Le règlement européen sur l’intelligence artificielle (RIA) : une approche par niveaux de risque.
L’objectif du règlement européen sur l’intelligence artificielle (RIA), législation inédite à l’échelle mondiale, est d’introduire des règles contraignantes pour les systèmes d’intelligence artificielle (IA). Il est entré en vigueur le 1er août 2024, et son entrée en application s’opèrera de façon échelonnée sur 24 mois.
Le RIA s’applique aux acteurs du secteur privé comme public, et fait peser des obligations sur les fournisseurs, les déployeurs ou les distributeurs de systèmes d’IA situés dans l’Union européenne, ou dès lors que l’IA produit des résultats utilisés dans l’UE (par mise sur le marché ou incidence sur une personne située dans l’UE par exemple). Sont en revanche exclus du texte les activités de recherche sans objectif commercial.
La particularité des règles établies par le RIA est d’aborder les obligations mises à la charge des acteurs en opérant une distinction selon le niveau de risque représenté par le système d’IA. Elles ont en effet pour vocation d’assurer un ensemble proportionné et efficace de règles contraignantes. Le règlement a également introduit des règles spécifiques aux modèles d’IA à usage général. Servant eux-mêmes de fondation à certains systèmes d’IA, il s’est avéré difficile d’en opérer une catégorisation. Le RIA y a ainsi consacré plusieurs dispositions (chapitre V RIA), qui feront l’objet l’un prochain article.
Pour tous les autres systèmes d’IA, les acteurs devront s’attacher en premier lieu à évaluer le niveau de risque qu’implique leur outil. Une fois le risque évalué, ils pourront déterminer les obligations qui y sont attachées.
1/ L’IA à risque inacceptable (chapitre II RIA)
a. Evaluation du risque
Le RIA énumère un certain nombre d’usages de l’IA, consistant en des pratiques contraires aux valeurs de l’Union européenne et aux droits fondamentaux (article 5 RIA). Les usages concernés sont notamment :
- les techniques subliminales ou manipulatrices influant le comportement et les décisions des personnes ;
- la notation sociale conduisant à des traitements préjudiciables ou défavorables ;
- l’exploitation des vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne, à leur préjudice ou à celui d’autres personnes ;
- la prédiction du risque de commission d’infraction pénale par des personnes ;
- la reconnaissance faciale basée sur la collecte de données d’internet ou de vidéosurveillance ;
- le fait d’inférer les émotions des personnes sur leur lieu de travail et dans les établissements d’enseignement, sauf pour des raisons médicales ou de sécurité ;
- la catégorisation biométrique des individus pour établir des déductions discriminantes, sauf exceptions.
b. Contraintes – Interdiction
Jugées inacceptables, ces pratiques sont par conséquent interdites. En raison de leur importance, ces interdictions entreront en application dès le 2 février 2025.
2/ L’IA à haut risque (chapitre III RIA)
a. Approche fondée sur le risque
Le RIA définit les systèmes d'IA jugés à haut risque comme ceux qui sont susceptibles de porter atteinte à la santé, la sécurité des personnes ou à leurs droits fondamentaux (article 6 RIA). Les systèmes d’IA concernés sont listés en annexes I et III. La première se rapporte à un certain nombre de législations harmonisées de l’UE et vise les systèmes qui y sont régis, ou qui compose des produits qui y sont visés (ascenseurs, dispositifs médicaux, jouets, équipements marins, véhicules, etc.).
