Connexion

Rechercher

L’AI Act est là : quels sont les enjeux et comment anticiper la mise sous contrôle de vos activités ?

Publications Publié le 17 février 2025

Le Règlement sur l’intelligence artificielle (“AI Act”) est une législation de l’Union européenne visant à encadrer l’utilisation de l’intelligence artificielle. Il a été proposé par la Commission Européenne en avril 2021. Le 1er août 2024, l’Europe a franchi une étape clé avec son entrée en vigueur.

Comment se présente le Règlement ?

L’AI Act comporte 13 chapitres et 113 articles, complétés par 13 annexes. Il établit des règles claires pour classer les systèmes d’IA selon leur niveau de risque et précise les responsabilités des différents acteurs. Un préambule de 180 sections présente le contexte et explique les choix effectués lors de la rédaction de cet acte.

Pourquoi est-ce important ?

Avec l’essor de l’IA, des risques tels que la surveillance excessive des citoyens ou les biais algorithmiques ont été identifiés comme potentiellement dangereux pour nos sociétés. L’AI Act fixe des règles précises avec l’objectif de garantir des systèmes sûrs, éthiques et transparents, tout en favorisant l’innovation et un marché européen harmonisé.

Trois niveaux de risque pour les systèmes d’IA

Le Règlement repose sur une approche par les risques, catégorisant les systèmes d’IA selon leur niveau de dangerosité : risque inacceptable, haut risque, ou risque mineur.

  • Risque inacceptable : l’utilisation de systèmes d’IA présentant un danger grave pour les droits fondamentaux. Ainsi, par exemple, la reconnaissance faciale en temps réel sans encadrement légal est strictement interdite. (Chapitre II, article 5)
  • Haut risque : les systèmes d’IA présentent un potentiel important de nuire aux droits fondamentaux tels par exemple ceux pouvant être utilisés dans le recrutement ou les diagnostics médicaux soumis à des exigences strictes de type transparence, audit, marquage CE, … (Chapitre III)
  • Risque mineur : obligations légères, telles que la notification des utilisateurs quant à l’utilisation d’IA dans un système proposé sur le marché, comme par exemple un système d’IA intégré dans des jeux vidéo. (Chapitre IV)

Quelles sont les entités créées dans le cadre du Règlement ?

  • Bureau de l’IA :
    • Créé en février 2024 au sein de la Commission Européenne et basé à Bruxelles et au Luxembourg (140 collaborateurs en cours de recrutement), cette structure coordonne la mise en œuvre du Règlement.
    • Le Bureau de l’IA sera chargé de garantir l’harmonisation des approches des Etats membres quant à l’application du Règlement. (Chapitre VII, article 64).
  • Groupe scientifique d’experts indépendants :
    • Ce groupe conseille et soutient le Bureau de l’IA en évaluant les risques systémiques potentiels des modèles d’IA à usage général, en élaborant des outils et méthodes pour analyser leurs capacités et en contribuant à leur classification (Chapitre VII, article 68).
  • Comité de l’IA :
    • Le Comité conseille et assiste la Commission et les Etats membres afin de faciliter l’application du Règlement. (Chapitre VII, article 65 et 66).
  • Forum consultatif :
    • Le forum fournit une expertise technique et conseille le Comité IA et la Commission. (Chapitre VII, article 67)
  • Autorités nationales compétentes :
    • Chaque Etat membre établit ou désigne au moins une autorité notifiante et au moins une autorité de surveillance du marché (Chapitre VII, section 2).
    • Bacs à sable réglementaires : les autorités compétentes mettent en place avant le 2 août 2026 au moins un bac à sable offrant un environnement « contrôlé » qui favorise l’innovation et facilite le développement, l’entraînement, la mise à l’essai et la validation de systèmes d’IA avant leur mise en œuvre sur le marché (Chapitre VI, article 57).
  • Organismes notifiés :
    • Les autorités notifiantes désignent les organismes responsables d’évaluer la conformité au Règlement des systèmes d’IA à haut risque (Chapitre III, article 31).

Etes-vous concernés par l’AI Act ?

