Le XXIe siècle a vu l’avènement de nombreuses nouvelles technologies numériques, en grande partie grâce au développement d’Internet et de différentes formes d’intelligences artificielles. La vie quotidienne des individus est aujourd’hui rythmée par leur utilisation. Pour autant, il existe encore peu de textes légaux visant à encadrer l’exploitation de ces systèmes.

Avec la multiplication et l’essor de l’utilisation des systèmes d’IA dans le monde est ainsi apparu le besoin de protéger les individus. Dans cette optique, la Commission Européenne a adopté le 12 juillet 2024 le Règlement 2024/1689 établissant des règles harmonisées concernant l’intelligence artificielle, aussi appelé « IA Act ». L’objectif de la Commission est alors de préserver les libertés fondamentales des individus, qui utilisent de plus en plus fréquemment des systèmes d’IA et se trouvent de ce fait exposés de manière exponentielle à de possibles violations de leurs libertés.

La Commission Européenne donne un certain nombre de définitions dans le chapitre I du règlement, notamment celle de la notion de système d’intelligence artificielle (« un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels »), de risque, ou encore de fournisseur et de déployeur.

Les principes mis en place dans les chapitres suivants visent dans leur globalité à éviter et/ou limiter les discriminations et à préserver les libertés fondamentales des citoyens.

Le règlement comporte quatre axes principaux :

• il introduit la notion de risque et classe les IA en fonction du risque qu’elles présentent ;
• il fait peser de nouvelles obligations sur les acteurs du secteur (la plupart sur les fournisseurs d’IA) ;
• il définit la notion d’utilisateur (« déployeur » dans le règlement) en la distinguant de celle d’ « utilisateur final » ;
• il encourage la mise en place de codes de pratique par les fournisseurs d’IA à usage général.

La notion de risque appliquée à l’IA

Le risque, défini dans le règlement comme « la combinaison de la probabilité d’un préjudice et de la sévérité de celui-ci », est érigé par la Commission en critère de classement des IA.

Ainsi, les risques qualifiés d’inacceptables sont interdits. Cela comprend notamment les systèmes de notation sociale ou ceux ayant recours à des techniques subliminales par exemple. Ces systèmes sont listés dans le chapitre II, article 5 du règlement.

Les IA présentant un haut risque sont règlementées dans l’article 6 du chapitre II. Il s’agit des systèmes remplissant deux conditions cumulatives :

1. le système d’IA est un composant de sécurité d’un produit listé à l’annexe 1 du règlement ou est destiné à être utilisé comme tel, et
2. le produit en question ou le système d’IA lui-même en tant que produit est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit.

De nouvelles obligations pour les fournisseurs et déployeurs de systèmes d’IA

La Commission fait peser sur les différents acteurs du secteur, des obligations plus ou moins contraignantes, en fonction du rôle dudit acteur et du niveau de risque que présente le système d’IA en question. La Commission distingue les fournisseurs (développeurs), les déployeurs (utilisateurs) et les distributeurs ainsi :

3) « fournisseur », une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ;

4) « déployeur », une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel ; (…)

7) « distributeur », une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union ;

Les utilisateurs au sens de la notion de déployeurs sont donc des personnes physiques ou morales qui déploient un système d’IA à titre professionnel, et non des utilisateurs finaux, qui eux utilisent les systèmes d’IA à titre non-professionnel.

Lorsque le système d’IA fourni est à haut risque, les fournisseurs doivent respecter un certain nombre d’obligations afin que les systèmes d’IA puissent être mis sur le marché. Par exemple, il peut s’agir de mettre en place un système de gestion de la qualité pour s’assure de la conformité de l’IA au règlement, ou encore d’assurer la gouvernance des données (chapitre II, articles 8 à 17). Les déployeurs se voient également contraints par le règlement à respecter certaines obligations lorsque le système d’IA déployé est à haut risque, mais ces obligations sont moins contraignantes que celles mises à la charge des fournisseurs.

