Découvrez les nouvelles fonctionnalités de la plateforme Naaia

Les Systèmes d’IA Interdits

Linkedin

5 points à retenir

  • L’AI Act sera adopté le 22 avril prochain
  • Ce texte vous concerne dès que vous intégrez un Système d’IA (SIA) dans le cadre de vos activités au sein de l’UE, que ce soit au stade de sa conception ou plus simple au stade de sa distribution ou de son déploiement.
  • 8 groupes de pratiques interdites sont prévues par l’AI Act.
  • D’ici à la fin d’année, les SIA à risque inacceptable seront interdits.
  • Il est temps de formuler une stratégie claire de gestion des urgences tout en préservant vos opérations et votre cœur métier.
 

L’AI Act arrive !

L’arrivée de l’AI Act se concrétisera après son adoption le 22 avril. Il ne reste qu’une simple étape de validation par le Conseil de l’Union européenne avant son entrée en vigueur dans les semaines qui suivront.

Si vous développez ou intégrez un SIA dans le cadre de vos opérations au sein de l’UE, vous serez concerné par l’AI Act : il est temps de vous y préparer. Avant de nous concentrer sur les SIA Interdits, revenons sur l’AI Act, ses grands principes et son impact.

 

L’AI Act, c’est quoi ?

L’AI Act, c’est un règlement qui définit cadre juridique complet, harmonisé et horizontal pour encadrer le développement, la commercialisation et l’utilisation de l’IA – les systèmes d’IA [SIA] et les modèles d’IA à usage général [GPAI] –  dans l’UE en tant que produit.

Son objectif est de favoriser l’adoption d’une IA centrée sur l’humain et fiable, tout en assurant une protection robuste  des droits fondamentaux., de la sécurité et de la santé Parallèlement, il vise aussi à soutenir l’innovation tout en atténuant les impacts négatifs des systèmes d’IA, à travers la mise en place de mécanismes de gouvernance solides et de normes de sécurité strictes. Est ainsi garanti un marché européen de l’IA sûre, éthique et innovante.

 

Qui est concerné ?

Le règlement vise tous les systèmes IA définis ainsi dans l’AI Act :

« un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » 

Le règlement vise aussi les modèles d’IA à usage général.

Les obligations de l’AI Act concernent tous les opérateurs tout au long de la chaîne de valeur de l’IA (fournisseur, mandataire, distributeur, importateur et déployeur) lorsqu’ils introduisent leur SIA et/ou leur GPAI sur le marché de l’UE, et ce indépendamment du fait que les opérateurs soient ou non installés au sein de l’UE.

Les obligations de l’AI Act diffèrent en fonction du type d’opérateur de SIA  et de la catégorie de risque dans laquelle celui-ci est classifié.

 

Une approche fondée sur les risques

L’approche de l’AI Act est principalement fondée sur des risques comprenant quatre niveaux :

  • Risque inacceptable
    • Voir la section ci-dessous (Quels sont les SIA « interdits » ?)
  • Les SIA à haut-risque
    • Ils relèvent, entre autres, des domaines suivants :  l’identification biométrique, l’éducation et la formation professionnelle ou l’emploi. Sont également classés dans la catégorie des SIA à haut risque ceux qui sont utilisés dans des produits soumis à d’autres réglementations sectorielles de l’UE (jouets, dispositifs médicaux, ascenseurs, …)
  • Les SIA à risque spécifique ou limité, tenus à des obligations de transparence :
    • Ce sont, par exemple, des chatbots qui interagissent directement avec des personnes physiques, des SIA capables de générer des contenus video ou textuels ou encore des SIA qui manipulent des images constituant ainsi des deepfakes.
  • À risque minime
    • Il s’agit des autres SIA qui ne présentent ni un risque inacceptable ni un risque  spécifique, et qui ne sont pas catégorisés à haut risque.   Les filtres anti-spam en sont un parfait exemple.

En ce qui concerne les IA à usage général (GPAI), ils sont répartis en deux catégories : avec ou sans risque systémique.  Présente un risque systémique[1] un GPIA (i) qui possède des capacités d’impact élevé, ou (ii) qui est catégorisé ainsi par une décision de la Commission. Dans ce cas, il est soumis à des obligations plus nombreuses qu’un GPIA sans risque systémique.

