Comment sera appliqué le premier règlement mondial sur l’intelligence artificielle
La loi européenne sur l’IA est désormais en vigueur. Comme publié en juin dernier au Journal officiel de l’Union européenne, aujourd’hui 1er août 2024, le premier règlement mondial sur l’intelligence artificielle entre en vigueur. Après des années de négociations, les 27 États membres se sont mis d'accord à la fin de l'année dernière sur ce règlement pionnier. Nous vous expliquons quels changements sont déjà obligatoires et quel est le calendrier prévu désormais.
Aujourd’hui, elle commence à être appliquée progressivement. L'« AI Act » est déjà active, mais elle ne le sera qu'après 24 mois, c'est-à-dire jusqu'en août 2026, lorsqu'elle sera obligatoire dans son intégralité. Comme l’a prévu l’Union européenne, les obligations arriveront progressivement.
Dans six mois, à compter du 2 février 2025, les dispositions générales et interdictions de risque inacceptable devront être respectées.
Dans neuf mois, à compter du 2 mai 2025, les codes de bonnes pratiques devront être respectés.
Dans douze mois, à compter du 2 août 2025, les règles générales devront être respectées et les différents pays devront avoir mis à jour leurs règles en matière de sanctions et d'amendes. C'est-à-dire qu'à partir de l'année prochaine, toutes les législations devront être prêtes à imposer des amendes aux entreprises qui ne respectent pas ces réglementations.
L'Europe donne plusieurs années de marge. Pour les systèmes « à haut risque », tels que les modèles d’IA plus avancés, une marge plus importante sera accordée. Ils disposeront d'un total de 36 mois pour commencer à remplir les nombreuses obligations. C'est-à-dire un an après le démarrage complet. Ainsi, en pratique, jusqu’en août 2027, ces modèles d’IA ne seront pas obligés de documenter tout leur fonctionnement et d’être totalement transparents sur leur fonctionnement.
Cependant, différentes entreprises comme Meta ont pris la décision de ne pas introduire leurs systèmes en Europe. Même s’ils ne sont pas encore tenus de respecter ces obligations, ils ont choisi d’être prudents et de ne pas proposer aux utilisateurs européens des modèles d’IA qui pourraient ne pas être conformes aux exigences de l’Union européenne.
La définition complexe du « risque élevé ». L’un des points qui sera le plus difficile à mettre en œuvre en pratique est la catégorisation de l’IA selon ses niveaux de risque. Parmi eux, un « risque élevé » est établi pour les systèmes d'IA qui peuvent « avoir un effet préjudiciable considérable sur la santé, la sécurité et les droits fondamentaux des personnes ».
Le texte technique le définit à travers de nombreuses sections, mais il s'agit principalement de systèmes d'IA qui peuvent affecter des secteurs critiques tels que l'éducation, les processus démocratiques ou la sécurité.
L’une des critiques des défenseurs de la vie privée comme EDRi est que les systèmes de vidéosurveillance massifs n’ont pas été directement inclus dans la définition du risque élevé. La reconnaissance faciale en direct n'est pas autorisée, mais les systèmes d'identification biométrique et leur utilisation servent, par exemple, à contrôler l'accès aux frontières.
L'accent est mis sur les développeurs de grands modèles. Les réglementations se concentrent principalement sur ces systèmes « à haut risque » et laissent la plupart des systèmes d’IA tels que les filtres et les chatbots « à risque minimum » non réglementés.
L'objectif de l'Europe est de mettre l'accent sur les créateurs des modèles (développeurs) et moins sur ceux qui les appliquent (implémenteurs). Un exemple serait Google avec Gemini et les sociétés de téléphonie mobile comme Samsung ou OPPO, qui adaptent principalement le modèle de Google pour de nombreuses fonctions mais ne l'ont pas développé à partir de zéro.
Un autre reproche à l'AI Act est que les modèles « open source » ne sont pas exemptés de s'y conformer. Cela inclut par exemple LLaMa de Meta, Stable Diffusion ou Mistral.
Des amendes pouvant aller jusqu'à 7%. Si la loi sur les marchés numériques fixe des amendes pouvant aller jusqu'à 10 % du chiffre d'affaires annuel mondial et la loi sur les services numériques reste à 6 %, la loi sur l'IA fixe la limite des sanctions à 7 % du chiffre d'affaires annuel mondial. Il s’agit également d’amendes plus élevées que les 4 % établis par le règlement général sur la protection des données.
Ces amendes seront gérées par l'Office européen de l'intelligence artificielle, qui devra veiller au respect de la loi, préparer des rapports, mettre à jour les exigences et accompagner les entreprises pour qu'elles s'adaptent correctement.
Images | Igor Omilaev
À Simseo | Du risque minimal au risque inacceptable : c'est ainsi que l'UE définit les quatre niveaux des systèmes d'IA dans sa nouvelle loi