AI Act et autres réglementations européennes
D’après des fuites dans la presse, l’Union européenne aurait finalisé l’AI Act , sa première législation régulant l’intelligence artificielle (IA) après des négociations entre la Commission européenne, le Conseil et le Parlement. Toutefois il faut encore attendre que le texte soit officiellement publié au JO pour être certain de la version définitive.
I. La définition des systèmes d’IA dans le cadre de l’AI Act :
Il existe une nouvelle définition du système d’IA qui diffère légèrement de celle fournie par les lignes directrices de l’OCDE et qui est la suivante :
‘ système basé sur une machine, conçu pour fonctionner avec différents niveaux d’autonomie, qui peut s’adapter après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels.’
Les trois principaux éléments de la définition sont les suivants :
- Il s’agit de deux systèmes dans lesquels l’IA fonctionne en totale autonomie et sous l’influence de l’homme ;
- Les systèmes qui peuvent s’adapter à la suite des informations qui leur sont fournies et
- Systèmes qui, sur la base des informations reçues, apprennent à produire des résultats
- L’objectif du législateur européen est d’adopter une définition large des systèmes d’IA pour inclure tous les secteurs, sauf ceux déjà réglementés ou utilisés à des fins militaires et de recherche scientifique.
- Une exception concerne les systèmes d’IA utilisant des logiciels libres, limitée à un usage personnel. Cette exception ne s’applique pas si le système d’IA est destiné à un cas à haut risque, à des utilisations interdites, ou soumis à des obligations de transparence. De plus, elle ne s’applique pas si le système est mis sur le marché.
II. La classification des systèmes d’IA :
La classification des systèmes d’IA selon le cadre juridique européen distingue ceux présentant un risque limité et élevé.
- Les systèmes d’IA interdits : comprennent ceux manipulant la cognition et le comportement des individus, la collecte de données faciales, les scores de crédit social, et le traitement biométrique pour des données sensibles.
- Les systèmes d’IA à haut risque : incluent ceux liés à la sécurité des produits, à l’éducation, au recrutement, à l’emploi, et à l’évaluation du crédit, sous réserve de certaines exceptions. Ils nécessitent un système de gestion des risques, des tests, une documentation technique et une auto-évaluation.
- Les systèmes d’IA à usage général : quel que soit leur niveau de risque, sont soumis à des obligations minimales de transparence pour informer les individus de leur interaction avec le système d’IA.
III. Quelles sont les entités tenues de respecter la loi sur l’IA ?
La version finale de l’AI Act a un effet transnational puisqu’elle s’applique aux :
- Fournisseurs qui commercialisent ou déploient des systèmes d’IA, ainsi que ceux qui mettent à disposition des modèles d’IA à usage général dans l’UE, indépendamment de leur localisation dans l’Union ou dans un pays tiers ;
- Déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou qui sont situés dans l’UE ;
- Fournisseurs et déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou qui sont situés dans un pays tiers, lorsque les résultats produits par le système sont utilisés dans l’UE ;
- Importateurs et distributeurs de systèmes d’IA ;
- Fabricants de produits qui mettent sur le marché ou en service un système d’IA avec leur produit et sous leur propre nom ou marque ;
- Représentants autorisés des fournisseurs qui ne sont pas établis dans l’Union ;
- Et personnes affectées qui sont situées dans l’UE
IV. Gouvernance centrale et locale de l’IA
L’AI Act vise à établir une gouvernance et une conformité solides en créant un Office européen de l’IA chargé de superviser les modèles d’IA complexes. Elle prévoit également la mise en place d’un groupe scientifique et d’un forum consultatif pour intégrer les avis des parties prenantes, assurant ainsi une réglementation informée et à jour.
V. Les sanctions potentielles basées sur le chiffre d’affaires
Les amendes peuvent aller jusqu’à 35 millions d’euros ou 7 % pour les violations graves, 15 millions d’euros ou 3 % pour les infractions mineures, et 7,5 millions d’euros ou 1 % pour la fourniture d’informations erronées.
Des exceptions sont prévues pour les petites entreprises, avec des sanctions limitées pour les PME et les start-ups.
L’évolution rapide du paysage numérique européen a nécessité l’adoption de réglementations pour encadrer la gestion et le partage des données
1- Loi sur la gouvernance des données (DGA) :
Le 24 septembre 2023, la Loi sur la gouvernance des données (DGA) est devenue pleinement applicable.
- Le DGA définit un ensemble de règles pour les fournisseurs de services d’intermédiation de données (intermédiaires de données) afin de garantir qu’ils fonctionneront comme des organisateurs dignes de confiance du partage ou de la mise en commun de données au sein des espaces européens communs de données.
- Ce modèle est basé sur la neutralité et la transparence des intermédiaires de données et doit permettre aux individus et aux entreprises de contrôler leurs données.
Entre autres, la DGA :
- Réglemente la réutilisation de certaines catégories de données protégées (telles que les données à caractère personnel et les données commercialement confidentielles) détenues par des organismes du secteur public ;
- Établit les exigences applicables aux services d’intermédiation de données, qui fonctionnent comme des tiers neutres qui mettent en relation les particuliers et les entreprises avec les utilisateurs de données ;
- Établit les exigences applicables aux services d’intermédiation de données, qui fonctionnent comme des tiers neutres qui mettent en relation les particuliers et les entreprises avec les utilisateurs de données ;
- Crée des outils de confiance pour permettre l’altruisme des données ;
- Prévoit la création d’un comité européen de l’innovation en matière de données par la Commission européenne, qui sera composé de représentants de diverses autorités, dont le Comité européen de la protection des données (CEPD), le Contrôleur européen de la protection des données (CEPD) et l’Agence de l’Union européenne pour la cybersécurité (ENISA) ;
- Établit des règles pour les transferts internationaux de données à caractère non personnel.
2- Data Act
Le Data Act, entré en vigueur le 11 janvier 2024 et applicable à partir du 12 septembre 2025, vient compléter la DGA en introduisant de nouvelles règles concernant l’accès et l’utilisation des données, principalement non personnelles, dans tous les secteurs économiques. Ce texte vise à faciliter le partage des données entre entreprises (B2B) et entre entreprises et consommateurs (B2C), tout en garantissant le respect des règles de protection des données personnelles.
Le champ d’application du Data Act englobe un large éventail d’acteurs, notamment les fabricants de produits connectés, les détenteurs et destinataires de données, ainsi que les prestataires de services de traitement des données.
3- Directive sur l’Open Data
La directive sur l’Open Data, dont le règlement d’application entrera en vigueur le 9 juin 2024, définit le cadre juridique de la réutilisation des informations du secteur public, favorisant ainsi l’accessibilité et la transparence des données d’intérêt public. Cette directive introduit également le concept d’ensembles de données de grande valeur, soumis à des règles distinctes garantissant leur disponibilité gratuite.