Le règlement européen sur l’IA (AI Act), récemment publié au Journal officiel de l’Union européenne, commence à s’appliquer progressivement depuis le 1er août 2024. Il s’agit de la première législation mondiale exhaustive visant à encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’IA, surtout ceux qui présentent des risques pour la santé, la sécurité ou les droits fondamentaux.
Niveaux de risque définis par le RIA
Le RIA classifie les systèmes d’IA en quatre niveaux de risque :
1. Risque inacceptables: Le RIA interdit des pratiques contraires aux valeurs de l’UE et aux droits fondamentaux, telles que la notation sociale[1], l’exploitation de la vulnérabilité des personnes et l’identification biométrique à distance en temps réel par les forces de l’ordre.
2. Haut risque : Ces systèmes peuvent affecter la sécurité ou les droits fondamentaux des personnes et leur développement doit être soumis à des exigences strictes (évaluations de conformité, documentation technique). Ils incluent des systèmes biométriques, de recrutement, et d’usage répressif, listés dans les annexes I et III du règlement.
3. Risque spécifique en matière de transparence : Le RIA impose des obligations de transparence pour éviter la manipulation, comme dans le cas des chatbots[2] ou de la génération de contenu artificiel.
4. Risque minimal: La majorité des systèmes d’IA utilisés dans l’UE n’ont pas d’obligations spécifiques.
Modèles d’IA à usage général
Le RIA régule aussi les modèles d’IA dits à usage général, comme les grands modèles de langage. Il prévoit des mesures de transparence et de documentation minimales, ainsi qu’une évaluation approfondie et des mesures d’atténuation des risques systémiques, comme les biais préjudiciables (relatifs à l’appartenance ethnique ou au genre par exemple) et les cyberattaques.
Relation avec le RGPD
Le RIA ne remplace pas le RGPD, mais le complète. Le RGPD s’applique à tous les traitements de données personnelles, tant au développement qu’à l’utilisation des systèmes d’IA. Les exigences spécifiques du RIA contribuent au respect des exigences du RGPD, assurant des systèmes d’IA de confiance et respectueux des données personnelles.
Les acteurs visés par le RIA sont principalement les fournisseurs et développeurs de systèmes d’IA (dans une moindre mesure les importateurs, distributeurs et mandataires) et pour le RGPD ce sont les responsables de traitements et sous-traitants (dont les fournisseurs et développeurs soumis au RIA).
[1] L’évaluation du potentiel d’une personne en fonction de ses actions passées, de son cercle social, et d’autres facteurs, est appelée notation sociale. Cette notation sociale est comparable à l’évaluation de crédit utilisée par les banques pour accorder des prêts, mais elle peut intégrer une gamme d’informations beaucoup plus vaste.
[2] Un chatbot est un programme informatique conçu pour simuler une conversation avec des utilisateurs humains, principalement via des interfaces de chat. Les chatbots peuvent répondre à des questions, fournir des informations, accomplir des tâches spécifiques ou même engager des conversations plus complexes en utilisant le traitement du langage naturel et l’intelligence artificielle. Ils sont couramment utilisés dans le service client, le support technique, les applications de messagerie, les sites web et les assistants virtuels.
source : CNIL
Commentaires récents