Loi sur l’IA : l’Europe est la première au monde à réglementer l’intelligence artificielle

Security Awareness
6 mai 2024
AI ACT - riconoscimento biometrico

AI ACT : une formation adéquate est essentielle pour les entreprises

Ceux qui craignaient que l’intelligence artificielle ne provoque une dérive incontrôlée dans l’utilisation des technologies peuvent désormais dormir un peu plus tranquillement.
Surtout s’il a le statut de citoyen européen.

En fait, il est récent que l’Europe, la première au monde à entrer légalement dans ce domaine, réglemente un sujet aussi nouveau et, à bien des égards, encore peu familier.

Il y a environ un mois, le 13 mars, le Parlement européen a approuvé à une très large majorité (523 voix pour, 46 contre et 49 abstentions) laloi sur l’IAles Règlement européen sur l’intelligence artificielleproposée par la Commission européenne le 21 avril 2021, dans le but de garantir le respect des droits fondamentaux et de la dignité des personnes dans le cadre du développement et de l’utilisation des technologies de l’IA.

Son champ d’application englobe tous les secteurs (à l’exception du secteur militaire) et tous les types d’intelligence artificielle.

Le règlement aura force de loi d’ici mai ou juin, car le texte doit être traduit en 24 langues et adapté aux réglementations nationales par un nouveau vote du Parlement et l’approbation du Conseil de l’Union européenne.

Les applications de l’intelligence artificielle sont classées et réglementées en fonction du risque de préjudice pour les citoyens et se répartissent principalement en trois catégories : les pratiques interdites, les systèmes à haut risque et les autres systèmes.

Les pratiques interdites des applications de l’IA sont, par exemple, les systèmes de classification biométrique, l’extrapolation sans discernement d’images faciales à partir d’Internet ou d’enregistrements de vidéosurveillance afin de créer des bases de données de reconnaissance faciale.
L’objectif est d’exclure tous les systèmes qui manipulent le comportement humain ou exploitent les vulnérabilités des personnes.

L’identification biométrique en temps réel dans les espaces accessibles au public n’est pas du tout interdite mais restreinte, et les utilisations autorisées comprennent, par exemple, la recherche d’une personne disparue ou la prévention d’un attentat terroriste, mais nécessitent l’approbation d’un juge ou d’une autorité indépendante.
L’identification biométrique rétrospective est considérée comme présentant un risque élevé. Par conséquent, pour y avoir recours, l’autorisation judiciaire doit être liée à une infraction.

Selon la proposition de règlement, les systèmes à haut risque sont ceux qui représentent une menace importante pour la santé, la sécurité ou les droits fondamentaux des personnes.
Ils nécessitent une évaluation obligatoire de la conformité, entreprise par le fournisseur sous forme d’auto-évaluation, avant d’être mis sur le marché.
Il s’agit non seulement des infrastructures critiques ou des éléments de sécurité, mais aussi des éléments suivants :

  • l’école l’école (pour déterminer l’accès ou l’admission, pour affecter les personnes aux établissements ou programmes d’enseignement et de formation professionnels à tous les niveaux, pour évaluer les résultats d’apprentissage des personnes, pour évaluer le niveau d’éducation approprié pour une personne, pour surveiller et détecter les comportements interdits des élèves pendant les tests, etc 😉
  • la la gestion des travailleurs (pour le recrutement et la sélection des personnes, pour l’adoption de décisions concernant les conditions d’emploi, la promotion et la résiliation des relations contractuelles, pour l’attribution des tâches sur la base du comportement individuel, etc 😉
  • i services essentiels y compris les services de santé, les prestations de sécurité sociale, les services sociaux, mais aussi la solvabilité, l’administration de la justice, la gestion des migrations et des frontières.

Les applications particulièrement critiques, telles que les dispositifs médicaux, exigent que l’auto-évaluation du fournisseur au titre du règlement sur l’intelligence artificielle soit prise en compte par l’organisme chargé de l’évaluation, conformément aux règlements de l’UE en vigueur.

