Le Parlement Européen a voté l’AI Act le 13 mars 2024. Il a vocation à garantir le déploiement d’une intelligence artificielle responsable, saine et éthique. Régulation pionnière sur l’IA dans le monde, la loi sera applicable à tous les opérateurs de systèmes d’IA conçus, déployés et utilisés au sein de l’Union européenne. Et ceux qui ne respecteront pas ces nouvelles règles s’exposeront à d’importantes sanctions financières ! En plus de maîtriser les contours de ce texte historique, il est donc indispensable de connaître le calendrier et les dates clés de sa mise en œuvre…
Bientôt l’entrée en vigueur de l’AI Act !
Le 22 avril 2024, le Parlement européen a approuvé sans vote le corrigendum de l’AI Act lors de la séance plénière. Le 21 mai, les vingt-sept pays membres de l’Union européenne ont définitivement adopté l’AI Act. Le Journal Officiel de l’Union Européenne a publié ce nouveau règlement européen le 12 juillet 2024. Et il entrera en vigueur 20 jours après sa publication, c’est-à-dire le 1er août 2024.
L’AI Act sera pleinement applicable 24 mois après son entrée en vigueur (été 2026). Mais les organisations devront aussi respecter certains délais spécifiques pour se mettre en conformité avec cette nouvelle législation…
Dans les 6 mois : Traiter les systèmes d’IA à risque inacceptable
L’AI Act prévoit d’abord que les systèmes d’IA interdits devront être supprimés ou mis en conformité dans les 6 mois. Cette première échéance devrait donc survenir le 1er février 2025. Et les organisations ont tout intérêt à se mettre en conformité dès aujourd’hui…
Quels sont les systèmes d’IA interdits?
Visés à l’article 5 de l’AI Act, les systèmes d’IA interdits d’ici à la fin de l’année sont ceux qui présentent un risque inacceptable pour la sécurité ou les droits des personnes, avec :
- le déploiement de techniques subliminales, délibérément manipulatrices ou trompeuses, pour fausser le comportement des personnes et les amener à prendre des décisions qu’elles n’auraient pas prises autrement ;
- l’exploitation de la vulnérabilité des personnes en raison de leur âge, d’un handicap ou de leur situation socio-économique, pour altérer leur comportement d’une manière préjudiciable ;
- l’établissement d’un système de notation sociale par les autorités publiques et privées, sur la base du comportement social des personnes, de leurs caractéristiques personnelles ou de leur personnalité ;
- le déploiement de systèmes pour déduire les émotions des personnes sur leur lieu de travail et dans les établissements d’enseignement (sauf pour raisons médicales ou de sécurité) ;
- la catégorisation biométrique pour classer les individus selon leur race, leurs opinions politiques, leur appartenance à un syndicat, leurs croyances religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle. Des exceptions sont prévues dans le domaine répressif sous conditions spécifiques ;
- le moissonnage non ciblé d’images faciales à partir de l’internet ou des systèmes de vidéosurveillance afin de constituer ou d’élargir des bases de données ;
- l’évaluation ou la prédiction des risques à commettre une infraction pénale, sur la seule base du profilage d’une personne ou de l’évaluation de ses traits de personnalité ou caractéristiques (sauf si les systèmes d’IA confirment une évaluation humaine fondée sur des faits vérifiables et directement liés à une activité criminelle) ;
- l’identification biométrique à distance « en temps réel » dans des espaces publics, pour le maintien de l’ordre ou à des fins répressives (sauf en cas de menaces spécifiques et importantes ou pour localiser des suspects d’infractions graves spécifiques).
Dans les 12 mois : mise en conformité des modèles GPAI
L’AI Act prévoit également que les règles de gouvernance et les obligations relatives aux modèles General Purpose AI (GPAI) seront applicables dans les 12 mois. Les organisations qui utilisent ou déploient ces modèles auront jusqu’au 1er août 2025 pour se mettre en conformité.
Un GPAI (General Purpose AI) est un modèle d’IA à usage général, qui peut servir à des fins diverses. Dont une utilisation directe ou une intégration à une autre système d’IA. Et l’AI Act impose à ces modèles le respect de règles spécifiques. Les organisations qui déploient des modèles GPAI doivent notamment fournir un certain nombre de documents. Par exemple une documentation technique ou des instructions d’utilisation. Et les modèles qui présentent un risque systémique sont soumis à des exigences supplémentaires.
Dans les 24 mois : Conformité des Systèmes d’IA à haut risque
L’AI Act soumet les systèmes d’IA à haut risque à des exigences légales strictes.
Par exemple:
- Enregistrement des SIA dans une base de données européenne
- Mise en place d’un système de gestion des risques et d’une surveillance humaine….
Les organisations qui conçoivent, déploient ou utilisent des SIA à risque élevé devront se mettre en conformité dans les 24 mois.
L’annexe III de l’AI Act énumère spécifiquement les systèmes d’IA à haut risque. Ce sont ceux qui interviennent dans des domaines sensibles. Par exemple les données biométriques, les infrastructures critiques (trafic routier, fourniture d’énergie…), l’éducation et la formation professionnelle, l’emploi. Mais aussi l’accès aux services privés essentiels et aux services publics et prestations sociales essentiels (santé, banque, services d’urgence…). Enfin les services répressifs (application de la loi), gestion des migrations, de l’asile et des contrôles aux frontières, administration de la justice.
Et plus tard ?
L’AI Act prévoit un délai plus long pour la mise en conformité de certains Systèmes d’IA à haut risque. Ceux qui sont déjà encadrés par une législation européenne spécifique imposant une certification (liste fermée de l’annexe I) auront 36 mois pour se conformer aux exigences de l’AI Act. Ce délai est accordé par exemple aux systèmes d’IA déployés dans les dispositif médicaux et des diagnostic in vitro. Ainsi que dans le domaine des jouets, des équipements radio, de la sécurité de l’aviation civile ou des véhicules agricoles…
Les obligations relatives aux systèmes d’IA utilisés dans des systèmes d’information à grande échelle établis par la législation de l’UE (dans les domaines de la liberté, de la sécurité et de la justice) devront être appliquées avant fin 2030. La loi vise notamment le système d’information Schengen (SIS). Le SIS est un système de partage d’informations pour la sécurité et la gestion des frontières en Europe.
Comment être en situation de respecter ces échéances ?
Pour répondre aux exigences de ce nouveau cadre réglementaire, les entreprises doivent anticiper leur mise en conformité. Qu’il s’agisse d’éliminer les SIA interdites ou de mettre en place une gouvernance de l’IA au sein de leur structure. Il est indispensable qu’elles commencent dès à présent à former leurs équipes. Et elles doivent également se doter des bons outils !
Premier AIMS® du marché européen, Naaia est une solution SaaS de gouvernance et de pilotage des systèmes d’intelligence artificielle. Qualification des systèmes d’IA et identification des SIA interdits. Mise en place d’un plan d’action pour assurer la mise en conformité. Suivi de chaque système d’IA dans son cycle de vie… Notre AIMS vous accompagne dans votre démarche de mise en conformité à l’AI Act.
Naaia vient d’intégrer à sa solution 6 nouvelles fonctionnalités. Pour une réponse opérationnelle encore plus performante et des plans d’actions optimisés. N’hésitez pas à contacter nos équipes pour en savoir plus.