AVIS D’EXPERT JURIDIQUE – Maître Alexandra Iteanu, Avocat à la Cour (Numérique, Cybersécurité et Data), revient pour les lecteurs de Solutions Numériques sur ce règlement européen en principe bientôt adopté.
L’intelligence artificielle (IA) n’a pas fini de faire parler d’elle. De plus en plus présente dans nos quotidiens, de nombreuses sociétés se vantent aujourd’hui de l’intégrer à leur service : recherches en ligne, service de traductions, objets connectés ou encore dans le secteur de la santé.
Sa définition même a longtemps fait l’objet de débat. Pour le Parlement européen, il s’agit de « la possibilité pour une machine de reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ».
Si l’intelligence artificielle n’est pas un phénomène nouveau, son évolution ces dernières années a mené à intégrer toujours plus de données, à développer de nouveaux algorithmes et à la mettre à la portée de tous. On parle désormais d’IA génératives, à l’instar de ChatGPT, qui génère de nouvelles données (textes, images, sons), indépendamment de toute aide humaine.
Objet de fantasmes ou de peurs, son usage et sa régulation déchaine les passions, avec deux camps qui s’opposent constamment : ceux qui se placent pour une innovation « sauvage », sans régulation a priori, et ceux au contraire qui souhaitent poser dès le départ un cadre réglementaire pour éviter toute dérive. C’est dans cette ambiance que les législateurs européens tentent depuis plusieurs années maintenant de réguler cet usage de l’IA, et que nous arrivons aujourd’hui à l’aboutissement d’un règlement européen[1] en principe bientôt adopté.
Le règlement européen « AI Act » va toucher un grand nombre d’acteurs
Le 8 décembre 2023, après plusieurs années de négociation, l’AI Act a fait l’objet d’un accord politique entre le Conseil et le Parlement européen[2].
Dès sa publication au Journal officiel, le règlement européen entrera en application de manière graduelle sur une période de deux ans.
Ce règlement a pour vocation de s’appliquer à un panel d’acteurs assez larges : les fournisseurs d’IA, mais également leurs distributeurs et importateurs, dès lors que le critère de territorialité est complété.
Il suffira qu’un service intégrant de l’IA soit mis sur le marché de l’Union européenne, ou s’adresse à des utilisateurs résidents dans l’Union européenne pour que l’IA Act s’applique.
Une réglementation qui se fonde sur le risque
Plus le risque lié à un usage de l’IA est élevé, plus cet usage se verra imposé des obligations, voire des interdictions.
Certains systèmes d’IA sont ainsi jugés « inacceptables » et sont frappés d’interdiction, comme les systèmes d’IA de notation citoyenne, de surveillance de massage ou encore de reconnaissance faciale automatisée.
D’autres systèmes seront considérés comme présentant un risque « élevé » en fonction de leur finalité et seront soumis à des obligations spécifiques (évaluation de conformité, obligation de diligence, etc.).
Lorsque les usages présentent un risque « modéré » (comme les deepfakes), une obligation spécifique de transparence est imposée, il conviendra notamment d’indiquer lorsque des contenus sont générés par l’IA.
Enfin, il est intéressant de noter que les modèles dits open source ont été exemptés de la plupart des obligations au sein de l’accord provisoire, dans un souci justement de favoriser l’innovation.
Des sanctions fortes et la création d’une autorité de contrôle, qui rappellent le RGPD
Les citoyens auront la faculté de déposer plainte contre les systèmes d’IA avec un régime de responsabilité encadré.
Des amendes pourront être prononcées à l’encontre des entités à l’origine des dommages. Elles s’élèveraient à 35 millions d’euros ou à 7 % pour les violations des applications d’IA interdites, à 15 millions d’euros ou à 3 % pour les violations des obligations découlant de la législation sur l’IA et à 7,5 millions d’euros ou à 1,5 % pour la communication d’informations inexactes.
Ces montants ne sont pas sans rappeler ceux du RGPD, et les dépassent même. Le règlement européen sur la protection des données prévoit en effet des amendes allant jusqu’à 20 millions d’euros ou 4 % du chiffre d’affaires annuel mondial.
Une autorité de contrôle nationale sera également nommée pour s’assurer du respect de ce règlement, à l’instar de la CNIL pour le RGPD. Cette autorité sera également appelée à siéger au futur Comité européen de l’intelligence artificielle.
En conclusion
Si la rédaction de ce règlement a fait l’objet et fait toujours l’objet de débats houleux, notamment entre les partisans d’une innovation « libre » et les partisans d’une régulation de ces systèmes, cette opposition n’a aujourd’hui plus lieu d’être.
L’innovation sans régulation amène les utilisateurs à se voir imposer les règles du jeu des grandes plateformes, sans protection juridique.
Tout comme le RGPD a fait plier les acteurs étrangers à la vision européenne de la protection des données, ce règlement AI Act tente un jeu d’équilibriste en encadrant les usages liés à l’IA, en imposant nos valeurs et en protégeant notre souveraineté, sans freiner l’innovation et le commerce.
Alexandra Iteanu
[1] Proposition de RÈGLEMENT DU PARLEMENT EUROPÉEN ET DU CONSEIL 2021/0106 (COD) ÉTABLISSANT DES RÈGLES HARMONISÉES CONCERNANT L’INTELLIGENCE ARTIFICIELLE (LÉGISLATION SUR L’INTELLIGENCE ARTIFICIELLE) ET MODIFIANT CERTAINS ACTES LÉGISLATIFS DE L’UNION
[2] https://www.europarl.europa.eu/news/fr/press-room/20231206IPR15699/loi-sur-l-intelligence-artificielle-accord-sur-des-regles-globales
