EY désigne l’organisation mondiale des sociétés membres d’Ernst & Young Global Limited, et peut désigner une ou plusieurs de ces sociétés membres, lesquelles sont toutes des entités juridiques distinctes. Ernst & Young Global Limited, société à responsabilité limitée par garanties du Royaume‑Uni, ne fournit aucun service aux clients.
Recherches récentes
Tendances
La loi sur l’IA de l’UE est une loi historique visant à réglementer l’utilisation de l’intelligence artificielle dans l’UE et ailleurs. Découvrez comment elle s’applique à vous.
En bref
- La loi sur l’IA de l’UE s’applique à toutes les organisations qui développent, déploient, importent ou distribuent des modèles ou des systèmes d’IA dans l’UE.
- Les systèmes d’IA sont classés en fonction des risques qu’ils présentent avec différents niveaux d’obligations de conformité.
- Les organisations doivent prendre les mesures nécessaires pour respecter la loi, sous peine d’importantes amendes.
La loi sur l’intelligence artificielle (IA) de l’Union européenne (UE), qui prend effet le 1er août 2024, unifie la réglementation de l’IA dans les 27 États membres du marché unique. La loi a plusieurs grands objectifs. Elle cherche à utiliser des mécanismes juridiques pour protéger les droits fondamentaux et la sécurité de la population de l’UE lorsqu’elle est exposée à l’IA; à encourager l’investissement et l’innovation dans la technologie; et à développer un marché unique et non fragmenté pour « des applications d’IA légales, sûres et dignes de confiance ».
Qui est visé par la loi?
La loi vise tous les systèmes d’IA qui ont une incidence sur les personnes dans l’UE et toutes les organisations dans la chaîne de valeur, qu’il s’agisse de développeurs, de déployeurs, d’importateurs ou de distributeurs. Fondamentalement, la loi est extraterritoriale, ce qui signifie qu’il n’est pas nécessaire que les entités se trouvent dans l’UE pour qu’elle soit applicable. En général, la loi ne s’applique pas rétroactivement, mais dans certains cas, les modèles et les systèmes d’IA mis sur le marché avant l’entrée en vigueur de la loi devront s’y conformer.
Quels sont les points clés de la loi?
La loi oblige les organisations à remplir certaines obligations, qui dépendent en grande partie du niveau de risque que présente l’utilisation de leurs systèmes d’IA. Il existe deux systèmes de classification des risques : l’un pour les modèles d’IA à usage général et l’autre pour les autres systèmes d’IA.
Les risques créés par les systèmes d’IA sont classés en trois niveaux principaux : un risque inacceptable, un risque élevé et un risque minimal. Chaque niveau comporte différentes exigences en matière de conformité, qui sont résumées ci‑dessous.
Niveau de risque |
Description |
Niveau de conformité |
Voici quelques exemples de cas d’utilisation : |
|---|---|---|---|
|
Risque inacceptable |
Systèmes d’IA qui présentent des risques inacceptables pour la sûreté, la sécurité et les droits fondamentaux des personnes. |
Risque inacceptable |
1. Notation sociale pouvant conduire à un traitement préjudiciable
2. Systèmes de reconnaissance des émotions sur le lieu de travail
3. Surveillance prédictive des personnes
(Certaines exemptions s’appliqueront.) |
|
Risque élevé |
Utilisation permise, sous réserve du respect des exigences de la loi sur l’IA de l’UE (y compris les évaluations de la conformité avant la mise sur le marché) |
Niveau important |
Utilisation de l’IA en :
1. Recrutement
2. Systèmes de surveillance par identification biométrique
3. Sécurité des infrastructures essentielles (p. ex. énergie et transports) |
|
Risque minimal |
Utilisation permise, sous réserve d’obligations particulières de transparence et d’information lorsque l’utilisation présente un risque limité |
Niveau limité |
1. Robots conversationnels
2. Contenus visuels ou audio manipulés par l’IA |
|
Risque minimal |
Utilisation permise, sans exigences supplémentaires lorsque l’utilisation présente un risque minimal |
Niveau minimal |
1. Logiciel d’édition photo
2. Systèmes de recommandation de produits
3. Logiciel de filtrage des pourriels |
Les modèles d’IA à usage général, dont ceux fondés sur l’IA générative, sont également régis par une approche à plusieurs niveaux, mais dans un cadre de classification distinct appliquant des exigences de transparence supplémentaires. Les obligations les plus strictes s’appliquent aux modèles d’IA à usage général les plus puissants présentant un « risque systémique ».
