Depuis dimanche dans l’Union européenne, les régulateurs du bloc peuvent interdire l’utilisation de systèmes d’IA qu’ils jugent présenter un “risque inacceptable” ou nuire. Le 2 février est la première date butoir pour le respect de l’AI Act de l’UE, le cadre réglementaire complet de l’IA que le Parlement européen a finalement approuvé en mars dernier après des années de développement. Loi est officiellement entrée en vigueur le 1er août ; ce qui suit maintenant est le premier des délais de conformité. Les spécificités sont détaillées à l’article 5, mais de manière générale, Loi est conçue pour couvrir une myriade de cas d’utilisation où l’IA pourrait apparaître et interagir avec des individus, des applications grand public aux environnements physiques.
Selon l’approche du bloc, il existe quatre niveaux de risque généraux : (1) Risque minimal (par exemple, les filtres de spam par courrier électronique) ne feront l’objet d’aucune surveillance réglementaire ; (2) Risque limité, qui comprend les chatbots du service client, bénéficiera d’une surveillance réglementaire légère ; (3) Haut risque – L’IA pour les recommandations de santé est un exemple – sera soumise à une surveillance réglementaire stricte ; et (4) Les applications à risque inacceptable – au centre des exigences de conformité de ce mois-ci – seront entièrement interdites. Certaines des activités inacceptables incluent : L’IA utilisée pour le scoring social (par exemple, l’élaboration de profils de risque basés sur le comportement d’une personne). L’IA qui manipule les décisions d’une personne de manière subliminale ou trompeuse. L’IA qui exploite des vulnérabilités comme l’âge, le handicap ou le statut socio-économique. L’IA qui tente de prédire des crimes commis par des personnes sur la base de leur apparence.
“Pour les organisations, une préoccupation clé autour de l’AI Act de l’UE est de savoir si des directives, des normes et des codes de conduite clairs arriveront à temps – et surtout, s’ils fourniront aux organisations une clarté sur la conformité,” a déclaré Sumroy.
Les entreprises qui sont reconnues utiliser les applications d’IA ci-dessus dans l’UE seront passibles d’amendes, quel que soit leur lieu de siège social. Ils pourraient être responsables jusqu’à 35 millions d’euros (~36 millions de dollars), ou 7% de leur revenu annuel de l’exercice précédent, selon le montant le plus élevé. Les amendes n’entreront en vigueur que dans un certain temps, a noté Rob Sumroy, responsable de la technologie du cabinet d’avocats britannique Slaughter and May, dans une interview avec TechCrunch. “Les organisations sont censées être entièrement conformes d’ici le 2 février, mais … la prochaine grande échéance dont les entreprises doivent être conscientes est en août”, a déclaré M. Sumroy.
Il y a des exceptions à plusieurs des interdictions de l’AI Act. Par exemple, la loi permet aux forces de l’ordre d’utiliser certains systèmes qui recueillent des biométriques dans les lieux publics si ces systèmes aident à effectuer une “recherche ciblée” pour, disons, une victime d’enlèvement, ou pour aider à prévenir une menace “spécifique, substantielle et imminente” pour la vie. Cette exemption nécessite une autorisation du corps gouvernant approprié, et la Loi souligne que les forces de l’ordre ne peuvent pas prendre une décision qui “produit un effet juridique défavorable” sur une personne uniquement sur la base des résultats de ces systèmes. La loi prévoit également des exceptions pour les systèmes qui déduisent les émotions sur les lieux de travail et dans les écoles où il y a une justification “médicale ou de sécurité.”
La Commission européenne, la branche exécutive de l’UE, a déclaré qu’elle publierait des directives supplémentaires “au début de 2025”, suite à une consultation avec les parties prenantes en novembre. Cependant, ces directives n’ont pas encore été publiées. Sumroy a dit qu’il n’est pas non plus clair comment d’autres lois en vigueur pourraient interagir avec les interdictions et dispositions connexes de l’AI Act. Un éclaircissement pourrait ne pas arriver avant plus tard dans l’année, à mesure que la fenêtre d’application approche. “Il est important pour les organisations de se rappeler que la réglementation de l’IA n’existe pas dans l’isolement”, a déclaré Sumroy. “D’autres cadres juridiques, tels que GDPR, NIS2 et DORA, interagiront avec l’AI Act, créant des défis potentiels – en particulier autour des exigences de notification d’incidents qui se chevauchent. Comprendre comment ces lois fonctionnent ensemble sera tout aussi important que de comprendre l’AI Act lui-même.”
