AI Act : quelles sont les règles à respecter pour être conforme ?

7/3/2024
⚙️ Mise en oeuvre

AI Act : comment vous mettre en conformité ?


L’intelligence artificielle a fait une entrée fracassante dans la vie de tous, particuliers comme entreprises. 

Or, comme à chaque avancée technologique, le droit s’empare du sujet pour limiter les risques pour les utilisateurs.

La commission européenne est à l'origine d'une nouvelle loi visant à encadrer le développement de l’IA. Sur une proposition de Thierry Breton et après de nombreuses discussions, l' Artificial Intelligence Act a été adopté le 2 février 2024 par le conseil et le Parlement européen. Il entrera en vigueur en 2026, soit 2 ans après sa publication.

La Communauté Européenne mettra en œuvre un “label CE” pour certaines applications utilisant l'intelligence artificielle, sans lequel la commercialisation sera impossible.   

Cette nouvelle législation vise à garantir une conception et une utilisation éthique des solutions d’intelligence artificielle commercialisés au sein des états membres. L’objectif étant de protéger les droits fondamentaux des citoyens de l’Union Européenne. 

Vous développez un système d’Intelligence Artificielle ? Vous intégrez l’IA dans vos produits ou services ? Dans ce cas, l’ Intelligence Act vous est applicable. Il est indispensable de se mettre en conformité avec cette nouvelle réglementation.

Dans ce guide, nous aborderons les points suivants : 

  • La définition de l’AI Act ; 
  • Les différents niveaux de risques ;  
  • Les délais de mise en conformité à la nouvelle réglementation sur l’IA ; 
  • Les bonnes pratiques de mise en conformité des systèmes d’intelligence artificielle ; 
  • Les sanctions en cas de non-conformité. 

Qu’est-ce que l’ Artificial Intelligence Act ? 


Une définition de l’AI Act

L’AI Act est une réglementation européenne visant à encadrer les produits, services et procédés intégrant des systèmes d’intelligence artificielle. 


Cette régulation produit va d’une simple information aux utilisateurs jusqu’à l’interdiction pure et simple de commercialisation des systèmes et modèles d’intelligence artificielle. Les activités de recherche sans objectif commercial ne sont pas concernées. Il s’agit seulement de réguler les produits avant leur mise sur le marché. 

La loi sur l’intelligence artificielle vise à garantir que les solutions d’IA arrivant sur le marché des états membres respectent bien les droits fondamentaux des citoyens Européens. 

En effet, l’utilisation des systèmes d’IA (SIA) peut comporter des risques comme des biais cognitifs, des conséquences sur la protection des données personnelles ou encore des discriminations.

Les acteurs concernés  

La mise en conformité à l’AI Act concerne : 

  • toutes les organisations (entreprises, associations, organismes de recherche, etc.) qui fournissent, distribuent ou encore déploient, des systèmes d’IA;  
  • dont le siège social est situé dans l’un des états membres de l'Union Européenne;  
  • et/ou qui commercialisent des SIA sur le marché intérieur de l’Union Européenne. 

Les systèmes concernés 

Tous les systèmes et modèles d’IA sont concernés par cette régulation mais à des niveaux de mise en conformité différents. 

En effet, les obligations incombant à l’organisme dépendent du niveau de risque que présente le système ou le modèle d’IA. 

L’AI Act a identifié 4 niveaux de risques auxquels correspondent 4 niveaux de mise en conformité :

  1. IA à risque inacceptable : Ces systèmes contreviennent aux valeurs de l'UE et portent atteinte aux droits fondamentaux. Il s’agit notamment des systèmes de scoring social à usage général. 
  2. IA à haut risque :  l' annexe iii définit 8 grands domaines d’activités identifiés comme à “haut risque”. Il s’agit notamment : 
  3. des systèmes de scoring social : scoring social bancaire ou logiciel de tri de CV  par exemple, 
  4. des identifications biométriques ;
  5. des systèmes de manipulation de contenu, 
  6. des infrastructures susceptibles de mettre en danger la vie et la santé des personnes : système de navigation dans les transports par exemple, 
  7. ou encore des composants de sécurité des produits : IA de chirurgie par exemple. 
  1. IA à risque faible : Une IA à risque faible est un système d’IA interagissant avec les personnes physiques et n’étant ni à risque inacceptable, ni à haut risque. Il s’agit par exemple des deepfakes à vocation artistique, c’est-à-dire des techniques de synthèse multimédia reposant sur l’intelligence artificielle, ou encore les chatbots.
  2. IA à risque minime : Il s'agit de tous les autres systèmes d'IA n’entrant pas dans les autres catégories. Il s’agit par exemple des filtres anti-spam pour empêcher les e-mails indésirables. La majeure partie des systèmes d’intelligence artificielle actuellement utilisés dans l’UE relèvent de cette catégorie.

