L’AI Act ou la « législation européenne sur l'intelligence artificielle » est entré vigueur 1ᵉʳ août 2024, après sa publication deux semaines plus tôt au Journal officiel de l'Union européenne. Une première échéance importante a été dépassée hier : l’interdiction relative aux systèmes d’IA présentant des risques inacceptables.

• AI Act : le règlement européen est publié au Journal officiel, la CNIL propose une FAQ

Le gouvernement donne les grandes lignes de cette notion de risques inacceptables : « Il s’agit notamment des systèmes d’IA utilisés pour la manipulation inconsciente, l'exploitation des vulnérabilités, la notation sociale, et la catégorisation biométrique (origine ethnique, religion, etc.) ». Pour les détails, on repassera.

Le Conseil de l’Union européenne y va aussi de son explication de texte sur les risques inacceptables, avec plus de détails : « Il s'agit notamment de la manipulation comportementale cognitive, de la police prédictive, de la reconnaissance des émotions sur le lieu de travail et dans les établissements d'enseignement, ainsi que de la notation sociale. L'utilisation de systèmes d'identification biométrique à distance en temps réel, tels que la reconnaissance faciale par les forces de l'ordre dans les espaces publics, est également interdite, à quelques exceptions près ».

Les lignes directrices aux abonnés absents

Comme le rappelle Euractiv, ce texte « laisse toutefois de nombreuses questions en suspens quant à la manière dont il devrait être appliqué, rendant les lignes directrices attendues cruciales pour sa mise en œuvre ». Ces fameuses lignes directrices n’ont d’ailleurs toujours pas été publiées, précisent nos confrères.

Il y a deux semaines, une vingtaine d’associations (dont Access Now, Amnesty International et European Digital Rights) demandaient à la Commission de mettre « les droits de l’homme et la justice au cœur des prochaines lignes directrices ».

Plus précisément, les signataires exhortent l’AI Office de « préciser que les systèmes relativement "simples" entrent explicitement dans le champ d’application de la définition des systèmes d’IA ». Le but étant que des systèmes ne soient pas considérés comme étant hors du champ d’application de l’AI Act « simplement parce qu’ils utilisent des algorithmes moins complexes ».

On en revient presque aux notions d’algorithme et d’intelligence artificielle et de la frontière entre les deux. Nous en avions déjà parlé dans un édito.

• [Édito] L’intelligence artificielle est-elle intelligente ou artificielle ?

Autre cheval de bataille : « empêcher l’utilisation de la technologie comme arme contre des groupes marginalisés et pour de l’utilisation illégale de surveillance biométrique de masse ». Par exemple, les associations demandent « l’interdiction du scoring social ».

Toujours selon les associations, les lignes directrices doivent préciser les contours et interdiction liés à la police prédictive. Par exemple, elles « devraient préciser que les systèmes qui font des prédictions sur la probabilité d’être enregistré dans un système de police […] ainsi que des systèmes prédictifs utilisés dans le contrôle de l’immigration » entrent dans le domaine des systèmes interdits.

Ce sera ensuite au tour des IA « haut-risque »

Le gouvernement rappelle que les systèmes d’IA du niveau juste du dessous, c’est-à-dire ceux classés comme à « haut-risque », sont ceux déjà couverts « par des réglementations européennes existantes comme la réglementation sur les dispositifs médicaux, la directive machine ou la directive sur la sécurité des jouets, etc. ».

La CNIL expliquait l’année dernière qu’il s’agit de « la première législation générale (ou exhaustive) au monde sur l’intelligence artificielle », dont le but est d’« encadrer le développement, la mise sur le marché et l’utilisation de systèmes d'intelligence artificielle (IA), qui peuvent poser des risques pour la santé, la sécurité ou les droits fondamentaux ».

Mais de nouvelles applications seront ajoutées avec l’AI Act : « l’éducation et la formation professionnelle, l’accès aux services privés essentiels (crédit bancaire, assurance) et aux prestations publics essentiels (santé, appels d'urgence, justice) ». L’entrée en vigueur se fera à partie du 2 août 2026. Avant cette date, en août 2025, de nouvelles règles pour les modèles d’IA à usage général entreront en vigueur. Il faudra également que les États membres aient nommé leur autorité compétente.

AI Act vs innovation, sommet de l’IA en approche

« Il faut que ce cadre ne freine pas l’innovation et soit en mesure d’être adopté par les jeunes entreprises […] La France va rester attentive à ce que cette vision du texte soit respectée », explique Clara Chappaz, (ministre déléguée à l'IA et au numérique), comme le rapporte l’Usine Nouvelle.

La France se prépare pour rappel à accueillir le sommet sur l’IA dès le 6 février 2025 avec de « nombreux évènements à l'occasion de la Semaine pour l'action sur l'IA ». Deux dates importantes la semaine prochaine : « les 10 et 11 février 2025, la France accueillera le Sommet pour l'action sur l'intelligence artificielle (IA), réunissant au Grand Palais, chefs d'État et de gouvernements, dirigeants d'organisations internationales, de petites et grandes entreprises, représentants du monde universitaire, chercheurs, organisations non-gouvernementales, artistes et autres membres de la société civile ». Le programme est disponible par ici.

Nous avons publié un dossier sur le sujet :

• Comment fonctionne l’AI Act ?
• Systèmes à haut risque, modèles à usage général : ce que dit l’AI Act en pratique
• Gouvernance, sanctions : les outils de mise en conformité et de contrôle de l’AI Act

Calendrier de l’IA Act et rappel des sanctions

Voici enfin les prochaines échéances :

• 2 août 2025 : application des règles pour les modèles d’IA à usage général et nomination des autorités compétentes au niveau des États membres.
• 2 août 2026 : toutes les dispositions du règlement sur l'IA deviennent applicables. Mise en œuvre par les autorités des États membres d’au moins un bac à sable réglementaire.
• 2 août 2027 : application des règles relatives aux systèmes d'IA à haut risque de l'annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l'aviation civile, véhicules agricoles, etc.).

Pour rappel, les sanctions prévues par l'AI Act vont jusqu’à 7 % du chiffre d’affaires annuel mondial de l’entreprise. Elles peuvent aussi être « déterminées à partir de montants seuils allant de 7,5 à 35 millions d’euros d’amende ».