Quelles sont les mesures importantes du nouveau règlement européen sur l’intelligence artificielle (« IA ») ?

Interdictions, sanctions, obligations, contrôles… Notre avocat Alexandre Pelletier décrypte les principales mesures du nouveau règlement de l’Union européenne sur l’intelligence artificielle.

Le règlement européen (UE) 2024/1689 du 13 juin 2024, établissant des règles harmonisées concernant l’intelligence artificielle, a été publié au Journal Officiel de l’Union Européenne (« UE ») le 12 juillet dernier. Il a pour objectif d’établir un cadre juridique harmonisé au sein de l’UE, en particulier pour le développement, la mise sur le marché, la mise en service et l’utilisation de systèmes d’IA dans l’UE, dans le respect des valeurs de l’UE, et de promouvoir l’adoption de l’IA tout en garantissant notamment les droits consacrés dans la Charte des droits fondamentaux de l’UE.

Interdiction de certaines pratiques en matière d’IA

Le règlement européen interdit certaines pratiques, dont notamment les systèmes d’IA :

• ayant recours à des techniques subliminales, au-dessous du seuil de conscience d’une personne, ou à des techniques délibérément manipulatrices ou trompeuses¹;
• exploitant d’éventuelles vulnérabilités dues à l’âge, au handicap ou à la situation la situation sociale ou économique spécifique d’une personne physique ou d’un groupe de personnes donné² ;
• destinés à réaliser du scoring social³ et conduisant à certains traitements préjudiciables ou défavorables aux personnes concernées;
• destinés à évaluer ou à prédire le risque qu’une personne physique commette une infraction pénale, uniquement sur la base de son profilage ou de l’évaluation de ses traits de personnalité ou caractéristiques⁴;
• créant ou développant des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant d’internet ou de la vidéosurveillance;
• déduire les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement (sauf lorsque l’utilisation du système d’IA est destinée à être mise en place ou mise sur le marché pour des raisons médicales ou de sécurité) ;
• utilisant des systèmes de catégorisation biométrique qui classent individuellement les personnes physiques sur la base de leurs données biométriques afin d’arriver à des déductions concernant les points suivants (cette interdiction ne couvre pas l’étiquetage ou le filtrage d’ensembles de données biométriques acquis légalement, tels que des images, fondés sur des données biométriques ou la catégorisation de données biométriques dans le domaine répressif) :
  • leur race ;
  • leurs opinions politiques ;
  • leur affiliation à une organisation syndicale ;
  • leurs convictions religieuses ou philosophiques ;
  • leur vie sexuelle ou leur orientation sexuelle ;
• utilisant des systèmes d’identification biométrique à distance « en temps réel » dans des espaces accessibles au public à des fins répressives (sauf sous certaines exceptions strictement encadrées par le règlement européen⁵).

Obligations spécifiques pour les systèmes d’IA dits à « hauts risques »

Le règlement européen qualifie certains systèmes d’IA de systèmes dits à « hauts risques ». À ce titre, il impose de nombreuses obligations à différents acteurs (fournisseur, distributeur, importateur, déployeur⁶…).

Les systèmes d’IA à « hauts risques » font référence à :

• ceux qui sont utilisés comme composant de sécurité d’un produit couvert par certaines réglementations européennes (exemples : l’aviation, les voitures, les dispositifs médicaux, …) ou qui constituent eux-mêmes de tels produits et qui sont soumis à une évaluation de la conformité par un tiers en vue de la mise sur le marché ou la mise en service du produit ; et
• ceux qui sont spécifiquement visés à l’annexe III du règlement européen (l’identification biométrique à distance, la gestion et exploitation du trafic routier, la fourniture d’eau, de gaz, de chauffage, d’électricité, … ).

