Les premiers effets de l’AI Act : guide pratique pour s’adapter
Introduction
L’AI Act européen n’est même pas appliqué qu’il a déjà fait couler un torrent d’encre. Il faut dire que l’entrée en vigueur du règlement le 1er août 2024, trois ans après la proposition de la législation de la Commission européenne en avril 2021, a laissé le temps à un ensemble d’acteurs de s’exprimer sur un texte dont les contours n’étaient pas totalement définis.
Désormais, le Bureau européen de l’IA (« EU AI Office »), organisme créé et porté par la Commission européenne, doit porter l’implémentation du texte dans les 27 pays membres de l’Union européenne.
Le volet principal du texte n’a pas changé. Il s’agit de documenter et de contrôler les systèmes d’IA suivant une échelle de risque sur quatre niveaux principaux : minimal, limité, élevé et inacceptable.
Or, quand cette échelle a été conçue, ChatGPT n’existait pas. Les grands modèles de langage n’avaient pas encore pris la dimension qu’on leur connaît aujourd’hui. En un an à peine (ce qui est un temps relativement court pour les institutions de l’UE) s’est greffée la notion de « risques systémiques ». Celle-ci vise à exiger des fournisseurs de LLM nécessitant une puissance de calcul supérieure à 10 puissance 25 FLOPS (aussi appelé modèle « frontière »), une grande transparence, de respecter le droit d’auteur et la propriété intellectuelle en Europe et d’endiguer les contenus dangereux. Quelques exceptions s’appliquent, mais toutes les organisations et entreprises devront signaler les contenus générés par une IA.
En cas de non-respect de ces deux grands principes, les entreprises et organisations risqueront une amende pouvant atteindre 7 % de leur chiffre d’affaires ou jusqu’à 35 millions d’euros. L’on retrouve là les préceptes du RGPD.
Les risques inacceptables seront interdits dès le mois de février 2025, mais le Bureau de l’IA doit encore collaborer avec les autorités locales afin de mettre en place l’ensemble des règles d’ici au mois d’août 2027. Une attention toute particulière sera portée aux systèmes d’IA à haut risque (ou élevé), rangés dans huit catégories. Ils représentent une portion limitée de l’ensemble des applications d’IA déjà déployées.
Il n’est pas évident que les pays membres soient tous coopératifs. La France et l’Allemagne, pays d’origine de Mistral AI et d’Aleph Alpha, ont déjà tenté d’abaisser le niveau d’obligations incombant aux spécialistes de l’IA. D’autant que des enjeux subsistent en matière de compatibilité de l’AI Act et du RGPD. Des frictions que certains géants du Web, principalement Meta, comptent bien exploiter. Outre-Atlantique, le texte inspire autant qu’il passe pour une menace pour la compétitivité américaine.
Malgré tout ce bruit, il faut bien que les entreprises se préparent. Certaines, comme celles rassemblées au sein de Positiv AI, ont pris les devants. La Commission européenne a elle-même instauré un programme volontaire en place nommé Pacte européen sur l’IA. La CNIL, espérant devenir l’autorité d’application de l’AI Act en France, a posté un ensemble de recommandations afin de respecter le texte et le RGPD. Ce guide essentiel évoque l’ensemble de ces points et recense quelques conseils pour se préparer à la mise en application d’un texte d’ici à trois ans.
1AI Act-
Le texte et son implémentation
L’Union européenne pose les bases d’un RGPD de l’IA
La Commission européenne a rendu publique sa proposition de règlement sur l’Intelligence Artificielle. Ce cadre législatif cible des usages critiques bien précis et se veut suffisamment large pour ne pas entraver l’innovation. Sa vocation est de devenir un modèle pour d’autres initiatives dans le monde, tout comme le RGPD. Lire la suite
AI Act : tout sur l’accord provisoire « historique »
Après 37 heures de débat en trois jours, dont une session de 22 heures d’affilée, le Parlement européen et le Conseil de l’Union européenne ont annoncé le vendredi 8 décembre, peu avant minuit, un accord politique provisoire concernant l’AI Act. Le Parlement a effectué quelques concessions, mais le texte conserve ses grands principes. Lire la suite
AI Act : l’essentiel sur le bureau européen de l’IA
L’AI Act est entrée en vigueur le 1er août 2024, mais sa pleine application n’aura lieu que dans trois ans. Il faut maintenant que le bureau européen de l’IA (« The EU AI Office ») mette en œuvre les prérogatives de la Commission européenne et du Parlement européen. Mais qu’est-ce que le bureau européen de l’IA ? Comment fonctionne-t-il ? Est-il prêt ? Réponses dans cet article. Lire la suite
2Extensions-
Les à-côtés de l’AI Act
Signature d’un premier traité à portée internationale sur l’IA
L’UE, le Royaume-Uni, Israël et les États-Unis sont parmi les premiers signataires d’une convention-cadre contraignante sur l’IA concoctée sous la houlette du Conseil de l’Europe. L’organisation espère que le traité, consacré à la supervision des systèmes d’IA par les États qui le ratifieront, devienne une norme internationale. Lire la suite
Le pacte européen sur l’IA signé par plus de 126 entreprises
Microsoft, OpenAI, SAP ou encore Salesforce font partie des premiers signataires de cet « engagement volontaire » à respecter certaines dispositions de l’AI Act avant l’heure. En revanche, certains absents, dont Meta, Apple, Mistral AI ou Anthropic se sont particulièrement fait remarquer. Lire la suite
AI Act : la CNIL se prépare en créant un nouveau service
Sans véritable surprise, la CNIL a annoncé ce 23 janvier la création d’un « service de l’intelligence artificielle » qui préparera l’entrée en vigueur du futur AI Act européen. L’autorité profite de l’occasion pour annoncer la publication prochaine de ses « premières recommandations » concernant les données d’entraînement. Lire la suite
3Conflits-
L’AI Act est-il compatible avec le RGPD ?
