Adoption du règlement européen sur l’intelligence artificielle

L'Intelligence Artificielle (IA), désormais proposée au grand public via les offres d’IA génératives (texte, images, vidéos...), constitue pour les organismes un nouvel outil pour améliorer leur productivité, par exemple en préparant pour certaines tâches (réponses de premier niveau du service client, rédaction de textes ou de logiciels, création de sites web...) des propositions de solutions. Même si l’on sait que l’IA est loin d’être capable de remplacer un humain, il est désormais très tentant de recourir à de l’IA pour accélérer un certain nombre d’activités professionnelles.

À défaut d’être leader sur l’offre de solutions d’IA, l’Union européenne vient d’adopter un texte visant à promouvoir l’adoption d’une IA axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux, contre les effets néfastes des systèmes d’intelligence artificielle, ainsi qu’à soutenir l’innovation.

Le règlement sur l’intelligence artificielle - RIA

Le règlement sur l’intelligence artificielle (RIA) devra être complété d’actes délégués de la Commission européenne, d’actes d’exécution, de lignes directrices, de normes, de lois nationales d’adaptation, et de la désignation d’autorités aux niveaux national et européen. Le RIA s’applique aux fournisseurs ou aux utilisateurs d’IA situés dans l’Union ou dont l’IA produit des résultats utilisés dans l’Union. Le texte contient 180 considérants, 113 articles et 13 annexes. Nous signalons ci-dessous les principales dispositions susceptibles de concerner les organismes développant des IA, ou l’usage de l’IA dans les organismes.

Le RIA définit comme « système d’IA » un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels.

Les fournisseurs et les utilisateurs de systèmes d’IA doivent prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés.

Usages Interdits

Un certain nombre d’usages de l’IA sont considérés comme inacceptables, et sont par conséquent interdits, notamment :

• Le recours à des techniques subliminales ou manipulatrices pour influer sur le comportement et les décisions des personnes, à leur préjudice ou à celui d’autres personnes.
  l’exploitation des vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne, dans le même but ;
• la notation sociale de certains comportements avec des conséquences dans d’autres contextes ;
• la prédiction d’infraction pénale concernant une personne ;
• la reconnaissance faciale basée sur une collecte de données d’internet ou de vidéosurveillance ;
• la reconnaissance des émotions d’une personne sur le lieu de travail et dans les établissements d’enseignement, sauf pour raison médicale ou de sécurité ;
• la catégorisation biométrique des individus pour en déduire leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle.

L’identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives figure parmi les usages interdits, mais elle est en fait autorisée pour la recherche de victimes d’enlèvement, de la traite et de l’exploitation sexuelle d’êtres humains, ainsi que la recherche de personnes disparues ; la prévention d’une menace pour la vie ou la sécurité de personnes ou d’attaque terroriste ; la localisation ou l’identification d’une personne soupçonnée d’avoir commis certaines infractions pénales punies d’au moins quatre ans de prison.

IA à haut risque. 

Le RIA identifie également des systèmes d’IA « à haut risque », dont notamment :

• La biométrie à distance, pour catégoriser les personnes, ou pour reconnaître les émotions ;
• les infrastructures critiques du trafic routier ou de la fourniture d’eau, de gaz, de chauffage ou d’électricité ;
• l’éducation et la formation professionnelle (dont la détection de la fraude aux examens) ;
• le recrutement et la gestion du personnel ;
• l’accès aux services privés essentiels et aux services publics et prestations sociales essentiels (sauf la détection de la fraude) ;
• le traitement des appels d’urgence ;
• l’usage par les autorités répressives ;
• la gestion des contrôles aux frontières ;
• certains composants de sécurité.

Avant la mise sur le marché de ces IA à haut risque, le fournisseur devra procéder à un enregistrement dans une base de données de l’UE. Les utilisateurs qui sont des autorités, des agences ou des organismes publics ou des personnes agissant en leur nom, devront également s’enregistrer. Le fournisseur doit également mettre en place un système de gestion des risques, documenté et tenu à jour, pour identifier les risques connus et raisonnablement prévisibles pour la santé, la sécurité ou les droits fondamentaux lorsque le système est utilisé conformément à sa destination ou dans des conditions de mauvaise utilisation raisonnablement prévisibles, ainsi que les autres risques susceptibles d’apparaître. Il doit adopter des mesures appropriées et ciblées afin que le risque résiduel soit jugé acceptable, et fournir aux utilisateurs les informations requises et une formation.

Les systèmes d’IA à haut risque doivent être accompagnés d’une notice d’utilisation contenant des informations concises, complètes, exactes et claires, compréhensibles pour les utilisateurs. Ils doivent être utilisés sous un contrôle humain effectif. Les utilisateurs de systèmes d’IA à haut risque doivent prendre des mesures techniques et organisationnelles appropriées afin de garantir qu’ils utilisent ces systèmes conformément aux notices d’utilisation accompagnant les systèmes. Ils doivent confier le contrôle humain à des personnes qui disposent des compétences, de la formation et de l’autorité nécessaires ainsi que du soutien nécessaire.

