La réglementation de l’intelligence artificielle (IA) dans l’Union européenne (UE), via le règlement sur l’IA (RIA), est essentielle car elle répond à divers défis en matière de santé, sécurité et droits fondamentaux. Le RIA est la première législation complète au monde sur l’IA, conçue pour protéger les utilisateurs, mais aussi pour garantir la démocratie, l’état de droit et la protection de l’environnement. Les systèmes d’IA offrent un potentiel considérable pour l’innovation, la croissance économique et la compétitivité mondiale de l’UE. Cependant, les caractéristiques de certains systèmes d’IA peuvent entraîner des risques accrus, notamment pour la sécurité des utilisateurs, voire générer des risques systémiques. Ces risques sont souvent liés à l’opacité de certains modèles d’IA, qui peuvent engendrer une insécurité juridique, décourageant ainsi l’adoption de l’IA par les gouvernements, les entreprises et les citoyens. En conséquence, une réglementation harmonisée permet de réduire les divergences entre les États membres et d’assurer le fonctionnement fluide du marché intérieur, tout en tenant compte des avantages et des risques liés à l’IA. À qui s’applique le règlement sur l’intelligence artificielle ?Le règlement sur l’IA s’applique aux acteurs publics et privés opérant dans ou en dehors de l’UE, à condition que les systèmes d’IA affectent des individus dans l’Union ou soient mis sur le marché de l’UE. Cette réglementation concerne tant les fournisseurs (développeurs d’outils IA) que les déployeurs (utilisateurs de ces systèmes, comme une banque qui utilise un outil IA pour l’analyse des CV). Les activités de recherche et de développement, ainsi que les systèmes utilisés à des fins militaires ou de sécurité nationale, sont exemptés du champ d’application du règlement. Quelles sont les catégories de risques ?Le RIA introduit un cadre structuré fondé sur quatre niveaux de risques pour l’IA :
Comment savoir si un système d’IA présente un risque élevé ?Le RIA adopte une méthode claire pour classer les systèmes d’IA en fonction de leur fonctionnalité et de leur but. Par exemple, un système d’IA à haut risque peut inclure un composant de sécurité dans un produit (comme un logiciel médical) ou être destiné à des cas d’utilisation spécifiques (éducation, migration, répression). La classification des risques repose sur la législation existante de l’UE en matière de sécurité des produits. Exemples de cas d’utilisation à haut risqueParmi les cas d’utilisation à haut risque définis à l’annexe III du RIA, on trouve :
Quelles sont les obligations des fournisseurs de systèmes d’IA à haut risque ?Les fournisseurs de systèmes d’IA à haut risque doivent effectuer une évaluation de conformité avant de les mettre sur le marché. Cette évaluation permet de garantir que le système répond aux critères de transparence, de sécurité et de respect des droits fondamentaux. De plus, ils doivent mettre en place des systèmes de gestion des risques pour surveiller la sécurité après commercialisation et signaler tout incident majeur. Comment les modèles d’IA à usage général sont-ils réglementés ?Les modèles d’IA à usage général (comme les grands modèles de langage) sont soumis à des obligations spécifiques. Ces modèles, utilisés dans diverses applications, doivent respecter des exigences en matière de transparence, de cybersécurité et d’atténuation des risques systémiques. Le seuil de puissance pour ces modèles est fixé à 10^25 FLOPS, au-delà duquel des obligations supplémentaires s’appliquent. Quelles sont les obligations relatives au marquage en filigrane et à l’étiquetage des contenus générés par l’IA ?Le RIA impose des règles de transparence concernant les contenus produits par l’IA, notamment pour les deepfakes. Les systèmes d’IA générative doivent indiquer que les contenus ont été générés par une machine et marqués en filigrane pour éviter toute manipulation ou désinformation. Comment le règlement sur l’IA traite-t-il le problème des biais dans l’IA ?Le RIA impose des exigences pour s’assurer que les systèmes d’IA sont robustes, limitant ainsi les biais potentiels. Les systèmes d’IA à haut risque doivent être formés à partir de données représentatives pour éviter toute discrimination, notamment en matière de genre ou d’origine ethnique. Quand le règlement sur l’IA sera-t-il pleinement applicable ?Le RIA sera pleinement applicable à partir du 2 août 2026, après une phase transitoire qui commencera en février 2025 avec l’entrée en vigueur des premières interdictions. D’autres règles, telles que celles concernant les modèles d’IA à usage général, entreront en vigueur à partir d’août 2025. Comment la CNIL prend-elle en compte le RIA ?La CNIL continue de faire appliquer le RGPD tout en intégrant les exigences du RIA pour garantir une conformité complète dans le cadre des systèmes d’IA traitant des données personnelles. Elle contribue également à l’élaboration des normes harmonisées au niveau européen, facilitant l’adoption des nouvelles règles. RIA et RGDP (Source : CNIL) Le 16 juillet 2024, le Comité européen de la protection des données (CEPD) a publié une déclaration clarifiant le rôle que les autorités de protection des données entendent jouer dans l’application du règlement européen sur l’IA (RIA), qui a été publié au Journal officiel de l’Union européenne le 12 juillet et qui entrera en vigueur le 1er août 2024. Contexte et enjeuxLors de cette dernière session plénière, les autorités de protection des données ont adopté une position commune concernant leur rôle dans la mise en œuvre du RIA. Ce règlement prévoit la désignation d’une ou plusieurs autorités de surveillance du marché, mais il laisse chaque État membre libre de choisir quelle(s) autorité(s) rempliront cette fonction avant la date limite du 2 août 2025. Les autorités de protection des données européennes ont souligné leur expertise déjà éprouvée dans l’évaluation de l’impact de l’IA sur les droits fondamentaux, et plus particulièrement sur la protection des données personnelles. Elles estiment qu’elles sont naturellement qualifiées pour être désignées comme autorités de surveillance pour un certain nombre de systèmes d’IA à haut risque. Cette désignation permettrait une coordination fluide entre les différentes autorités nationales, tout en assurant une cohérence entre le RIA et le RGPD. À ce titre, la CNIL fait figure de pionnière, avec un service d’experts dédié aux questions d’IA et un plan d’action global visant à favoriser le déploiement de systèmes IA vertueux. Recommandations du CEPDDans sa déclaration, le CEPD a formulé plusieurs recommandations clés :
|
S’abonner
Connexion
0 Commentaires
Le plus ancien