Règlement européen sur l’IA : permis d’innover ?

Le règlement européen sur l’IA¹ ? Les pessimistes annoncent la fin de la concurrence, de la compétitivité… À l’encontre de ces rumeurs, Sonia Cissé rappelle que « l’idée du règlement est d’avoir une IA de confiance dans les solutions déployées, pour ne pas faire n’importe quoi, tout en étant compétitif ». Autrement dit de bâtir un cadre « qui définit ce que l’on a le droit de faire et de ne pas faire est indispensable pour innover en toute confiance ». Précision de bon sens : « Le règlement européen, c’est comme le permis de conduire : ce n’est pas parce qu’il y a des règles que vous n’avez pas le droit de conduire. » Qu’est-ce qu’un système d’IA ? Sonia Cissé le définit ainsi : « Un système automatisé avec différents niveaux d’autonomie et une capacité d’adaptation après son déploiement, capable de copier un raisonnement humain pour générer du contenu, des images, de la voix, des données, des prédictions, des recommandations, des décisions… »

Trois cas d’usage

Rien de tel que des cas concrets, pour distinguer ce qui est autorisé de ce qui ne l’est pas, qu’il s’agisse du produit, du consommateur ou du magasin. Pour le produit, l’IA est autorisée pour « vérifier l’adaptation du public au produit, savoir quand il est acheté, définir le conditionnement le plus attrayant, anticiper la demande, optimiser la chaîne logistique (gestion des stocks), proposer une tarification dynamique, développer de nouveaux produits ». Avec le consommateur, l’IA est autorisée pour « vérifier son interaction, son activité sur le site e-commerce de la marque, les pages qu’il a vues, à quel moment il quitte le site, quelle publicité l’attire, son engagement par rapport à l’affichage ». On peut ainsi analyser la personnalisation de l’expérience client, mieux comprendre la perception du produit, l’optimisation du ciblage publicitaire. En revanche, dans le cas d’un magasin sans présence humaine, le règlement européen interdit l’usage de capteurs à l’entrée en vue d’une image biométrique pour savoir si la personne qui entre est une femme ou un homme, si elle est jeune ou vieille, son appartenance ethnique ou son orientation sexuelle. Cet usage est néanmoins testé actuellement aux États-Unis.

Quatre acteurs

À qui s’applique le règlement ? À tout le monde. Sonia Cissé distingue quatre acteurs : fournisseur, déployeur, importateur, distributeur. « Selon le rôle que vous jouez dans l’utilisation du système IA, la manière dont vous l’utilisez et le développez change. Fournisseur, vous le développez et le mettez sur le marché. Déployeur, vous l’utilisez… » Le règlement énonce que si l’on fait plus qu’utiliser et que l’on vend des produits grâce à un système d’IA, on devient fournisseur d’IA : « Les obligations changent selon le rôle : on en aura davantage si on va plus loin dans l’utilisation. » Dans le cas des importateurs et distributeurs, « c’est la façon dont on utilise le système sur le marché européen qui détermine les obligations ». L’idée centrale est que le règlement doit être appliqué très largement. « Dès qu’il y a une mise sur le marché européen, le règlement s’applique, et dès qu’il y a une incidence sur les personnes situées dans le marché européen, si elles sont concernées, même si l’entreprise se trouve aux États-Unis. »

Les risques selon les usages

Dans l’ensemble des acteurs opérant sur le marché de l’intelligence artificielle, on distingue les investisseurs dans le domaine, les fabricants de marques qui fournissent ou développent un système d’IA, et les fabricants de marques qui utilisent un système d’IA dans le cadre de leurs activités.

L’idée du règlement est qu’il s’applique à tous les futurs usages, avec pour chacun d’eux des risques plus ou moins élevés. L’article 3 définit ainsi le risque : probabilité d’un dommage et gravité du dommage survenu. La pyramide des risques va du moins au plus élevé, ils sont mesurés selon l’usage : système d’IA à risque minimal ; système d’IA à usage général présentant des risques systémiques ; système d’IA à usage général ; systèmes d’IA à risque élevé ; systèmes d’IA à risque inacceptable.

