La règlementation européenne visant à encadrer l’utilisation et le déploiement des systèmes d’intelligence artificielle (IA), connue sous le nom d’AI Act ou règlement IA, constitue une étape majeure dans l’approche de l’UE face aux défis éthiques posés par cette technologie en plein essor. Ce cadre juridique a pour objectif principal de garantir que les systèmes d’IA respectent pleinement les valeurs et les droits fondamentaux des individus, tout en favorisant un environnement propice à l’innovation et à la compétitivité dans le domaine de l’IA. Son entrée en vigueur engendre des implications significatives à plusieurs niveaux, et les acteurs concernés sont tenus de se conformer aux exigences introduites, en tenant compte du système d’IA en question.
AI Act : un champ d’application étendu
Le champ d’application du règlement IA couvre les systèmes et modèles d’IA commercialisés et mis sur le marché dans l’Union européenne. Il exclut toutefois les activités de recherche non commerciales, les systèmes destinés uniquement à des fins militaires, de défense ou de sécurité nationale, ainsi que ceux utilisés par des autorités publiques étrangères ou des organisations internationales en collaboration avec l’UE.
Ce règlement établit un cadre de responsabilité pour les acteurs et utilisateurs de l’IA opérant dans l’UE ou commercialisant leurs produits dans cette région. Dès lors qu’un système d’IA est utilisé sur le territoire de l’UE, le règlement lui est applicable. Cette approche large vise à garantir un respect rigoureux des normes éthiques et des principes de sécurité établis, favorisant ainsi la confiance dans ces technologies tout en protégeant les droits fondamentaux des citoyens européens.
Systèmes d’IA : plusieurs catégories concernées
Le règlement identifie différentes catégories de systèmes d’IA, les définissant comme des systèmes automatisés capables de fonctionner à divers degrés d’autonomie, de s’ajuster après leur déploiement et de produire des résultats tels que des prédictions, du contenu, des recommandations ou des décisions, en se basant sur les données d’entrée qu’ils reçoivent. Ces systèmes sont classés en fonction du niveau de risque associé à leur utilisation.
Certains systèmes d’IA sont interdits en raison d’un risque jugé inacceptable pour la sécurité ou les droits fondamentaux. Les pratiques concernées sont énumérées à l’article 5 du règlement. À titre d’exemple, la mise sur le marché, la mise en service ou l’utilisation d’un système d’IA recourant à des techniques subliminales ou manipulatrices visant à altérer le comportement des individus de manière préjudiciable est interdite. De même, la commercialisation, la mise en service ou l’utilisation d’un système d’IA exploitant les vulnérabilités liées à l’âge, au handicap ou à la situation sociale pour altérer le comportement d’une personne ou d’un groupe est prohibée si cela peut entraîner un préjudice significatif.
D’autres systèmes relèvent de la catégorie des systèmes d’IA à haut risque et doivent être munis d’un marquage CE pour être mis sur le marché. Un système d’IA est considéré comme étant à haut risque s’il est destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation de l’Union ou s’il constitue lui-même un tel produit, et si ce dernier est soumis à une évaluation de conformité par un tiers en vue de sa mise sur le marché ou de sa mise en service. Le règlement fournit une liste des catégories concernées et des domaines auxquels appartient le système. Par exemple, sont inclus les systèmes d’IA conçus pour sécuriser et gérer les infrastructures numériques critiques, la circulation routière, ainsi que la distribution d’eau, de gaz, de chauffage ou d’électricité. De même, les systèmes d’IA utilisés pour gérer l’accès, l’admission ou l’affectation des individus à des établissements éducatifs et de formation à tous les niveaux sont également concernés.
Sont également inclus les modèles d’IA à usage général tels que GPT, capables d’accomplir diverses tâches, quel que soit leur mode de commercialisation, pouvant être intégrés dans divers systèmes ou applications en aval. Cette inclusion exclut cependant les modèles utilisés à des fins de recherche, de développement ou de prototypage avant leur mise sur le marché.
