Le 27 mars dernier, NAVEX a eu le privilège de pouvoir discuter durant près d’une heure avec trois experts reconnus sur le thème de « L’éthique et la conformité en France : Anticiper les risques émergents* ». Parmi les sujets abordés durant ce webinar se trouvait l’intelligence artificielle et c’est Clara Ripault, avocate spécialisée dans le digital, les nouvelles technologies et la cybersécurité, qui a couvert cette partie. Au vu du nombre de réactions suscitées par les participants, il est clairement évident que ces deux lettres, IA, intriguent et font beaucoup parler !
C’est donc pourquoi nous avons demandé à Maitre Ripault de bien vouloir nous apporter un éclairage supplémentaire en répondant à vos questions**, posées durant le webinaire.
L’IA Act est-il un règlement européen, par opposition à une directive ?
Il convient de noter que l’AI Act est un règlement européen, et non une directive. Cela implique qu’il est applicable directement et de manière uniforme dans l’ensemble des États membres de l’Union européenne. En conséquence, l’AI Act ne nécessite pas de transposition dans l’ordre juridique national de chaque État membre. L’objectif de l’AI Act en tant que règlement est de garantir une harmonisation complète des règles de l’IA sur le marché européen, en prévenant toute divergence potentielle, résultant d’une mauvaise interprétation du règlement par les juridictions nationales.
Quelles sont les IA interdites ?
Les intelligences artificielles faisant l’objet d’une interdiction sont énumérées à l’article 5 de l’AI Act. En effet, l’article énonce que toute IA représentant une menace pour les droits fondamentaux est, par conséquent, proscrite. Parmi les intelligences artificielles dont l’utilisation est interdite, on retrouve : les systèmes de notation sociale par les autorités publiques, à l’instar du crédit social chinois, les intelligences artificielles qui exploitent les vulnérabilités de groupes spécifiques, résultant de leurs origines ou âges, ainsi que les systèmes de reconnaissance biométrique à distance en temps réel dans les espaces publics. Toutefois, il existe des exceptions à ces interdictions. Elles sont strictement encadrées et précisées au sein du même article.
Les IA utilisées pour le fonctionnement autonome des véhicules sont-elles couvertes par l’IA Act ?
En vertu de l’annexe I et de l’article de l’AI Act, certains systèmes d’IA utilisés en lien avec les véhicules à moteur et leurs remorques et la sécurité générale des véhicules, peuvent être considérés comme des systèmes d’IA à haut risque. En particulier, tel est le cas lorsque le système d’IA est employé comme composant de sécurité soumis à une évaluation de conformité avant sa mise sur le marché. Cette couverture ne s’étend donc pas à l’ensemble des IA utilisées pour le fonctionnement autonome des véhicules mais uniquement à ceux qui répondent aux critères mentionnés précédemment
Pouvez-vous donner des exemples des différents types d’IA ?
L’AI Act classe les systèmes d’intelligence artificielle en fonction de leur dangerosité. Cette classification s’organise selon une hiérarchie pyramidale, à la manière de la hiérarchie des normes élaborée par Kelsen. On dénombre quatre types d’IA :
| Niveau d'IA | Exemples | Définition |
| Interdites | Notation sociale Reconnaissance faciale | Risque inacceptable pour les droits fondamentaux, la sécurité et les valeurs démocratiques de l'UE |
| Haut risques | Systèmes biométriques Recrutement | Risque élevé pour la santé, la sécurité ou les droits fondamentaux des personnes, mais dont les avantages socio-économiques potentiels sont jugés supérieurs |
| Risque specifique | Chatbots Génération de contenu artificiel | Risque en matière de transparence. Soumises à des exigences d’information et de transparence renforcées |
| Risque minimal | IA à usage general Jeux video Interfaces de e-commerce | Elles ne sont pas soumises à des obligations issues de l’AI Act |
Parallèlement à cette construction pyramidale, on distingue deux catégories de modèles d’IA à usage général. La première inclut les modèles d’IA à usage général, tandis que la seconde englobe de tels modèles présentant un risque systémique. Ces deux catégories permettent d’englober les modèles d’IA génératives actuellement très utilisés.
Quelle est la différence entre fournisseur et « déployeur » ?
