La réglementation de l’intelligence artificielle (IA) dans l’Union européenne, à travers le règlement sur l’IA (RIA), vise à répondre aux défis liés à la santé, la sécurité et aux droits fondamentaux. En tant que première législation mondiale sur l’IA, le RIA protège les utilisateurs tout en promouvant la démocratie et l’état de droit. Il s’applique aux acteurs publics et privés, qu’ils soient basés dans l’UE ou non, et introduit un cadre de classification des risques, allant des risques inacceptables aux risques minimaux, afin d’assurer une utilisation responsable et sécurisée des systèmes d’IA.. Consulter la source documentaire.

À qui s’applique le règlement sur l’intelligence artificielle ?

Le règlement sur l’intelligence artificielle (RIA) s’applique à tous les acteurs, qu’ils soient publics ou privés, qui opèrent dans ou en dehors de l’Union européenne (UE).

Cela inclut les systèmes d’IA qui affectent des individus au sein de l’UE ou qui sont mis sur le marché européen. Les fournisseurs, c’est-à-dire les développeurs d’outils d’IA, ainsi que les déployeurs, comme les entreprises utilisant ces systèmes, sont concernés.

Cependant, certaines activités, comme la recherche et le développement, ainsi que les systèmes utilisés à des fins militaires ou de sécurité nationale, sont exemptées de cette réglementation.

Quelles sont les catégories de risques ?

Le RIA introduit un cadre structuré qui classe les systèmes d’IA en quatre niveaux de risques.

1. **Risque inacceptable** : Ce niveau inclut des utilisations de l’IA jugées contraires aux valeurs de l’UE, telles que l’exploitation des vulnérabilités des personnes ou la notation sociale.

2. **Risque élevé** : Les systèmes d’IA à haut risque peuvent affecter la sécurité ou les droits fondamentaux des individus, comme ceux utilisés dans l’éducation ou la santé.

3. **Obligations de transparence** : Certaines applications d’IA doivent respecter des exigences spécifiques de transparence, notamment pour les systèmes interagissant avec des individus.

4. **Risque minimal** : La majorité des systèmes d’IA présentent un risque faible et ne sont soumis à aucune obligation supplémentaire en dehors des lois existantes.

Comment savoir si un système d’IA présente un risque élevé ?

Pour déterminer si un système d’IA présente un risque élevé, le RIA adopte une méthode claire basée sur la fonctionnalité et le but du système.

Un système d’IA à haut risque peut inclure des composants de sécurité dans des produits, comme un logiciel médical, ou être destiné à des cas d’utilisation spécifiques tels que l’éducation ou la répression.

La classification des risques repose sur la législation existante de l’UE en matière de sécurité des produits, garantissant ainsi une évaluation rigoureuse des systèmes d’IA.

Exemples de cas d’utilisation à haut risque

Les cas d’utilisation à haut risque définis dans l’annexe III du RIA incluent plusieurs domaines critiques.

Parmi eux, on trouve les systèmes d’IA utilisés dans les infrastructures critiques, comme l’eau et l’énergie, ainsi que ceux utilisés dans l’éducation et l’emploi, notamment pour l’évaluation des candidats.

De plus, les systèmes qui déterminent l’accès aux services publics essentiels ou qui évaluent la solvabilité et le risque d’assurance sont également classés comme à haut risque.

Quelles sont les obligations des fournisseurs de systèmes d’IA à haut risque ?

Les fournisseurs de systèmes d’IA à haut risque ont des obligations strictes à respecter avant de mettre leurs produits sur le marché.

Ils doivent réaliser une évaluation de conformité pour garantir que le système respecte les critères de transparence, de sécurité et de protection des droits fondamentaux.

En outre, ils doivent établir des systèmes de gestion des risques pour surveiller la sécurité des systèmes après leur commercialisation et signaler tout incident majeur.

Comment les modèles d’IA à usage général sont-ils réglementés ?

Les modèles d’IA à usage général, tels que les grands modèles de langage, sont soumis à des obligations spécifiques.

Ces modèles doivent respecter des exigences en matière de transparence, de cybersécurité et d’atténuation des risques systémiques.

Un seuil de puissance est fixé à 10^25 FLOPS, au-delà duquel des obligations supplémentaires s’appliquent, garantissant ainsi une régulation adaptée à leur impact potentiel.

Quelles sont les obligations relatives au marquage en filigrane et à l’étiquetage des contenus générés par l’IA ?

Le RIA impose des règles de transparence concernant les contenus produits par l’IA, en particulier pour les deepfakes.

Les systèmes d’IA générative doivent indiquer clairement que les contenus ont été générés par une machine et être marqués en filigrane.

Cela vise à prévenir toute manipulation ou désinformation, garantissant ainsi une utilisation éthique des technologies d’IA.

Comment le règlement sur l’IA traite-t-il le problème des biais dans l’IA ?

Le RIA impose des exigences pour s’assurer que les systèmes d’IA sont robustes et limitent les biais potentiels.

Les systèmes d’IA à haut risque doivent être formés à partir de données représentatives pour éviter toute forme de discrimination, notamment en matière de genre ou d’origine ethnique.

Cette approche vise à garantir l’équité et l’inclusivité dans l’utilisation des technologies d’IA.

Quand le règlement sur l’IA sera-t-il pleinement applicable ?

Le RIA sera pleinement applicable à partir du 2 août 2026, après une phase transitoire qui débutera en février 2025.

Cette phase transitoire inclura l’entrée en vigueur des premières interdictions, tandis que d’autres règles, notamment celles concernant les modèles d’IA à usage général, entreront en vigueur à partir d’août 2025.

Comment la CNIL prend-elle en compte le RIA ?

La CNIL continue d’appliquer le RGPD tout en intégrant les exigences du RIA pour garantir une conformité complète dans le cadre des systèmes d’IA traitant des données personnelles.

Elle joue également un rôle actif dans l’élaboration des normes harmonisées au niveau européen, facilitant ainsi l’adoption des nouvelles règles.

Le 16 juillet 2024, le CEPD a clarifié le rôle des autorités de protection des données dans l’application du RIA, soulignant leur expertise dans l’évaluation de l’impact de l’IA sur les droits fondamentaux.

Contexte et enjeux

Lors de la dernière session plénière, les autorités de protection des données ont adopté une position commune sur leur rôle dans la mise en œuvre du RIA.

Ce règlement prévoit la désignation d’autorités de surveillance du marché, laissant chaque État membre libre de choisir celles qui rempliront cette fonction avant le 2 août 2025.

Les autorités de protection des données estiment qu’elles sont qualifiées pour surveiller les systèmes d’IA à haut risque, assurant ainsi une cohérence entre le RIA et le RGPD.

Recommandations du CEPD

Dans sa déclaration, le CEPD a formulé plusieurs recommandations clés.

1. **Désignation des autorités de protection des données** : Ces autorités devraient être désignées comme autorités de surveillance du marché pour les systèmes d’IA à haut risque dans des secteurs sensibles.

2. **Extension à d’autres systèmes à haut risque** : Elles devraient également surveiller d’autres systèmes d’IA à haut risque susceptibles de porter atteinte aux droits fondamentaux.

3. **Point de contact unique** : Les autorités de protection des données devraient devenir des points de contact uniques pour les citoyens et leurs homologues au sein des États membres.

4. **Coopération renforcée** : Le CEPD recommande des procédures claires pour une coopération étroite entre les autorités de surveillance du marché et les autres autorités nationales compétentes.