Les Systèmes d’IA Interdits 

5 points à retenir 

SIA interdits

• L’AI Act, adopté le 22 avril, entre en vigueur le 1er août

• Ce texte vous concerne dès que vous intégrez un Système d’IA. (SIA) dans le cadre de vos activités au sein de l’UE, que ce soit au stade de sa conception ou plus simple au stade de sa distribution ou de son déploiement. 

• 8 groupes de pratiques interdites sont prévues par l’AI Act. 

• D’ici à la fin d’année, les SIA à risque inacceptable seront interdits. 

• Il est temps de formuler une stratégie claire de gestion des urgences tout en préservant vos opérations et votre cœur métier. 

L’AI Act arrive ! 

Si vous développez ou intégrez un SIA dans le cadre de vos opérations au sein de l’UE, vous serez concerné par l’AI Act : il est temps de vous y préparer. Avant de nous concentrer sur les SIA Interdits, revenons sur l’AI Act, ses grands principes et son impact. 

L’AI Act, c’est quoi ? 

L’AI Act définit un cadre juridique complet et harmonisé pour l’UE. Ce règlement encadre le développement, la commercialisation et l’utilisation des systèmes d’IA (SIA) et des modèles d’IA à usage général (GPAI).

Il vise à favoriser une IA centrée sur l’humain et fiable. Il assure une protection robuste des droits fondamentaux, de la sécurité et de la santé. En parallèle, l’AI Act soutient l’innovation. Il cherche à atténuer les impacts négatifs des systèmes d’IA. Pour cela, il met en place des mécanismes de gouvernance solides et des normes de sécurité strictes. Est ainsi garanti un marché européen de l’IA sûre, éthique et innovante. 

Qui est concerné ? 

Le règlement vise tous les systèmes IA définis ainsi dans l’AI Act : 

« un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels »  

Le règlement vise aussi les modèles d’IA à usage général. 

Les obligations de l’AI Act concernent tous les opérateurs tout au long de la chaîne de valeur de l’IA. (fournisseur, mandataire, distributeur, importateur et déployeur) lorsqu’ils introduisent leur SIA et/ou leur GPAI sur le marché de l’UE, et ce indépendamment du fait que les opérateurs soient ou non installés au sein de l’UE. 

Les obligations de l’AI Act diffèrent en fonction du type d’opérateur de SIA  et de la catégorie de risque dans laquelle celui-ci est classifié.  

Une approche fondée sur les risques 

L’approche de l’AI Act est principalement fondée sur des risques comprenant quatre niveaux : 

• Risque inacceptable 

• Voir la section ci-dessous (Quels sont les SIA « interdits » ?) 

• Les SIA à haut-risque 

• Ils relèvent, entre autres, des domaines suivants :   l’identification biométrique, l’éducation et la formation professionnelle ou l’emploi. Sont également classés dans la catégorie des SIA à haut risque ceux qui sont utilisés dans des produits soumis à d’autres réglementations sectorielles de l’UE. (jouets, dispositifs médicaux, ascenseurs, …) 

• Les SIA à risque spécifique ou limité, tenus à des obligations de transparence :  

• Ce sont, par exemple, des chatbots qui interagissent directement avec des personnes physiques, des SIA capables de générer des contenus video ou textuels ou encore des SIA qui manipulent des images constituant ainsi des deepfakes. 

• À risque minime 

• Il s’agit des autres SIA qui ne présentent ni un risque inacceptable ni un risque   spécifique, et qui ne sont pas catégorisés à haut risque.   Les filtres anti-spam en sont un parfait exemple. 