Niveau |
Description |
Niveau de conformité |
|---|---|---|
|
Risque de base |
Modèles répondant à la définition de l’IA à usage général |
Obligations de transparence limitées (plus de détails disponibles ici) |
|
Risque systémique |
Les modèles d’IA à usage général à fort impact présentant un risque systémique sont provisoirement recensés sur la base de la quantité cumulée de calcul utilisée pour leur entraînement (dont la puissance mesurée d’opérations en virgule flottante est supérieure à 1025). Un modèle peut également être classé dans ce niveau sur la base d’une décision de la Commission selon laquelle un modèle d’IA à usage général a des capacités ou un impact équivalents à ceux ci‑dessus. |
Obligations importantes (plus de détails ici) |
Quand la loi entre‑t‑elle en vigueur?
La loi sur l’IA de l’UE entre en vigueur le 1er août 2024, mais ses obligations de conformité s’appliqueront graduellement sur plusieurs années. Par exemple, les organisations doivent respecter les interdictions de la loi sur l’IA de l’UE dans un délai de six mois (2 février 2025) et s’assurer qu’elles sont en conformité avec la plupart des obligations de l’IA à usage général dans un délai d’un an (2 août 2025). Les organisations doivent remplir la plupart des autres obligations dans un délai de deux ans (2 août 2026).
Quelles sont les sanctions en cas de non‑conformité?
Les sanctions sont importantes. Une entreprise s’expose à une amende pouvant aller jusqu’à 35 millions d’euros ou à 7 % de son chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu, pour le non‑respect de l’interdiction frappant les exigences relatives aux systèmes d’IA présentant des risques inacceptables. La non‑conformité aux exigences relatives aux systèmes d’IA à risque élevé pourrait entraîner une amende pouvant aller jusqu’à 15 millions d’euros, soit 3 % du chiffre d’affaires annuel mondial, là encore en fonction du montant le plus élevé. La fourniture d’informations inexactes ou trompeuses aux organismes de réglementation est passible d’une amende pouvant aller jusqu’à 7,5 millions d’euros, soit 1 % du chiffre d’affaires annuel mondial.
Il est bon de noter que la plupart des systèmes d’IA déjà sur le marché (autres que ceux interdits) n’auront pas à être conformes rétroactivement, à moins qu’ils n’aient fait l’objet d’importantes modifications après les dates d’application.
Que devez‑vous faire pour vous préparer à la loi?
Envisagez les actions suivantes :
1. Dresser un inventaire de tous les systèmes d’IA que vous avez – ou prévoyez d’avoir – et déterminer si certains d’entre eux entrent dans le champ d’application de la loi sur l’IA de l’UE.
2. Évaluer et catégoriser les systèmes d’IA concernés afin de déterminer leur classification des risques et d’identifier les exigences de conformité applicables.
3. Comprendre la position de votre organisation dans les chaînes de valeur de l’IA concernées, les obligations de conformité associées et la manière dont elles seront respectées. Intégrer la conformité dans toutes les fonctions pertinentes de la chaîne de valeur pendant tout le cycle de vie du système d’IA.
4. Réfléchir aux autres questions, risques et possibilités que la loi sur l’IA de l’UE pose à vos activités et à votre stratégie.
- Les risques comprennent l’interaction avec d’autres réglementations de l’UE ou de pays tiers, y compris celles sur la confidentialité des données.
- Les possibilités pourraient inclure l’accès à des canaux de recherche et de développement de l’IA. L’UE met en place des « bacs à sable » où les innovateurs, les petites et moyennes entreprises, et d’autres acteurs peuvent choisir d’expérimenter, de tester, d’entraîner et de valider leurs systèmes sous surveillance réglementaire avant de les mettre sur le marché.
5. Élaborer et exécuter un plan pour s’assurer que les cadres de responsabilisation et de gouvernance, les systèmes de gestion et de contrôle des risques, la gestion de la qualité, la surveillance et la documentation appropriés sont en place lorsque la loi entrera en vigueur.
Résumé
La conformité à la loi sur l’IA de l’UE nécessitera une grande préparation pour les organisations concernées, en particulier celles qui développent des systèmes d’IA à risque élevé et d’IA à usage général. Cependant, la loi sur l’IA de l’UE établit une base commune en matière de confiance, de transparence et de responsabilité pour cette technologie en plein développement.