Conformité au règlement européen sur l’IA

Le règlement européen sur l’IA est entré en vigueur. Qu’est-ce que cela signifie pour vous et votre entreprise ?

L’intelligence artificielle (IA) transforme les entreprises comme jamais auparavant. Elle est utilisée dans un large éventail de secteurs : solutions de santé personnalisées, véhicules autonomes, assistants numériques intelligents, etc. Cependant, à mesure que l’IA se démocratise, on commence à s’inquiéter de son impact sur les droits, les réglementations et les pratiques éthiques. En réponse à ces préoccupations, l’Union européenne (UE) a introduit de nouvelles règles pour encadrer le développement et l’utilisation de l’IA.

Le règlement européen sur l’intelligence artificielle (IA) est la première réglementation clairement établie sur l’IA.
 

Règlement européen sur l’IA : qui est concerné ?

Le règlement européen sur l’IA concerne toutes les entreprises opérant au sein de l’Union européenne, qu’elles soient : 

• impliquées dans le développement (fournisseurs)
• utilisatrices (déployeurs) 
• importatrices 
• distributrices
• ou impliquées dans la fabrication de systèmes d’IA. 
   

La nouvelle législation les tient responsables du respect des règles définies. Elles doivent donc s’assurer que leurs pratiques en matière d’IA sont conformes aux exigences décrites dans le règlement européen sur l’IA.

Systèmes d’IA à risque élevé : exigences de conformité et sanctions

Le règlement sur l’IA suit une approche basée sur le risque, qui classe les systèmes d’IA en quatre catégories de risque, chacune ayant son propre ensemble d’exigences. Selon la catégorie de risque, un système d’IA est automatiquement interdit ou soumis à des exigences plus ou moins strictes. 

• Les systèmes d’IA qui mettent en danger la sécurité, les droits ou la vie privée entrent dans la catégorie « risque inacceptable » et ne sont plus autorisés. Par exemple, les systèmes d’IA dédiés à la notation sociale ou qui exploitent les vulnérabilités des personnes.  
• Les systèmes d’IA qui utilisent l’IA dans des domaines essentiels tels que la santé, la sécurité et les droits fondamentaux entrent dans la catégorie « risque élevé ». On peut citer entre autres les systèmes d’IA utilisés dans les dispositifs médicaux, les processus de recrutement ou la notation de crédit. Les entreprises qui travaillent avec un système d’IA à risque élevé doivent respecter des exigences strictes en matière de politique des données, de transparence, de surveillance humaine et d’exactitude.
• Les systèmes d’IA qui présentent des risques modérés, tels que les agents conversationnels ou l’identification biométrique, entrent dans la catégorie « risque limité » et doivent faire preuve de transparence. Par exemple, les utilisateurs doivent être informés qu’ils interagissent avec une IA et non un être humain.
• La catégorie « risque minimal » regroupe la majorité des applications d’IA, telles que l’IA dans les jeux vidéo ou les processus automatisés simples. Ces systèmes sont soumis à une réglementation minimale en raison du faible risque qu’ils représentent.

Le règlement européen sur l’IA comprend également des règles spécifiques supplémentaires qui s’appliquent aux modèles d’IA générative. Ces règles ont été pensées pour répondre aux risques et aux défis uniques posés par les systèmes d’IA générative en matière de transparence, de gestion des risques, d’exigences de sécurité, de gouvernance des données, d’atténuation des biais et de documentation technique.   

Préparation pour se conformer au règlement européen sur l’IA

Votre entreprise utilise ou propose des solutions d’IA ? Elle devra donc respecter plusieurs exigences de conformité. 

D’abord, les entreprises doivent évaluer si elles ont des systèmes d’IA, qu’ils soient en cours d’utilisation, en cours de développement ou en cours d’achat auprès de fournisseurs tiers. Si tel est le cas, elles doivent répertorier ces systèmes d’IA dans un référentiel. Sur la base de ce référentiel, les systèmes d’IA peuvent être classés par risque.

Cela implique de répondre à des exigences strictes en matière de gestion des risques, de traitement des données, de transparence et de surveillance humaine. Les entreprises doivent également conserver une documentation technique. En conséquence, de nouvelles normes industrielles relatives à l’IA sont en cours d’élaboration pour aider les entreprises à se conformer à la réglementation.   
 

Échéances clés du règlement européen sur l’IA

Le règlement sur l’IA est entré en vigueur le 1er août 2024 et sera mis en œuvre étape par étape. En voici les dates clés :

• 2 février 2025 : 
  • il est interdit d’utiliser ou de créer des systèmes à risque élevé ; 
  • nouvelle obligation générale : les employés qui manipulent des systèmes d’IA doivent avoir des connaissances suffisantes à leur sujet.
• 2 août 2025 : entrée en application des règles pour les systèmes d’IA générative.
• 2 août 2026 : les systèmes à risque élevé doivent être conformes. 
• 2 août 2027 : les systèmes d’IA intégrés dans des produits réglementés (appelés « produits NFL », tels que les dispositifs médicaux, les machines, les ascenseurs et les jouets) doivent être conformes.  

Sanctions prévues par le règlement européen sur l’IA

Le non-respect du règlement européen sur l’IA peut entraîner des amendes importantes allant de 750 000 euros à 35 millions d’euros ou représentant 1 à 7 % du chiffre d’affaires annuel mondial de l’entreprise. Il est donc essentiel que les entreprises aient une parfaite compréhension des dispositions du règlement sur l’IA et qu’elles se conforment à ses exigences afin d’éviter de telles sanctions.
Les règles continueront à évoluer à mesure que de nouvelles technologies et de nouveaux risques associés à l’IA apparaîtront. Il incombe aux entreprises de se tenir informées et de maintenir leurs systèmes d’IA à jour pour garantir leur conformité.