Qu’est-ce que l’AI Act ?

Fév 24, 2023 | Tendances

L’AI Act : premier cadre juridique européen pour l’IA

Alors que des textes internationaux sont en train d’émerger sur le sujet, l’AI Act pose le premier cadre juridique en Europe sur l’intelligence artificielle. Le texte en encore en cours de discussion et devrait être adopté en 2023 pour être applicable en 2025.

Il s’inscrit dans le cadre de la mise en place de la stratégie numérique pour l’Europe comme d’autres textes :

  • Le Data Governance Act : adopté en 2022 et applicable en septembre 2023.
  • Le Digital Service Act : adopté en 2022 et applicable en février 2024.
  • Le Digital Market Act : adopté en 2022 et applicable en mai 2023.
  • Le Data Act : le vote de l’adoption de texte aura lieu en mars 2023.

La commission européenne définit l’Intelligence Artificielle comme « un logiciel qui est développé au moyen d’approches fondées sur l’apprentissage automatique, la logique et les connaissances ou sur les statistiques et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit. »

Cette règlementation fixe des règles à respecter pour la mise sur le marché de système d’intelligence artificielle afin d’assurer la sécurité juridique lors de leur utilisation et permettre aux utilisateurs de les utiliser dans un cadre de confiance.

[Livre Blanc] Intelligence Artificielle : réussir son architecture de fusion et décision

Qui est concerné par un l’AI Act ?

La mise en place d’un système d’intelligence artificielle implique de nombreux acteurs : les fabricants, les importateurs, les distributeurs et les utilisateurs. Ils sont tous pris en compte dans ce projet de texte sur l’intelligence artificielle, mais ils n’ont pas tous les mêmes responsabilités.

Le fournisseur de système d’IA, est défini comme « celui qui développe ou fait développer un système d’IA en vue de le mettre sur le marché ou de le mettre en service sous son propre nom ou sa propre marque, à titre gratuit ou onéreux ». Cet acteur assume la responsabilité de la conformité du système à toutes les règles qui sont fixées dans le règlement.

Les autres acteurs (distributeurs, importateurs, utilisateurs) : ils doivent également rester vigilants, car ils peuvent être responsables s’ils modifient de manière importante le système d’IA.

Il faut également noter que ce texte s’applique :

  • Aux fournisseurs de système d’IA situés dans l’UE,
  • Aux utilisateurs de système qui sont dans l’UE,
  • Aux fournisseurs hors de l’UE, mais dont les résultats du système sont utilisés dans l’UE.

Le cadre juridique présenté par l’IA Act

Le projet de règlement sur l’IA est construit sur une approche par le risque. On distingue alors 4 catégories de systèmes d’AI :

  • Les systèmes d’IA à risque inacceptable : ces IA sont interdites.
  • Les systèmes d’IA à risque élevé : ces IA sont soumises à des exigences strictes de conformité.
  • Les systèmes d’IA à risque limité : ces IA sont soumises à des exigences moindres et à une obligation de transparence.
  • Les systèmes d’IA à risque minimal : ces IA sont soumises à des recommandations de conformité et à un code de conduite.

Les systèmes d’IA à risque inacceptable

Le règlement européen énumère une liste de système d’IA à risque inacceptables, en voici quelques exemples :

  • Les systèmes qui permettent la manipulation mentale avec des effets sur les comportements.
  • Les systèmes qui exploitent les vulnérabilités de personnes.
  • Les systèmes qui sont destinés à évaluer ou à établir la notation de personne en fonction de leur comportement social ou de leurs caractéristiques personnelles.
  • Les systèmes qui permettent d’identification biométrique dans les lieux publics à des fins répressives.

Tous ces systèmes sont considérés comme des systèmes à risque inacceptable et sont interdits.

Les systèmes à haut risque

Les deux types d’IA à haut risque

Les systèmes d’IA à haut risque sont répartis en deux catégories :

  • Les systèmes d’IA qui sont des composants de sécurité de produit : ils ne peuvent être mis sur le marché que si le produit lui-même a fait l’objet d’une évaluation de conformité par un tiers autorisé. La conformité du système sera évaluée lorsque l’évaluation globale du produit sera réalisée. C’est le cas d’équipements médicaux, d’équipements automobiles ou encore de jouets utilisant une assistance vocale.
  • Les systèmes d’IA autonomes : ils sont listés selon la fonction exécutée par le système d’IA et le but dans lequel l’IA est utilisée. Ces listes sont réparties en plusieurs domaines d’utilisation, comme :
      • L’identification biométrique,
      • Les infrastructures critiques (comme les transports),
      • La formation éducative et professionnelle,
      • L’emploi et la gestion des travailleurs
      • La gestion de la migration et du contrôle aux frontières
      • L’administration de processus démocratique ou de la justice
      • Les services privés et publics essentiels (comme la notation de crédit)

Les exigences règlementaires associés aux systèmes d’IA à haut risque

Ces systèmes d’IA à haut risque sont autorisés, à condition de respecter certaines exigences :

  • La mise en place un système d’évaluation et de gestion des risques accompagné d’un contrôle et d’une surveillance par un humain.
  • La mise en place d’une gouvernance et une qualité de données élevée.
  • La sauvegarde des activités de l’IA pour assurer la traçabilité de ses résultats tout au long de son cycle de vie.
  • La rédaction d’une notice détaillée d’utilisation.
  • La rédaction d’une documentation complète pour permettre aux autorités d’évaluer la conformité du système.

Pour évaluer la conformité d’un système d’IA autonome, deux mécanismes sont en cours discussions :

  • Le premier consiste à faire évaluer la conformité du système par un organisme tiers notifié (comme l’AFNOR).
  • Le second consiste à autoévaluer son système d’IA, à condition qu’il existe des normes ISO prenant en compte l’ensemble des exigences de l’AI Act.

Si le système est conforme au règlement, il obtient une attestation « CE » qui permet d’attester de cette conformité. Aujourd’hui, le texte prévoit des attestations valide pendant 5 ans.

Les systèmes d’IA à risque limité et à risque minimal

Les autres systèmes d’IA sont soumis à des exigences bien moins contraignantes, ils ne sont pas soumis au besoin d’évaluation de conformité.

Les systèmes d’IA à risque limité : les fournisseurs de ces systèmes sont soumis à une obligation de transparence, c’est-à-dire qu’il doit informer les utilisateurs qu’ils interagissent avec une IA. Cela concerne les chabots, les systèmes susceptibles de détecter des émotions, ou encore des systèmes permettant des trucages vidéos.

Les systèmes d’IA à risque minimal : les fournisseurs de ces systèmes sont simplement encouragés à se conformer à des codes de conduites.

Conclusion

L’AI Act devrait être applicable en 2025, d’ici-là, les entreprises doivent se préparer en interne pour favoriser une mise en conformité rapide de leurs systèmes d’intelligence artificielle. Les métiers devront être acculturés et sensibilisés à ces nouvelles restrictions et aux changements qu’elles provoquent dans leurs projets existants. Les compétences internes devront être cartographiées pour évaluer les besoins d’évolution (via des formations ou du recrutement). Enfin, les entreprises devront évaluer, en amont, les besoins en termes d’outillage nécessaires pour assurer la conformité des systèmes.

Livre Blanc

Mise en œuvre d'une stratégie 
de qualité des données 

Livre Blanc

Feuille de route d'une stratégie
de Data Management 

Baromètre annuel de la data

Les priorités des décideurs
data en 2022 

Share This