Yassine Yakouti : "Voici comment l'UE va réguler votre IA"

Sur la lancée du RGP, la loi sur l'IA de l'Union européenne vous oblige à vous mettre en conformité sur vous diffusez ou utilisez de l'IA. Mode d'emploi avec Yassine Yakouti, avocat à Paris.

Soucieuse de tirer parti du succès et de l'influence du RGPD, l'Union européenne a consacré les sept dernières années à l'élaboration d'un régime réglementaire complet pour l'intelligence artificielle : La loi sur l'intelligence artificielle.

Maintenant que la loi sur l'IA a été officiellement adoptée par le Parlement européen, après un compromis de dernière minute sur l'"intelligence artificielle à usage général" (GPAI), les entreprises doivent commencer à évaluer les outils d'IA qu'elles proposent aux autres et ceux qu'elles utilisent elles-mêmes, afin de préparer une stratégie de mise en conformité. 

Le cadre complexe de la loi sur l'IA intègre plusieurs autres régimes réglementaires sectoriels et couvre un très large éventail de produits et de services : crédit financier, jouets, appareils médicaux, aéronefs et même véhicules forestiers et marins. La loi sur l'IA s'appuie largement sur le RGPD et ses principes. En effet, l'un des principaux objectifs de la loi sur l'IA est de protéger les "droits fondamentaux", ce qui inclut (entre autres) la protection de la vie privée en conformité avec ce bon vieux RGPD, estime l'avocat Yassine Yakouti.

Comment la loi sur l'IA définit-elle l'intelligence artificielle ?

Selon la loi, un système d'intelligence artificielle est un "système basé sur une machine [...] qui peut s'adapter après son déploiement et qui [...] déduit, à partir des données qu'il reçoit, comment générer des résultats sous forme de prédictions, de contenus, de recommandations ou de décisions pouvant influencer des environnements physiques ou virtuels". Article 3, paragraphe 1. Cette définition a une portée incroyablement large, puisqu'elle couvre essentiellement tout algorithme qui évolue en fonction des données qu'il reçoit. Cela va au-delà des chatbots et des générateurs d'images actuellement sous les feux de la rampe - cela inclut de nombreuses IA de bas niveau et de fond que nous utilisons maintenant depuis des années : le régulateur de vitesse adaptatif, les suggestions algorithmiques dans les médias sociaux et les divertissements, les Roombas, les stimulateurs cardiaques, les casques antibruit, les pare-feu et presque tous les services ou articles que nous avons un jour qualifiés d'"intelligents", précise le juriste Yakouti.

À quel type d'IA la loi sur l'IA s'applique-t-elle ?

Tous les systèmes d'IA, y compris l'IA à usage général (GPAI). L'UE définit l'IAGP comme un "modèle d'IA [...] capable d'exécuter avec compétence un large éventail de tâches distinctes". Article 3, paragraphe 63. La loi sur l'IA réglemente la GPAI en fonction de ce qu'elle est, mais elle réglemente également l'IA, générale ou autre, en fonction de ce qu'elle fait. Des catégories limitées de cas d'utilisation sont totalement interdites ou interdites sauf dans des circonstances particulières.

Par exemple, un système d'IA qui utilise des systèmes d'identification biométrique "en temps réel" pour l'application de la loi est (à quelques exceptions près) interdit, tout comme les systèmes d'IA qui se livrent au profilage racial ou utilisent des techniques subliminales. Article 5, paragraphe 1.D'autres systèmes sont soumis à des "obligations de transparence" spécifiques, comme les GPAI ou les IA génératrices de médias qui créent des images, des sons ou des vidéos synthétiques. Article 50.

À l'autre extrémité du spectre, on trouve des systèmes d'IA qui échappent largement à la réglementation - par exemple, une IA qui se mesure à des humains dans un jeu vidéo.
Au milieu, on trouve les systèmes dits "à haut risque" et, malgré leur nom, un grand nombre d'outils d'IA entrent dans cette catégorie "à haut risque". L'annexe III classe les applications biométriques, la gestion des infrastructures critiques, l'éducation et la formation, les ressources humaines et l'emploi, "l'accès aux services essentiels" (qui comprend les prestations, la solvabilité et même l'envoi de services d'urgence) et les applications du système juridique dans la catégorie "à haut risque". Article 6, paragraphe 2, annexe III. 

En outre, les outils d'IA inclus dans les machines, les jouets, les véhicules de toutes sortes, les ascenseurs, les équipements radio et les appareils médicaux sont tous considérés comme "à haut risque". Article 6, paragraphe 1, point b), annexe I. Enfin, tout produit dans lequel l'outil d'IA fait office de composant de sécurité est considéré comme présentant un risque élevé. Article 6, paragraphe 1a, annexe I.

