Qu’est-ce que l’AI Act ?

L'AI Act (règlement UE 2024/1689), en vigueur depuis le 1^er août 2024, constitue le premier règlement au monde sur l'intelligence artificielle (IA).

Il encadre le développement de l’IA afin de protéger les droits humains ainsi que la sécurité des utilisateurs. Il favorise aussi les investissements dans l’innovation grâce aux « bacs à sable réglementaires ». Ces espaces d’expérimentation constituent un environnement contrôlé facilitant pour les entreprises « le développement, l’entraînement, la mise à l’essai et la validation de systèmes d’IA innovants ».

L’objectif de l’AI Act est d’aboutir à une IA « digne de confiance ». Il concerne toutes les organisations, y compris les entreprises, qui fournissent, distribuent ou déploient des systèmes ou modèles d’intelligence artificielle.

Ce règlement adopte une approche hiérarchisée des risques attachés aux systèmes d’IA :

• les risques inacceptables sont les systèmes strictement prohibés (manipulation, exploitation des vulnérabilités, catégorisation biométriques...) ;
• les systèmes à haut risque sont ceux ayant un impact significatif et qui sont déjà encadrés par une réglementation européenne (biométrie, sécurité, éducation, emploi, dispositifs médicaux...) ;
• les risques limités sont les systèmes soumis à l’obligation d’informer les utilisateurs d’une interaction avec une intelligence artificielle ;
• les risques minimaux ou inexistants sont les systèmes qui présentent peu ou pas de risques identifiés (filtres anti-spam...).

Quel calendrier d’application ?

L’AI Act s’applique de manière progressive entre 2025 et 2027.

Quels sont les conséquences de l’AI Act pour les entreprises ?

À compter du 2 août 2026, les entreprises présentant ou développant des produits intégrant des systèmes d’IA à haut risque devront :

• être inscrites dans la base de données de l’Union européenne ;
• obtenir un marquage « CE » avant la commercialisation, il permet d’indiquer qu’un produit est légalement conforme aux critères de l’Union européenne ;
• établir un système de gestion des risques, documenté et mis à jour ;
• mettre en place une documentation complète permettant de comprendre le fonctionnement du système d’IA et de garantir la transparence et la traçabilité (sous forme de notice) ;
• mettre en œuvre un contrôle humain du système d’IA avant sa mise en service ou la mise en place d’un produit sur le marché, ainsi qu’un mécanisme visant à guider et à informer la personne ayant la charge du contrôle ;
• tenir un registre afin de garantir la protection des données et d’évaluer le niveau de conformité réglementaire sur l’intelligence artificielle, ainsi que la mise en place d’un système adapté aux risques de cybersécurité ;
• veiller au niveau constant de la qualité du système d’IA à haut risque, « à sa robustesse, à son exactitude et à sa cybersécurité » grâce à des mesures techniques et organisationnelles.

Existe-t-il des sanctions en cas de non respect de l’AI Act ?

Des sanctions administratives sont prévues par l’AI Act en cas de non-conformité. L’amende prononcée varie selon certains critères comme la catégorie du risque concerné ou la taille de l’entreprise.