De plus, les systèmes d’IA présentant des risques mineurs sont pris en compte, pour lesquels le règlement encourage une conformité volontaire aux dispositions établies. Par exemple, les chatbots simples ne présentant que des risques minimes peuvent adhérer à ces directives.
Acteurs IA : une diversité d’acteurs concernés
Le règlement IA introduit des obligations à une pluralité d’acteurs tout au long du cycle de vie d’un système d’IA, de sa conception à sa mise sur le marché et à son utilisation ultérieure. Parmi ces acteurs, on distingue le fournisseur, le déployeur, le mandataire, l’importateur et le distributeur.
Le règlement accorde une attention particulière au fournisseur et au déployeur. Le fournisseur, désignant toute personne ou entité développant ou faisant développer un système ou modèle d’IA à usage général et le commercialisant sous son propre nom ou sa propre marque, et le déployeur, représentant toute personne ou organisation utilisant un système d’IA sous sa propre autorité, sauf dans le cas d’une utilisation à des fins personnelles.
Bien que le fournisseur soit généralement considéré comme le principal responsable du système d’IA, le déployeur partage une responsabilité importante dans l’application et le bon fonctionnement du système, en fonction de son contexte d’utilisation. Les autres intervenants dans la chaîne d’approvisionnement et de distribution sont également soumis à certaines obligations, bien que moins contraignantes.
Par exemple, dans le cas d’un système d’IA pour la prédiction des crises cardiaques, le fournisseur pourrait être une entreprise spécialisée dans la recherche cardiovasculaire et le développement de technologies innovantes pour la surveillance et la prévention des maladies cardiaques. Ils utilisent l’IA pour créer des algorithmes avancés qui analysent les données de santé des patients, telles que les signaux électrocardiographiques, les données d’imagerie cardiaque et les antécédents médicaux, afin de détecter les risques de crise cardiaque avant qu’elles ne se produisent. Le déployeur pourrait être une société de services de santé numériques spécialisée dans l’intégration de technologies d’IA dans les systèmes de gestion des dossiers médicaux électroniques et les applications de suivi de la santé des patients. Leur rôle consiste à déployer le système d’IA dans les établissements de santé et les applications mobiles, en assurant une connexion sécurisée aux données des patients et en fournissant des fonctionnalités conviviales pour les médecins et les patients, telles que des alertes de risque de crise cardiaque et des recommandations personnalisées pour la prévention.
En cas de collaboration entre plusieurs parties, un contrat doit clairement définir les responsabilités de chaque opérateur à chaque étape du cycle de vie du système, garantissant ainsi une clarté dans les rôles et le partage des responsabilités.
AI Act : des obligations multiples
Étant donné que le règlement impose des exigences différentes à chaque catégorie d’acteurs et de systèmes d’IA, une qualification préalable du rôle de l’opérateur et du niveau de risque du système est primordiale afin de déterminer les obligations applicables.
Les fournisseurs de systèmes d’IA à haut risque doivent respecter un ensemble d’obligations pour garantir la sécurité et la transparence des systèmes. Cela inclut la mise en place de processus de gestion des risques, l’utilisation de jeux de données de haute qualité et représentatifs, ainsi que la formalisation d’une documentation technique détaillée pour démontrer la conformité aux exigences réglementaires. De plus, ils doivent intégrer des interfaces homme-machine pour un contrôle efficace, mettre en place des mécanismes de surveillance post-commercialisation et être prêts à prendre des mesures correctives en cas de non-conformité ou d’incidents graves.
Les déployeurs de systèmes d’IA à haut risque ont la responsabilité, quant à eux, de garantir une utilisation sûre et conforme de ces technologies, et d’assurer une surveillance continue de leur fonctionnement. Ils doivent ainsi prendre des mesures techniques et organisationnelles appropriées pour garantir que l’utilisation des systèmes est conforme aux instructions fournies avec ces systèmes, assurer un contrôle humain adéquat, veiller, dans le cas où ils les contrôlent, à ce que les données d’entrée des systèmes soient pertinentes et représentatives pour assurer le bon fonctionnement du système, et informer les fournisseurs, les importateurs ou distributeurs, ainsi que les autorités de surveillance compétentes en cas de risque ou d’incident grave.