Comment se préparer à l’EU AI Act

À qui s’applique l’EU AI Act ?

Elle s’applique à tout système d’IA présent sur le marché, en service ou utilisé dans l’UE. En d’autres termes, la loi couvre à la fois les fournisseurs d’IA (les entreprises qui vendent des systèmes d’IA), les « déployeurs » d’IA (les organisations qui utilisent ces systèmes).

Le règlement s’applique à différents types de systèmes d’IA, notamment le machine learning, l’apprentissage profond et l’IA générative. Des exceptions sont prévues pour les systèmes d’IA utilisés pour la sécurité militaire et nationale, ainsi que pour les systèmes d’IA open source – à l’exclusion des grands systèmes d’IA générative ou des modèles de fondation – et l’IA utilisée pour la recherche scientifique. Il est important de noter que la loi s’applique non seulement aux nouveaux systèmes, mais aussi aux applications existantes.

Les principales dispositions de la loi européenne sur l’IA

La loi sur l’IA adopte une approche de l’IA fondée sur les risques. Ceux-là sont classés en quatre catégories principales : inacceptable, élevé, limité et minimal.

Les systèmes représentant un risque minimal devront être mis en place dans le cadre réglementaire existant. Les fournisseurs et déployeurs de systèmes présentant un risque limité devront faire preuve de transparence.

Par exemple, ils devront marquer les contenus générés ou modifiés par une IA, dont les images, les vidéos et les textes.

Les exigences de conformité sont plus strictes pour les systèmes d’IA inacceptables et à haut risque, qui requièrent donc plus d’attention de la part des entreprises et des organisations.

Parmi les exemples de systèmes d’IA inacceptables, on peut citer les systèmes de notation sociale, de manipulation des émotions et l’extraction non ciblée d’images de visages issues d’Internet ou de vidéosurveillance. La création de tout nouveau système d’IA entrant dans cette catégorie est interdite et les systèmes existants doivent être retirés du marché dans un délai de six mois.

L’AI Act prévoit de bannir les systèmes présentant des risques inacceptables dès le 2 février 2025.

Les systèmes à haut risque sont eux-mêmes classés dans huit catégories (détaillées ici).

La notion de risque élevé s’applique principalement aux IA utilisées dans les domaines de l’emploi, de l’éducation, des services essentiels, des infrastructures critiques, de l’application de la loi et de la justice.

Les systèmes utilisés par les autorités publiques ou des tiers agissant en leur nom doivent être enregistrés dans une base de données publique et leurs créateurs doivent démontrer qu’ils ne présentent pas de risques significatifs.

« Ces utilisations sont soumises à l’autorisation d’une autorité judiciaire ou d’un organisme indépendant et à des limites appropriées en termes de durée, de portée géographique et de bases de données consultées », précise la Commission européenne.

Ce processus implique de satisfaire à des exigences en matière de gestion des risques, de gouvernance des données, de documentation, de suivi et de surveillance humaine, ainsi que de répondre à des normes techniques de sécurité, d’exactitude et de robustesse.

Ces exigences détaillées pour les systèmes d’IA à haut risque sont encore en cours de finalisation.

La Commission européenne a mandaté les organismes CEN et CENELEC pour établir les standards répondant aux exigences de la régulation. « Les organismes européens de normalisation auront jusqu’à la fin du mois d’avril 2025 pour élaborer et publier des normes », indique la Commission européenne. « La Commission évaluera et approuvera éventuellement ces normes, qui seront publiées au Journal officiel de l’UE. Une fois publiées, ces normes conféreront une “présomption de conformité” aux systèmes d’IA développés conformément à elles ».

Ce travail sera supervisé par le Bureau de l’IA (« AI Office »). L’application des mesures concernant les systèmes à haut risque listés dans l’annexe III de la loi est prévue le 2 août 2026. Les règles concernant les autres systèmes à haut risque seront appliquées un an plus tard.

Les règles spécifiques aux modèles à usage général

L’AI Act entend aussi réguler les IA à « usage général », dont les grands modèles de langage.

Les fournisseurs de modèles à usage général devront « divulguer certaines informations » relatées à l’annexe XI du texte (rôle, documentation technique sur les processus d’entraînement, de tests ou encore les données utilisées) aux usagers qui les déploient, et mettre en place des politiques de respect des droits d’auteur et de propriété intellectuelle.

 Les fournisseurs de modèles ouverts ou à des fins de recherche seront exemptés de ces deux obligations.

[NB : un modèle ouvert est considéré comme tel quand il est « publié sous une licence libre et ouverte qui permet l’accès, l’utilisation, la modification et la distribution du modèle, et dont les paramètres, y compris les poids, les informations sur l’architecture du modèle et les informations sur l’utilisation du modèle, sont mis à la disposition du public ».]

Les modèles à usage général entraîné avec une puissance de calcul supérieur à dix puissances 25 FLOPS « sont considérés comme présentant des risques systémiques ». Ce seuil est amené « à évoluer à la lumière des avancements technologiques et de certains critères » (nombre d’utilisateurs, degré d’autonomie du modèle, etc.). 

