L'« AI Act » : Un nouveau tournant juridique majeur pour la mise en conformité de votre entreprise
En mars 2024, l'Union Européenne a franchi une étape décisive avec l'adoption du Règlement (UE) 2024/1689, plus connu sous le nom d'« AI Act ».
Ce Règlement entré en vigueur le 1er août 2024 définit les règles du jeu pour toutes les entreprises utilisant ou développant des technologies d'IA sur le territoire européen, quelle que soit leur taille.
La portée de cette réglementation est large, puisqu’elle concerne les fournisseurs de systèmes d'IA, les utilisateurs professionnels, les importateurs et les distributeurs, y compris ceux établis hors de l’Union Européenne dont les systèmes sont utilisés dans l'Union Européenne.
Si votre entreprise utilise des Chatbots (application avec laquelle les utilisateurs peuvent converser par le biais de la voix ou du texte), des systèmes de recrutement automatisés, de la reconnaissance faciale, ou tout autre outil basé sur l'intelligence artificielle, elle est potentiellement concernée par cette réglementation.
L'objectif affiché de l'Union européenne est triple, à savoir :
- Garantir que les systèmes d'IA mis sur le marché européen soient sûrs, éthiques et respectueux des droits fondamentaux ;
- Promouvoir une IA digne de confiance, axée sur l'humain, tout en renforçant le cadre juridique, et ;
- Soutenir l'innovation, notamment pour les PME, tout en protégeant les citoyens contre les usages abusifs ou dangereux de l’IA.
Dans la course à l'IA, cette évolution normative est susceptible d’impacter directement l’activité de votre entreprise.
I - Une classification par niveaux de risque aux conséquences juridiques différenciées
L'"AI Act" adopte une approche pragmatique en classant les systèmes d’IA selon quatre niveaux de risque distincts, chacun entraînant des obligations juridiques spécifiques.
1° Les systèmes à risque inacceptable font l'objet d'une interdiction totale. Cette catégorie inclut la notation sociale des citoyens, la manipulation cognitive et l'identification biométrique à distance en temps réel dans l'espace public. Ces systèmes devaient être supprimés avant le 2 février 2025.
2° Les systèmes à risque élevé sont soumis à une réglementation particulièrement stricte. Cette catégorie comprend les systèmes de recrutement automatisé, l'intelligence artificielle utilisée dans l'éducation et la justice (la Cour de cassation ayant récemment publié un rapport quant à l'utilisation de l'IA au sein de la justice française), le contrôle d'accès biométrique et la gestion de services essentiels. Ces systèmes doivent faire l'objet d'une évaluation de conformité avant leur mise sur le marché, d'une documentation technique détaillée, d'une supervision humaine effective et d'une surveillance continue après la commercialisation du service/produit.
3° Les systèmes à risque limité, comme les Chatbots et assistants virtuels ou le contenu généré par intelligence artificielle, sont soumis à des obligations de transparence. L'entreprise doit informer clairement les utilisateurs qu'ils interagissent avec une IA ou qu'un contenu a été généré artificiellement.
4° Enfin, les systèmes à risque minimal, tels que les jeux vidéo ou les filtres photo, ne font l'objet d'aucune contrainte spécifique.
II - Un calendrier de mise en conformité aux échéances rapprochées
Le Règlement prévoit un calendrier de mise en application échelonné qui laisse peu de temps aux entreprises pour s'adapter.
Comme évoqué, depuis février 2025, les systèmes à risque inacceptable doivent déjà avoir disparu. En août 2025, les obligations relatives aux modèles d'IA à usage général entreront en vigueur, parallèlement à la nomination des autorités nationales de contrôle.
L'application complète du Règlement pour les systèmes à haut risque interviendra en août 2026, notamment pour les secteurs de la biométrie, de l'éducation et de la justice. L'extension aux systèmes à haut risque relevant de secteurs spécialisés, tels que les dispositifs médicaux, n'interviendra qu'en août 2027.
Au-delà de ces diligences, les entreprises se doivent, tous systèmes d’IA confondus, d’analyser leur finalité, leur autonomie et les données traitées pour déterminer leur niveau de risque.
De la même façon, une gouvernance interne dédiée à l’IA, impliquant les services juridiques, informatiques, RH ainsi que la direction générale doit être mise en place.
Les entreprises qui attendent les dernières échéances pour agir s'exposent à des difficultés considérables, tant sur le plan technique que juridique.
III - Des sanctions financières dissuasives et un contrôle renforcé
L'Union européenne a prévu un arsenal répressif à la hauteur des enjeux.
Les sanctions financières peuvent atteindre plusieurs millions d'euros selon la gravité de l'infraction commise. A l’image de ce qui a été fait pour le RGPD, les sanctions peuvent aller jusqu’à 7% du chiffre d’affaires mondial OU jusqu’à 35 millions d’euros selon la gravité de l’infraction. Le choix est donc laissé à l’autorité de contrôle d’opter pour l’une ou l’autre de ces sanctions selon que la personne morale concernée par la sanction soit plus ou moins sensible à l’une ou l’autre compte tenu de ses chiffres comptables.
Cette dimension pénale s'accompagne de la création d'un Bureau européen de l'IA chargé de la gouvernance, du suivi et de l'application du Règlement.
Le contrôle ne sera pas uniquement répressif. L'Union européenne met en place des mécanismes permettant d’accompagner l'innovation, notamment des PME, dans un cadre sécurisé. Cette approche témoigne de la volonté européenne de concilier protection des citoyens et développement économique.
Les entreprises doivent néanmoins se préparer à des contrôles potentiels et s'assurer de leur capacité à répondre à une demande d'audit des autorités compétentes.
***
Pour anticiper sa mise en conformité, votre entreprise doit dès maintenant procéder à un diagnostic précis de sa situation, afin d’éviter les risques précités.
Il convient d'identifier les systèmes d'intelligence artificielle actuellement utilisés et de déterminer dans quelle catégorie de risque ils se situent. Cette analyse (i) devra s'accompagner d'une évaluation des obligations spécifiques en tant que fournisseur, utilisateur ou distributeur et (ii) permettre de s'assurer que vos systèmes d'IA bénéficient d'une transparence et d'une supervision humaine adéquates.
Cette mise en conformité doit s’accompagner de la mise en place d’une « documentation interne » permettant de justifier les mécanismes mis en place en cas de contrôle par les organes compétents. Il ne s’agit en effet pas d’indiquer que des mesures ont été prises mais que les bonnes mesures ont été prises et d’être en mesure de le prouver…
Nous sommes à votre disposition pour toutes questions de conformité entre votre activité et l'utilisation de l'intelligence artificielle.
