Par Me Philippe Simon, avocat au Barreau de Grenoble.
Le 13 juin 2024, l’Europe adopte le règlement IA, premier cadre légal sur l’intelligence artificielle. Face à une technologie en pleine expansion, ce texte marque un tournant majeur. Focus sur les encadrements prévus par ce règlement et ses conséquences.
Aboutissement de plusieurs années de travaux, de négociations et de débats entre les institutions européennes, l’AI Act poursuit une double finalité : encadrer le développement et l’usage de l’intelligence artificielle afin de garantir la protection des citoyens, dans un souci de préservation d’un climat propice à l’innovation. Par ce texte, l’Union européenne affirme sa volonté de s’imposer comme chef de file dans la gouvernance mondiale d’une technologie en pleine expansion.
Une régulation fondée sur le risque
Le cœur du dispositif repose sur une approche dite « fondée sur le risque ». L’idée est de classer les systèmes d’IA selon leur niveau de danger potentiel pour les droits fondamentaux, la sécurité et les valeurs européennes. Cette classification permet d’imposer des obligations proportionnées à l’impact potentiel de chaque système. L’objectif n’est pas de freiner la recherche ou l’innovation, mais de fixer un cadre garantissant que les bénéfices de l’IA ne soient pas éclipsés par ses dérives.
L’AI Act est avant tout une réglementation sur le produit. Il s’applique aux systèmes d’intelligence artificielle mis sur le marché ou déployés dans l’Union européenne, qu’ils soient développés par des acteurs européens ou étrangers. Les systèmes conformes aux exigences fixées par le règlement se voient attribuer le marquage CE, déjà bien connu dans d’autres secteurs comme les dispositifs médicaux ou les jouets. Ce marquage atteste que le produit est conforme aux normes de sécurité, de transparence et de respect des droits fixées par l’UE.
Le texte prend soin de définir précisément ce qu’est un « système d’IA » : « Un système automatisé conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (article 3).
Le règlement précise également que les « modèles d’IA » ne sont pas, à eux seuls, des systèmes complets : ils doivent être intégrés à d’autres composants, comme une interface utilisateur, pour devenir pleinement opérationnels.
Le règlement distingue quatre niveaux de risques. Le plus élevé, qualifié de « risque inacceptable », concerne les usages jugés incompatibles avec les valeurs et les droits fondamentaux de l’Union. Ces systèmes sont purement interdits. Parmi eux figurent la notation sociale des individus par les autorités publiques, l’identification biométrique à distance en temps réel dans l’espace public (sauf exceptions liées à la lutte contre les crimes graves), l’exploitation de la vulnérabilité des personnes comme les enfants ou les personnes âgées, ou encore certaines formes de manipulation cognitive à l’insu des utilisateurs.
Le second niveau est celui du « risque élevé ». Il concerne les systèmes utilisés dans des domaines sensibles tels que la justice, l’accès à l’emploi, l’éducation, la gestion des infrastructures critiques ou la biométrie. Pour ces usages, les obligations sont nombreuses : documentation technique détaillée, tests avant mise sur le marché, contrôle de la qualité des données utilisées, supervision humaine obligatoire pour éviter que des décisions importantes ne soient prises uniquement par une machine, et surveillance continue après commercialisation.
Vient ensuite la catégorie du « risque limité », qui impose principalement des obligations de transparence. Par exemple, un chatbot ou un outil d’IA générative doit informer clairement l’utilisateur qu’il interagit avec une machine ou que le contenu produit est artificiel. Cette obligation vise à préserver la confiance du public et à éviter toute confusion.
Enfin, la majorité des systèmes d’IA relèvent du « risque minimal ». Aucune exigence contraignante n’est imposée, mais les acteurs sont encouragés à adopter des codes de bonne conduite et à appliquer volontairement certaines bonnes pratiques.
L’AI Act introduit également une nouveauté importante : la régulation des modèles dits « à usage général », souvent désignés sous le nom de « modèles de fondation ». Il s’agit de systèmes très puissants et polyvalents, capables de remplir une grande variété de tâches. Les grands modèles de langage, tels que GPT-4 développé par OpenAI ou ceux de la société française Mistral AI, en sont des exemples.
Ces modèles, en raison de leur polyvalence et de leur potentiel d’impact, posent des défis particuliers. L’AI Act prévoit donc des obligations spécifiques, allant de simples mesures de transparence et de documentation pour les modèles standards, à des évaluations approfondies et à la mise en place de mesures d’atténuation pour les modèles présentant un risque systémique. Ces derniers peuvent être utilisés pour lancer des cyberattaques, propager de fausses informations à grande échelle ou reproduire des biais discriminatoires.
L’application du règlement se fera par étapes. Depuis le 2 février 2025, l’interdiction des systèmes présentant un risque inacceptable est effective. Le 2 août 2025 a marqué l’entrée en vigueur des dispositions relatives aux modèles à usage général et la désignation, dans chaque État membre, des autorités compétentes chargées du contrôle et de l’application des règles. Quant aux obligations relatives aux systèmes à haut risque, elles entreront en vigueur à compter du 2 août 2026. Certaines dispositions complémentaires seront, quant à elles, applicables courant 2027.
Des obligations pour toutes les entreprises concernées
Le champ d’application de l’IA Act se révèle vaste.
Il s’étend à toute entité, entreprise, administration ou association, qui conçoit, importe, distribue ou exploite un système ou un modèle d’intelligence artificielle relevant du règlement. Ces obligations s’imposent aussi aux acteurs établis en dehors du territoire de l’Union européenne, dès lors que leurs systèmes sont déployés ou utilisés au sein de celle-ci.
Pour se préparer, les entreprises doivent commencer par évaluer leurs systèmes afin de déterminer leur niveau de risque. Celles qui entrent dans les catégories à haut risque ou qui exploitent des modèles à usage général doivent mettre en place des procédures internes robustes, documenter leurs systèmes, former leurs équipes, prévoir des mécanismes de supervision humaine et instaurer des processus permettant de traiter rapidement les incidents ou réclamations.
Le règlement prévoit un régime de sanctions particulièrement sévère afin d’assurer son effectivité. Les amendes peuvent atteindre 7 % du chiffre d’affaires annuel mondial de l’entreprise, ou des montants forfaitaires pouvant aller jusqu’à 35 millions d’euros, selon la gravité de l’infraction. Les manquements les plus sévères, comme le recours à des usages interdits, sont sanctionnés plus lourdement que les simples manquements aux obligations de transparence.
Avec l’AI Act, l’Union européenne affirme sa volonté de devenir un leader mondial dans la régulation éthique et sécurisée de l’intelligence artificielle. Ce texte fixe un standard qui pourrait inspirer d’autres juridictions.
Il reste toutefois un défi majeur : garantir une application uniforme dans les vingt-sept États membres et veiller à ce que les règles évoluent au rythme rapide des innovations technologiques.
En plaçant les droits fondamentaux et la transparence au cœur de la régulation, l’AI Act pourrait bien devenir, pour l’intelligence artificielle, ce que le RGPD est devenu pour la protection des données : un modèle de référence à l’échelle internationale.