Les autres systèmes, c’est-à-dire les systèmes d’intelligence artificielle qui n’entrent pas dans les catégories susmentionnées (y compris les grands modèles d’IA générative, tels que la célèbre plateforme de création de contenu ChatGPT), devront se conformer à un certain nombre d’exigences en matière de transparence :

  • divulguer que le contenu a été généré par l’IA ;
  • s’assurer que les modèles ne génèrent pas de contenu illégal ;
  • publier des résumés de données protégées par le droit d’auteur.

Les modèles les plus puissants, susceptibles de présenter des risques systémiques, devront également se conformer à d’autres obligations, telles que l’évaluation des modèles, l’évaluation et l’atténuation des risques systémiques et la notification des incidents.


Application de l’AI ACT

Le champ d’application du règlement concerne à la fois les fournisseurs et les utilisateurs de systèmes IA, qui doivent s’assurer que les produits sont conformes aux normes établies, qu’ils sont accompagnés de la documentation nécessaire et qu’ils portent une marque de conformité européenne. Il existe toutefois des exceptions, telles que les systèmes destinés exclusivement à des fins militaires ou de défense et les modèles libres et gratuits qui ne présentent pas de risques systémiques.

Calendrier de l’AI ACT

Les dispositions commenceront à entrer en vigueur par étapes, afin de donner aux entreprises le temps de s’adapter aux nouvelles mesures.

Plus précisément :

  • 6 mois plus tard, les États membres devront interdire les systèmes d’IA interdits,
  • 1 an plus tard, les règles applicables aux systèmes d’intelligence artificielle à usage général commenceront à s’appliquer,
  • 2 ans plus tard, le reste de la loi IV sera applicable,
  • 3 ans plus tard, les obligations s’appliqueront aux systèmes à haut risque,

Sanctions de l’AI ACT

Le règlement classe les systèmes IA en fonction du niveau de risque, qui peut être minime, limité, élevé ou inacceptable. Cela implique différentes responsabilités et limitations pour les développeurs et les utilisateurs de ces systèmes, avec des pénalités pour non-conformité allant de 1,5 % à 7 % du chiffre d’affaires global de l’entreprise.

Comité européen de l’intelligence artificielle

La loi propose également l’introduction d’un Comité européen de l’intelligence artificielle afin de promouvoir la coopération internationale et de garantir le respect de la législation.
Les pays de l’UE devront créer et rendre accessibles au niveau national des espaces d’essai réglementaires et des mécanismes d’essai dans des conditions réelles, afin que les PME et les jeunes entreprises puissent développer des systèmes d’IA avant de les mettre sur le marché.

Réactions

Comme toujours, il y a les partisans de la réglementation, qui craignent les dangers de la déréglementation technologique et accueillent donc favorablement les nouvelles mesures, et ceux, d’un autre côté (en particulier les entreprises), qui craignent que celles-ci ne conduisent à des limitations excessives dans le développement des applications.

Quoi qu’il en soit, selon le commissaire chargé du marché intérieur, Thierry Breton, cité dans Il Sole 24 Ore, « l’Europe est désormais une référence mondiale en matière de fiabilité de l’Ai ». Le même journal économique qualifie le règlement de « système réglementaire le plus complet sur l’intelligence artificielle à ce jour, un ensemble historique de normes qui, en l’absence de législation américaine, pourrait donner le ton sur la manière dont l’intelligence artificielle devrait être régie dans le monde occidental ».

Nous parlons certainement d’un sujet, l’intelligence artificielle, qui ne doit pas être sous-estimé et qui doit être traité avec conscience, sérieux et professionnalisme, notamment parce qu’il est en constante évolution. Ces nouvelles réglementations représentent également un champ de connaissances supplémentaire qu’il convient d’acquérir et de gérer.
C’est pourquoi il est essentiel que les entreprises suivent une formation spécifique qui les rende inattaquables tant sur le plan technologique que juridique.

Articles connexes

Rapport Clusit 2024 : données préoccupantes

Rapport Clusit 2024 : données préoccupantes

En Italie, l'industrie manufacturière est visée, mais les attaques contre les soins de santé augmentent de 83 % par rapport au premier semestre 2023. La centralité du facteur humain. Aucune bonne nouvelle ne vient du front cybernétique. Au contraire, la guerre (car...

lire plus