Après 36 heures d’intenses négociations, la présidence espagnole de l’Union européenne a arraché un accord sur l’IA Act, le règlement européen sur l’intelligence artificielle. « Historique ! L’UE devient le tout premier continent à fixer des règles claires pour l’utilisation de l’IA », s’est réjoui sur X le commissaire au marché intérieur Thierry Breton qui porte le texte depuis plus de 3 ans. Les tenants de la souplesse, au premier rang desquels la France et l’Allemagne soucieuses de ne pas brider l’innovation et de ne pas mettre des bâtons dans les roues de leurs champions de l’IA, semblent avoir globalement obtenu gain de cause. Du reste, les détails techniques d’application du texte seront finalisés ultérieurement et la version définitive du compromis n’était pas publiée ce 12 décembre. « Nous allons nous assurer dans les prochaines semaines que le texte préserve la capacité de l’Europe à développer ses propres technologies d’IA et préserve son autonomie stratégique », a affirmé le ministre chargé du numérique Jean-Noël Barrot au sortir des négociations.
Extension des interdictions
La philosophie de l’IA Act est de réguler les systèmes d’IA (SIA) en fonction de leur niveau de risque. Dans la catégorie des SIA interdits figurent les SIA discriminatoires (détection de la race, de la religion, de la préférence sexuelle…), les systèmes de notation citoyenne, de surveillance de masse à la chinoise ou encore l’identification biométrique à distance des personnes dans les lieux publics. Les parlementaires européens ont obtenu l’ajout de l’interdiction de la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement. Idem pour les logiciels de police prédictive mobilisant des données personnelles et l’extraction non ciblée d’images faciales sur Internet ou par vidéosurveillance pour créer des bases de données de reconnaissance faciale. En revanche, à la demande du Conseil européen, le texte a obtenu l’introduction d’exceptions à l’interdiction de l’identification biométrique à distance en temps réel. De tels SIA pourront être utilisés pour prévenir des attaques terroristes ou localiser les victimes ou les suspects d’une liste prédéfinie de crimes graves. Les systèmes d’identification biométrique « en temps réel » répondront à des conditions strictes et leur utilisation sera limitée dans le temps et dans l’espace.
Obligations pour les systèmes à haut risque
Le texte liste ensuite des cas d’utilisation considérés comme à « haut risque » pour la sécurité et les droits fondamentaux des personnes. Les domaines concernés comprennent l’éducation, les ressources humaines, les infrastructures critiques, les services publics, l’application de la loi, le contrôle des frontières et l’administration de la justice. Le Parlement a réussi à introduire de nouveaux cas d’utilisation à risque, comme les SIA prédisant les tendances migratoires et la surveillance des frontières. Tous ces systèmes à haut risque devront mettre en place un contrôle humain, produire une documentation technique et prévoir un système de gestion du risque. Les organismes publics (hôpitaux, écoles…) ainsi que les banques et les assurances souhaitant déployer un SIA à haut risque devront par ailleurs produire une étude d’impact sur les droits fondamentaux. Les prestataires et les organismes publics utilisant des systèmes à haut risque seront enfin répertoriés dans une base de données avec une section non publique dédiée à la police, uniquement accessible à une autorité de contrôle indépendante.
Limitation des contraintes pour les IA génératives
Sur l’IA générative (IAG) comme ChatGPT, le texte prévoit des obligations communes à tous les modèles. Les fournisseurs d’IAG devront ainsi détailler les données utilisées pour entrainer leur modèle « sans préjudice des secrets d’affaires ». Tous les textes, images, et sons générés par ces IAG devront être marqués comme ayant été générés par une IA. Ils devront aussi se conformer aux droits d’auteurs. Seule les IAG « très performantes », dépassant une certaine puissance de calcul, devront effectuer des évaluations de modèles, évaluer et atténuer les risques systémiques, effectuer des tests contradictoires, rendre compte à la Commission des incidents graves, assurer la cybersécurité et rendre compte de leur efficacité énergétique.
Les logiciels libres et open source seront exclus du champ d’application du règlement, sauf s’il s’agit d’un système à haut risque, d’applications interdites ou d’une solution d’IA risquant de provoquer des manipulations.
Par ailleurs, tout SIA interagissant avec les humains, comme par exemple un chatbot, devra informer l’utilisateur qu’il est en relation avec une machine. Enfin, les applications à risque minimal, telles que les systèmes de recommandation basés sur l’IA ou les filtres anti-spam – qui constituent la majorité des SIA – ne seront pas soumises à des obligations autres que celles qui prévalent pour les produits circulant dans l’UE.
Office européen de l’IA
Pour piloter la mise en œuvre de cette nouvelle réglementation, l’Europe se dote d’un office européen de l’IA composé d’une centaine de personnes. Cette instance pourra sanctionner financièrement les entreprises qui ne la respectent pas, avec des amendes allant jusqu’à 7% du chiffre d’affaires, plafonnées à 35 millions d’euros ou 15 millions d’euros pour les violations des obligations des fournisseurs de systèmes et de modèles, et 1,5% ou un demi-million d’euros pour défaut de fourniture d’informations précises. Les citoyens européens auront par ailleurs la possibilité de porter plainte s’ils estiment que l’IA lèse leurs droits. Le règlement européen doit maintenant être approuvé formellement par le Parlement et le Conseil de l’UE. Il s’appliquera deux ans après sa publication au Journal Officiel, soit début 2026, délai ramené à six mois pour les interdictions.
.
