Que se passe-t-il si l'AI Act, règlement sur l'intelligence artificielle (RIA) en français, n'est pas respecté ? Un citoyen peut-il demander des comptes à un fabricant de modèle d'IA à usage général (GPAI) ? Dans de précédents articles, nous détaillions les bases sur lesquelles est construit l'AI Act et les interdictions et obligations qu'il introduisait. Détaillons ici les instances en charge de faire appliquer le texte, tant au niveau des États membres que de l'Union.

L'AI Act expliqué :
-Comment fonctionne l'AI Act ?
-Systèmes à haut risque, modèles à usage général : ce que dit l’AI Act en pratique

Qui s’assurera du respect de l’AI act ?

Pour contrôler la bonne application du règlement, la Commission européenne a créé en son sein un Bureau de l’intelligence artificielle, dont l’article 64 du règlement indique qu’il permet de « développer l’expertise et les capacités de l’Union dans le domaine de l’IA ».

Celui-ci consiste en un bureau d’experts, qui doit notamment faciliter « l’élaboration de codes de bonne pratique au niveau de l’Union afin de contribuer à la bonne application du présent règlement », en invitant toutes les parties prenantes à participer à leur élaboration (art. 56). Il aura pour autres missions d’enquêter sur de potentielles infractions, de gérer les sanctions imposées aux contrevenants, d’identifier les risques de nouvelles technologies tombant dans le périmètre de l’AI Act, et de soutenir la recherche. À terme, l’organe doit employer 140 personnes.

Le Règlement crée aussi un comité européen de l’intelligence artificielle (Comité IA), composé d’un représentant par États membres, et auquel le CEPD (Comité européen de la protection des données) et le bureau de l’IA participent sans prendre part aux votes. Le but du comité IA est de « contribuer à la coordination entre les autorités nationales compétentes » en charge de l’application du règlement, de recueillir « l’expertise techniques et réglementaires » et les bonnes pratiques à essaimer, ainsi que d’ « émettre des recommandations et des avis écrits sur toute question » liée à la mise en œuvre du texte, entre autres missions fixées par l’article 66.

Il peut notamment s’appuyer sur les expertises techniques fournies par un forum consultatif constitué de représentants de l’industrie, de jeunes pousses, de PME, de la société civile et du monde universitaire (art. 67).

La Commission constitue par ailleurs un groupe scientifique d’experts indépendants qui doit « soutenir les activités de contrôle de l’application » du règlement (art. 68). Celui-ci est constitué d’experts de l’IA aux compétences scientifiques ou techniques démontrées, et indépendants de tout fournisseur de systèmes ou de modèles d’IA. Il conseille principalement le Bureau de l’IA sur la classification des modèles et systèmes d’IA, il l’alerte sur d’éventuels risques systémiques (art. 90), et participe à la création d’outils et de méthodologies adéquats. Les États membres peuvent, eux aussi, recourir à l’expertise du groupe scientifique.

Au niveau national, chaque État membre désigne enfin « au moins une autorité notifiante et au moins une autorité de surveillance du marché » pour faire appliquer le texte. En France, début 2024, un rapport parlementaire argumentait en faveur de la CNIL – qui a créé son propre service dédié à l’intelligence artificielle en janvier 2023. Le document soulignait que l’Arcom était aussi compétente sur certains sujets – elle l’est notamment en matière de régulation des plateformes numériques – mais indiquait la nécessité de « désigner l’une [de ces deux autorités] pour piloter cette nouvelle politique ».

Les articles 74 à 78 définissent plus précisément les missions des autorités nationales et de la Commission dans l’exercice de leurs fonctions.

Peut-on demander des comptes ?

Les articles 85, 86 et 87 du règlement permettent à « toute personne physique ou morale » de déposer des « réclamations auprès de l’autorité de surveillance du marché », d’obtenir « des explications claires et pertinentes » de la part du responsable du déploiement d’un système d’IA (le « déployeur ») qui aurait eu « des conséquences négatives sur sa santé, sa sécurité ou ses droits fondamentaux », ou encore de signaler des violations de droits d’auteur.

Que se passe-t-il si le texte n’est pas respecté ?