 

Sanctions

En cas de non-respect des obligations stipulées dans l’AI Act, les sanctions financières peuvent être considérables en fonction de type d’infraction. Les amendes peuvent atteindre :

  • Jusqu’à 35 millions d’euros, ou 7% du chiffre d’affaires annuel mondial en cas de non-respect des règles sur les pratiques d’IA interdites.
  • Jusqu’à 15 millions d’euros, ou 3% du chiffre d’affaires annuel mondial en cas de non-respect des obligations de l’AI Act et des mesures concernant les GPAI.
  • Jusqu’à 7,5 millions d’euros, ou 1% du chiffre d’affaires annuel mondial en cas de fourniture d’informations inexactes, incomplètes ou trompeuses aux autorités

Pour ces trois cas, le montant le plus élevé sera retenu. En revanche pour les PME, les sanctions doivent être proportionnées pour tenir compte de leur viabilité économique. C’est pourquoi le montant plus faible sera celui retenu.

Il est donc primordial de bien vous préparer pour éviter le risque des sanctions financières et celui des répercussions sur la réputation de l’organisation.

 

Quelles sont les échéances de l’AI Act ?

A compter de son entrée en vigueur (prévue vers mai 2024), l’AI Act s’appliquera à échéances variables :  

  • 6 mois à compter de la date de l’entrée en vigueur du texte : suppression des SIA à risque inacceptable (dits « interdits ») ;
  • 12 mois à compter de la date de l’entrée en vigueur du texte : mise en conformité des modèles d’IA à usage général (General Purpose AI dits « GPAI ») ;
  • 24 mois à compter de la date de l’entrée en vigueur du texte : mise en conformité des SIA à haut risque ne relevant pas des législations sectorielles de l’UE ;
  • 36 mois à compter de la date de l’entrée en vigueur du texte : délai supplémentaire pour les SIA à hauts risques déjà couverts par une législation sectorielle de l’UE (jouets, dispositifs médicaux, ascenseurs, …).

Nous nous focalisons sur la première échéance prévue avant la fin de l’année 2024 : celle de la suppression des SIA interdits.

 

 

Les SIA interdits

Certes, l’IA offre de nombreux avantages, mais sa puissance peut être détournée à des fins de manipulation, d’exploitation et de contrôle social. Ces pratiques vont à l’encontre des valeurs européennes comme le respect de la dignité humaine, la liberté, l’égalité, la démocratie et l’État de droit, ainsi que les droits fondamentaux de l’Union, notamment le droit à la non-discrimination, à la protection des données et à l’égalité des chances.

 

En établissant ces interdictions, l’UE cherche à atténuer les risques associés aux technologies de l’IA et à prévenir les dommages qui pourraient résulter de leur mauvaise utilisation, en veillant à ce que les droits fondamentaux soient protégés et à empêcher que l’IA ne soit utilisée d’une manière qui pourrait nuire aux individus ou à la société.

 

 

Quels sont les SIA « interdits » ?

Pour cesser l’utilisation des SIA interdits, il faut savoir les définir pour pouvoir les identifier.

 

Sur la base de l’Article 5 de l’AI Act, les pratiques interdites sont les suivantes :

 

  • Techniques subliminales et manipulatrices / trompeuses entraînant des préjudices importants

Il est interdit d’utiliser un SIA qui déploie des techniques subliminales ou des techniques de manipulation ou de tromperie pour fausser matériellement le comportement d’une ou de plusieurs personnes, entraînant pour elles un préjudice important. Cette interdiction vise à protéger les personnes contre les influences qui les amèneraient à perdre leur libre arbitre et à prendre des décisions qu’elles n’auraient pas prises autrement.

 

  • Exploitation des vulnérabilités entraînant des préjudices importants

Il est interdit d’utiliser un SIA pour exploiter les vulnérabilités de groupes spécifiques de personnes, telles que celles fondées sur l’âge, le handicap ou la situation socio-économique, afin d’altérer leur comportement d’une manière préjudiciable.

 

  • « Notation sociale » par les autorités publiques et privés

Il est interdit d’utiliser un SIA qui évalue ou classe les personnes sur la base de leur comportement social ou de leur caractéristique personnelle. Si cette utilisation conduit à une note sociale (i) déterminée dans des contextes sociaux sans rapport avec celui dans lequel les données ont été collectées ou générées ou (ii) injustifiée ou disproportionnée par rapport au comportement social des personnes notées  

 

  • Inférence émotionnelle sur le lieu de travail et dans des établissements d’enseignement sauf pour des raisons médicales ou de sécurité

Il est interdit d’utiliser un SIA pour déduire des émotions sur le lieu de travail ou dans un cadre éducatif, sauf pour des raisons médicales ou de sécurité. Cela signifie qu’il est interdit d’inférer des émotions (colère, joie, surprise, …) à partir des données biométriques des personnes. En revanche, son usage est permis pour détecter les états physiques tels que la fatigue ou la douleur pour les conducteurs ou des pilotes d’avions par exemple, dans le but de prévenir des accidents.