L’AI Act définit les acteurs de marché potentiellement assujettis au Règlement, en fonction de leur activité :

  • Fournisseur : développe ou fait développer un système d’IA. Il doit pouvoir prouver la conformité de son système par une évaluation rigoureuse et/ou une certification auprès d’un organisme notifié. Une fois validé, le fournisseur peut apposer le marquage “CE” attestant que le système répond aux normes européennes en matière de sécurité, de transparence, et de fiabilité accompagnée de documentations détaillées avant de le distribuer sur le marché (Chapitre III, article 16).
  • Déployeur : utilise un système d’IA sous son autorité. Il doit mettre en œuvre une surveillance humaine et veiller à l’utilisation responsable des systèmes d’IA dans ses opérations (Chapitre III, article 26).
  • Importateur : met sur le marché européen un système d’IA établi dans un pays tiers. Il doit vérifier que les systèmes d’IA importés respectent les normes européennes avant leur mise sur le marché (Chapitre III, article 23).
  • Distributeur : autre que le fournisseur ou l’importateur, met un système d’IA à disposition sur le marché européen. Il doit contrôler la conformité des systèmes avant distribution (Chapitre III, article 24).
  • Utilisateur : respecte les consignes et signale les incidents éventuels.

Méthodologie pour se conformer au Règlement

En tant qu’acteur assujetti au Règlement, quelles sont les exigences principales de conformité qui doivent être respectées ?

  • Transparence : veiller à informer les personnes physiques, dans certaines circonstances, de leur interaction avec un système d’IA (Chapitre IV).
  • Identification et classification des systèmes d’IA : évaluer le niveau de risque de vos systèmes selon leur niveau de dangerosité i.e. risque inacceptable, haut risque, ou risque mineur (Chapitre III et chapitre V, section 1).
  • Documentation technique : préparer un dossier complet décrivant les spécifications techniques, les données utilisées, les tests effectués et les mesures de réduction des biais (Chapitre III, article 11).
  • Surveillance et audit : mettre en place une évaluation indépendante pour valider la sécurité et l’éthique de vos systèmes.
  • Formation et supervision humaine : former vos équipes sur les nouvelles exigences et intégrer une supervision humaine là où cela est pertinent.

Quelles sont les dates clés du déploiement des différentes parties du Règlement ?

(Chapitre XIII, article 113)

Dates clésPrincipaux jalonsChapitres concernés
2 février 2025 Interdictions relatives aux systèmes d’IA présentant des risques inacceptables.Chapitre I (Dispositions Générales),

Chapitre II (Activités Interdites), S’appliquent.
2 août 2025 – Application des règles pour les modèles d’IA à usage général*.
*Ce sont des IA conçues pour accomplir plusieurs tâches dans des secteurs variés et ayant demandé plus de 10²⁵ FLOPS pour leur entrainement). Un exemple marquant est GPT-4, entraîné avec des ressources importantes (≈ 2,1 × 10²⁵ FLOPS). Ces modèles doivent respecter des critères stricts en matière de transparence, gouvernance des données et biais.

– Nomination des autorités compétentes au niveau des Etats membres.  		Chapitre III, section 4 (Autorités notifiantes et organismes notifiés),

Chapitre V (Modèles d’IA à usage général),

Chapitre VII (Gouvernance),

Chapitre XII (Confidentialité), s’appliquent, à l’exception de l’article 101 (Amendes applicables aux fournisseurs de modèles d’IA à usage général).
2 août 2026Le Règlement de l’IA rend applicables toutes ses dispositions, avec un accent particulier sur les règles pour les systèmes d’IA à haut risque. Les Etats membres doivent également mettre en place au moins un « bac à sable réglementaire ».Le Règlement dans son ensemble devient applicable.
2 août 2027Application des règles relatives aux systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostics in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.).L’article 6, paragraphe 1, et les obligations correspondantes du présent Règlement s’appliquent. (Article 6 : Règles relatives à la classification de systèmes d’IA comme systèmes à haut risque.)

L’objectif de l’AI Act est de permettre de développer des IA au service des citoyens, en protégeant leurs droits fondamentaux. Son respect nécessite (i) de bien comprendre la réglementation et (ii) d’anticiper les phases d’analyse et de mise sous contrôle.

Que pensez-vous de la pertinence de ce Règlement ? Votre entreprise est-elle concernée ? Si oui, est-elle prête ?

Les auteurs

Cyril
Bordeaux
Eric
Charvillat

Plus d'actualités

Publications
Guide de la facturation électronique 2025
Publié le 28 février 2025
Publications
NIS 2 : Une nouvelle ère pour la cybersécurité en Europe
Publié le 28 février 2025
Publications
Taxonomie environnementale : un critère de comparabilité supplémentaire pour l’évaluateur ?
Publié le 19 février 2025
Publications
IFRS 18 : une véritable amélioration de la présentation de la performance des entreprises
Publié le 13 janvier 2025
Publications
Nouvelle directrice associée – Mirella Venti
Publié le 20 décembre 2024
Publications
Quelles attentes pour l’arrêté des comptes 2024 ?
Publié le 3 décembre 2024
Nous contacter