De nombreuses obligations doivent être respectées dans le cadre d’un système d’IA à « haut risque », parmi lesquelles :

• la mise en place d’un système de gestion des risques et d’un système de surveillance après commercialisation ;
• une obligation de notifier certains types d’incidents ou de dysfonctionnements dits « incidents graves » ;
• l’enregistrement dans une base de données de l’UE, accessible au public, de certaines informations sur le système d’IA ;
• le respect de critères de qualité concernant les jeux de données d’entraînement utilisés le cas échéant par le système d’IA pour s’entraîner ;
• l’enregistrement automatique des événements (« journaux ») pendant le fonctionnement du système ;
• la mise à disposition d’une notice d’utilisation aux déployeurs ;
• l’exigence d’un niveau approprié d’exactitude, de robustesse et de cybersécurité du système d’IA, …
• dans certains cas, la réalisation d’une analyse de l’impact sur les droits fondamentaux que l’utilisation du système d’IA à haut risque peut produire.

Le règlement européen prévoit néanmoins des exceptions à l’application de ces obligations. Ainsi, un système d’IA visé à l’annexe III n’est, par exemple, pas considéré comme étant à « haut risque » s’il ne présente pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, y compris s’il n’a pas d’incidence significative sur le résultat de la prise de décision.

Obligation de transparence pour certains types d’IA

Le règlement européen prévoit des obligations de transparence spécifiques pour les fournisseurs ou déployeurs de certains systèmes d’IA, comme ChatGPT ou Midjourney.

Les fournisseurs de systèmes d’IA destinés à interagir avec des personnes physiques (ChatGPT, par exemple) doivent veiller à ce que celles-ci soient informées du fait qu’elles interagissent avec un tel système, sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation (et sauf certaines exceptions prévues par le règlement européen).

Quant aux fournisseurs de systèmes d’IA qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, ils doivent veiller à ce que le contenu produit soit clairement marqué (dans un format lisible par machine) et identifiable comme ayant été généré ou manipulé par une IA (sauf certaines exceptions prévues par le règlement européen).

Concernant les systèmes de reconnaissance des émotions ou d’un système de catégorisation biométrique, leurs déployeurs doivent informer du fonctionnement du système les personnes physiques qui y sont exposées et traiter leurs données personnelles conformément à la réglementation européenne applicable (sauf certaines exceptions prévues par le règlement européen).

Des obligations spécifiques s’appliquent aussi aux systèmes d’IA qui génèrent ou manipulent des images (Midjourney, par exemple) ou des contenus audio ou vidéo présentant une ressemblance avec des personnes, des objets, des lieux ou d’autres entités ou événements existants et pouvant être perçus à tort comme authentiques ou véridiques (« hypertrucage » ou « deepfake »). Leurs déployeurs doivent préciser que les contenus ont été générés ou manipulés artificiellement (sauf certaines exceptions prévues par le règlement européen).

Modèles d’IA à usage général

Le règlement européen prévoit également certaines obligations pour les « modèles d’IA à usage général » (tels que ChatGPT4) et notamment ceux présentant des risques systémiques.

Un modèle d’IA est dit à usage général lorsqu’il est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval (à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché).

Les fournisseurs de modèles d’IA à usage général doivent par exemple élaborer et tenir à jour une documentation technique, tenir à disposition des fournisseurs de systèmes d’IA souhaitant intégrer leur modèle d’IA à usage général, des informations et de la documentation sur leur modèle d’IA à usage général, mettre en place une politique visant à se conformer au droit de l’UE en matière de droit d’auteur et de droits voisins, … Des obligations spécifiques sont prévues pour les modèles d’IA à usage général présentant des risques systémiques.

Mesure de soutien à l’innovation

Le règlement européen permet la création de « bacs à sable réglementaire de l’IA ».  Ce cadre contrôlé mis en place par une autorité compétente offre aux fournisseurs actuels ou potentiels de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu, en conditions réelles, un système d’IA innovant. Ce cadre est prévu pour une durée limitée et réalisé sous surveillance réglementaire.