Enfin, les fournisseurs de systèmes d’IA dont le risque est limité se voient soumis à des obligations de transparence plus légères (par exemple, l’utilisateur final doit comprendre qu’il a affaire à une intelligence artificielle lors de l’utilisation de chatbot).

L’encadrement des modèles d’IA à usage général

Le règlement définit les modèles d’IA à usage général (« modèle GPAI ») comme « un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché ».

Tout programme ayant été utilisé pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché ne sont ainsi pas qualifiés de « modèle GPAI » et ne se voient pas appliquer le régime prévu pour ces modèles par le règlement.

Ces modèles GPAI peuvent être intégrés dans des systèmes d’IA à haut risque ou peuvent eux-mêmes être considérés comme tels.

Par l’ajout de dispositions les concernant, la Commission entend règlementer l’usage de ces modèles, et fait ainsi peser sur leur fournisseur des obligations afin de protéger les utilisateurs finaux, telles que rédiger la documentation technique du système, ou encore établir une politique de respect de la directive sur le droit d’auteur.

L’encouragement à la mise en place de codes de conduite

Enfin, la Commission encourage dans ce règlement la mise en place de codes de conduite par les fournisseurs de systèmes d’IA. Elle y liste dans l’article 95 du règlement les sujets à y aborder.

La mise en place de ces codes de conduite permettrait de favoriser l’application volontaire aux systèmes d’IA autres que les systèmes d’IA à haut risque de tout ou partie des exigences énoncées dans le règlement par les fournisseurs et les déployeurs.

Calendrier de mise en œuvre (source)

-> publication de la loi au JO le 12 juillet 2024,

-> date d’entrée en vigueur : 1^e août 2024 (les exigences de la loi ne s’appliquent pas immédiatement mais commenceront à s’appliquer progressivement).

2 février 2025 : les interdictions relatives à certains systèmes d’IA commencent à s’appliquer

2 mai 2025 : date buttoir d’élaboration des codes de pratique

2 août 2025 :

• Application : les règles suivantes commencent à s’appliquer :
  – Organismes notifiés(chapitre III, section 4),
  – Modèles GPAI(chapitre V),
  – Gouvernance(chapitre VII),
  – Confidentialité(article 78)
  – Sanctions (articles 99 et 100)
• Fournisseurs : les fournisseurs de modèles GPAI qui ont été mis sur le marché / mis en service avant cette date doivent se conformer à la loi sur l’IA d’ici le 2 août 2027.
• États membres : délai pour que les États membres désignent les autorités nationales compétentes (autorités de notification et autorités de surveillance du marché), les communiquent à la Commission et mettent leurs coordonnées à la disposition du public.
• États membres : délai pour que les États membres fixent les règles relatives aux sanctions et aux amendes, les notifient à la Commission et veillent à ce qu’elles soient correctement mises en œuvre.

2 février 2026

• Commission : délai pour que la Commission fournisse des lignes directrices précisant la mise en œuvre pratique de l’article 6, y compris le plan de surveillance après la mise sur le marché.

2 août 2026 :

• Application : les autres dispositions de la loi sur l’IA sont applicables, à l’exception de l’article 6 «  Règles de classification des systèmes d’IA à haut risque », paragraphe 1.
• Exploitants : Le règlement s’applique aux exploitants de systèmes d’IA à haut risque (autres que les systèmes visés à l’article 111 « Systèmes d’IA déjà mis sur le marché ou mis en service et modèles d’IA à usage général déjà mis sur le marché», paragraphe 1), mis sur le marché ou mis en service avant cette date. Toutefois, il ne s’applique qu’aux systèmes dont la conception est modifiée de manière significative à partir de cette date.
• États membres : les États membres veillent à ce que leurs autorités compétentes aient mis en place au moins un bac à sable réglementaire en matière d’IA au niveau national. Ce bac à sable devrait être opérationnel à cette date.

(…)

Liens utiles 

• Lien vers le texte de l’IA Act ici.
• Lien vers le calendrier complet de la mise en œuvre de l’IA Act ici.