L’UE interdit totalement les systèmes d’IA à « risque inacceptable »

• L’utilisation des systèmes d’IA classés comme présentant un « risque inacceptable (unacceptable risk) » est désormais totalement interdite dans l’UE
• Le 2 février marquait la première échéance de mise en conformité de l’AI Act de l’UE, et cette réglementation s’applique à toutes les technologies d’IA fournies ou utilisées sur le territoire de l’UE
• En cas d’infraction, une amende correspondant au montant le plus élevé entre 7 % du chiffre d’affaires annuel et 35 millions d’euros (environ 36 millions de dollars) peut être infligée

Aperçu de l’AI Act de l’UE

• La réglementation classe les risques liés à l’IA en 4 niveaux
  • Risque minimal : ex. filtre anti-spam
  • Risque limité : ex. chatbot de service client
  • Haut risque : ex. système d’aide à la décision médicale
  • Risque inacceptable : IA présentant un risque élevé de causer des dommages physiques ou psychologiques, ou des discriminations
• Les IA désignées comme présentant un risque inacceptable font l’objet d’une interdiction totale d’utilisation
• Exemples représentatifs
  • Notation sociale : IA créant des profils de risque à partir du comportement des individus
  • Manipulation subliminale : IA manipulant les décisions des personnes de manière discrète ou trompeuse
  • Exploitation des personnes vulnérables : IA tirant parti de l’âge, du handicap ou de la situation économique
  • Prédiction criminelle fondée sur l’apparence : IA prédisant la probabilité de commettre un crime à partir de l’apparence d’une personne
  • Analyse de caractéristiques à partir de données biométriques : IA déduisant des caractéristiques personnelles, comme l’orientation sexuelle
  • Collecte en temps réel de données biométriques dans les lieux publics : IA collectant en temps réel des données biométriques à des fins d’application de la loi
  • IA d’inférence émotionnelle : IA analysant les émotions des personnes au travail ou à l’école
  • Constitution de bases de données de reconnaissance faciale : IA collectant des images en ligne ou via des caméras de sécurité pour créer ou étendre des bases de données de reconnaissance faciale

Engagement préalable

• Avant l’échéance du 2 février, vers septembre 2024, environ 100 entreprises ont signé l’« EU AI Pact », promettant de respecter volontairement ces règles avant même l’entrée en vigueur complète de l’AI Act
• Amazon, Google et OpenAI y ont participé, mais Meta, Apple et Mistral ne l’ont pas signé
• Même pour les entreprises non participantes au Pact, l’usage d’IA à risque non conforme reste en principe interdit

Exceptions potentielles

• Des exceptions limitées permettent aux forces de l’ordre d’utiliser des informations biométriques dans certaines situations précises (par ex. recherche de victimes d’enlèvement, menace imminente)
  • Même dans ce cas, la réglementation prévoit qu’aucune décision défavorable à une personne ne peut être prise sur la seule base du résultat d’un unique système d’IA
• Les IA de détection des émotions à l’école ou au travail peuvent aussi être autorisées de manière limitée si elles reposent sur un motif légitime, comme une finalité médicale ou de sécurité
• Des lignes directrices supplémentaires doivent être publiées début 2025, mais leur contenu détaillé n’a pas encore été dévoilé

Défis à venir

• L’application réelle des sanctions et la mise en œuvre à grande échelle sont attendues après août
  • C’est à ce moment-là que seront désignées dans chaque pays les « autorités compétentes (competent authorities) », et que les amendes ainsi que les mesures d’exécution devraient devenir effectives
• Un chevauchement avec d’autres réglementations (GDPR, NIS2, DORA, etc.) pourrait créer de la confusion pour les entreprises
  • Il faudra veiller à ce que les obligations de notification et les modalités de gestion des données imposées par plusieurs réglementations en parallèle n’entrent pas en conflit
• Les entreprises devront se préparer de façon structurée en s’appuyant sur les futures normes, lignes directrices et codes de conduite qui seront publiés