💡 Cas de Chat GPT 

ChatGPT est une IA générative capable de générer du texte et des images à la demande des utilisateurs d’après un prompt. Cette solution est considérée comme un système d’IA à haut risque car elle pose des défis éthiques. 

En effet, cette technologie peut contribuer à des usages abusifs ou détournés : manipulation de la population via la création de fake news, de deepfake ou de nudges (outil conçu pour modifier les comportements sous la forme d’une incitation). 

Chaque niveau de risque détermine un niveau de mise en conformité spécifique. 

Comment se mettre en conformité avec l’IA Act ?

Les obligations de conformité à l’IA act

Les obligations des organismes concernés dépendent du niveau de risque. 

L’IA à risque inacceptable

Les systèmes et modèles d’IA à risque inacceptable sont tout simplement interdits. Ils ne peuvent donc pas être commercialisés au sein de l’Union européenne. De plus, si l’entreprise a son siège en UE, ces produits sont également interdits à l'exportation.

Délai de mise en conformité : 6 mois après la publication de l'AI Act.  

L’IA à haut risque 

Les SIA à haut risque pourront être mis sur le marché, à conditions de faire l’objet  : 

  • d’un marquage CE, sorte de “label CE”;
  • d’une déclaration de conformité ; 
  • d’un enregistrement dans la base de données de l'UE. 

Délai de mise en conformité : mise en place 24 mois ou 36 mois après la publication de l'AI Act. 

🔎 Exemple de la notation de crédit : Une banque veut créer une IA de notation de crédit afin d’évaluer la solvabilité des demandeurs de crédit. Pour cela, elle collecte des données sensibles auprès de ses clients (historique de crédit, revenus, emplois, voire données de santé). Le SIA définit les conditions permettant d’obtenir un prêt. Or, ce système peut conduire à des discriminations et des biais.  

IA à risque faible


Si vous souhaitez commercialiser un système d’intelligence artificielle à risque faible, vous devez simplement vous acquitter d’une obligation d'information des utilisateurs sur le fait que le contenu a été généré par IA. 

Délai de mise en conformité : mise en place 24 mois après la publication de l'AI Act.

🔎 Exemple du deep fake artistique : Une société de jeux vidéo utilise le deepfake pour générer des images et des voix. Une information expliquant que l’image a été générée par une IA doit être obligatoirement indiquée. Le choix et l’emplacement de la mention lui revient. 

IA à risque minime 


Les systèmes et modèles dIA à risque minime n’ont pas d’obligation particulière à respecter. Il est simplement recommandé de mettre en place et de respecter un code de conduite applicable à tous les SIA ayant des finalités similaires. 

Ce code doit être construit sur la base d’objectifs et d’indicateurs clés de performance permettant de mesurer la réalisation de ses objectifs. C’est à vous de définir ces objectifs. Par exemple :  transparence, confidentialité ou encore durabilité. 


Délai de mise en conformité : mise en place 24 mois après la publication de l'AI Act

🔎 Exemple du filtre anti-spam : Le système de filtre anti-spam consiste à élaborer un algorithme qui va classer les mails selon qu’ils doivent atterrir dans la boîte de réception ou dans les indésirables. En soi, cette IA ne présente pas de danger spécifique pour les personnes. Toutefois, il est quand même conseillé de respecter un code de conduite.  

Application de la loi sur l’intelligence artificielle : les bonnes pratiques 

Pour vous mettre en conformité avec l’AI Act, voici les étapes à suivre : 

1- Réaliser une cartographie des systèmes d'IA  


Les obligations de mise en conformité prévues dans l’AI Act s’appliquent à chaque système d’IA et non à l’entreprise dans son ensemble. Il est donc conseillé de réaliser une cartographie de tous les systèmes d’IA existants. Ces principes s’appliquant “by design”, cartographiez également tous les projets en développement ou à venir intégrant l’IA

2- Evaluer les niveaux de risque des systèmes et modèles d’IA existants et en projet 


À chaque niveau de risque correspond une exigence en termes de mise en conformité. Vous devez donc évaluer le niveau de risque en fonction de critères tels que : 

  • le secteur d'activité (banque, santé, divertissement, etc.),
  • les cas d'utilisation : par exemple certaines IA considérée comme à haut risque présentent des cas d’usage qui ne le sont pas, de ce fait, elles n’ont pas à être classées comme telle, 
  • la puissance du modèle d’IA,
  • ou encore les types de données utilisées (données à caractère personnel, données sensibles …).   

