IA Act : Comprendre le premier cadre réglementaire européen sur l’intelligence artificielle

L’Union européenne a adopté en août 2024 l’AI Act, aussi appelé Règlement européen sur l’IA ou RIA, le premier cadre législatif au monde visant à encadrer son utilisation. Cette réglementation repose sur une approche basée sur les risques, classifiant les systèmes d’IA selon leur impact potentiel sur la sécurité, les droits fondamentaux et la transparence.

Pour les entreprises, notamment celles qui déploient des solutions d’IA, cette législation impose de nouvelles obligations en matière de conformité et de gestion des risques. Dans cet article, nous faisons le point sur les niveaux de classification des IA, leurs implications et les bonnes pratiques à adopter pour se conformer à cette réglementation.

Un cadre inédit pour une IA éthique et responsable

Adopté par l’Union européenne, l’IA Act (ou Règlement européen sur l’IA) est la première législation au monde à encadrer l’utilisation de l’intelligence artificielle (IA). Ce texte historique vise à assurer un déploiement éthique, sûr et respectueux des droits fondamentaux.

Objectifs de l’IA Act

Selon la définition de la CNIL, le Règlement européen sur l’IA a pour ambition de « réguler le développement, la mise sur le marché et l’utilisation de systèmes d’intelligence artificielle qui peuvent poser des risques pour la santé, la sécurité ou les droits fondamentaux ».

L’IA Act adopte une approche « par les risques », basée non pas sur la technologie elle-même, mais sur son usage prévu. Cela permet d’adapter les obligations réglementaires en fonction des risques qu’un système d’IA peut présenter pour les individus et la société.

Classification des systèmes d’IA selon leur niveau de risque

L’IA Act distingue quatre niveaux de risque :

🔴 Risque inacceptable : Interdiction totale

Certains systèmes d’IA sont jugés contraires aux valeurs européennes et aux droits fondamentaux, notamment :

• La surveillance biométrique en temps réel dans les espaces publics.

• Le scoring social, qui évalue les individus sur des critères discriminatoires.

• Les systèmes de manipulation du comportement humain.

Ces systèmes sont strictement interdits dans l’UE.

🟠 Risque élevé : Encadrement strict

Les systèmes d’IA qui peuvent affecter la sécurité ou les droits fondamentaux doivent répondre à des obligations réglementaires avant leur mise sur le marché, notamment :

• Une déclaration obligatoire à l’UE.

• Des tests de conformité et une surveillance humaine.

Exemples :

• IA utilisées dans le recrutement, l’éducation ou l’accès au crédit.

• Algorithmes d’aide à la décision judiciaire ou à l’application de la loi.

🟡 Risque modéré : Transparence requise

Les systèmes d’IA à risque limité doivent garantir une transparence suffisante pour informer l’utilisateur qu’il interagit avec une IA.

Exemples :

• Chatbots conversationnels (ex. ChatGPT, Google Gemini, Microsoft Copilot).

• IA génératives produisant du contenu textuel ou visuel.

🟢 Risque minimal : Aucun encadrement spécifique

Les IA à faible risque, telles que les outils d’organisation personnelle ou les filtres photos, ne sont soumises à aucune réglementation particulière.

Le cas particulier des IA à usage général

Les modèles d’IA généralistes (ex. GPT, Mistral, Claude) font l’objet d’un encadrement distinct. Lorsqu’ils atteignent un certain seuil de puissance, ils peuvent être considérés comme à risque systémique, ce qui implique des obligations renforcées en matière :

• de transparence et de documentation ;

• de gestion des biais et des risques ;

• de cybersécurité pour prévenir les usages malveillants.

Découvrez la fiche mémo des niveaux de risque définis par l’AI Act :

Les obligations des entreprises face à l’IA Act

L’IA Act ne concerne pas uniquement les développeurs d’IA. Toute entreprise qui déploie ou exploite un système d’IA doit évaluer son niveau de risque et respecter les obligations associées.

Cartographier ses usages de l’IA

Les entreprises doivent recenser les systèmes d’IA qu’elles utilisent et analyser leurs implications au regard des niveaux de risque définis par l’IA Act.

Pour les IA à haut risque, elles doivent :

• Désigner une personne référente pour la supervision de l’IA.

• Assurer une formation spécifique des collaborateurs sur ces outils.

• Documenter et archiver les journaux d’activité pour garantir la traçabilité.

Intégrer l’IA Act dans la stratégie de conformité

L’IA Act vient compléter le RGPD, en imposant des exigences supplémentaires en matière de protection des données personnelles lorsqu’une IA est impliquée dans leur traitement.

Les entreprises doivent donc aligner leur gouvernance de l’IA avec leurs obligations RGPD, en veillant à :

• Réduire les biais et garantir l’équité des traitements algorithmiques.

• Mettre en place des audits réguliers pour assurer la conformité des systèmes IA.

• Sensibiliser et former les employés sur les bonnes pratiques de l’IA.

Conclusion

L’IA Act marque un tournant dans la régulation de l’intelligence artificielle en Europe. Son approche « par les risques » permet d’encadrer l’innovation tout en préservant la sécurité et les droits fondamentaux.

Les entreprises doivent dès aujourd’hui se préparer à cette nouvelle réglementation, en identifiant les systèmes d’IA qu’elles utilisent et en adaptant leurs pratiques de conformité.

En mettant en place les bonnes pratiques, elles pourront tirer parti des opportunités offertes par l’IA tout en respectant les exigences éthiques et légales de ce nouveau cadre.

Liens utiles :

• CNIL : Questions-réponses sur l’IA Act

• Artificial Intelligence Act – Résumé officiel

• Guide pratique de l’IA Act