L’IA Act : pour une régulation des intelligences artificielles
Au-delà de ce que Magali Germond, experte Data science et éthique des systèmes d’IA, nomme « l’effet Waouh », l’utilisation des IA dans le monde professionnel soulève de très nombreuses questions.
Opacité quant à l’entraînement des modèles, risque de fuite de données confidentielles, fiabilité difficile à évaluer, gabegie environnementale…
L’Union Européenne souhaite proposer un autre modèle avec l’adoption d’un cadre réglementaire uniforme dans tous les pays de l’UE : l’IA Act.
Pour une IA centrée sur l’humain et le respect des droits fondamentaux
Conformément aux valeurs européennes, les systèmes de catégorisation biométrique utilisant des caractéristiques sensibles (par exemple : opinions politiques, religieuses, orientation sexuelle) sont totalement interdits. De même pour les extractions non ciblées d’images faciales sur Internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale. La reconnaissance des émotions sur le lieu de travail, la notation sociale basée sur le comportement social ou les caractéristiques personnelles sont également prohibées. Enfin, tout système d’IA visant à manipuler le comportement humain pour contourner le libre arbitre ou à abuser des personnes vulnérables est proscrit.
De plus, les systèmes d’IA à usage général1 font l’objet d’une attention particulière de la part du législateur européen. Les modèles sur lesquels ils sont basés devront respecter certaines exigences de transparence, afin notamment de protéger la propriété intellectuelle. Ainsi, les fournisseurs d’IA devront mettre à jour la documentation technique, se conformer à la législation de l’UE sur les droits d’auteurs et diffuser publiquement des résumés détaillés sur le contenu utilisé pour leur entraînement.
Objectif de l’Union Européenne : mettre en place un écosystème d’IA qui profite à tous, plus éthique et plus sûr pour ses utilisateurs.
1 Un système d’IA à usage général ou GPAI peut être utilisé et adapté à un large éventail d’applications pour lesquelles il n’a pas été conçu intentionnellement et spécifiquement. Cela inclut notamment les grands modèles de langage (LLMs), tels que ChatGPT ou Claude et les modèles de génération d’images audio ou vidéo, comme DALL-E ou Midjourney.
Une approche fondée sur 4 niveaux de risques
L’IA Act se fonde sur une définition prospective de l’IA et une approche basée sur les risques :
Risque minime : les filtres anti-spam et les jeux vidéo fondés sur l’IA ne sont soumis à aucune obligation au titre du règlement sur l’IA. Les entreprises peuvent néanmoins adopter volontairement des codes de conduite supplémentaires.
Risque spécifique en matière de transparence : les systèmes d’IA tels que les agents conversationnels (chatbots) doivent indiquer clairement aux utilisateurs qu’ils interagissent avec une machine, tandis que certains contenus générés par l’IA doivent être signalés comme tels.
Risque élevé : les systèmes d’IA à haut risque tels que les logiciels médicaux fondés sur l’IA ou les systèmes d’IA utilisés pour le recrutement doivent respecter des exigences strictes, notamment en ce qui concerne les systèmes de détection et d’atténuation des risques, la qualité des ensembles de données utilisés, la transparence du cycle de vie du modèle d’IA, la fourniture d’informations claires à l’utilisateur, le contrôle humain, etc.
Risque inacceptable : les systèmes d’IA considérés comme une menace évidente pour les droits fondamentaux des citoyens sont interdits (voir ci-dessus).
Un calendrier à suivre de près
Entrée en vigueur du règlement
Interdiction des systèmes d’IA présentant des risques jugés inacceptables.
Mise en place des règles pour les modèles d’IA à usage général2 et désignation des autorités compétentes dans chaque État membre.
Application complète aux systèmes d’IA à haut risque déjà identifiés, tels que ceux utilisés dans la biométrie, les infrastructures critiques, l’éducation, l’emploi ou la justice.
Application aux systèmes d’IA à haut risque incorporés dans certains produits réglementés, comme les jouets, les dispositifs médicaux, les machines. ceux utilisés dans la biométrie, les infrastructures critiques, l’éducation, l’emploi ou la justice.
2 Un système d’IA à usage général ou GPAI peut être utilisé et adapté à un large éventail d’applications pour lesquelles il n’a pas été conçu intentionnellement et spécifiquement. Cela inclut notamment les grands modèles de langage (LLMs), tels que ChatGPT ou Claude et les modèles de génération d’images audio ou vidéo, comme DALL-E ou Midjourney.
Concrètement, quel impact sur les PME ?
Pour les PME, il est dès aujourd’hui nécessaire de s’interroger sur leur stratégie d’utilisation des IA. Elles devront s’assurer que leurs fournisseurs respectent l’AI Act, sous peine de sanctions. Dès le 2 août 2025, cela va concerner de manière progressive les modèles d’IA génératives. Magali Germond conseille de poser un cadre clair via une charte d’utilisation à destination des collaborateurs et des clients. Il s’agit tout d’abord d’interdire le « shadow IA », c’est-à-dire l’utilisation des IA génératives par les salariés sans formation et autorisation préalables.
Elle précise : « Même les entrepreneurs individuels sont concernés. Pour une simple requête, connaissent-ils les risques juridiques et opérationnels s’ils introduisent des données confidentielles de leur client dans un modèle d’IA générative ? Les équipes doivent être sensibilisées aux enjeux éthiques et réglementaires de l’IA. Seul un guide formalisé des bonnes pratiques permet de se prémunir des risques au mieux. »
Les exigences de conformité requises représentent donc, au-delà de la contrainte, une opportunité pour se positionner de manière consciente sur ces nouveaux outils et consolider notre relation de confiance avec nos clients, en les informant de manière transparente.
Concernant les entreprises du numériques qui développent elles-mêmes des systèmes d’IA, l’IA Act encourage les états-membres à créer des
« bacs à sable réglementaires » leur permettant de tester leurs innovations, dans un environnement sécurisé, en bénéficiant d’un accompagnement et d’un dialogue rapproché avec les autorités de contrôle. L’idée est d’identifier et de résoudre les éventuels problèmes de conformité en amont. En France, la Cnil vient d’ores et déjà de publier un rapport sur son « bac à sable » 2023-2024 dédié aux projets d’IA appliqués à des services publics.
Plus largement, de nombreuses ressources et recommandations sont disponibles sur le site de la CNIL afin d’aider les entreprises innovantes à respecter le RGPD et l’IA Act1.
1 Développement des systèmes d’IA : les recommandations de la CNIL pour respecter le RGPD | CNIL
Attention : comme le RGPD, l’IA Act prévoit des amendes importantes en cas de non-respect des obligations : celles-ci pourront atteindre jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires pour une entreprise.
Pour une première évaluation en ligne, toute entreprise peut tester son utilisation actuelle et bénéficier de conseils sur ce vérificateur de conformité : EU AI Act Compliance Checker | Loi européenne sur l’intelligence artificielle.
Le défi de l’IA Act consiste à construire un cadre réglementaire qui permette à la fois de répondre aux attentes sociétales en termes de sécurité et d’éthique, sans décourager l’innovation. Bien qu’il génère des contraintes de temps et de budget, ce choix vise à renforcer la confiance des utilisateurs et peut à terme constituer un avantage concurrentiel face aux géants américains.
Pour en savoir plus : Loi sur l’intelligence artificielle de l’UE – Développements et analyses actualisés de la loi sur l’intelligence artificielle de l’UE
Hélène Buisson – hbsolutionscomm.com