Chaque Etat membre doit s’assurer de mettre en place au moins un bac à sable réglementaire au plus tard le 2 août 2026.

Les Etats membres doivent accorder aux PME et aux jeunes entreprises un accès prioritaire aux bacs à sable réglementaires de l’IA (s’ils remplissent les conditions d’éligibilité).

Autorité de contrôle et mise en place d’un comité européen

Chaque Etat membre doit désigner une autorité nationale afin d’assurer l’application et la mise en œuvre du règlement européen. En France, la CNIL sera probablement désignée comme autorité nationale.

Un Comité européen de l’intelligence artificielle est créé. Son rôle consiste notamment à :

• fournir des conseils et assister la Commission dans le cadre de la coopération avec les autorités de contrôle nationales,
• coordonner les orientations et analyses de la Commission sur les questions émergentes dans l’ensemble du marché intérieur,
• aider les autorités de contrôle nationales et la Commission à assurer une application cohérente du règlement européen.

Un Bureau de l’intelligence artificielle est également créé, permettant à la Commission de développer l’expertise et les capacités de l’Union dans le domaine de l’IA. Il sera notamment chargé de de contribuer à la mise en œuvre, au suivi et à la surveillance des systèmes et modèles d’IA à usage général et de la gouvernance de l’IA.

Sanction

Les Etats membres déterminent le régime des sanctions applicables aux violations du règlement européen.

Le règlement prévoit néanmoins certains plafonds en matière d’amendes administratives. À titre d’exemple, en cas de non-respect des pratiques interdites en matière d’IA, l’amende peut atteindre jusqu’à 35.000.000 euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7% de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, étant précisé que le montant le plus élevé est retenu.

Entrée en application échelonnée dans le temps

Le règlement européen, entré en vigueur le 1^er août 2024, prévoit un échelonnement de l’entrée en application des différentes mesures, dont notamment une première entrée en application à compter du 2 février 2025 (pour les interdictions relatives aux systèmes d’IA), puis une entrée en application échelonnée pour le reste (dont une entrée en vigueur générale le 2 août 2026, avec des exceptions), jusqu’au 2 août 2027, date à laquelle toutes les dispositions du règlement s’appliqueront.

Le cabinet M&B Avocats reste à votre disposition pour vous accompagner, en France et en Espagne, sur ces problématiques et l’application de ce règlement européen. 

Alexandre Pelletier

[1] Le règlement européen précise néanmoins que ce système d’IA n’est interdit que s’il a pour objectif ou effet d’altérer substantiellement le comportement d’une personne ou d’un groupe de personnes en portant considérablement atteinte à leur capacité à prendre une décision éclairée, amenant ainsi la personne à prendre une décision qu’elle n’aurait pas prise autrement, d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne, à une autre personne ou à un groupe de personnes.

[2] Le règlement européen précise néanmoins que ce système d’IA n’est interdit que s’il a pour objectif ou effet d’altérer substantiellement le comportement de cette personne ou d’un membre de ce groupe d’une manière qui cause ou est raisonnablement susceptible de causer un préjudice important à cette personne ou à un tiers.

[3] Le scoring social consiste à évaluer ou établir un classement de la fiabilité de personnes physiques au cours d’une période donnée en fonction de leur comportement social ou de caractéristiques personnelles ou de personnalité connues ou prédites

[4] Le règlement prévoit néanmoins une exception concernant les systèmes d’IA utilisés pour étayer l’évaluation humaine de l’implication d’une personne dans une activité criminelle, qui est déjà fondée sur des faits objectifs et vérifiables, directement liés à une activité criminelle.

[5] Exemples : recherche ciblée de victimes spécifiques d’enlèvement, de la traite ou de l’exploitation sexuelle d’être humains, recherche de personnes disparues, ….

[6] Toute personne physique ou morale, y compris une autorité publique, une agence ou un autre organisme, utilisant sous sa propre autorité un système d’IA, sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel.