Vers un cadre européen pour l’IA : les apports du futur AI Act

Le développement de l'IA se fait à grande vitesse. Et l’UE souhaite reprendre le contrôle pour garantir un développement éthique et sûr. Elle prévoit un cadre réglementaire pour une meilleure protection des droits de chacun. L’objectif est relativement simple : c’est de protéger les citoyens, d’encourager une innovation responsable et de renforcer la confiance dans l’IA.

Les 4 visages de l’IA selon l’Union européenne

Avant d'aller plus loin, il est essentiel de connaître la catégorisation  des systèmes de l'AI selon l'Union Européenne. Effectivement, l’AI Act classe les systèmes d’IA selon quatre niveaux de risque :

• Risque inacceptable : œuvre interdite (exemple. : notation sociale, manipulation subliminale).
• Haut risque : soumis à des obligations strictes (exemple. : IA utilisée dans la justice, l'emploi, les infrastructures critiques).
• Risque limité : obligations d’information, les outils utilisés doivent être déclarés (exemple. : chatbots, deepfakes).
• Risque minimal : usage libre (exemple. : outil utilisé pour recommander des films, des contenus spécifiques, des filtres photos, etc.).

Les systèmes classés “à haut risque” doivent respecter un ensemble d’exigences techniques et procédurales, conformément aux articles 8 à 15 de la loi et aux directives associées.

Documentation technique, journalisation, transparence

Les systèmes d’IA à haut risque doivent être accompagnés d’un dossier technique complet détaillant leur conception, leur fonctionnement et leurs performances. En pratique, un système de journalisation des événements garantit la traçabilité des décisions algorithmiques.

Gestion des risques, supervision humaine, sécurité

Les systèmes à haut risque doivent faire l’objet d’une analyse de risques continue tout au long de leur cycle de vie. Par ailleurs, une supervision humaine active via des outils spécialisés comme l’IA Juridique doit être garantie pour prévenir les dérives.

Évaluation de conformité et marquage CE

Avant la mise sur le marché, les IA à haut risque doivent être évaluées rigoureusement. Cette évaluation peut être faite en interne ou par un organisme spécialisé. Si le système est validé, il reçoit un marquage CE. Ce dernier prouve qu’il respecte les règles de base de l'AI Act et peut être vendu dans l’UE.

Surveillance post-commercialisation et remontée d’incidents

Les fournisseurs actifs sur le territoire européen, quel que soit leur domaine, doivent évaluer en continu leurs systèmes d’IA. Pour se conformer aux règles, les anomalies et les risques nécessitent une surveillance accrue et perpétuelle. En cas d’incident, ils doivent le signaler rapidement aux autorités. Cela permet de limiter les risques et de protéger les utilisateurs.

Toute violation du règlement expose les entreprises à de lourdes sanctions, pouvant atteindre des dizaines de millions d'euros.

Amendes et seuils de pénalité

Les sanctions prévues peuvent aller jusqu’à 35 millions d’euros ou 7 % du chiffre d'affaires mondial annuel. En général, le barème est variable selon la gravité de l’infraction.

Responsabilités des acteurs

De leur côté, les acteurs du marché ont leur part de responsabilités à honorer :

• Fournisseurs / développeurs : responsables de la conformité globale ;
• Déployeurs : doivent garantir un usage conforme à l’éthique ;
• Distributeurs et importateurs : obligations en matière de vigilance et de traçabilité.

Voici les étapes que vous devez connaître en matière de conformité et de réglementation :

Dates clés

• Adoption finale : attendue fin 2025 ;
• Entrée en vigueur : courant 2026 avec une période transitoire de 2 ans ;
• Certaines interdictions (systèmes à risque inacceptable) applicables plus tôt.

Actes d’exécution et normes techniques

En ce qui concerne les actes délégués, ils viendront préciser notamment les :

• normes techniques harmonisées ;
• modalités de mise en conformité.

L’AI Act complète le RGPD, sans le remplacer. Les deux cadres réglementaires sont alors complémentaires pour créer un environnement sécurisé et sans contrainte :

• RGPD : traitement des données personnelles ;
• AI Act : fonctionnement, sécurité et impact des algorithmes.

D’ailleurs, il faut savoir que d’autres textes interagissent également, chacun avec des objectifs clairs. On parle ici notamment :

• du règlement machines ;
  
• de la directive sur la responsabilité des produits ;
  
• de la législation sectorielle (santé, transport…).
  

Audit des systèmes existants

Première étape clé vers la conformité, l’audit consiste à recenser l’ensemble des systèmes d’IA déployés au sein de l’organisation. Chaque système doit ensuite être évalué et classé selon les catégories de risque définies par l’AI Act.

Priorisation des systèmes à haut risque

Les systèmes à haut risque sont prioritaires. Il faut évaluer leur impact sur les droits et la sécurité. Ensuite, il faut appliquer rapidement les mesures du AI Act.

Mise en place de documentation et de processus

Les entreprises doivent constituer des dossiers techniques détaillés pour chaque système à haut risque, incluant architecture, données, tests et performances. Parallèlement, des workflows internes doivent être définis pour assurer la traçabilité, la conformité et la supervision.

Gouvernance et pilotage interne

Une gouvernance efficace passe par la désignation d’un responsable conformité IA chargé de coordonner les actions réglementaires. La création d’un comité IA pluridisciplinaire permet justement d’assurer une approche transverse. En outre, ce dispositif doit intégrer un suivi régulier de l’évolution des normes.

L’AI Act marque un tournant décisif en Europe en imposant de nouvelles responsabilités aux entreprises. Loin d'être un frein, ce cadre unique se présente comme une véritable opportunité pour une innovation éthique et compétitive. Pour les acteurs, le moment est crucial pour anticiper les exigences et se préparer dès maintenant.