« Les fournisseurs de modèles présentant des risques systémiques sont tenus d’évaluer et d’atténuer les risques, de signaler les incidents graves, de réaliser des tests de pointe et des évaluations de modèles et de garantir la cybersécurité de leurs modèles », prévient la Commission. Ils devront notamment fournir des informations supplémentaires listées dans l’annexe XII de l’AI Act.

Les règles et obligations concernant les IA à usage général seront appliquées dès le 2 août 2025.

En attendant, les fournisseurs sont invités par la Commission à se rapprocher du Bureau européen de l’IA et de son conseil scientifique pour établir des guides de bonnes pratiques.

Comme le RGPD, l’AI Act est accompagné de sanctions financières lourdes s’il n’est pas respecté. Les entreprises peuvent se voir infliger des amendes allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial (le montant le plus élevé étant retenu).

Une feuille de route pour les entreprises : 10 étapes pour se conformer

Le règlement sur l’IA de l’UE est le premier d’une série de régulations potentielles à venir sur l’intelligence artificielle. Il reste encore du temps pour se mettre en conformité, et les entreprises peuvent prendre de l’avance en suivant plusieurs étapes globales. Cette méthode permet d’éviter des sanctions, de garantir la distribution de leurs produits et services d’IA, et d’assurer une prestation sereine aux clients en Europe et ailleurs.

1. Renforcer la gouvernance de l’IA

Avec la multiplication des lois sur l’intelligence artificielle, la gouvernance de l’IA devient indispensable pour les entreprises. Utilisez le règlement de l’UE comme base pour améliorer les pratiques de gouvernance en place.

2. Créer un inventaire

Recensez tous les systèmes d’IA existants et en développement, en précisant si l’organisation est fournisseur ou utilisateur d’IA. La plupart des entreprises déploient les systèmes, tandis que les fournisseurs sont souvent des prestataires. Évaluez le niveau de risque de chaque système et définissez les obligations correspondantes.

3. Adapter les pratiques d’acquisition de technologies d’IA

Lors de la sélection de plateformes et produits d’IA, les entreprises utilisatrices doivent interroger les fournisseurs potentiels sur leur plan de mise en conformité avec l’AI Act. Mettez à jour les critères d’acquisition afin d’inclure les exigences de conformité dans les appels d’offres et demandes d’information.

4. Former des équipes pluridisciplinaires sur la conformité

Organisez des ateliers de sensibilisation et de formation pour les équipes techniques et non techniques, incluant les services juridiques, de gestion des risques, des ressources humaines et des opérations. Ces sessions doivent couvrir les obligations imposées par le règlement tout au long du cycle de vie de l’IA, telles que la qualité des données, leur provenance, la surveillance des biais, les impacts négatifs, les erreurs, la documentation, la supervision humaine et le suivi post-déploiement.

5. Mettre en place des audits internes pour l’IA

Dans le secteur financier, les équipes d’audit interne évaluent les opérations, les contrôles, la gestion des risques et la gouvernance. De même, pour la conformité en IA, il est essentiel de créer une fonction d’audit indépendante dédiée à l’examen des pratiques relatives au cycle de vie des systèmes d’IA.

6. Adapter les cadres de gestion des risques à l’IA

Élargissez et ajustez les cadres existants d’évaluation et de gestion des risques afin d’inclure les risques spécifiques à l’IA. Un cadre spécifique facilite la conformité aux nouvelles régulations, telles que le règlement sur l’IA de l’UE et les autres régulations à venir.

7. Mettre en place une gouvernance des données

Assurez une gouvernance adéquate des données utilisées pour l’entraînement des modèles d’IA généralistes, comme les modèles de langage ou de fondation. Ces données doivent être documentées et conformes aux lois sur la protection des données, telles que le RGPD, les règles de l’UE sur le droit d’auteur et le scraping de données.

8. Renforcer la transparence de l’IA

Les systèmes d’IA, notamment les IA génératives, sont souvent perçus comme des boîtes noires, mais les régulateurs privilégient les systèmes transparents. Pour améliorer la transparence et l’interprétabilité, développez des compétences dans les techniques et outils d’IA explicable.

9. Intégrer l’IA dans les processus de conformité

Utilisez des outils d’IA pour automatiser les tâches liées à la conformité, comme le suivi des obligations et exigences réglementaires. L’IA peut également être utilisée pour surveiller les processus internes, tenir un inventaire des systèmes d’IA et générer des métriques, documents et résumés.

10. S’engager de manière proactive avec les régulateurs

Certaines modalités de mise en conformité avec le règlement sur l’IA sont encore en cours de finalisation, et des modifications pourraient survenir dans les mois et années à venir. Pour toute zone d’ombre, contactez le Bureau européen de l’IA (en attendant que les autorités locales soient nommées) afin de clarifier les attentes et exigences.