Qu’est-ce que l’IA Act ?
L’intelligence artificielle (IA) est de plus en plus présente dans nos vies. Que ce soit avec ChatGPT, Midjourney, les recommandations de films sur Netflix, ou encore les diagnostics dans les hôpitaux, l’IA nous entoure. Mais avec cette montée en puissance, des questions se posent : est-ce que ces technologies sont sûres ? Respectent-elles nos droits ? Peuvent-elles être utilisées de manière injuste ? C’est pour répondre à ces préoccupations que l’Union européenne a proposé l’IA Act, une loi qui vise à encadrer l’utilisation de l’IA.
L’IA Act est un ensemble de règles qui a pour but de s’assurer que l’IA est utilisée de manière responsable. En d’autres termes, cette loi veut que les technologies d’IA respectent les droits des personnes, soient transparentes, et surtout, qu’elles ne présentent pas de risques inacceptables. Le but est de rendre l’IA plus fiable et digne de confiance pour tout le monde.
Pourquoi une régulation est nécessaire
L’IA peut accomplir des choses incroyables, mais elle n’est pas sans défauts. Par exemple, si une IA est mal conçue ou utilise des données de mauvaise qualité, elle peut prendre des décisions biaisées ou injustes. C’est ce qu’on appelle le biais des données. Imaginons une IA utilisée pour embaucher du personnel dans une entreprise. Si cette IA a été formée avec des données où la majorité des candidats étaient des hommes, elle pourrait, sans le vouloir, favoriser les hommes et discriminer les femmes. C’est un problème, car cela pourrait rendre le processus de recrutement injuste.
Un autre défi est ce qu’on appelle les « boîtes noires ». Ce terme désigne des systèmes d’IA qui prennent des décisions sans que personne ne comprenne vraiment comment elles y parviennent. Cela peut être dangereux, surtout dans des domaines sensibles comme la justice ou la santé. Par exemple, si une IA décide du traitement médical à suivre pour un patient sans que les médecins sachent comment elle est arrivée à cette conclusion, cela pourrait entraîner des erreurs graves.
C’est pour éviter ces problèmes que l’IA Act est nécessaire. Il s’agit de s’assurer que l’IA est utilisée de manière juste, éthique et transparente.
Les différents niveaux de risques
L’IA Act classe les systèmes d’IA en trois catégories en fonction de leur niveau de risque :
- IA interdite : Certains usages de l’IA sont jugés trop dangereux et sont donc interdits. Par exemple, les systèmes qui manipulent les comportements humains de manière inconsciente, comme des techniques de persuasion subliminale, ne sont pas autorisés. C’est un peu comme interdire les publicités subliminales qui influencent notre comportement sans que nous en soyons conscients.
- IA à haut risque : Certaines IA ont un impact majeur sur nos vies et doivent donc respecter des règles très strictes. Cela concerne par exemple les systèmes utilisés dans les domaines de la santé, de l’éducation ou de la justice. Ces IA doivent être rigoureusement testées, surveillées, et documentées pour s’assurer qu’elles fonctionnent correctement et de manière équitable. Par exemple, une IA utilisée pour diagnostiquer des maladies doit être très fiable et ne pas faire d’erreurs qui pourraient mettre en danger la vie des patients.
- IA à faible risque : Cette catégorie regroupe des IA qui sont considérées comme moins dangereuses, mais qui doivent tout de même respecter certaines règles de transparence. Par exemple, une IA qui recommande des vidéos sur YouTube doit informer l’utilisateur qu’elle utilise des algorithmes pour faire ses suggestions. Cela permet à l’utilisateur de comprendre comment ces recommandations sont faites.
Les règles pour les entreprises développant des systèmes d’IA
Les entreprises qui développent, vendent ou utilisent de l’IA ont une grande responsabilité. Elles doivent s’assurer que leurs technologies sont sûres et conformes à l’IA Act. Pour cela, elles doivent suivre plusieurs étapes :
- Évaluer les risques : La première chose à faire est de voir si leur IA tombe dans une des catégories à haut risque. Si c’est le cas, elles doivent évaluer les risques que pourrait poser cette IA et prendre des mesures pour les minimiser. Par exemple, une entreprise qui développe une IA pour diagnostiquer des maladies doit s’assurer que son système est testé sur des données variées pour éviter les erreurs.
- Documenter le processus : Les entreprises doivent garder une trace de chaque étape du développement et de l’implémentation de l’IA. Cela inclut des tests, des audits, et la création de rapports sur les performances de l’IA. Si une IA cause un problème, ces documents permettront de comprendre ce qui s’est passé et de corriger les erreurs.
- Améliorer en continu : La conformité à l’IA Act n’est pas un effort ponctuel. Les entreprises doivent régulièrement mettre à jour leurs systèmes d’IA pour s’assurer qu’ils continuent à respecter les normes établies, surtout lorsque de nouvelles données ou technologies apparaissent.
Les règles pour les utilisateurs des systèmes d’IA
L’IA Act ne concerne pas seulement les développeurs et vendeurs d’IA, mais aussi les utilisateurs, comme les entreprises qui achètent des systèmes d’IA pour leur propre usage. Par exemple, un hôpital qui utilise une IA pour diagnostiquer des patients, ou une banque qui utilise une IA pour évaluer la solvabilité de ses clients, doivent respecter certaines règles :
- Conformité aux instructions d’utilisation : Les utilisateurs doivent suivre rigoureusement les instructions fournies par les développeurs ou distributeurs. Cela inclut les étapes de mise en service, d’utilisation et de maintenance. Par exemple, si un système d’IA nécessite des mises à jour régulières pour rester performant, les utilisateurs sont responsables de les appliquer.