Les obligations

Si vos cas d'utilisation de l'IA entrent dans la catégorie des systèmes à haut risque, l'UE peut exiger une documentation, une planification, des essais et une surveillance approfondis des systèmes d'IA en question :

  • Systèmes de gestion des risques - l'UE considère qu'il s'agit d'un processus itératif planifié et exécuté tout au long du cycle de vie d'un système à haut risque, qui nécessite une révision et une mise à jour régulières. Ce processus doit tenir compte des risques liés à l'utilisation prévue du système d'IA et à son utilisation abusive raisonnablement prévisible, ainsi que des risques émergents après le déploiement. Article 9.
  • Données et gouvernance des données - l'UE fait ici référence à l'utilisation d'ensembles de données de formation, de validation et de test appropriés qui répondent à ses critères de qualité. Article 10.
  • Documentation technique - elle est généralement exigée avant la mise sur le marché du système d'IA et maintenue à jour en permanence. Cette documentation technique permettra aux autorités réglementaires de disposer de toutes les informations nécessaires, dans un format clair et complet, pour vérifier que le système d'IA satisfait aux exigences applicables. Article 11. Ces documents contiennent également des instructions d'utilisation que les diffuseurs peuvent ensuite utiliser pour exploiter correctement le système d'IA, conformément aux restrictions d'utilisation et aux exigences en matière de surveillance humaine et de contrôle établies par le fournisseur. Articles 16 et 26.
  • Tenue de registres - les systèmes à haut risque doivent permettre l'enregistrement automatique et traçable des événements pendant toute la durée de vie du système. Article 12.
  • Transparence/Instructions - Les systèmes à haut risque doivent permettre aux utilisateurs d'interpréter les résultats et de les utiliser de manière appropriée. Il s'agit notamment de fournir des instructions, ainsi que des explications concernant l'objectif du système, ses limites, sa précision et les risques prévisibles. Article 13.
  • Supervision humaine - Les systèmes à haut risque doivent pouvoir faire l'objet d'une supervision humaine proportionnelle aux risques associés au système et à son niveau d'autonomie. Ils doivent permettre une surveillance humaine capable d'intervenir pour contrecarrer les actions de l'IA, ignorer ou inverser les résultats, si nécessaire. Article 14.
  • Précision, robustesse et cybersécurité - la précision du système doit faire partie des instructions, et le système doit être résistant non seulement aux attaques de tiers, mais aussi aux erreurs et aux incohérences d'utilisation. Cela peut nécessiter des redondances techniques, des sauvegardes et des dispositifs de sécurité. Article 15.
  • Gestion de la qualité et évaluation de la conformité - Les systèmes à haut risque et les systèmes GPAI doivent maintenir un système de gestion de la qualité pour garantir le respect de la loi sur l'IA et procéder à une évaluation de la conformité correspondante. Le système de gestion de la qualité doit consister en des politiques, des procédures et des instructions écrites qui assureront la conformité de manière systématique et ordonnée (article 17), tandis que l'évaluation de la conformité doit formellement documenter et démontrer la conformité réglementaire avant de mettre le système d'IA sur le marché ou en service (article 43).

Si vous êtes un "fournisseur" de systèmes d'IA et que vous êtes couvert par la loi sur l'IA, vous êtes soumis à des exigences supplémentaires. Les fournisseurs doivent communiquer leurs coordonnées, établir et tenir à jour un plan de gestion de la qualité (article 17), conserver une documentation supplémentaire (article 18), stocker les journaux automatiques (article 19), veiller à ce que les "évaluations de conformité" soient achevées avant la mise sur le marché du système (article 43), enregistrer le système (article 49) et prendre des mesures correctives le cas échéant (article 20). Si, en tant que fournisseur, vous vous trouvez en dehors de l'UE, vous devez désigner un représentant autorisé pour exécuter ces fonctions en votre nom. Article 22.

Cependant, même les "diffuseur" de systèmes d'IA (toute personne qui utilise un système d'IA à des fins autres que personnelles et non professionnelles) sont soumis à certaines exigences. Par exemple, les diffuseur qui utilisent des systèmes à haut risque doivent suivre les instructions (article 26, paragraphe 1), veiller à ce que les utilisateurs disposent des compétences, de la formation et de l'assistance nécessaires (article 26, paragraphe 2), utiliser des données d'entrée "pertinentes et suffisamment représentatives" (article 26, paragraphe 4), tenir des registres pendant au moins six mois (article 26, paragraphe 6) et, le cas échéant, informer les employés soumis à l'utilisation du système qu'il s'agit d'un "système à haut risque" (article 26, paragraphe 7). Si, en tant que diffuseur, vous êtes impliqué dans la fourniture de services publics (par exemple, l'éducation), vous devez également procéder à une "évaluation de l'impact sur les droits fondamentaux". Article 27.

"Des sanctions dissuasives" estime Yassine Yakouti

Si vous utilisez un système d'IA interdit, vous êtes passible d'une amende de 35 000 000 EUR ou d'une amende pouvant aller jusqu'à 7 % de votre chiffre d'affaires annuel mondial total (essentiellement des recettes) de l'année précédente, le montant le plus élevé étant retenu. Article 99, paragraphe 3. Le non-respect d'autres obligations et exigences, telles que les articles 16, 22 à 27 et 50, entraîne des amendes de 15 000 000 EUR ou de 3 % du chiffre d'affaires, le montant le plus élevé étant retenu. Article 99, paragraphe 4. Enfin, la fourniture d'informations incorrectes ou trompeuses est passible d'une amende de 7 500 000 euros ou de 1 % du chiffre d'affaires, le montant le plus élevé étant retenu. Article 99, paragraphe 5. Les petites entreprises, comme les start-ups, peuvent bénéficier d'une attention particulière lors du calcul des redevances et se voient donc infliger l'amende la moins élevée. Article 99, paragraphes 1 et 6.