Partager
À partir du 2 février 2025, les régulateurs de l’Union Européenne peuvent interdire l’utilisation de systèmes d’IA qu’ils considèrent comme présentant un « risque inacceptable » ou potentiellement nuisible. Cette interdiction fait partie de l’Acte sur l’IA, une réglementation ambitieuse sur l’intelligence artificielle, entrée en vigueur le 1er août 2024, et dont la première échéance de conformité a eu lieu ce dimanche.
L’Acte sur l’IA vise à réglementer un large éventail d’applications de l’IA, allant des usages consommateurs jusqu’aux environnements physiques, en passant par l’interaction avec des individus. Le texte classe les applications d’IA selon quatre niveaux de risque : minimal, limité, élevé et inacceptable. Les systèmes considérés comme présentant un « risque inacceptable » seront désormais interdits dans l’UE.
Les usages interdits de l’IA : des pratiques préoccupantes
Les applications d’IA jugées inacceptables incluent des pratiques telles que :
- La notation sociale : utiliser l’IA pour établir des profils de risque en fonction du comportement d’une personne.
- Manipulation subliminale ou trompeuse des décisions des individus.
- Exploitation des vulnérabilités liées à l’âge, au handicap ou au statut socio-économique.
- Prédiction des comportements criminels sur la base de l’apparence d’une personne.
- Utilisation de la biométrie pour déduire des caractéristiques personnelles, comme l’orientation sexuelle.
- Collecte de données biométriques en temps réel dans des lieux publics à des fins de maintien de l’ordre.
- Analyse des émotions des individus dans des environnements comme le travail ou l’école.
- Création ou expansion de bases de données de reconnaissance faciale par l’extraction d’images sur Internet ou via des caméras de surveillance.
Les entreprises utilisant ces systèmes en Europe seront passibles d’amendes pouvant atteindre jusqu’à 35 millions d’euros ou 7 % de leur chiffre d’affaires annuel, selon la plus grande de ces deux valeurs.
Un délai pour la conformité et les amendes
Les amendes ne seront pas immédiatement appliquées, car les autorités de régulation disposent encore de temps avant de commencer à imposer des sanctions. Selon Rob Sumroy, responsable de la technologie au sein du cabinet juridique britannique Slaughter and May, bien que la conformité soit attendue pour ce 2 février, la prochaine échéance importante sera en août 2025, lorsque les autorités compétentes seront désignées et que les amendes entreront en vigueur.
Les entreprises et l’engagement volontaire
Bien que l’échéance du 2 février marque une étape importante, plusieurs entreprises, dont Amazon, Google et OpenAI, ont déjà signé le Pacte sur l’IA de l’UE en septembre 2024. Ce pacte est un engagement volontaire des entreprises à appliquer les principes de l’Acte sur l’IA avant son entrée en vigueur complète. Cependant, des géants comme Meta et Apple, ainsi que la start-up française Mistral, ont choisi de ne pas signer le pacte.
Cela n’implique pas nécessairement qu’elles ne respecteront pas les interdictions, notamment celles concernant les systèmes d’IA à risque inacceptable. De nombreuses entreprises ne pratiquent pas ces usages interdits, de toute façon.
Exceptions et autorisations
L’Acte sur l’IA prévoit certaines exceptions, notamment pour les autorités de maintien de l’ordre. Par exemple, des systèmes biométriques peuvent être utilisés dans des lieux publics si cela permet de réaliser des recherches ciblées pour des victimes d’enlèvements ou pour prévenir une menace spécifique et imminente pour la vie. Ces exceptions nécessitent une autorisation et l’Acte souligne que la décision ne peut avoir d’impact juridique négatif sur un individu uniquement en raison des résultats fournis par ces systèmes.
Perspectives et défis à venir
Le cadre réglementaire sur l’IA ne se limite pas à cette loi et pourrait entrer en interaction avec d’autres législations existantes, comme le RGPD (Règlement Général sur la Protection des Données) ou la directive NIS2. Sumroy souligne l’importance pour les entreprises de comprendre comment ces différentes lois interagissent, en particulier en ce qui concerne les obligations de notification en cas d’incidents.
L’UE prévoit de publier des lignes directrices supplémentaires au début de l’année 2025 après une consultation des parties prenantes, mais celles-ci ne sont pas encore disponibles. Les entreprises doivent donc se préparer à ces nouvelles exigences, tout en restant attentives aux évolutions futures du cadre juridique européen sur l’IA.