- Suspension en cas de doute : Si un utilisateur a des doutes sur la conformité ou la sécurité d’un système d’IA, il doit immédiatement cesser son utilisation et alerter les autorités compétentes. Par exemple, si une IA commence à produire des résultats incohérents ou dangereux, son usage doit être stoppé pour éviter tout risque pour les droits fondamentaux des individus.
- Conservation des journaux : Les utilisateurs doivent conserver les journaux générés par les systèmes d’IA, notamment ceux concernant les décisions prises. Ces journaux permettent de retracer les actions de l’IA, garantissant ainsi la transparence et la responsabilité. Par exemple, dans un contexte médical, les décisions prises par une IA concernant les diagnostics doivent être enregistrées pour pouvoir être vérifiées ultérieurement.
- Contrôle des données d’entrée : Lorsqu’ils ont un contrôle sur les données utilisées par l’IA, les utilisateurs doivent s’assurer que ces données sont pertinentes et fiables. Cela signifie mettre en place des processus de validation pour éviter les biais ou les erreurs. Par exemple, dans une IA utilisée pour le recrutement, les données d’entrée doivent être vérifiées pour ne pas introduire de discriminations.
Ces obligations ont pour but de renforcer la confiance dans l’IA en assurant une utilisation éthique et responsable. Les fournisseurs doivent donc fournir des guides clairs et des documentations complètes pour aider les utilisateurs à respecter ces règles, tout en les sensibilisant aux risques.
Comment les entreprises doivent se conformer à l’IA Act
Pour se conformer à l’IA Act, les entreprises doivent suivre plusieurs étapes :
- Identification des systèmes concernés : La première étape consiste à identifier tous les systèmes d’IA utilisés ou développés par l’entreprise qui pourraient être concernés par l’IA Act.
- Analyse des risques : Une fois les systèmes identifiés, il faut analyser les risques associés à chaque IA. Cela peut inclure des tests pour détecter des biais ou des erreurs, et une évaluation des impacts possibles sur les utilisateurs.
- Mise en place de mesures de sécurité : Pour chaque risque identifié, il faut mettre en place des mesures pour le minimiser. Cela peut inclure des ajustements dans le fonctionnement de l’IA, des processus de vérification régulière, ou des systèmes d’alerte en cas de problème.
- Documentation : Tout le processus doit être soigneusement documenté pour prouver que l’entreprise respecte les exigences de l’IA Act. Cela inclut la conservation des rapports de tests, des procédures de contrôle, et des formations suivies par les employés.
Que se passe-t-il si les entreprises ne respectent pas la loi ?
Le non-respect de l’IA Act peut avoir des conséquences sérieuses pour les entreprises. Elles risquent de recevoir des amendes importantes, d’être interdites de mettre certains systèmes sur le marché, ou de perdre leur réputation. De plus, dans certains cas, des actions en justice pourraient être intentées par des individus ou des groupes affectés par l’utilisation d’une IA non conforme.
Par exemple, si une IA défectueuse utilisée dans le domaine médical cause des erreurs de diagnostic, l’entreprise responsable pourrait être obligée de verser des indemnités aux patients affectés, en plus de subir des sanctions légales.
Le planning d’entrée en vigueur de l’IA Act
Le calendrier de mise en œuvre de l’IA Act est structuré en plusieurs étapes pour permettre aux entreprises de s’adapter progressivement aux nouvelles exigences :
- 2024 : Adoption officielle de l’IA Act par l’Union européenne.
- 2025 : Début de la période de transition. Les entreprises doivent commencer à adapter leurs systèmes d’IA en se préparant aux nouvelles règles.
- 2026 : Application des obligations pour les systèmes d’IA à haut risque. Les entreprises doivent être en conformité pour éviter des sanctions.
- 2027 : Mise en place complète de l’IA Act. Toutes les entreprises concernées doivent être entièrement conformes aux nouvelles régulations.
Le planning pour les utilisateurs de systèmes d’IA
Le calendrier de l’IA Act concerne aussi les utilisateurs professionnels de systèmes d’IA, avec des dates clés à respecter pour se conformer aux nouvelles exigences :
- 1er février 2025 : Les utilisateurs devront arrêter d’utiliser les systèmes d’IA classés comme « à risque inacceptable », car ils seront interdits à partir de cette date.
- 1er août 2025 : Début de la conformité pour les utilisateurs de modèles d’IA à usage général (GPAI).
- 2 août 2026 : Date d’application générale de l’IA Act pour tous les types de systèmes d’IA, sauf certains à haut risque.
- Été 2027 : Les utilisateurs de systèmes d’IA à haut risque non listés dans l’annexe III devront se conformer aux obligations spécifiques.
Conclusion
L’IA Act représente une avancée importante pour garantir que l’intelligence artificielle est utilisée de manière sûre, éthique et transparente. Pour les entreprises, cela signifie qu’elles doivent être proactives dans la gestion des risques et la mise en conformité de leurs systèmes d’IA. Pour les utilisateurs, il est essentiel de rester informés et vigilants quant aux technologies qu’ils adoptent. En suivant les règles de l’IA Act, nous pouvons tous contribuer à un futur où l’IA sert le bien commun, tout en minimisant les risques.
Sources :
https://artificialintelligenceact.eu/fr
https://eur-lex.europa.eu/legal-content/FR/TXT/?uri=OJ:L_202401689
https://www.lepont-learning.com/fr/6-questions-sur-reglementation-intelligence-artificielle
https://www.leto.legal/guides/ai-act-quelles-sont-les-regles-a-respecter-pour-etre-conforme