Transparence. – Par ailleurs, des obligations de transparence sont prévues pour certaines IA. Ainsi, les fournisseurs doivent veiller à ce que les systèmes d’IA destinés à interagir directement avec des personnes physiques soient conçus et développés de manière à ce que les personnes concernées soient informées qu’elles interagissent avec une IA, sauf si cela ressort clairement pour une personne normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation. Les fournisseurs de systèmes d’IA qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, doivent veiller à ce que les résultats produits soient marqués dans un format lisible par machine et identifiables comme ayant été générés ou manipulés par une IA.

Les déployeurs d’un système de reconnaissance des émotions ou d’un système de catégorisation biométrique doivent informer les personnes physiques qui y sont exposées du fonctionnement du système. Les déployeurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo constituant un hypertrucage doivent indiquer que les contenus ont été générés ou manipulés par une IA. Cette obligation ne s’applique pas lorsque l’utilisation est autorisée par la loi à des fins de prévention ou de détection des infractions pénales, d’enquêtes ou de poursuites en la matière. Lorsque le contenu fait partie d’une œuvre ou d’un programme manifestement artistique, créatif, satirique, fictif ou analogue, les obligations de transparence se limitent à la divulgation de l’existence de tels contenus générés ou manipulés d’une manière appropriée, qui n’entrave pas l’affichage ou la jouissance de l’œuvre. Les déployeurs d’un système d’IA qui génère ou manipule des textes publiés dans le but d’informer le public sur des questions d’intérêt public doivent indiquer que le texte a été généré ou manipulé par une IA. Cette obligation ne s’applique pas lorsque le contenu généré par l’IA a fait l’objet d’un processus d’examen humain ou de contrôle éditorial et lorsqu’une personne physique ou morale assume la responsabilité éditoriale de la publication du contenu.

IA à usage général.

Le RIA qualifie de « modèle d’IA à usage général », un modèle d’IA qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur publication sur le marché. Les fournisseurs de modèles d’IA à usage général doivent élaborer la documentation technique du modèle, et mettre à disposition des informations et de la documentation à l’intention des fournisseurs qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA, cela sans préjudice de la nécessité de respecter et de protéger les droits de propriété intellectuelle et les informations confidentielles de nature commerciale ou les secrets d’affaires.

Risque systémique.

Le RIA qualifie de « risque systémique », un risque spécifique aux capacités à fort impact des modèles d’IA à usage général, ayant une incidence significative sur le marché de l’Union en raison de leur portée ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant être propagé à grande échelle tout au long de la chaîne de valeur. Une IA à usage général est classée comme présentant un risque systémique si elle dispose de capacités à fort impact, et notamment lorsque la quantité cumulée de calcul utilisée pour son entraînement est supérieure à 10^25 FLOPS. Dans ce cas, le fournisseur concerné doit en informer la Commission européenne sans tarder. Les fournisseurs de modèles d’IA à usage général présentant un risque systémique doivent effectuer une évaluation de leurs modèles, sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, y compris en réalisant et en documentant des essais contradictoires des modèles en vue d’identifier et d’atténuer le risque systémique. Ils doivent évaluer et atténuer les risques systémiques éventuels. Ils doivent documenter et communiquer sans retard injustifié aux autorités les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier. Enfin, ils doivent garantir un niveau approprié de protection en matière de cybersécurité pour le modèle d’IA à usage général présentant un risque systémique et l’infrastructure physique du modèle.

IA à risque minimal.

Les systèmes d’IA qui ne figurent pas dans les catégories précédentes peuvent être développés et utilisés à condition de respecter la législation actuelle ; ils ne sont soumis à aucune obligation légale supplémentaire.

Sanctions.

La violation des obligations du RIA fait l’objet de sanctions, dont des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial de l’entreprise.

Entrée en application.

Le RIA entre en vigueur le 2 août 2024 et est applicable à partir du 2 août 2026, mais certains articles sont applicables à partir du 2 février 2025, du 2 août 2025 ou du 2 août 2027.

L'IA Responsable chez LexisNexis

Nous avons développé Lexis+ AI, une plateforme d'IA générative, pour soutenir les professionnels du droit dans l'adoption éthique et responsable de cette nouvelle technologie passionnante. Nous croyons que ce produit innovant nous permettra de rencontrer les utilisateurs où qu'ils en soient dans leur processus de recherche juridique. Lexis+ AI est construit sur le plus grand référentiel de contenu juridique précis et exclusif, fournissant aux avocats des résultats complets et fiables soutenus par une autorité vérifiable et citable.  

Pour en savoir plus sur les dernières actualités et mises à jour de Lexis+ AI en matière d'IA juridique, demandez votre démo dès maintenant.