L'Europe impose peu à peu son carcan à la vague de l'IA
A l'heure où les Etats-Unis desserrent l'étau réglementaire sur l'intelligence artificielle, Bruxelles fait le choix inverse. Depuis le 2 février, l'AI Act impose sa marque sur le développement de l'IA en Europe. Cette nouvelle réglementation, particulièrement contraignante, vient s'ajouter au déjà controversé RGPD, au grand dam des entreprises du secteur. Décryptage des principales mesures.
Des IA interdites
L'AI Act dessine une ligne rouge entre les usages autorisés et prohibés de l'intelligence artificielle. Le texte européen établit une classification tripartite : les systèmes formellement interdits, ceux considérés "à haut risque" pour la santé et les droits fondamentaux, et enfin les applications à risque modéré, soumises à des obligations de transparence.
Depuis le 2 février, le volet interdiction est entré en vigueur. Dans le viseur de Bruxelles : les systèmes utilisant des techniques subliminales pour manipuler les comportements humains, par exemple des systèmes qui insèrent subtilement des messages dans des vidéos. L'Europe entend également protéger les populations vulnérables, en prohibant les dispositifs exploitant l'âge ou le handicap à des fins malveillantes. Plus révélateur encore de la philosophie du texte : l'interdiction formelle des systèmes de notation sociale, une pratique controversée mise en œuvre en Chine.
Sur le terrain sensible de la surveillance, le législateur interdit l'identification biométrique dans un cadre répressif. Une interdiction qui vise particulièrement la reconnaissance faciale, mais qui connaît trois exceptions : le dispositif reste autorisé pour la recherche de victimes potentielles, la prévention de menaces terroristes imminentes et la traque de criminels présumés pour les infractions les plus graves, du terrorisme au meurtre, en passant par la traite d'êtres humains.
Transparence sur l'ensemble de la chaine
La nouvelle réglementation impose une traçabilité sans faille aux acteurs de l'IA. Au cœur du dispositif : l'exigence d'une transparence totale, de la conception des modèles jusqu'à leur exploitation. Les éditeurs devront notamment garantir le respect des droits d'auteur et fournir un descriptif détaillé des contenus utilisés lors de la phase d'entraînement.
Problème ? La majorité des modèles propriétaires actuellement sur le marché ne répondent pas à ces exigences. Face à ce constat, les entreprises européennes se trouvent dans une position délicate. Pour celles qui souhaiteraient continuer à utiliser les modèles leaders du marché comme GPT-4o, Gemini ou Claude, une parade existe. "L'entreprise doit mettre en place des mécanismes de test rigoureux. A défaut de pouvoir garantir la méthode d'entraînement initiale, elle peut et doit s'assurer qu'avant la mise en production d'un service, des tests approfondis ont été réalisés pour détecter d'éventuels biais. L'objectif est de pouvoir affirmer qu'au minimum aucun biais évident n'a été constaté dans les cas d'usage prévus", explique Frédéric Brajon, associé co-fondateur du cabinet Saegus.
La transparence exigée par Bruxelles concerne également la mise en œuvre de l'IA en entreprise. Les sociétés devront minutieusement documenter l'ensemble de leurs systèmes d'intelligence artificielle, qu'ils soient hébergés en local ou dans le cloud. Un inventaire exhaustif qui impose d'anticiper les cas d'usage, de préciser la nature des technologies employées (des modèles open source aux solutions commerciales) et d'identifier clairement les utilisateurs finaux.
Pour compléter ce dispositif, l'AI Act place la formation au cœur de ses exigences. Le texte impose aux entreprises de garantir un niveau de compétence adéquat, particulièrement pour les collaborateurs supervisant les systèmes à haut risque. "Il y a un devoir de formation et d'acculturation à grande échelle de tous les collaborateurs qui vont utiliser ces services, pour leur dire ce que c'est qu'un système d'IA, ce qu'il fait, ce qu'il ne fait pas, ce que l'on peut faire et ce qu'on ne peut pas faire", souligne Frédéric Brajon.
Le RGPD également applicable
C'est l'autre grand chantier réglementaire : la gouvernance des données. Le RGPD reste pleinement applicable, créant une surcouche réglementaire inédite. Les entreprises devront ainsi jongler entre les exigences spécifiques à l'IA et celles, déjà contraignantes, de la protection des données personnelles. Une complexité qui pousse de nombreuses sociétés à la création d'un poste dédié à la gouvernance de l'IA, chargé de garantir cette double conformité. L'objectif est de pouvoir démontrer sa bonne foi au régulateur en prouvant que l'entreprise a mis en œuvre tous les moyens nécessaires.
Et gare aux entreprises qui refuseraient de se conformer au cadre réglementaire. Pendant que les Etats-Unis investissent massivement dans l'innovation, l'Europe affute son arsenal de sanctions. Les amendes pourront atteindre 35 millions d'euros, ou 7% du chiffre d'affaires mondial, pour les infractions graves comme la manipulation comportementale. Les manquements à la transparence coûteront jusqu'à 15 millions d'euros (jusqu'à 3% du CA), quand la dissimulation d'informations aux autorités sera facturée 7,5 millions d'euros (jusqu'à 1% du CA).