523 votes pour, 46 contre et 49 abstentions : les députés ont approuvé la législation, convenue lors des négociations avec les États membres en décembre 2023.
Mercredi, le Parlement européen a approuvé la législation sur l’intelligence artificielle qui garantit la sécurité et le respect des droits fondamentaux tout en encourageant l’innovation. Dans son communiqué, il rappelle que ce règlement vise « à protéger les droits fondamentaux, la démocratie, l’État de droit et la durabilité environnementale contre les risques liés à l’intelligence artificielle (IA), tout en encourageant l’innovation et en faisant de l’Europe un acteur de premier plan dans ce domaine. Le règlement établit des obligations pour les systèmes d’IA en fonction de leurs risques potentiels et de leur niveau d’impact. » Et il s’agit bien de la première loi contraignante au monde sur l’intelligence artificielle, ainsi que le rappelle dans un message à Solutions Numériques Enza Iannopollo, analyste principal chez Forrester : « L’Acte sur l’IA de l’UE est le premier et le seul ensemble d’exigences contraignantes au monde visant à atténuer les risques liés à l’IA. » « L’objectif est de permettre aux institutions d’exploiter pleinement l’IA, d’une manière plus sûre, plus fiable et plus inclusive. Qu’on le veuille ou non, avec ce règlement, l’UE établit la norme « de facto » pour l’IA digne de confiance, l’atténuation des risques liés à l’IA et l’IA responsable. Toutes les autres régions ne peuvent que rattraper leur retard.«
Des applications interdites
Les nouvelles règles interdisent certaines applications fondées sur l’IA qui menacent les droits des citoyens, y compris les systèmes de catégorisation biométrique utilisant des caractéristiques sensibles et l’extraction non ciblée d’images faciales sur Internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale. L’utilisation des systèmes d’identification biométrique par les services répressifs est en principe interdite, sauf dans des situations clairement énumérées et étroitement définies.
Des obligations pour les systèmes à haut risque
Des obligations strictes ont aussi été prévues pour les systèmes d’IA à haut risque (en raison de leur préjudice potentiel important pour la santé, la sécurité, les droits fondamentaux, l’environnement, la démocratie et l’État de droit). Parmi les domaines d’utilisation à haut risque de l’IA figurent les infrastructures critiques, l’éducation et la formation professionnelle, l’emploi, les services privés et publics essentiels (par exemple, les soins de santé et les banques), certains systèmes d’application de la loi, la gestion des migrations et des frontières, la justice et les processus démocratiques (par exemple, lorsque l’IA est utilisée pour influencer les élections).
Des exigences de transparence
Les systèmes d’IA à usage général et les modèles sur lesquels ils sont basés devront respecter des exigences de transparence et la législation européenne sur les droits d’auteurs, ainsi que la publication de résumés détaillés des contenus utilisés pour leur entraînement. Les systèmes d’IA à usage général plus puissants présentant un risque systémique seront soumis à des exigences supplémentaires. « Par exemple, des évaluations de modèles devront être effectuées, les risques systémiques devront être évalués et atténués et les incidents devront être signalés. » De plus, les images et les contenus audio et vidéo artificiels ou manipulés (aussi appelés « deep fakes ») doivent être clairement signalés comme tels.
Les entreprises vont devoir se préparer…
Comment les organisations peuvent-elles se préparer à la nouvelle réglementation en matière d’IA ?
Pour Enza Iannopollo, analyste chez Forrester – « L’effet extraterritorial des règles, les amendes élevées et l’omniprésence des exigences dans la « chaîne de valeur de l’IA » signifient que la plupart des organisations mondiales utilisant l’IA doivent – et vont – se conformer à la loi. Certaines de ses exigences seront prêtes à être appliquées dans le courant de l’année. Il y a beaucoup à faire et peu de temps pour le faire. Les organisations doivent constituer leur « équipe de conformité à l’IA » pour commencer. Répondre efficacement aux exigences nécessitera une forte collaboration entre les équipes, de l’informatique et des données, au juridique et à la gestion des risques, ainsi qu’un soutien étroit de la part de la C-suite. »
Pour Keith Fenner, SVP et GM EMEA chez Diligent, spécialiste de la conformité – « Le risque d’amendes élevées, pouvant atteindre jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial en cas de violation, souligne l’importance croissante de la mise en conformité et de son maintien. Pour se préparer au mieux, les professionnels de la gouvernance, de gestion des risques et de la conformité (GRC) doivent élaborer et mettre en œuvre une stratégie de gouvernance de l’IA. Ce qui implique d’identifier, de classer et de catégoriser les systèmes d’IA qu’ils utilisent ou qui sont en développement sur la base de ce nouveau cadre réglementaire.
En outre, les chefs d’entreprise et les professionnels de la GRC devront procéder à des évaluations des lacunes pour déterminer si les politiques et réglementations actuelles en matière de confidentialité, de sécurité et de risque peuvent être appliquées à l’IA. L’objectif est d’établir un cadre de gouvernance solide, englobant à la fois les solutions d’IA internes et fournies par des tiers. »
