IA Act : la mise en œuvre commence

Le règlement européen sur l’intelligence artificielle (IA Act) est entré en vigueur le 1er août dernier avec à la clé de nouvelles obligations qui s’appliqueront progressivement pour l’ensemble des acteurs y ayant recours.

Cette fois-ci, c’est parti. Après son adoption par les eurodéputés et le Conseil de l’Europe, le règlement européen sur l’intelligence artificielle, baptisée IA Act, est entré en vigueur le 1er août. Son objectif ? « Encadrer le développement, la mise sur le marché et l’utilisation de systèmes d’intelligence artificielle (IA), qui peuvent poser des risques pour la santé, la sécurité ou les droits fondamentaux », explique la Commission Nationale de l’informatique et des Libertés (Cnil), qui vient de publier un premier questions-réponses sur le sujet.

Le règlement en offre d’abord une définition. Il constitue ainsi, selon ses termes, un système d’IA, un système « conçu pour fonctionner avec différents niveaux d’autonomie, qui peut s’adapter après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels ».  

Différents niveaux d’exigence

La particularité du règlement tient à son approche fondée sur les risques avec différents niveaux d’exigence, selon le degré de risque associé au système d’IA. Les systèmes à risque inacceptable sont ceux qui présentent une menace pour les personnes et leurs droits fondamentaux (notation sociale, recours à des techniques subliminales). Ils sont interdits dans l’UE. Les systèmes d’IA à risque élevé, « peuvent porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux ce qui justifie que leur développement soit soumis à des exigences renforcées », développe la Cnil.

On parle notamment d’évaluation de conformité, de la fourniture d’une documentation technique, de mécanismes de gestion des risques. Ils sont listés dans les annexe I et III du règlement. Les systèmes d’IA à risque limité, à l’instar des chatbots ou des systèmes de recommandations, seront soumis à des exigences spécifiques de transparence.

Les systèmes à risque minimal ne se voient appliquer aucune obligation mais leurs fournisseurs seront encouragés à présenter des codes de conduite. Par ailleurs, les systèmes dits « à usage général », qui peuvent servir à un très grand nombre d’applications, notamment dans le champ de l’IA générative, se voient attribuer plusieurs niveaux d’obligation, allant jusqu’à la « mise en place de mesures d’atténuation des risques systémiques que certains de ces modèles pourraient comporter », complète la Cnil.

L’IA Act « concerne autant les fournisseurs, que les distributeurs et les déployeurs de systèmes d’IA », rappelle la Confédération des PME. Si tous ont donc intérêt à se familiariser dès à présent avec son contenu, son application se fera toutefois de manière progressive. L’ensemble de ses dispositions ne sera mis en place que le 2 août 2026. L’interdiction des applications d’IA à risque inacceptable sera effective sous six mois et les États ont un an pour désigner une autorité réglementaire indépendante responsable de la mise en œuvre du règlement.

Evaluer sa conformité

Pour les entreprises, l’entrée en vigueur de l’IA Act suppose d’abord de réaliser une cartographie de leurs systèmes d’IA en les classant par niveaux de risque. L’association Future of Life Institute propose un outil pour une première évaluation de la conformité de ses systèmes.

Enfin, comme le rappelle la Cnil, l’IA Act se distingue du règlement sur la protection des données personnelles (RGPD), dont il ne remplace pas les exigences. « Au contraire, il a pour but de les compléter en posant les conditions requises pour développer et déployer des systèmes d’IA de confiance ». Il s’agira donc de s’assurer d’être conforme avec l’un comme avec l’autre.