Loi IA Act : objectifs, entreprises concernées, obligations et sanctions

Avec l’essor important de l’IA, ses limites, mais aussi les risques qu’elle présente pour les humains, la nouvelle loi européenne « Artificial Intelligence Act » a été adoptée. Son objectif : encadrer son utilisation au sein de l’Union européenne. Le point sur cette nouvelle réglementation…

L’IA Act, la loi européenne sur l’intelligence artificielle

Saviez-vous que cela fait trois ans que ce texte avait été proposé ? La proposition remonte effectivement au 21 avril 2021. Mais depuis, il a connu plusieurs ajustements importants. Et ce n’est que le 21 mai 2024 qu’il a été validé par les eurodéputés. Il sera ensuite mis en vigueur dans l’UE en 2026.

L’IA Act est la première et la seule législation destinée à encadrer l’intelligence artificielle au niveau mondial. Cette législation s’inscrit dans le cadre des efforts de la Commission européenne pour garantir la protection des données personnelles et le respect des droits des citoyens européens dans un environnement numérique en constante évolution.

La loi IA Act a pour but d’assurer que les traitements de données à caractère personnel effectués par des systèmes d’IA respectent les principes établis par le règlement général sur la protection des données RGPD ainsi que les directives européennes relatives à la protection des données. En tant que nouvelle réglementation, la loi devra être transposée par chaque État-membre dans son droit national, permettant ainsi une harmonisation des règles à travers le marché intérieur.

Si certains la voient comme un obstacle à l’innovation, d’autres le conçoivent comme une opportunité ! En tout cas, l’UE déploie cette réglementation pour que ses pays membres puissent accéder à des systèmes d’IA sûrs, éthiques et respectueux des droits fondamentaux des citoyens.

Puisqu’il existe déjà une législation sur les droits fondamentaux et des règles de sécurité relatives à l’IA, cette nouvelle loi viendra les renforcer.

Les entités concernées par la loi IA Act

Qui seront concernés par cette nouvelle législation ? Le « Artificial Intelligence Act » sera applicable :

• Aux fournisseurs et ceux qui déploient les systèmes d’IA (SIA) au sein de l’UE. Les obligations sont les mêmes, que ces acteurs soient de l’Europe ou d’un pays tiers ;
• Aux entreprises qui prévoient d’introduire ou d’utiliser des SIA à haut risque dans l’UE ;
• Aux entreprises basées dans un pays tiers, mais qui proposent dans l’UE des solutions produites par des SIA à haut risque.

Les différentes catégories de risques associés à l’IA

La Commission européenne a classé en quatre catégories les risques liés à l’utilisation de l’IA selon leur degré de gravité.

Les SIA à risque inacceptable

Ce sont les systèmes jugés menaçants pour les personnes et qui débouchent sur une manipulation ou une discrimination de certains individus. D’ailleurs, l’identification et la catégorisation biométriques font partie de ces SIA. Ces systèmes sont donc interdits dans l’UE.

Les SIA à haut risque

Là, on fait référence aux systèmes ou modèles d’IA qui peuvent porter atteinte aux droits fondamentaux, à la sécurité et à la santé des citoyens. Citons par exemple les outils qui créent des profils ou qui évaluent la vie d’une personne à partir des données personnelles, les SIA employés dans les services publics…

Les SIA à risque limité

Ce sont les IA conversationnelles, les deepfakes et les systèmes de recommandations. Ces SIA devront fonctionner en toute transparence ! Ils devront fournir à leurs usagers des informations concernant le contenu textuel ou visuel généré.

Les SIA à risque minimal

Il peut s’agir des IA intégrées dans les jeux vidéo ou des filtres anti-spam et qui présentent un moindre risque pour les citoyens. Même si ces systèmes sont peu concernés par l’IA Act, la Commission européenne recommande vivement les entreprises qui fournissent ces SIA à mettre en place des codes de conduite.

Les obligations pour se conformer à la loi IA Act

Ce n’est pas pour rien que la Commission européenne a prévu d’appliquer cette nouvelle législation dans deux ans, en 2026. Les fournisseurs de systèmes d’IA ont encore un grand travail à faire pour se conformer à l’IA Act.

Les obligations affectent majoritairement les fournisseurs de SIA à risque élevé. Parmi elles, soulignons :

• L’inscription du fournisseur dans la base de données de l’UE ;
• L’obtention du marquage CE ;
• La production d’une documentation technique ;
• L’amélioration de la gestion des données et du contrôle humain ;
• La mise en place des systèmes de gestion des risques et de la qualité ;
• La rédaction d’une déclaration de conformité.

Les entreprises devront s’assurer de la fiabilité, de la sécurité et de la traçabilité de leurs modèles d’IA.

Et qu’en est-il des IA génératives comme ChatGPT ?

Ce type d’intelligence artificielle est classé parmi les SIA à risque limité. Conformément à l’IA Act, quelques règles moins contraignantes y seront applicables. Les fournisseurs ou déployeurs de ces systèmes devront notamment :

• Garantir la transparence des données d’entraînement de leur modèle ;
• Fournir le résumé des jeux de données d’entraînement des algorithmes ;
• Produire une documentation technique…

Outre cela, la législation existante sur le droit d’auteur et les droits voisins s’applique à ces entreprises.

Les sanctions en cas de non conformité à l’IA Act

Les pénalités sont assez lourdes pour ceux qui ne se conforment pas à cette nouvelle loi sur l’IA :

• Jusqu’à 35 millions d’euros d’amendes (7 % du CA mondial) en cas de violation des applications interdites ;
• Jusqu’à 15 millions d’euros (3 % du CA) en cas de violation des obligations ;
• Jusqu’à 7,5 millions d’euros (1 % du CA) en cas de fourniture de fausses informations.

En plus, les systèmes d’IA de l’entreprise sanctionnée pourraient être retirés du marché.

A prendre en compte donc lorsque vous utilisez l’IA en marketing, dans votre stratégie d’entreprise ou stratégie webmarketing !