La distinction entre le fournisseur et le déployeur peut paraître complexe, mais elle n’en demeure pas moins fondamentale dans l’application pratique de l’AI Act. Cette différenciation est en effet essentielle pour identifier les obligations qui s’appliquent aux différentes parties prenantes.
Le fournisseur correspond à l’entité qui développe ou fait développer un système ou un modèle d’IA et qui le met sur le marché ou en service.
Le déployeur correspond à l’entité qui utilise un système d’IA sous sa propre autorité.
A titre d’exemple, dans le cas d’usage suivant : Une société A développe et vend un système d’IA ayant pour fonction de trier les CV des différents candidats. Une société B achète ce système et l’utilise dans le cadre de son process de recrutement. La société A est considérée comme le fournisseur tandis que la société B est considérée comme le déployeur.
Pensez-vous que le droit européen de l’IA renforce « l’effet Bruxelles » ?
Il est certain que, après l’adoption de la loi sur l’IA, de nombreux pays se sont également penchés sur la question. En tant que précurseuse, l’Europe a servi de modèle à plusieurs autres pays souhaitant s’aligner avec le marché européen, comme le Brésil, la Corée du Sud et l’Etat du Colorado. En outre, d’autres pays ces pays ont établi une stratégie nationale en matière d’intelligence artificielle et prévoient de légiférer dans ce domaine au cours des prochaines années (Pays du Golf, Pérou, Canada)
À titre d’exemple, l’Etat du Colorado a développé sa propre loi sur l’IA, largement inspirée de la réglementation européenne. Cette réglementation reprend notamment la pyramide des risques de la réglementation européenne en matière d’intelligence artificielle.
Néanmoins, il convient de souligner que l’AI Act est un règlement adopté relativement récemment. Par conséquent, il est difficile, à l’heure actuelle, d’évaluer son impact à l’échelle mondiale. Il n’est cependant pas exclu d’avancer l’hypothèse que dans un avenir proche, l’influence de cette réglementation puisse atteindre une portée comparable à celle du RGPD.
Si nous sommes uniquement utilisateur d’IA, quelles sont les obligations vis-à-vis de l’IA Act ?
Les obligations varient en fonction de l’utilisation de l’IA et du type d’IA sur lequel l’utilisateur interagit. Il incombe aux utilisateurs d’IA (entreprises ou organisations recourant à l’IA) de veiller à la bonne fonctionnalité des systèmes afin d’éviter toute discrimination ou atteinte aux droits fondamentaux. Dans certains cas, ils sont également tenus de garantir la transparence vis-à-vis de leurs clients, en précisant si des interactions ou contenus sont générés par une IA.
À titre d’illustration, l’emploi d’une IA à haut risque dans des contextes professionnels tels que les administrations, les ressources humaines ou la médecine requiert une supervision rigoureuse. Selon les cas d’usage, il peut être nécessaire de déclarer systématiquement les incidents, ainsi que de communiquer explicitement de l’utilisation de l’IA.
Quel est l’organisme chargé de veiller à la conformité de l’IA ?
Selon l’article 64 de l’AI Act, un bureau de l’IA (ou office de l’IA) est instauré en vue du développement d’une gouvernance IA à l’échelle européenne Cet organe intégré à la Commission Européenne, sera investi de la responsabilité de superviser et d’assurer l’application des prérogatives énoncés dans l’AI Act. En outre, le bureau facilitera également la coopération internationale et l’harmonisation réglementaire au sein de l’Union Européenne.
Sur le plan national, les articles 28, 70 et 77 de l’AI Act disposent que les États membres sont tenus de désigner ou d’instaurer trois catégories d’autorités pour la mise en œuvre de l’AI Act :
- Une autorité de surveillance du marché. Elles doivent être désignées par les Etats membres avant le 2 août 2025
- Une autorité notifiante chargée de la procédure d’évaluation, de désignation et de notification des organismes d’évaluation de la conformité de l’IA. Elles doivent être désignées par les Etats membres avant le 2 août 2025
- Une autorité publique nationale chargée de veiller au respect des droits fondamentaux dans les États membres
*Le webinar sera disponible à la demande 30 jours après sa production, soit des le 26 avril 2025. Le lien sera ajoute à cet article
**Pour des raisons de confidentialité, l’anonymat des auteurs des questions a été préservé
