Le 2 février 2025 marque l’entrée en application d’une première partie des dispositions de l’IA Act.
Maître Alexandra Iteanu, avocate à la Cour (numérique, cybersécurité et data), fait le point pour les lecteurs de Solutions Numériques & Cybersécurité.
Le règlement européen 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle (IA), plus connu sous le nom de « IA Act » aura mis plus de 4 ans à être rédigé, débattu, modifié. Son objectif est ambitieux : promouvoir l’adoption d’une IA axée sur l’ « humain », tout en garantissant un « niveau élevé de protection des droits fondamentaux notamment (…) la démocratie » (article 1).
Publié au Journal officiel le 12 juillet 2024, l’IA Act est entré en vigueur le 1er août 2024.
Le 2 février 2025 marque l’entrée en application d’une première partie de ses dispositions. Vont s’appliquer à partir de cette date les Chapitres 1 (Dispositions générales) et 2 (Pratiques interdites en matière d’IA)[1].
Le Chapitre 1 précise l’objet, le champ d’application du règlement et ses définitions. Les termes « système d’IA » « fournisseurs » et « déployeurs » seront à analyser avec une particulière attention car ils définiront les différents régimes d’obligations applicables.
Plus discret mais tout aussi important, l’article 4 du Chapitre 1 impose l’air de rien une obligation de formation à l’IA pour le personnel et les sous-traitants des « déployeurs » et « fournisseurs » de système d’IA.
En d’autres termes, à compter du 2 février 2025, toute entreprise qui développe ou utilise un système d’IA devra s’assurer que ses collaborateurs et sous-traitants en contact avec ce système ont bien été formés sur le sujet.
Le Chapitre 2 concerne quant à lui des systèmes d’IA considérés comme inacceptables par le règlement en raison de leur impact potentiellement dangereux sur notre société.
Il s’agit notamment des systèmes d’IA (1) qui utilisent des techniques manipulatrices ou trompeuses pour fausser le comportement, (2) exploitent des vulnérabilités liées à l’âge/handicap, (3) réalisent de la catégorisation biométrique, (4) évaluent le risque qu’une personne commette des infractions pénales uniquement sur la base d’un profilage ou de traits de personnalité, (5) constituent des bases de données de reconnaissance faciale en extrayant de manière non ciblée des images faciales sur Internet ou à partir de vidéosurveillance, (6) déduisent des émotions sur le lieu de travail, et (7) identifient biométriquement à distance « en temps réel » dans les espaces publics pour les forces de l’ordre.
Ces systèmes-là seront dès lors interdits sur le marché européen.
On l’aura compris, cette interdiction ne touche à ce jour que peu de systèmes d’IA communément utilisés, mais marque la volonté de l’UE d’imposer ses valeurs en limitant les systèmes qu’elle considère comme dangereux pour nos droits fondamentaux.
Pour la suite du calendrier, les dispositions relatives aux systèmes d’IA dits à usage général (comme par exemple ChatGPT, Copilot, Mistral, etc.) s’appliqueront à compter du 2 août 2025, et le reste du règlement à compter du 2 août 2026, à l’exception du chapitre 6 paragraphe 1 (portant sur les règles de classification des systèmes d’IA à haut risque), qui s’appliquera à partir du 2 août 2027.
Les 10 et 11 février 2025, Paris a accueilli par ailleurs le Sommet pour l’action sur l’intelligence artificielle (IA), rassemblant acteurs privés du secteur et décideurs politiques. Beaucoup de promesses y ont été faites, notamment en matière d’investissements privés et publics. Espérons que la loi couplée à une action politique commune permette aux entreprises européennes de se démarquer pour proposer des services qui seront à l’avenir dominants.
[1] Conformément aux dispositions de l’article 113, point a) du règlement.