Le cas des systèmes d’IA à risque inacceptable vise les usages prohibés. « Les systèmes d’identification biométrique pour évaluer ou classifier les personnes physiques sur la base de leur comportement social, explique Sonia Cissé, la reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement (sauf pour des raisons médicales ou de sécurité) sont totalement interdits. »

Les systèmes d’IA à risque élevé sont des systèmes de recommandation personnalisée, utilisés pour analyser, filtrer et évaluer les candidats à un emploi ou pour prendre des décisions sur les conditions de travail... Sonia Cissé souligne que c’est « là où il y a le plus d’obligations pour un fournisseur ou un déployeur, telles que l’obligation de mettre en place des mesures techniques organisationnelles pour être conforme au règlement européen ». Dans le cas particulier de l’IA de recommandation personnalisée, on regarde le comportement de la personne sur Internet, on affiche à son intention certaines pages et publicités, on analyse son type de consommation. « Or, explique Sonia Cissé, c’est à haut risque, car on incite le consommateur à consommer. Il faut le faire de manière éthique et raisonnable, sans le manipuler. »

Conseil de prudence du règlement européen rappelé par Sonia Cissé : « L’humain doit intervenir, assister, exercer un contrôle effectif au cours de la période d’utilisation du système d’IA. Les IA génératives ont des puissances de calcul tellement importantes qu’elles peuvent être utilisées à mauvais escient. » Autre conseil : la tenue d’une documentation technique et l’adoption de mesures de cybersécurité. Selon le rôle, les obligations varient. Pour les déployeurs, il faut évaluer les conséquences sur les droits fondamentaux, veiller à l’effectivité du contrôle humain et coopérer avec les autorités compétentes. Dans le cas du système d’IA à risque minimal, « dans la mise en œuvre d’un chatbot, la personne doit savoir qu’elle interagit avec l’IA, savoir différencier une discussion robotisée d’une discussion humaine ».

Sanction selon l’infraction

En cas de non-respect des articles 5 et 10 du règlement relatifs aux pratiques prohibées et aux exigences en matière de gouvernance des données (magasin à capteur, par exemple), les sanctions s’élèvent à 35 millions d’euros. Si l’auteur est une entreprise, elles peuvent atteindre 7 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent.

En cas de non-respect des obligations autres que celles imposées aux articles 5 et 10, la sanction s’élève à 15 millions d’euros. Si l’auteur est une entreprise, à 3 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent.

Enfin, en cas de fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes, la sanction s’élève à 7,5 millions d’euros. Si l’auteur est une entreprise, jusqu’à 1,5 % du chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent.

« Pour l’heure, précise Sonia Cissé, il n’y a pas de condamnation. L’ensemble des jurisprudences concernent surtout le droit d’auteur en Asie et aux États-Unis. Avec le règlement IA, on anticipe qu’il y aura des sanctions fortes, car il faut envoyer un message sérieux. Une année est accordée pour se mettre en conformité. Il faut donc attendre 2026. »

Politique de conformité requise

Comment être en conformité avec le règlement européen ? Il ne s’agit pas de freiner les équipes, leur créativité, les innovations : « Il faut simplement cadrer et faire intervenir les juristes le plus tôt possible », conseille Sonia Cissé. Et de recommander quatre étapes : identifier l’existence d’un système d’IA, car il y a des systèmes qui n’en sont pas au sens du règlement, délimiter le champ d’application de la réglementation (est-ce que cela s’applique à moi, suis-je fournisseur, déployeur, etc., suis-je uniquement aux États-Unis), définir le niveau de risque du système d’IA, haut ou minimal, enfin définir son rôle et ses obligations. Sonia Cissé préconise de cartographier la réglementation : « Car un règlement renvoie à l’autre, parallèlement au règlement IA, il y a la réglementation européenne sur la protection des données (RGPD), la cybersécurité, les plateformes numériques avec le Digital Services Act… »

La mise en place des outils de mise sur le marché nécessite de vérifier les processus d’acquisition : les clauses spécifiques à l’IA souhaitées dans les contrats, le moyen dans les processus d’utilisation, d’informer les utilisateurs qu’une IA est utilisée dans les produits, l’évaluation des risques. Il faut mettre en place la documentation nécessaire (« Analyse d’impact sur la protection des données pour les personnes »), et une gouvernance : les bonnes personnes chargées des programmes de conformité avec des codes de bonne conduite, dans un cadre éthique et réglementaire. « Les entreprises, conseille Sonia Cissé, doivent prendre très vite la mesure de la réglementation. »

Et demain ? Il faudra dans chaque État de l’UE une autorité de surveillance. En France, trois autorités se disputent cette mission : la Cnil a la protection des données ; l’Arcom, l’information ; la DGCCRF, le consommateur. « Il est difficile de prévoir comment le règlement sera appliqué au niveau local, estime Sonia Cissé. Au niveau européen, il y aura un “IA Office” qui donnera le ton, avec une autorité dans chaque État membre. »

1. Règlement 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 « établissant des règles harmonisées concernant l’intelligence artificielle ».