L’article 99 de l'AI Act dispose que les « sanctions doivent être effectives, proportionnées et dissuasives ». Pour une grande partie du règlement, sanctions et mesures d’exécution sont donc fixées par les États membres. Elles peuvent s’échelonner de mesures d’avertissement à des sanctions plus sévères, et « tiennent compte des intérêts des PME, y compris les jeunes pousses, et de leur viabilité économique ».

Cela dit, en cas de non-respect des interdictions inscrites à l’article 5 et résumées plus haut, l’auteur encourt des amendes administratives pouvant aller jusqu'à 35 millions d’euros ou, si l’auteur est une entreprise, « jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu ».

La non-conformité avec une des obligations incombant aux différentes parties prenantes (fournisseurs, mandataires, importateurs, distributeurs, déployeurs, etc), obligations de transparences comprises, est punissable d’une amende administrative susceptible de grimper jusqu’à 15 millions d’euros, « ou, si l’auteur de l’infraction est une entreprise, jusqu’à 3 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu ».

« La fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes », alors que ces dernières en ont fait la demande, expose, elle, à une amende susceptible de monter jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial total de l’entreprise concernée.

Dans le cas où l’une de ces sanctions concerne une PME ou une jeune pousse, chaque amende « s'élève au maximum aux pourcentages ou montants » pré-cités, « le chiffre le plus faible étant retenu ».

Le Contrôleur européen de la protection des données peut par ailleurs « imposer des amendes administratives aux institutions, organes et organismes de l’Union » susceptibles de grimper jusqu'à 1,5 million d’euros pour non-respect des interdictions de pratiques en matière d’IA expliquées plus haut et jusqu’à 750 000 euros pour non-conformité avec les obligations du règlement (art. 100).

Enfin, les fournisseurs de modèle d’IA à usage général sont soumis à leur propre régime de sanction, établi à l’article 101 du règlement. En cas d’infraction ou de non-conformité aux diverses exigences auxquelles ils sont soumis, la Commission peut leur infliger des amendes « n’excédant pas 3 % de leur chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, ou 15 000 000 EUR, le montant le plus élevé étant retenu ».

Quel est le calendrier de mise en œuvre de l’AI Act ?

Publié au Journal officiel de l’Union européenne le 12 juillet 2024, le règlement sur l’intelligence artificielle est entré en vigueur 20 jours plus tard, soit le 1er août. Son entrée en application, elle, se fait par étapes (art. 113) :

• Les interdictions propres aux systèmes d’IA présentant des risques inacceptables seront effectives à compter du 2 février 2025 (soit 6 mois après l’entrée en vigueur)
• Les règles relatives aux modèles d’IA à usage général et la nomination des autorités compétentes au niveau des États membres doivent l’être au plus tard le 2 août 2025
• Toutes les dispositions du RIA seront applicables à compter du 2 août 2026 (soit 24 mois après son entrée en vigueur), en particulier celles relatives aux systèmes à haut risque (détaillés dans l’annexe III du texte).
• Les règles relatives aux systèmes à haut risque de l’annexe I du texte seront applicables de leur côté à compter à compter du 2 août 2027.

Outre ces éléments, un travail important de rédaction de définitions, de codes de conduite et de normes reste à établir par actes délégués (par exemple pour préciser les critères selon lesquels un modèle d’IA à usage général présente un risque qualifié de systémique). La Commission européenne a notamment commandé des normes au CEN - CENELEC (Comité européen de normalisation en électronique et en électrotechnique) pour préciser techniquement les exigences applicables aux différents systèmes d’IA qu’encadre son texte. Ces dernières doivent être fournies d’ici avril 2025.

D’ici le 2 août 2028 au plus tard, en vertu de l’article 112, la Commission devra réévaluer la nécessité de modifier ou étendre les rubriques de l’annexe III (qui viennent définir précisément la liste des systèmes d’IA à haut risque et la liste des systèmes d’IA nécessitant des mesures de transparence spécifiques). Ensuite, cette réévaluation doit être opérée tous les quatre ans. Par ailleurs, à partir de 2029 puis tous les quatre ans, elle devra présenter au Parlement et au Conseil européen un rapport sur l’évaluation et le réexamen du règlement.