AI Act : décryptage de la nouvelle réglementation européenne sur l’intelligence artificielle

Publié le 12/12/2024
AI Act : décryptage de la nouvelle réglementation européenne sur l’intelligence artificielle
tanaonte/AdobeStock

Dans un contexte de révolution technologique, l’intelligence artificielle (IA) se présente comme le catalyseur d’innovations sans précédent, entraînant une transformation profonde de nos sociétés et de nos économies. Cependant, face à cette progression fulgurante, une question essentielle se pose : comment réguler l’IA afin qu’elle puisse être utile à l’humanité sans compromettre nos valeurs fondamentales ? Le projet ambitieux de l’AI Act, une réglementation visant à concilier l’innovation et la protection des droits des citoyens, est une réponse de l’Europe à ce défi aussi passionnant qu’immense.

L’intelligence artificielle (IA) est au cœur des préoccupations législatives tant en France qu’en Europe, ainsi qu’à l’échelle internationale. Les réglementations existantes ou en préparation couvrent divers aspects de son utilisation, incluant la protection des données, la sécurité et l’éthique.

Le cadre européen : le projet d’AI Act

Au niveau européen, le projet d’AI Act est une régulation clé en cours d’élaboration. Cette proposition législative vise à encadrer l’utilisation de l’IA au sein de l’Union européenne en établissant des règles strictes pour protéger les droits des citoyens tout en favorisant l’innovation. L’AI Act repose sur trois principes fondamentaux :

• la protection des droits fondamentaux : en cohérence avec le RGPD, l’AI Act entend garantir que l’IA respecte les droits et les valeurs fondamentales de l’Union européenne ;

• la promotion de linnovation : l’objectif est de soutenir le développement de technologies d’IA tout en assurant un usage éthique et sécurisé ;

• l’harmonisation juridique : il s’agit de créer un cadre réglementaire cohérent à l’échelle européenne, appliqué uniformément dans tous les États membres.

Champ d’application de l’AI Act

Le projet d’AI Act concerne un large éventail d’acteurs impliqués dans le cycle de vie des systèmes d’IA, dès lors que leurs services sont distribués ou utilisés au sein de l’Union européenne. Trois catégories principales sont identifiées :

• les fournisseurs : créateurs ou développeurs de systèmes d’IA, responsables de la conformité technique de leurs produits avec les exigences réglementaires ;

• les distributeurs : entités qui commercialisent ou fournissent des solutions d’IA à d’autres organisations, tenues de vérifier que les systèmes respectent les normes en vigueur ;

• les utilisateurs : organisations qui intègrent directement des systèmes d’IA dans leurs processus internes, comme l’automatisation des tâches RH, le tri de CV ou la gestion de la relation client.

Ainsi, que l’on soit développeur, intégrateur ou utilisateur, l’AI Act impose des obligations spécifiques pour assurer une utilisation responsable et conforme des technologies d’IA.

Classification des risques

Un des éléments centraux de l’AI Act est la catégorisation des systèmes d’IA selon quatre niveaux de risque, déterminant les contraintes et obligations applicables :

• le risque inacceptable : ces systèmes sont strictement interdits. Ils incluent les IA utilisant des techniques subliminales pour manipuler les comportements humains, altérer le jugement ou causer des préjudices importants ;

• le risque élevé : ces systèmes ne sont pas prohibés, mais doivent respecter des exigences strictes en matière de gestion des risques, de transparence et d’évaluation. Par exemple, les IA utilisées dans les processus de recrutement automatisé doivent fournir des garanties sur les méthodes de sélection et les critères d’évaluation, avec une intervention humaine appropriée ;

• le risque limité : ces systèmes sont soumis à des obligations de transparence, et leur utilisation repose sur des codes de conduite encore en cours d’élaboration ;

• le risque minimal : ces systèmes présentent un impact négligeable et sont soumis à peu de contraintes réglementaires.

Les huit catégories du risque inacceptable

Le risque inacceptable est subdivisé en huit catégories spécifiques :

• une IA manipulatrice : systèmes recourant à des techniques subliminales pour influencer les individus ;

• l’exploitation des vulnérabilités : IA exploitant les faiblesses de certaines personnes pour altérer leur comportement ;

• le profilage social : systèmes de notation sociale, similaires au crédit social en Chine ;

• la prédiction des infractions pénales : IA utilisant le profilage pour prédire des comportements criminels, comme le système COMPAS aux États-Unis ;

• l’extraction massive de données biométriques : IA collectant des images faciales pour constituer des bases de données de reconnaissance faciale sans consentement ;

• la reconnaissance des émotions au travail : systèmes analysant les émotions des employés, pouvant porter atteinte à leur vie privée ;

• le profilage biométrique hors domaine répressif : utilisation de données biométriques à des fins de profilage en dehors du cadre légal strict ;

• la surveillance biométrique en temps réel : IA effectuant un profilage et une identification biométrique instantanés dans le domaine répressif sans cadre légal adéquat.

