AI Act : l’Europe encadre le développement de l’intelligence artificielle
Anne-Sophie Poggi*, avocat IT, revient sur l’Artificial Intelligence Act (IA ACT) et le premier accord sur des règles globales pour une IA digne de confiance adopté par Parlement européen et le Conseil européen en décembre 2023.
Les nouvelles règles établissent des obligations pour les fournisseurs et les utilisateurs en fonction du niveau de risque lié à l’IA pour favoriser à la fois l’innovation en Europe, tout en limitant les possibles dérives de ces technologies très avancées.
Anne-Sophie Poggi : Les Etats membres et le Parlement européen sont parvenus à un accord sur des règles régissant les systèmes d’intelligence artificielle.
L’utilisation d’un système d’IA soulève de nombreux risques à encadrer ; la qualité, la sécurité, la licéité des données qui nourrissent l’IA, la propriété intellectuelle des contenus générés par l’IA, la confidentialité des données de l’entreprise traitée par une IA dans un SAS par exemple.
L’Europe est la première au niveau au mondial à s’être emparée du sujet. Le projet de règlement européen sur l’IA, qu’on appelle IA ACT, en discussion maintenant depuis deux ans et demi, vient de faire l’objet d’un compromis entre les institutions, le 8 décembre dernier.
Le Parlement européen défendaient une vision centrée sur la protection des libertés, alors que le Conseil européen et certains États, dont la France, défendaient une approche soucieuse de préserver la compétitivité des entreprises européennes. Donc, ce règlement se rapprochera du RGPD dans le sens où son application sera extraterritoriale et fixera un premier standard pour les acteurs non européens du secteur.
Mais l’IA ACT retient une approche différenciée, basée sur des risques selon quatre niveaux. Il y aura des IA interdites, des IA à haut risque, des IA à risques limitées et des IA à risque faible.
Seront interdites par exemple, des IA de notation de citoyens comme cela existe en Chine ou des IA de police prédictive, ou encore des IA de reconnaissance des émotions au travail.
Les obligations dépendront du risque et de la taille des acteurs. Seront concernées des entreprises spécialisées dans l’IA, mais également des entreprises utilisatrices qui devront réaliser des analyses d’impact pour les systèmes à haut risque.
Un point dur de la négociation (entre le Parlement européen et le Conseil européen) concernait les modèles de fondation qui sont ces formes d’IA générative de grande taille, entrainées sur une grande quantité de données, et le compromis encadrera également ces modèles spécifiques.
Donc, la version définitive de l’IA Act est attendue pour le printemps prochain, avec une mise en vigueur progressive d’ici 2025.
Et d’ici là, je conseille fortement aux entreprises de ne pas s’endormir sur leurs lauriers et de faire une cartographie des risques puisqu’il y a un usage dans l’entreprise, d’informer les salariés, de les former à l’IA, voire de modifier les chartes informatiques pour pouvoir encadrer tout cela.
*Anne-Sophie Poggi est Avocat Associé (Partner) – POGGI AVOCATS IT et partenaire de l’Agora des DSI.
Propos recueillis par Julien Merali, General Manager du pôle IT d’Agora Managers Groupe