Règlement IA (AI Act)

L'AI Act encadre la mise sur le marché, la mise en service et l’utilisation des systèmes d’intelligence artificielle en fonction du niveau de risque qu’ils présentent.

Pour bien commencer

Le Règlement européen sur l’intelligence artificielle (RIA ou AI Act) est la première législation générale (ou exhaustive) dédié à l’intelligence artificielle. Il vise à encadrer le développement, la mise sur le marché et l’utilisation de systèmes d'intelligence artificielle (IA), qui peuvent présenter des risques pour la santé, la sécurité ou les droits fondamentaux.

Objectifs du règlement européen sur l’IA : 

  • Assurer que les systèmes d'IA sont sûrs et respectent les lois sur les droits fondamentaux, les valeurs de l'UE, l'État de droit et l'environnement ;
  • Encourager une IA fiable et centrée sur l'humain ;
  • Créer un cadre juridique uniforme pour faciliter les investissements et l'innovation ;
  • Renforcer la gouvernance et l'application des lois existantes sur la sécurité des systèmes d'IA et les droits fondamentaux ;
  • Améliorer le marché intérieur pour des applications d'IA légales et sûres, et éviter la fragmentation du marché.

En pratique

Le règlement fixe des règles, interdit certaines pratiques et impose des exigences spécifiques aux systèmes d'IA à haut risque.

Une approche fondée sur les risques en classant les systèmes d’IA en quatre niveaux :

  1. Risque inacceptable :
    Définition : Ces systèmes sont strictement interdits car ils menacent la sécurité, les droits fondamentaux et les valeurs de l'UE.
    Décision : Interdiction totale.
    Exemples : Manipulation subliminale, notation sociale par les gouvernements, surveillance biométrique en temps réel dans les espaces publics, etc.
  2. Risque élevé :
    Définition : Les systèmes d’IA ayant un impact significatif sur la santé, la sécurité ou les droits fondamentaux. 
    Décision : Exigences renforcées de conformité à des normes rigoureuses de gestion des risques, de gouvernance des données et de contrôle humain.
    Exemples : IA utilisée dans les infrastructures critiques (santé, transports, énergie), systèmes d'éducation et de formation, outils de recrutement automatisés, IA pour les services publics essentiels (santé, justice), etc.
  3. Risque limité :
    Définition : Ces systèmes sont soumis à des obligations de transparence spécifiques, notamment en cas de risque manifeste de manipulation.
    Décision : Les utilisateurs doivent être informés qu'ils interagissent avec une IA.
    Exemples : Chatbots, génération de contenu, deepfakes, systèmes de reconnaissance d'émotions, etc.
  4. Risque minimal :
    Définition : Tous les autres systèmes d’IA ne sont soumis à aucune obligation spécifique au titre du règlement sur l'IA.
    Décision : Pas de contraintes réglementaires spécifiques.
    Exemples : Filtres anti-spam, jeux vidéo basés sur l'IA, etc.

Le RIA encadre aussi une nouvelle catégorie de modèles à usage général, comme ceux utilisés en IA générative. Ces modèles, capables de réaliser de nombreuses tâches sont difficiles à classer dans les catégories existantes. Pour ces modèles, le RIA impose différents niveaux d'obligations, allant de la transparence minimale (article 53) à une évaluation approfondie et des mesures pour atténuer les risques systémiques.

Quand ?

Le RIA, publié au Journal officiel le 12 juillet 2024, est entré en vigueur le 1er août 2024. 

Son application se fait progressivement :

  • 2 février 2025 : Interdiction des systèmes d'IA présentant des risques inacceptables
  • 2 août 2025 : Application des règles pour les modèles d'IA à usage général
  • 2 août 2026 : Toutes les dispositions du règlement sur l'IA deviennent applicables, notamment les règles pour les systèmes d'IA à haut risque de l'annexe III (biométrie, infrastructures critiques, éducation, emploi, accès aux services publics essentiels, application de la loi, immigration et justice)
  • 2 août 2027 : Application des règles pour les systèmes d'IA à haut risque de l'annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l'aviation civile, véhicules agricoles, etc.)

Nos experts sur le sujet

Line Farah,

Délégation au numérique en santé (DNS)

Hélène Guimiot,

CNIL

Questions fréquentes

Qui est concerné par l’AI Act ?

Le Règlement européen sur l'intelligence artificielle (AI Act) concerne toute organisation qui fournit, importe, distribue ou déploie des systèmes d'intelligence artificielle encadrés par le règlement1. Cela inclut les entreprises, les associations et les administrations.

Le RIA remplace le RGPD ?

Non, le RIA ne remplace pas le RGPD, mais le complète. En effet, le RGPD s'applique à tous les traitements de données personnelles. Ainsi, respecter les exigences du RIA aide à respecter celles du RGPD.
Pour en savoir plus consultez les questions – réponses de la CNIL 

Comment savoir quel règlement s'applique à mon projet ?

  • Le RIA s’applique seul : si ma solution utilise un système d'IA à haut risque sans nécessiter de données personnelles ;
  • Le RGPD s’applique seul : si je traite des données personnelles sans utiliser de système d'IA soumis au RIA ;
  • Les deux s’appliquent : si mon système d’IA à haut risque nécessite des données personnelles pour son développement ou son déploiement ;
  • Aucun des deux ne s’applique : si mon système d’IA à risque minimal ne traite pas de données personnelles.

    Pour en savoir plus consultez les questions – réponses de la CNIL
     

Quelles sont les autorités de surveillance et la gouvernance prévues par le règlement IA ?

Le règlement sur l'IA prévoit plusieurs niveaux de surveillance et de gouvernance :

  • Bureau européen de l'IA : créé au sein de la Commission européenne, il supervise l'application du règlement dans les États membres et surveille les modèles d'IA à usage général
  • Autorités nationales de surveillance du marché : chaque État membre doit désigner des autorités responsables de la surveillance et de l'application des règles sur les systèmes d'IA, notamment les interdictions et les exigences pour les systèmes à haut risque
     

En France, les autorités de surveillance et de gouvernance pour le règlement sur l'IA incluent :

  • La CNIL (Commission Nationale de l'Informatique et des Libertés) : elle joue un rôle central dans la surveillance de l'application du règlement sur l'IA, en particulier en ce qui concerne la protection des données personnelles
  • La DGE (Direction Générale des Entreprises) : elle est impliquée dans la mise en œuvre des règles pour les entreprises et l'innovation en matière d'IA

Quelles sont les sanctions en cas de non-conformité ?

Les sanctions prévues par l'AI Act varient de 1 % à 7 % du chiffre d'affaires annuel mondial de l'entreprise, ou de 7,5 à 35 millions d'euros d'amende. Le montant dépend de la nature de la non-conformité (usages interdits, exigences pour les applications à haut risque, ou exigences de transparence pour les risques limités) et de la catégorie de l'entreprise.