Les IA génératives et à fort impact

Les IA génératives, telles que ChatGPT, occupent une place particulière en raison de leur potentiel d’influence à grande échelle et de leur impact systémique. L’AI Act impose des obligations spécifiques pour ces IA à fort impact, incluant la production de documentations techniques détaillées, des tests contradictoires pour vérifier leur fonctionnement et des mesures visant à atténuer les risques systémiques qu’elles pourraient engendrer.

Implications pour les entreprises

Pour les entreprises, la mise en conformité avec l’AI Act constituera un enjeu crucial. Les systèmes d’IA à haut risque, utilisés notamment dans les processus RH (tri de CV, entretiens vidéo automatisés, tests prédictifs), seront particulièrement concernés. Ces systèmes devront satisfaire à des critères stricts de transparence, de gestion des biais et de documentation des processus utilisés.

Les entreprises devront également mettre en place des évaluations régulières des risques associés à l’utilisation de l’IA et prévoir des mesures correctives en cas de détection de biais ou de problèmes. De plus, l’obtention d’un certificat de conformité sera nécessaire pour continuer à utiliser légalement ces systèmes.

Un avenir réglementaire en construction

Les réglementations relatives à l’IA continueront d’évoluer dans les mois et années à venir. Il est impératif pour les entreprises de rester vigilantes quant à ces évolutions législatives et de veiller au respect des nouvelles obligations imposées tant par l’Union européenne que par les régulations internationales. Si certaines dispositions sont déjà en place, d’autres, comme les codes de conduite ou les analyses d’impact plus détaillées, sont encore en cours d’élaboration.

Limites et enjeux

Malgré les avancées législatives, plusieurs limites et défis subsistent. La rapidité de l’évolution technologique rend difficile l’adaptation des cadres juridiques, qui peuvent rapidement devenir obsolètes. L’harmonisation internationale des régulations est également complexe, chaque pays ou région ayant ses propres priorités et sensibilités.

Les enjeux majeurs comprennent :

• un équilibre entre innovation et protection : trouver le juste milieu entre encourager l’innovation technologique et assurer la protection des droits fondamentaux est un défi de taille ;

• une gestion des biais et de léthique : les systèmes d’IA peuvent reproduire ou amplifier des biais existants. Il est crucial de développer des méthodes pour identifier et corriger ces biais afin de garantir une justice algorithmique ;

• la transparence et explicabilité : les algorithmes d’IA sont souvent opaques. Promouvoir la transparence et l’explicabilité des systèmes est essentiel pour instaurer la confiance des utilisateurs et faciliter le contrôle réglementaire ;

• une formation et sensibilisation : les entreprises et les individus doivent être formés aux enjeux de l’IA pour une utilisation responsable et éclairée. La sensibilisation est indispensable pour prévenir les dérives potentielles.

Conclusion : entre innovation et réglementation

L’IA offre un potentiel considérable d’innovation, mais son utilisation doit être encadrée pour garantir qu’elle serve les intérêts des citoyens tout en respectant leurs droits fondamentaux. Pour les entreprises, il est essentiel de suivre de près ces évolutions et de se préparer aux changements réglementaires qui impacteront l’utilisation de l’IA, en particulier dans les secteurs à haut risque tels que les ressources humaines.

Une mauvaise gestion de la conformité aux nouvelles règles pourrait entraîner des sanctions sévères, voire l’interdiction d’utiliser certains systèmes d’IA. Le chemin vers une IA éthique et conforme est parsemé de défis, mais il est indispensable pour un déploiement durable et sécurisé de ces technologies.

Il appartient aux acteurs du secteur de s’engager activement dans cette transition, en investissant dans la formation, la recherche et le développement de pratiques responsables. Seule une approche proactive permettra de tirer pleinement parti des bénéfices de l’IA tout en minimisant ses risques, assurant ainsi une confiance durable entre les technologies émergentes et la société.

Plan