3- Classer les systèmes d’IA en fonction des niveaux de risque 

Une fois les systèmes d’IA évalués, vous devez les classer en fonction de leur niveau de risque : minime, faible, haut risque ou inacceptable.

Si le risque est inacceptable, le produit ne peut pas être commercialisé. 

Dans les autres cas, l’entreprise doit mettre en place des actions permettant la commercialisation : code de conduite volontaire (minime), obligation d’information de l’utilisateur (risque faible) ou mise en conformité (haut risque).   

4- Mise en conformité d’un système à haut risque 

En cas de système à haut risque, celui-ci doit être mis en conformité en suivant les étapes suivantes : 

  1. Mettre en place un système de gestion des risques : adopter des mesures de gestion des risques appropriées et ciblées pour répondre aux risques identifiés ; 
  2. Valider la qualité et la non-discrimination des ensemble de données alimentant le système :  tester son système d’IA dans un bac à sable réglementaire afin de s'assurer de l'absence de biais et de minimiser les résultats discriminatoires ; 
  3. Évaluer la précision, la robustesse et garantir un niveau de cybersécurité : mettre en place des indicateurs de précision, une résilience contre les erreurs ainsi que toute mesure appropriée pour corriger les biais potentiels ; 
  4. Garantir un contrôle humain : des mesures de surveillance humaine doivent être mis en oeuvre pour minimiser les risques et permettre aux utilisateurs un usage en confiance de ces outils; 
  5. Respecter l’obligation d’information et de transparence : rendre les archives disponibles tout au long de la durée de vie du système d'IA pour assurer la traçabilité et la transparence de celui-ci ;  
  6. Accompagner les systèmes d’IA d’un registre des activités : Documenter un système de gestion de la qualité concernant notamment la conformité réglementaire, la conception, le développement, les tests, ainsi que la gestion des risques. 
  7. Concevoir la documentation technique ;  
  8. Procéder à la déclaration de conformité : La déclaration de conformité doit être rédigée et signée pour chaque système d'IA à haut risque puis soumise aux  autorités nationales. Celle-ci est mise à jour en cas d’évolution des solutions d’IA ;
  9. S’assurer du marquage CE : s'assurer que le marquage CE est apposé de manière visible, lisible et indélébile. Ce label atteste de la conformité du système ou du modèle d’IA aux exigences Européennes. ; 
  10. Procéder à l’enregistrement : inscrire l’organisme qui a développé le SIA et le SIA lui-même dans la base de données de l'UE. 

Dans le cas de la commercialisation d’une solution d’IA à haut risque, la mise en conformité s’avère très encadrée. 

Quelles sont les sanctions en cas de non conformité avec le AI Act ? 

Tout dépend du niveau de risque : 

L’IA à risque inacceptable :  commercialiser ou laisser sur le marché intérieur de l'UE une IA à risque inacceptable peut être sanctionné d’une amende de 35 millions d'euros ou 7% du CA annuel mondial, selon le montant le plus élevé. 

L’IA à haut risque : le non-respect des obligations de déclaration, de marquage CE et d’enregistrement est passible d’une amende de 15 millions d'euros ou de  3% du CA annuel mondial,  selon le montant le plus élevé. 

L’IA à risque faible : le non-respect de l’obligation d’information et de transparence est passible d’une amende de 7,5 millions d'euros ou 1% du CA annuel mondial,  selon le montant le plus élevé. 

L’IA à risque minime : aucune sanction n’est prévue par l’AI Act puisque l’adoption d’un code de conduite se fait sur la base du volontariat. 

Sources :

A propos de l'auteur
Edouard Schlumberger

Co-fondateur de Leto, Edouard a rencontré les problématiques de mise en oeuvre de la protection des données personnelles durant ses différentes aventures entrepreneuriales précédentes.

Cela pourrait vous intéresser

Sur quelle base légale du RGPD s'appuyer pour traiter des données personnelles ?
11/1/2024
Juriste RGPD : Rôle, missions et formation
6/7/2023
Droit à l’image et RGPD : comment récolter les autorisations en conformité
25/9/2023
Registre de traitements RGPD : intérêt et rédaction
29/2/2024

S'inscrire à la newsletter RGPD de Leto

Chaque semaine, on parle de votre conformité RGPD et on vous donne plein d'infos pertinentes et utiles!

Cliquez ici pour consulter notre politique de confidentialité.

Merci ! Nous avons bien reçu votre inscription.
Aïe ! Quelque chose n'a fonctionné. Pourriez-vous recommencer?
Rejoindre
Leto
Nous rejoindreContactA proposRessourcesPresseYoutubeConnexion
Légal
Où est la bannière de cookie RGPD ?Politique de confidentialitéMentions légalesExercez vos droits
Copyright Leto 2023