Le règlement européen sur l’intelligence artificielle (IA Act), qui devrait entrer en vigueur en mai et s’appliquer progressivement jusqu’en 2026, va encadrer les systèmes d’IA en fonction de leur niveau de risque pour les utilisateurs.
Début février, le Conseil de l’Union européenne a adopté à l’unanimité le règlement sur l’intelligence artificielle, aussi appelé « IA Act ». Ce règlement a par la suite été définitivement adopté par le Parlement européen lors d’une plénière le 13 mars dernier, puis entrera en vigueur probablement en mai. « C’est un texte long et complexe qui s’adresse principalement aux juristes et innove en ce qu’il classe les intelligences artificielles en fonction de leur niveau de risque pour les utilisateurs », explique Nathalie Malicet, expert‑comptable et commissaire aux comptes au cabinet Anexis, membre de France Défi.
IA Act, 4 niveaux de risques établis
En effet, quatre niveaux sont établis : risque inacceptable, haut risque, risque faible et risque minime. Les systèmes d’IA présentant un risque inacceptable sont ceux qui contreviennent aux valeurs de l’UE et portent atteinte aux droits fondamentaux. « Il s’agit par exemple d’algorithmes visant la manipulation comportementale ou le calcul d’un crédit social », précise Nathalie Malicet. Ces systèmes seront interdits de commercialisation six mois après l’entrée en vigueur du règlement, soit en théorie à partir de novembre 2024.
La catégorie à haut risque concernera les systèmes d’IA déployés dans certains produits ou certains secteurs comme la gestion des frontières, la justice, l’éducation ou encore l’emploi. « Si une société a recours à l’intelligence artificielle pour recruter, cela sera considéré comme un usage à haut risque en raison de possibles biais ou discriminations de la part de l’algorithme », indique Nathalie Malicet. Ce type de système à haut risque devra faire l’objet d’une déclaration de conformité, d’un enregistrement dans la base de données de l’UE et d’un marquage CE. Les délais de mise en conformité sont compris entre 24 et 36 mois après l’entrée en vigueur de l’IA Act.
En ce qui concerne les systèmes d’IA à risque faible, comme des deep fakes à vocation artistique, il y aura des obligations d’information et de transparence vis-à-vis des utilisateurs, au plus tard 24 mois après l’entrée en vigueur du règlement. Quant aux systèmes d’IA à risque minime, l’application de codes de conduite se fera sur une base volontaire. Ainsi que le souligne le lobby des start-up France Digitale dans un guide dédié, ces différentes obligations de mise en conformité « s’appliquent à chaque système ou modèle d’IA et non pas à l’entreprise dans son ensemble ». C’est pourquoi il est conseillé à chaque société de commencer par réaliser une cartographie de ses systèmes d’IA.
Des sanctions à prévoir
Des amendes sont prévues en cas de manquement aux règles de mise en conformité. Elles sont de 7 % du CA mondial ou 35 millions d’euros pour les systèmes d’IA à risque inacceptable, de 3 % du CA mondial ou 15 millions d’euros pour les IA à haut risque et de 1 % du CA mondial ou 7,5 millions d’euros en cas de transmission d’informations inexactes, incomplètes ou trompeuses. Ce sera à chaque fois le montant le plus élevé qui sera appliqué, sauf pour les PME où ce sera le montant le moins élevé.
