Depuis le 2 février, l'AI Act entre progressivement en application et ses conséquences ne devraient pas tarder à se faire sentir. Cependant, des zones d'ombre subsistent encore.

Les IA à risque dans le collimateur des régulateurs européens © RaffMaster / Shutterstock
Les IA à risque dans le collimateur des régulateurs européens © RaffMaster / Shutterstock

L'intelligence artificielle inquiète et sa régulation est un enjeu de taille, en Europe comme aux États-Unis. Publié le 12 juillet 2024 et entré en vigueur le 1er août 2024, l'AI Act prévoit le bannissement en Europe de tout système d'intelligence artificielle qui serait considéré comme à risque.

Aussi connu sous le joli nom de « Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle », ce texte définit quatre niveaux de risques et prévoit de lourdes amendes pour quiconque contreviendrait à ses dispositions. Mais son application est loin d'être simple.

Les régulateurs européens peuvent désormais interdire les « IA à risque »

En septembre 2024, alors que les sociétés Meta, Apple et Mistral brillaient par leur absence, 115 organisations, dont Google, Amazon et OpenAI ont signé le pacte européen sur l'IA et se sont engagées à cartographier les IA à risque.

Quatre niveaux de risque, définis par la Commission européenne, sont notamment visés :

  • Le risque minimal : ce dernier ne nécessite pas de surveillance réglementaire particulière. Il concerne notamment les filtres anti-spam.
  • Le risque spécifique lié à la transparence : ce risque concerne notamment les chatbots. Dans ce cas, il y a une obligation de transparence et une nécessité de surveillance légère. Les utilisateurs doivent être parfaitement conscients qu'ils « interagissent avec une machine ».
  • Le risque élevé : il concerne les IA qui peuvent « avoir un impact négatif sur la sécurité des personnes ou sur leurs droits fondamentaux » et requiert une surveillance importante.
  • Le risque inacceptable : il concerne les IA qui violent les droits fondamentaux et doivent donc être interdites en Europe. Ces technologies sont notamment utilisées pour de la notation sociale, la collecte biométrique et la reconnaissance faciale à grande échelle, la prédiction criminelle ou l'exploitation de vulnérabilités. Deux exceptions ont été prévues pour les forces de l'ordre et pour les systèmes chargés de détecter des émotions dans un cadre médical ou de sécurité.

Quel que soit l'emplacement de leur siège social, les sociétés avaient jusqu'au 2 février 2025, première date de mise en conformité de l'AI Act, pour montrer patte blanche. Dans le cas contraire, des amendes, allant jusqu'à « 35 millions d’euros, ou 7 % de leur chiffre d’affaires annuel de l’exercice précédent », étaient prévues.

© Future of Life Institute
© Future of Life Institute

Une loi dont l'application est, pour l'heure, encore assez floue

L'AI Act a mis en place un cadre strict et de nombreuses IA risquent d'être interdites. Parmi elles, on pense notamment à la renommée technologie chinoise DeepSeek, dont le traitement des données est déjà dans le collimateur de la CNIL et des régulateurs italiens et irlandais.

Toutefois, pour l'heure, les conditions de mise en œuvre du texte n'ont pas encore été clarifiées par la Commission européenne. Si les organisations signataires sont, a priori, dans les temps, l'institution avait, quant à elle, annoncé la publication de nouvelles lignes directrices pour le début de l'année 2025. Elles n'ont, pour l'heure, pas encore été dévoilées.

Interrogé par TechCrunch, Rob Sumroy, associé et co-directeur du groupe Technologie au sein du cabinet juridique Slaughter and May, a partagé son point de vue sur la question : « Pour les organisations, l’une des principales préoccupations concernant la loi européenne sur l’IA est de savoir si des directives, des normes et des codes de conduite clairs arriveront à temps et, surtout, s’ils apporteront aux organisations des éclaircissements sur la conformité ». Il a également précisé que les amendes prévues par l'AI Act n'entreraient probablement pas en vigueur tout de suite.

On ne sait pas non plus comment le nouveau texte s'articulera avec les autres réglementations déjà en place : « D’autres cadres juridiques, tels que le RGPD, NIS2 et DORA, interagiront avec la loi sur l’IA, ce qui créera des défis potentiels, notamment en ce qui concerne les exigences de notification des incidents qui se chevauchent. Comprendre comment ces lois s’articulent sera tout aussi crucial que comprendre la loi sur l’IA elle-même ».

Il faudra donc patienter encore un peu pour savoir quelles IA seront véritablement impactées par l'AI Act et dans quelles conditions. Étant donné que l'application de ce texte se fera de manière progressive jusqu'en août 2027, les clarifications devraient probablement arriver au compte-goutte.

À découvrir
Quelles sont les meilleures IA pour générer vos contenus ? Comparatifs 2025

30 décembre 2024 à 11h18

Comparatifs services

Source : TechCrunch