Le texte complet et définitif de l’Acte de l’UE sur l’intelligence artificielle (IA), la réglementation emblématique de l’Union européenne pour les applications de l’intelligence artificielle, a été publié dans le Journal officiel du bloc. Dans 20 jours, soit le 1er août, la nouvelle loi entrera en vigueur et dans 24 mois – soit d’ici mi-2026 – ses dispositions seront généralement pleinement applicables aux développeurs d’IA. Cependant, la loi adopte une approche progressive pour la mise en œuvre du règlement de l’UE sur l’IA, ce qui signifie qu’il y a différentes échéances à noter entre maintenant et alors – et certaines encore plus tard – car différentes dispositions légales commenceront à s’appliquer. Les législateurs de l’UE ont conclu un accord politique sur le premier manuel de règles complet du bloc pour l’IA en décembre dernier. Le cadre impose différentes obligations aux développeurs d’IA en fonction des cas d’utilisation et du risque perçu.
La majorité des utilisations de l’IA ne seront pas réglementées car elles sont considérées comme à faible risque mais un petit nombre de cas d’utilisation potentiels pour l’IA sont interdits par la loi. Les soi-disant cas d’utilisation à “haut risque” – tels que les utilisations biométriques de l’IA, ou l’IA utilisée dans la justice, l’emploi, l’éducation et les infrastructures critiques – sont autorisés par la loi mais les développeurs de ces applications ont des obligations en matière de qualité des données et d’anti-biais. Un troisième niveau de risque applique également certaines exigences de transparence plus légères pour les fabricants d’outils comme les chatbots d’IA. Pour les fabricants de modèles d’IA à usage général (GPAI), tels que GPT de OpenAI, la technologie sous-jacente à ChatGPT, il y a également certaines exigences en matière de transparence. Les GPAI les plus puissants, généralement déterminés en fonction du seuil de calcul, peuvent être tenus d’effectuer également une évaluation du risque systémique.
Un lobbying intensif de certains éléments de l’industrie de l’IA soutenus par une poignée de gouvernements des États membres a cherché à édulcorer les obligations sur les GPAI en raison de craintes que la loi puisse freiner la capacité de l’Europe à produire des géants de l’IA locaux capables de rivaliser avec les rivaux aux États-Unis et en Chine.
La mise en œuvre progressive commence par la liste des usages interdits de l’IA qui s’appliquera six mois après l’entrée en vigueur de la loi – donc début 2025. Les cas d’usage pour l’IA qui seront bientôt illégaux comprennent le système de notation sociale à la manière de la Chine; la compilation de bases de données de reconnaissance faciale par le biais de la collecte non ciblée sur Internet ou les caméras de surveillance; l’utilisation de la biométrie à distance en temps réel par les forces de l’ordre dans les lieux publics sauf si l’une des nombreuses exceptions s’applique, comme lors de la recherche de personnes disparues ou enlevées.
Ensuite, neuf mois après son entrée en vigueur – donc autour d’avril 2025 – des codes de pratique s’appliqueront aux développeurs d’applications d’IA concernées. Le Bureau de l’IA de l’UE, un organisme de construction et de supervision de l’écosystème créé par la loi, est responsable de la fourniture de ces codes. Mais qui va réellement rédiger les lignes directrices suscite toujours des questions. Selon un rapport de Euractiv plus tôt ce mois-ci, l’UE a cherché des sociétés de conseil pour rédiger les codes, ce qui a suscité des inquiétudes parmi la société civile que les acteurs de l’industrie de l’IA seront en mesure d’influencer la forme des règles qui leur seront appliquées.
Plus récemment, MLex a rapporté que le Bureau de l’IA lancera un appel à manifestation d’intérêt pour sélectionner les parties prenantes pour rédiger les codes de pratique pour les modèles d’IA à usage général suite à la pression des députés européens pour rendre le processus inclusif. Une autre date clé tombe 12 mois après l’entrée en vigueur – soit le 1er août 2025 – lorsque les règles de la loi sur les GPAI qui doivent se conformer aux exigences de transparence commenceront à s’appliquer. Un sous-ensemble de systèmes d’IA à haut risque ont reçu l’échéance de conformité la plus généreuse, avec 36 mois après l’entrée en vigueur – jusqu’en 2027 – pour remplir leurs obligations. D’autres systèmes à haut risque doivent se conformer plus tôt, après 24 mois.