La seconde vise des systèmes d’IA automatiquement classés à haut risque, dès lors qu’ils sont utilisés dans l’un des huit domaines spécifiques visés, contenant chacun une liste d’usages concernés (IA destinée à être utilisée pour surveiller les étudiants lors d’examen, pour le recrutement, pour évaluer la solvabilité, etc.). Cette seconde catégorie de systèmes d’IA à haut risque a vocation à être élargie, puisqu’il est prévu que la Commission pourra ajouter ou modifier des cas d’utilisation listés en annexe III (article 7 RIA).
b. Contraintes – Mise en conformité
Le risque élevé que représentent les systèmes d’IA énumérés ci-dessus justifie qu’ils soient soumis à des exigences renforcées quant à leur développement, notamment :
- mettre en place un système de gestion des risques documenté et tenu à jour (article 9 RIA) ;
- assurer la gouvernance des données (article 10 RIA) ;
- mettre en place une documentation de conformité (article 11 RIA) ;
- procéder à l’enregistrement de l’IA avant sa mise sur le marché (article 12 RIA) ;
- prévoir une notice d’utilisation (article 13 RIA) ;
- prévoir un contrôle humain effectif du système d’IA (article 14 RIA).
- prévoir des niveaux appropriés de précision, robustesse et cybersécurité (article 15 RIA) ;
- mettre en place un système de gestion de qualité pour garantir la conformité (article 17 RIA).
Les dispositions relatives aux systèmes d'IA à haut risque de l'annexe III entreront en vigueur le 2 août 2026. Celles qui sont prévues par l’Annexe I entreront en vigueur le 2 août 2027.
3/ L’IA à risque faible (chapitre IV RIA)
a. Approche fondée sur le risque
Le RIA prévoit des obligations de transparence spécifiques à « certains systèmes d’IA ». Il s’agit de ceux qui sont susceptibles de manipuler les utilisateurs. Quatre systèmes d’IA sont visés :
- ceux qui interagissent avec des personnes physiques (article 50.1 RIA) ;
- les systèmes d’IA qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte (article 50.2 RIA) ;
- les systèmes de reconnaissance des émotions ou de catégorisation biométrique ;
- les systèmes d’IA qui génèrent ou manipulent des contenus constituant un hypertrucage (Deepfake), ou des textes publiés dans le but d’informer le public sur des questions d’intérêt général (article 50.4 RIA).
Des exceptions sont prévues par les textes, notamment lorsque le système d’IA est autorisé par la loi et destiné à détecter, prévenir, enquêter et poursuivre des infractions pénales.
b- Contraintes – Transparence
Les systèmes d’IA à faible risque donnent uniquement lieu à des obligations de transparence et d’information.
Il s’agit principalement de veiller à ce que les utilisateurs sachent qu’ils interagissent avec un système d’IA lorsque cela est nécessaire (article 50.1 RIA), que le contenu généré ou manipulé par l’IA soit identifiable en tant que tel (article 50.2, 50.4 RIA), ou d’informer les personnes lorsqu’elles sont exposées au fonctionnement d’un système d’IA (article 50.3 RIA).
Ces règles entreront en vigueur le 2 août 2026.
4/ L’IA à risque minime
Les autres systèmes d’IA qui ne sont pas répertoriés dans l’une des catégories de risques évoquées précédemment ne sont pas soumis à des obligations légales supplémentaires au regard du RIA (filtres anti-spam ou IA intégrées à des jeux vidéos par exemple). Il est seulement conseillé aux entreprises de mettre en place un code de conduite.
***
La mise en œuvre du RIA sera un processus à suivre attentivement, à mesure que ses dispositions entreront en application.
Dans cette attente, et bien que ce calendrier échelonné permette aux acteurs concernés de se mettre en conformité, il est essentiel qu’ils commencent dès à présent à mettre en place les mécanismes nécessaires pour répondre à leurs obligations.
La violation des obligations prévues par le RIA peut en effet entrainer le prononcé d’une amende jusqu’à 35 millions d’euros, ou jusqu’à 7% du chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu (articles 71 et 72 RIA).
La création récente du Bureau européen de l’intelligence artificielle, qui a vocation à accompagner les acteurs de l’IA, devrait toutefois les soutenir dans cette mise en conformité.
Le département Contrats informatiques, données & conformité vous accompagne dans votre mise en conformité avec la législation des espaces numériques.
Pour toute question, n’hésitez pas à nous contacter.