En ce qui concerne les IA à usage général (GPAI), ils sont répartis en deux catégories : avec ou sans risque systémique.  Présente un risque systémique¹ un GPIA (i) qui possède des capacités d’impact élevé, ou (ii) qui est catégorisé ainsi par une décision de la Commission. Dans ce cas, il est soumis à des obligations plus nombreuses qu’un GPIA sans risque systémique  

Sanctions 

En cas de non-respect des obligations stipulées dans l’AI Act, les sanctions financières peuvent être considérables en fonction de type d’infraction. Les amendes peuvent atteindre : 

• Jusqu’à 35 millions d’euros, ou 7% du chiffre d’affaires annuel mondial en cas de non-respect des règles sur les pratiques d’IA interdites. 

• Jusqu’à 15 millions d’euros, ou 3% du chiffre d’affaires annuel mondial en cas de non-respect des obligations de l’AI Act et des mesures concernant les GPAI. 

• Jusqu’à 7,5 millions d’euros, ou 1% du chiffre d’affaires annuel mondial en cas de fourniture d’informations inexactes, incomplètes ou trompeuses aux autorités 

Pour ces trois cas, le montant le plus élevé sera retenu. En revanche pour les PME, les sanctions doivent être proportionnées pour tenir compte de leur viabilité économique. C’est pourquoi le montant plus faible sera celui retenu.  

Il est donc primordial de bien vous préparer. Cela vous aidera à éviter les sanctions financières et les répercussions sur la réputation de l’organisation.

Quelles sont les échéances de l’AI Act ? 

A compter de son entrée en vigueur (prévue au 1er août 2024), l’AI Act s’appliquera à échéances variables :   

•  6 mois à compter de la date de l’entrée en vigueur du texte : suppression des SIA à risque inacceptable (dits « interdits ») ; 

•  12 mois à compter de la date de l’entrée en vigueur du texte : mise en conformité des modèles d’IA à usage général (General Purpose AI dits « GPAI ») ; 

•  24 mois à compter de la date de l’entrée en vigueur du texte : mise en conformité des SIA à haut risque ne relevant pas des législations sectorielles de l’UE ; 

•  36 mois à compter de la date de l’entrée en vigueur du texte : délai supplémentaire pour les SIA à hauts risques déjà couverts par une législation sectorielle de l’UE (jouets, dispositifs médicaux, ascenseurs, …). 

Nous nous focalisons sur la première échéance prévue pour le 1er février 2025 :  celle de la suppression des SIA interdits.

Les SIA interdits 

Certes, l’IA offre de nombreux avantages. Cependant, sa puissance peut être détournée pour manipulation, exploitation, et contrôle social. Ces pratiques vont à l’encontre des valeurs européennes. Elles compromettent le respect de la dignité humaine, la liberté, l’égalité, la démocratie, et l’État de droit.

Les droits fondamentaux de l’Union sont également menacés. Le droit à la non-discrimination, à la protection des données, et à l’égalité des chances est concerné.

L’UE établit ces interdictions pour atténuer les risques liés à l’IA. Elle vise à prévenir les dommages dus à une mauvaise utilisation des technologies. L’objectif est de protéger les droits fondamentaux et d’éviter que l’IA ne nuise aux individus ou à la société.

Quels sont les SIA « interdits » ? 

Pour cesser l’utilisation des SIA interdits, il faut savoir les définir pour pouvoir les identifier. 

Sur la base de l’Article 5 de l’AI Act, les pratiques interdites sont les suivantes : 

• Techniques subliminales et manipulatrices / trompeuses entraînant des préjudices importants 

Il est interdit d’utiliser un SIA qui utilise des techniques subliminales ou de manipulation. Ces techniques doivent éviter de fausser le comportement des personnes. Elles ne doivent pas causer de préjudice important aux individus.

Cette interdiction protège les personnes contre des influences qui compromettent leur libre arbitre. Elle empêche les individus de prendre des décisions qu’ils n’auraient pas prises autrement.

• Exploitation des vulnérabilités entraînant des préjudices importants 

Il est interdit d’utiliser un SIA pour exploiter les vulnérabilités de groupes spécifiques de personnes. Cela inclut les vulnérabilités basées sur l’âge, le handicap ou la situation socio-économique. Ces pratiques ne doivent pas altérer le comportement des personnes de manière préjudiciable.