 

  • Catégorisation biométrique des attributs sensibles

Il est interdit d’utiliser un SIA pour catégoriser des individus sur la base de données biométriques afin d’en déduire des attributs sensibles (race, opinions politiques, affiliation à une organisation syndicale, convictions religieuse ou philosophiques, vie sexuelle ou orientation sexuelle). Des exceptions sont prévues dans le domaine répressif sous conditions spécifiques.

 

  • Moissonnage non ciblé d’images faciales à partir de l’internet ou des systèmes de vidéosurveillance afin de constituer ou d’élargir des bases de données

Cette pratique ne ferait qu’accentuer le sentiment de surveillance de masse et pourrait entrainer des violations du droit au respect de la vie privée, c’est la raison pour laquelle elle est interdite.

 

  • Profilage d’une personne physique pour évaluer ou prédire la commission d’un crime

Il est interdit d’utiliser des SIA pour évaluer ou prédire la probabilité qu’une personne commette un crime, en se fondant uniquement sur le profilage ou sur l’évaluation de ses traits de personnalité ou caractéristiques, sauf s’ils confirment une évaluation humaine fondée sur des faits vérifiables et directement liés à une activité criminelle.

 

  • Identification biométrique à distance « en temps réel » dans des espaces accessibles au public par les forces de l’ordre

L’utilisation de systèmes d’identification biométrique à distance et en temps réel dans les espaces publics à des fins de maintien de l’ordre est strictement limitée, sauf en cas de menaces spécifiques et importantes ou pour localiser des suspects des infractions graves spécifiques.

 

 

Gérer les urgences

Éliminer les SIA interdites ou les mettre en conformité est une condition sine qua non pour se conformer aux obligations de l’AI Act applicables dès la fin de l’année. Il est donc important de savoir gérer les urgences, la première concernant les SIA interdits.

 

Nous préconisons de constituer une équipe spécialisée dans le traitement de ce chantier préliminaire et prioritaire afin de permettre aux autres de rester concentrées sur leur cœur de métier. Cette équipe projet doit avoir une vision conciliant les exigences réglementaires et les besoins de votre business model.

 

Il est indispensable de ne faire ni plus ni moins que ce qui est exigé mais de savoir se concentrer sur les actions adéquates. Une bonne stratégie aura donc pour résultat d’avoir exclu ou mis en conformité les SIA interdits tout en ayant entraîné le moins de perturbations possible dans le cadre des opérations clés à conduire par votre entreprise.

 

Il est également utile de rappeler qu’il n’existe aucune démarche parfaite, qu’aucune entreprise n’a encore la maturité pour se lancer sans réflexion et que les actions à mener doivent être adaptées à la situation de votre entreprise.

 

Naaia, avec son AIMS (Artificial Intelligence Management System) peut vous accompagner dans votre démarche de conformité à l’AI Act en commençant par la mise en oeuvre d’une campagne de dépistage des IA interdits comprenant la qualification de vos SIA, ainsi que la mise en place des plans d’actions pour assurer la conformité de ceux-ci et de suivre chaque SIA dans son cycle de vie.

[1] Existe une présomption de risque systémique si le modèle possède une forte puissance de calcul (c’est-à-dire plus de 10^25 FLOPS)

Côme SAUZAY

Côme SAUZAY

COO / Co-fondateur
Voir les autres articles

Gestion des risques de l’IA : quelles solutions ?

Naviguer dans la conception de l’IA avec une nouvelle boussole

La gouvernance de l’IA : bonnes pratiques

Naaia renforce sa solution pour garantir la conformité des entreprises à l’AI Act

Naaia obtient le badge Platinum de CyberVadis

Qu’est-ce qu’un AIMS ?

Les Systèmes d’IA Interdits

L’AI Act, un nouveau cadre réglementaire pour l’IA

Qu’est-ce qu’un système d’IA ?

Quel régime de responsabilité du fait de l’intelligence artificielle ?