Introduction Présentation générale et champ d’application

L’intelligence artificielle fait maintenant partie de nos vies professionnelles et privées.

Bien que très utile, l’IA présente de nombreux risques qui ont obligé les Etats membres de l’Union Européenne à l’encadrer juridiquement.

→          Un exemple récent publié dans Les Echos de décembre 2024 : Les escrocs ont reproduit une véritable réunion en visioconférence en imitant la voix ainsi que la présence des participants afin de demander au directeur financier du groupe d’effectuer des règlements à hauteur de 25 millions de dollars. Il s’agissait d’une fausse réunion créée de toute pièce par l’IA.

Ce Règlement appelé aussi AI ACT du 13 juin 2024 représente le premier texte au monde créant un cadre contraignant pour l’IA.

L’AI ACT s’adresse d’abord aux fournisseurs et développeurs d’IA c’est-à-dire aux entreprises qui créent et mettent sur le marché des produits et des services qui utilisent l’IA.

L’article 3-1 de l’AI ACT définit le système de l’intelligence artificielle comme « un système de prédiction ou recommandation pouvant influencer des environnements physiques ou virtuels ».

Ce Règlement est entré en vigueur depuis le 1^er août 2024 pour certains cas et couvrira l’ensemble des systèmes en fonction de leur niveau de risque en août 2026.

Le champ d’application territorial des SIA (Services d’Intelligence Artificielle) est bien sûr le territoire de l’Union Européenne pour les fournisseurs établis dans l’Union ou dans un pays tiers dès lors qu’ils permettent l’utilisation de la SIA dans le territoire de l’UE.

En ce qui concerne le champ d’application matérielle, le Règlement se base sur l’usage qui est fait des systèmes et non sur les technologies utilisées par son utilisateur.

Sont exclus du champ d’application du Règlement les SIA développés exclusivement à des fins militaires ou dans le cadre d’accords internationaux avec respect des droits fondamentaux et des libertés individuelles.

Il ne concerne pas non plus les compétences des Etats membres dans les domaines de la sécurité intérieure (article 2-3).

Il ne s’applique pas non plus sous réserve de certains systèmes spécifiques aux services de recherches et développements scientifiques ni à leurs résultats.

Les niveaux de risques et les échéances.

Le Règlement Européen définit quatre niveaux de risques pour les SIA : inacceptable, élevé, limité ou minime, auxquels correspond une échelle des obligations allant de l’interdiction de certaines pratiques à de simples obligations de transparence.

1°) Les systèmes présentant des risques inacceptables, notamment une menace pour la sécurité, ou bien une potentielle atteinte aux droits des personnes (article 5 de l’AI ACT).

Ils seront soumis à un contrôle dans les six mois de l’entrée en vigueur du texte.

Ils devront être supprimés ou mis en conformité avant le 1^er février 2025.

2°) Les systèmes à haut risque (article 6) tels que ceux destinés à être utilisés comme composant de sécurité d’un produit ou dont le composant est soumis à une évaluation de conformité avant mise sur le marché avec risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques.

Les obligations de conformité sont prévues par les articles 8 à 15 de l’AI ACT allant de la mise en place d’un système de gestion des risques, la mise en pratique d’une gouvernance appropriée, l’exigence de transparence ou la robustesse et la cybersécurité.

Une documentation doit être établie qui implique notamment un marquage CE.

Le délai de mise en service est de 24 mois à compter de la publication du Règlement Européen sauf pour ceux qui sont déjà encadrés par une législation européenne qui auront 36 mois pour se conformer aux exigences de l’AI ACT comme par exemple les dispositifs médicaux, les diagnostics in-vitro, les jouets, les équipements radios, la sécurité de l’aviation civile ou des véhicules agricoles.

3°) Les systèmes présentant des risques limités, comme les filtres anti-spams ou encore les robots de conversation type chatGPT, devront respecter les obligations de transparence afin que les utilisateurs sachent qu’ils n’interagissent pas avec des humains (article 50).

4°) Les systèmes à risque minime, tels que les jeux et les filtres anti-spam, peuvent être utilisés librement.

D’une manière générale, l’entrée en vigueur des règles applicables aux modèles d’IA à usage général et la nomination des autorités compétentes est le 2 août 2025.

A compter du 2 août 2026 : Application de toutes les dispositions et mises en place d’au moins un bac à sable réglementaire par les Etats membres de l’UE.

A compter du 2 août 2027 : Entrée en vigueur des règles applicables aux IA à haut risque de l’annexe I.

Les bacs à sable réglementaires.

Ils sont prévus aux articles 57 à 61 de l’AI ACT.

Il s’agit de dispositifs d’accompagnement à durée déterminée qui permettent à des fournisseurs de travailler en lien avec les autorités compétentes, de développer, d’entrainer, de tester et de valider les SIA avec une certitude de conformité à la réglementation en vigueur du produit final.

Ce cadre expérimental permet aux entreprises qui en font la demande d’être exonérées de tout ou partie des obligations liées à l’utilisation des fréquences de numéros ou encore aux statuts d’opérateurs de réseaux pour une durée maximale de deux ans, le tout sous le contrôle de l’ARCEP.

Interdiction et sanctions.

L’article 5 du Règlement prévoit l’interdiction pour les SIA de recourir à des techniques subliminales pour influencer les utilisateurs sans qu’ils s’en rendent compte.

Egalement l’interdiction des techniques d’identification biométriques en temps réel sous réserve d’exceptions notamment pour prévenir le risque d’atteinte à la vie privée des usagers avec approbation d’une autorité judiciaire ou d’une autorité administrative indépendante.

Quant aux données personnelles, l’AI ACT comprend de nombreux renvois au Règlement 2016/679 RGPD.

La CNIL elle-même a créé un département modèle d’IA et RGPD sur son site https://www.cnil.fr/modeles-dia-et-rgpd

Quant aux sanctions, elles sont édictées par les Etats membres eux-mêmes dans le cadre des critères du Règlement Européen.

Le non-respect de l’article 5 peut faire l’objet d’amendes administratives pouvant aller jusqu’à 35 millions d’euros, ou si l’auteur est une entreprise jusqu’à 7% de son chiffre d’affaires annuel mondial, total réalisé au cours de l’exercice précédent.

En ce qui concerne les amendes administratives, elles sont déterminées par les Etats membres.

Enfin, les SIA, une fois sur le marché de l’Union Européenne, ne sont pas libres.

Le chapitre IX du Règlement Européen prévoit de nombreuses dispositions dans le but de les contrôler et de les encadrer.

Parmi ces dispositions, on rencontre la surveillance après commercialisation, le partage d’informations et la surveillance du marché.

Thierry Clerc

Le 30/12/2024