• « Notation sociale » par les autorités publiques et privés 

Il est interdit d’utiliser un SIA pour évaluer ou classer les personnes selon leur comportement social ou leurs caractéristiques personnelles. Cette interdiction concerne les situations où le SIA génère une note sociale (i) dans des contextes non liés aux données collectées ou (ii) lorsque la note est injustifiée ou disproportionnée par rapport au comportement social des personnes notées. 

• Inférence émotionnelle sur le lieu de travail et dans des établissements d’enseignement sauf pour des raisons médicales ou de sécurité 

Il est interdit d’utiliser un SIA pour déduire des émotions sur le lieu de travail ou dans un cadre éducatif, sauf pour des raisons médicales ou de sécurité. Cela signifie qu’il est interdit d’inférer des émotions (colère, joie, surprise, …) à partir des données biométriques des personnes. En revanche, son usage est permis pour détecter les états physiques tels que la fatigue ou la douleur pour les conducteurs ou des pilotes d’avions par exemple, dans le but de prévenir des accidents. 

• Catégorisation biométrique des attributs sensibles 

Il est interdit d’utiliser un SIA pour catégoriser des individus selon des données biométriques. Cela inclut des attributs sensibles comme la race, les opinions politiques, l’affiliation syndicale, les convictions religieuses ou philosophiques, ainsi que la vie sexuelle ou l’orientation sexuelle.

Des exceptions sont prévues dans le domaine répressif sous conditions spécifiques. 

• Moissonnage non ciblé d’images faciales à partir de l’internet ou des systèmes de vidéosurveillance afin de constituer ou d’élargir des bases de données 

Cette pratique ne ferait qu’accentuer le sentiment de surveillance de masse et pourrait entrainer des violations du droit au respect de la vie privée, c’est la raison pour laquelle elle est interdite. 

• Profilage d’une personne physique pour évaluer ou prédire la commission d’un crime 

Il est interdit d’utiliser des SIA pour évaluer ou prédire la probabilité qu’une personne commette un crime. Cette interdiction s’applique si l’évaluation repose uniquement sur le profilage ou les traits de personnalité. Les SIA ne peuvent être utilisés qu’en complément d’une évaluation humaine basée sur des faits vérifiables et directement liés à une activité criminelle.

• Identification biométrique à distance « en temps réel » dans des espaces accessibles au public par les forces de l’ordre  

L’utilisation de systèmes d’identification biométrique à distance et en temps réel dans les espaces publics est strictement limitée. Ces systèmes peuvent être utilisés uniquement pour des menaces spécifiques et importantes. Ils peuvent aussi servir à localiser des suspects d’infractions graves.

Gérer les urgences 

Éliminer les SIA interdits ou les mettre en conformité est essentiel pour respecter les obligations de l’AI Act dès la fin de l’année. Il est crucial de gérer les urgences, surtout celles concernant les SIA interdits.

Nous recommandons de créer une équipe spécialisée pour ce chantier prioritaire. Cette équipe permettra à d’autres de rester concentrés sur leur cœur de métier. Elle doit concilier les exigences réglementaires avec les besoins de votre business model.

Il est important de se limiter aux exigences spécifiques sans en faire ni trop ni trop peu. Une bonne stratégie exclura ou mettra en conformité les SIA interdits tout en perturbant le moins possible les opérations clés de votre entreprise.

Rappelons qu’aucune démarche n’est parfaite. Aucune entreprise n’est encore prête à agir sans réflexion. Les actions doivent être adaptées à la situation spécifique de votre entreprise.

Naaia, avec son AIMS (Artificial Intelligence Management System), peut vous aider à vous conformer à l’AI Act. Nous commençons par une campagne de dépistage des IA interdites, incluant la qualification de vos SIA. Nous mettons en place des plans d’action pour assurer leur conformité et suivons chaque SIA tout au long de son cycle de vie.