaré qu’ils resteraient vigilants sur ces deux points lors de la mise en œuvre du Règlement.

Pour en savoir plus sur les implications de l’AI Act et l’impact sur votre entreprise, contactez le cabinet d’Avocats Touati La Motte Rouge.