RGPD vs AI Act : des frictions possibles dans la régulation
La mise en œuvre de la nouvelle loi européenne sur l’IA pose question. Les outils de régulation sont à concrétiser et les autorités chargées de la protection des données cherchent où mettre le curseur. Lire la suite
« L’IA est déjà réglementée » (Ivana Bartoletti)
Bien qu’il soit un objet nébuleux sur les bords, l’AI Act ne doit pas inquiéter les entreprises tant qu’elles se concentrent sur l’implantation d’une gouvernance de l’IA alignée avec les réglementations en vigueur, insiste Ivana Bartoletti, Global Chief Privacy & AI Governance Officer chez Wipro. Lire la suite
4Conséquences-
Les répercussions de l’AI Act aux États-Unis
Lois sur l’IA : le Sénat américain mise sur l’innovation plutôt que sur les sanctions
Alors que l’Union européenne se prépare à appliquer l’AI Act et que la Californie entend réguler les modèles d’IA, le Sénat américain aura également plusieurs projets de loi à étudier. Pour autant, ceux-là sont davantage portés sur la promotion de l’innovation. Lire la suite
Faute d’un cadre fédéral, le gouverneur californien rejette une loi sur l’IA
Le gouverneur de Californie, Gavin Newsom, s’est opposé à la réglementation générale de la loi SB 1047 sur les systèmes d’intelligence artificielle, qui n’aborde pas des questions spécifiques telles que le déploiement dans des environnements à haut risque. Lire la suite
5GAFAM-
Le cas Meta
IA : Meta prêche l’harmonisation des réglementations européennes
Dans une lettre ouverte signée par des responsables et directeurs scientifiques de plus de 36 entreprises et organisations, Meta prône l’harmonisation de la réglementation affectant les données utilisées lors de l’entraînement de modèles d’IA en Union européenne. Un message qui porterait des arguments légitimes, mais pour une mauvaise cause, selon certains commentateurs. Lire la suite
Llama 3.2 : Meta prive l’Union européenne de ses modèles multimodaux
En bloquant l’accès à ses modèles multimodaux en Union européenne, Meta ébrèche son image de défenseur de l’innovation ouverte au nom d’une « absence de règles cohérentes » concernant l’usage des « données européennes » pour entraîner des modèles d’IA. Lire la suite
6Conseils-
Bien se préparer à la législation
Comment et pourquoi créer une nomenclature AIBOM
Les AIBOM aident les développeurs et les équipes de sécurité en fournissant une vue détaillée des composants du système d’IA, améliorant ainsi la sécurité de la chaîne d’approvisionnement et la conformité. Ce guide vous introduit à cette pratique. Lire la suite
IA de confiance : le mode d’emploi de la CNIL
Outre l’AI Act, les concepteurs de systèmes d’intelligence artificielle (y compris générative) doivent se conformer au RGPD si des données personnelles sont utilisées. Pour encadrer les développements IA et l’usage de ces données, la CNIL dresse une liste des premières règles du jeu à respecter. Lire la suite
Comment se préparer à l’EU AI Act
La loi européenne sur l’IA fournit aux entreprises une grille de lecture pour une mise en conformité globale. Les entreprises doivent comprendre cette loi phare afin d’aligner leurs pratiques sur les réglementations à venir en matière d’IA. Lire la suite
7Outils-
Déjà des solutions pour suivre la conformité
AI Act : Dataiku s’empresse de lancer un programme d’accompagnement
À peine adopté en première lecture par le conseil de l’Union européenne le 21 mai dernier, Dataiku a annoncé le 30 mai la disponibilité d’un programme nommé « EU AI Act Readiness ». L’éditeur devra inévitablement adapter sa solution aux précisions qui n’ont pas encore été apportées par les législateurs. Lire la suite
Collibra applique ses recettes de gouvernance des données à l’IA
Collibra a dévoilé AI Governance, un ensemble de fonctionnalités visant à aider ses clients à développer et à déployer de manière plus sûre et plus efficace des modèles et des applications d’IA, y compris d’IA générative. Un framework qui devra faire ses preuves, selon Constellation Research. Lire la suite