Entré en vigueur en août dernier, l'AI Act, règlement sur l'intelligence artificielle (RIA) en français, entrera en application à partir de février prochain. Ce texte européen vise à établir des règles harmonisées au sujet de l'IA à travers l'Union européenne, à permettre l'émergence d'IA dites « de confiance », et à permettre à cette dernière de « jouer un rôle de premier plan au niveau mondial » puisqu'il s'agit de l'un des premiers textes de ce genre à l'échelle de la planète. Pour explorer le texte, Next vous propose une série en trois épisodes.

L'AI Act expliqué :
Comment fonctionne l'AI Act ?
Systèmes à haut risque, modèles à usage général : ce que dit l’AI Act en pratique
Gouvernance, sanctions : les outils de mise en conformité et de contrôle de l’AI Act

Quels sont les objectifs de l’AI Act ?

Comme l’indique son article premier, le but du texte est d’« améliorer le fonctionnement du marché intérieur et promouvoir l’adoption d’une IA axée sur l’humain et digne de confiance tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, y compris la démocratie, l’état de droit et la protection de l’environnement, contre les effets néfastes des systèmes d’IA dans l’Union, et en soutenant l’innovation ».

Comment l’AI Act définit-il l’intelligence artificielle ?

Le règlement nécessite d’introduire une variété de définitions (68, précisément), ce qu’il fait en son article 3. Parmi les plus importantes, citons :

• Le « système d’IA », décrit de manière suffisamment souple pour pouvoir s’adapter à de futures innovations technologiques, est compris comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels »
• Le « modèle d’IA à usage général » (ou general purpose AI, GPAI), « y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle (…) présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes (…) et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché »
• Les données, parmi lesquelles le règlement différencie données d’entraînement (« pour entraîner un système d’IA en ajustant ses paramètres entraînables »), de validation (pour évaluer le système et « régler ses paramètres non entraînables ainsi que son processus d’apprentissage »), de test (« utilisées pour fournir une évaluation indépendante du système d’IA afin de confirmer la performance attendue de ce système avant sa mise sur le marché ou sa mise en service ») et données d’entrée (« fournies à un système d’IA ou directement acquises par celui-ci et à partir desquelles il produit une sortie »). Le règlement définit aussi les données, l’identification et la vérification biométrique, dans la mesure où ces dernières sont sujettes à des autorisations spécifiques.
• Un système de reconnaissance des émotions est compris comme un « système d’IA destiné à affecter des personnes physiques à des catégories spécifiques sur la base de leurs données biométriques, à moins que cela ne soit accessoire à un autre service commercial et strictement nécessaire pour des raisons techniques objectives ». L’exposé des motifs souligne (§46) que la « base scientifique des systèmes d’IA visant à identifier ou à inférer les émotions suscite de vives inquiétudes, d’autant plus que l’expression des émotions varie considérablement d’une culture et d’une situation à l’autre », de même que chez une seule personne. Il relève aussi « leur fiabilité limitée, leur manque de précision et leur généralisabilité limitée ».

Qui est concerné par l’AI Act ?

Le règlement s’applique à une variété d’acteurs listés dans son article 2 :

• les fournisseurs, « situés dans l’Union ou dans un pays tiers », qui mettent « sur le marché ou en service des systèmes d’IA ou (…) des modèles d’IA à usage général dans l’Union », de même que ceux localisés dans un pays tiers « lorsque les sorties produites par le système d’IA sont utilisées dans l’Union » ;
• les déployeurs établis ou situés dans l’Union, de même que ceux localisés à l’extérieur « lorsque les sorties produites par le système d’IA sont utilisées dans l’Union » ;
• les importateurs et distributeurs de systèmes d’IA ;
• les fabricants de produits qui mettent sur le marché un système d’IA « en même temps que leur produit et sous leur propre nom ou leur propre marque » ;
• les « mandataires des fournisseurs établis en dehors de l’Union » ;
• les « personnes concernées qui sont situées dans l’Union ».

La plupart de ces acteurs sont définis dans l’article 3 du règlement. Un fournisseur est ainsi « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché », ou le met « en service sous son propre nom ou sa propre marque », le tout de manière payante ou gratuite. 


Un déployeur peut-être n’importe laquelle des entités précitées (personne physique ou morale, autorité, agence, etc) « en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit ». Un distributeur est « une personne physique ou morale faisant partie de la chaîne d’approvisionnement (…) qui met un système d’IA à disposition sur le marché de l’Union », quand elle n’est ni fournisseuse, ni importatrice du système en question.

Qui n’est pas concerné par l’AI Act ?

Le texte « ne s’applique pas aux domaines qui ne relèvent pas du champ d’application du droit de l’Union », et « ne porte pas atteinte aux compétences des États membres en matière de sécurité nationale » (art. 2).

Il ne s’applique pas « aux systèmes d’IA si et dans la mesure où ils sont mis sur le marché, mis en service ou utilisés avec ou sans modifications exclusivement à des fins militaires, de défense ou de sécurité nationale », ni quand les sorties d’un système sont utilisées, de nouveau, « dans l’Union exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités ».

Comment fonctionne l’AI Act ?

Le règlement est doté d’une approche par les risques, justifiée dans ses motivations (§26) comme une manière d’ « introduire un ensemble proportionné et efficace de règles contraignantes pour les systèmes d’IA ». C’est cette logique qui permet « d’interdire certaines pratiques inacceptables en matière d’IA, de fixer des exigences pour les systèmes d’IA à haut risque et des obligations pour les opérateurs concernés, ainsi que de fixer des obligations de transparence pour certains systèmes d’IA ».

En pratique, le règlement se concentre très largement sur la réglementation des systèmes à haut risque, et prévoit quelques obligations de transparence pour les systèmes à risque limité. Le risque minimal, lui, n’est pas réglementé.

Outre ce système de classification, le chapitre V de la législation s’intéresse spécifiquement aux modèles d’IA à usage général (GPAI), notamment pour pallier les risques systémiques que certains d’entre eux sont susceptibles de présenter. Cette organisation traduit les chamboulements opérés par la mise en service de modèles génératifs comme Stable Diffusion ou ChatGPT mi-2023, alors que le travail des régulateurs sur le projet de règlement était déjà bien avancé. 


• AGI, GPAI, modèles de fondation… de quoi on parle ?

Dans nos prochains articles, nous reviendrons sur les règles spécifiques à ce type de modèles et aux différents niveaux de risques des systèmes d’IA ; ainsi que sur la gouvernance, le régime de sanctions et le calendrier d'entrée en application du texte.