Le Règlement Européen sur l'IA est – enfin – une réalité

L'objectif de cette législation est de réguler la technologie de l'IA. L'Acte sur l'IA fournit un cadre légal pour créer un climat d'IA sûr et fiable qui protège les droits fondamentaux des citoyens de l'UE. Le cadre vise également à stimuler l'innovation mais de manière sécurisée. Cela signifie qu'il prend en compte l'individu et l'environnement. L'IA peut en effet causer des dommages de différentes manières : psychologiquement, physiquement, socialement et économiquement.

Définition

L'UE décrit un système d'IA comme un système mécanique capable de fonctionner de manière autonome. Après l'installation, ce système peut s'adapter et apprendre de l'information qu'il reçoit pour faire des prédictions, créer des choses, donner des conseils ou prendre des décisions qui peuvent affecter le monde physique ou virtuel.

Il est important que les systèmes d'IA soient clairement distingués, par exemple, des programmes logiciels ou des règles établies par des personnes physiques pour exécuter des actions automatiques.

Le domaine d'application

La loi s'applique à :

• Des exploitants (utilisateurs) de systèmes d'IA dans l'UE
• Des fournisseurs de systèmes d'IA (mise sur le marché ou mise en service) dans l'UE (que la partie soit basée dans l'UE ou dans un pays tiers)
• Des fournisseurs et des exploitants de systèmes d'IA d'un pays tiers mais dont le résultat est destiné à être utilisé dans l'UE.
• Des importateurs et des distributeurs qui mettent des systèmes d'IA sur le marché de l'UE
• Des fabricants de produits qui introduisent des produits avec des systèmes d'IA sur le marché de l'UE

La loi s'applique donc à tous les secteurs.

La conformité à la loi sera contrôlée par les autorités nationales, comme par exemple l'autorité de protection des données. Ceux qui ne se conforment pas peuvent s'attendre à une amende pouvant atteindre 35 millions d'euros par infraction ou jusqu'à 7 % du chiffre d'affaires mondial.

Les catégories de risques

La loi sur l'IA est basée sur un modèle fondé sur le risque. Certains systèmes d'IA sont donc interdits, d'autres doivent respecter des règles et assurer la transparence selon le profil de risque du système.

Les catégories de risque suivantes sont prises en compte :

Risque inacceptable

Ces systèmes d'IA sont interdits. Cela inclut, par exemple, les modèles de notation sociale. Ces modèles attribuent littéralement un score social aux personnes physiques en fonction de caractéristiques personnelles ou du comportement social de cette personne. Passer un feu rouge influencerait, par exemple, négativement le score, au contraire, aider les gens influencerait positivement.

Aussi, les systèmes de catégorisation biométrique qui utilisent des caractéristiques sensibles telles que les convictions politiques, religieuses, philosophiques, l'orientation sexuelle ou la race sont prohibés. De même pour les systèmes d'IA qui manipulent le comportement humain pour contourner la libre volonté ou exploiter les vulnérabilités des individus.

Ces systèmes représentent un danger pour les droits, la sécurité et/ou la santé des personnes physiques. Ils doivent être progressivement éliminés dans les six mois.

Risque élevé

Cela inclut, par exemple, les systèmes d'IA qui assistent dans le recrutement et la sélection, comme la sélection des candidats pour les postes vacants ou la détermination des bonus pour les employés.

Les systèmes d'IA à haut risque doivent être enregistrés dans une base de données de l'UE avant leur mise sur le marché. Ils doivent être documentés (évaluation) et seront également suivis. Cette documentation étendue pour prouver la conformité à la réglementation comprend, entre autres, les enregistrements des méthodologies de programmation et de formation, les ensembles de données utilisés, et les mesures prises pour la surveillance et le contrôle.

Risque faible

Ces systèmes d'IA ne présentent aucun danger. Ils pourront donc être développés et utilisés sans restriction. La transparence reste cependant cruciale.

Pour classifier si un système d'IA présente ou non un risque élevé, cela dépend de l'effet du système sur les droits fondamentaux (droit à la vie privée, droit à la liberté, droit à la non-discrimination, etc.), la sécurité et la santé des personnes physiques. La loi fournit également de nombreux exemples pour parvenir à la bonne classification.

Que cela signifie-t-il pour vous ?

• Si vous avez recensé tous les systèmes d'IA, vous devez alors déterminer la catégorie de risque. Vous devez donc évaluer les risques de l'effet du système sur les droits fondamentaux (et la société) et établir des mesures pour gérer ces risques (évaluation de l'impact). Vous devez documenter cela minutieusement et revoir régulièrement. Et surtout : appliquer. Les systèmes d'IA à haut risque doivent être enregistrés à l'avance. Dans certains cas, vous devrez faire évaluer (expertiser) le système d'IA par une partie externe.
• Il est important que votre entreprise prenne des mesures de gestion, documente tout correctement, suive les évolutions, soit transparente et puisse démontrer tout cela (responsabilité). La conformité joue donc un rôle important dans chaque système d'IA de votre organisation. Suivre le système et intervenir à temps avant qu'il ne soit trop tard est donc nécessaire.
• La loi souligne l'importance des données de haute qualité (et donc fiables) pour garantir la fiabilité d'un système d'IA (et la gouvernance des données). La cybersécurité pour la protection des données fait également partie de cela.
• La loi souligne également – pour ceux qui ne l'auraient pas encore compris – encore une fois que la protection des données personnelles est cruciale. Entre autres, en appliquant la minimisation des données et en anonymisant ou cryptant les données.