L’EU AI Act (règlement (UE) 2024/1689) est le premier cadre juridique complet au monde pour l’intelligence artificielle. Adopté par le Parlement européen en mars 2024 et entré en vigueur en août 2024, il s’applique à tout fournisseur, déployeur, importateur ou distributeur de systèmes d’IA utilisés dans l’Union européenne, quel que soit le lieu d’établissement de l’organisation.
Les quatre niveaux de risque
Le règlement classe les systèmes d’IA en quatre catégories de risque, chacune assortie d’obligations différentes.
Niveau 1, Risque inacceptable (interdit) : Certaines applications d’IA sont purement et simplement interdites car elles font peser des menaces inacceptables sur les droits fondamentaux. Les exemples incluent les systèmes de notation sociale exploités par des gouvernements ou des autorités publiques, la surveillance biométrique en temps réel dans les espaces publics (avec des exceptions limitées pour les forces de l’ordre), les techniques de manipulation subliminale conçues pour influencer le comportement à l’insu des personnes, et les systèmes qui exploitent des groupes vulnérables.
Niveau 2, Risque élevé : Les systèmes d’IA utilisés dans des secteurs critiques sont soumis aux exigences les plus strictes. Les domaines à haut risque comprennent les infrastructures critiques (énergie, eau, transport), l’éducation et la formation professionnelle, les décisions d’emploi et de RH (tri des CV, suivi des performances), les services privés et publics essentiels (évaluation du crédit, assurance, prestations), l’identification et la catégorisation biométriques, les forces de l’ordre, la migration et le contrôle aux frontières, ainsi que l’administration de la justice. Les fournisseurs d’IA à haut risque doivent mettre en place un système de gestion des risques, des contrôles de gouvernance des données, une documentation technique complète, une journalisation et une tenue de registres, des informations de transparence à destination des déployeurs, des mécanismes de supervision humaine significative ainsi que des mesures d’exactitude, de robustesse et de cybersécurité. Une évaluation de la conformité de l’UE est requise avant de mettre un système à haut risque sur le marché.
Niveau 3, Risque limité : Les systèmes tels que les chatbots, la reconnaissance des émotions et les hypertrucages (deepfakes) générés par l’IA sont soumis à des obligations de transparence. Les fournisseurs et les déployeurs doivent veiller à ce que les utilisateurs soient informés qu’ils interagissent avec un système d’IA ou qu’ils consultent un contenu généré par l’IA.
Niveau 4, Risque minimal : La grande majorité des applications d’IA, telles que les filtres anti-spam, l’IA dans les jeux vidéo et les moteurs de recommandation, relèvent de cette catégorie et ne sont soumises à aucune obligation spécifique au titre du règlement, même si des codes de conduite volontaires sont encouragés.
Calendrier : une application progressive
Le règlement s’applique par phases. Les systèmes d’IA interdits (niveau 1) ont été bannis six mois après l’entrée en vigueur (février 2025). Les obligations relatives aux modèles d’IA à usage général s’appliquent à partir d’août 2025. Les exigences relatives aux systèmes d’IA à haut risque pour la plupart des secteurs s’appliquent à partir d’août 2026, certaines IA à haut risque utilisées dans des produits réglementés (dispositifs médicaux, machines) bénéficiant d’un délai jusqu’en août 2027. La pleine application de l’ensemble des dispositions est attendue d’ici 2026-2027.
Principales obligations pour l’IA à haut risque
Les organisations qui déploient une IA à haut risque doivent : mettre en place un système de gestion des risques qui identifie et atténue les risques prévisibles tout au long du cycle de vie de l’IA ; appliquer des pratiques de gouvernance des données garantissant que les données d’entraînement sont pertinentes, représentatives et exemptes d’erreurs significatives ; tenir une documentation technique complète pouvant être fournie aux autorités sur demande ; permettre la journalisation automatique des événements afin de faciliter la surveillance et les enquêtes après la mise sur le marché ; fournir des instructions claires et des informations de transparence aux opérateurs humains ; garantir une supervision humaine significative afin que les opérateurs puissent comprendre les sorties de l’IA, intervenir et les annuler ; et respecter des seuils définis d’exactitude, de robustesse face aux erreurs et de résilience en matière de cybersécurité.
Sanctions
Le non-respect entraîne des sanctions financières importantes. Les infractions impliquant des applications d’IA interdites (niveau 1) peuvent donner lieu à des amendes pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu. Les violations d’autres obligations, y compris les exigences relatives à l’IA à haut risque, sont passibles de sanctions pouvant atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. La communication d’informations incorrectes ou trompeuses aux autorités peut entraîner des amendes pouvant atteindre 7,5 millions d’euros ou 1 % du chiffre d’affaires mondial.
Qui est concerné
L’EU AI Act a une portée extraterritoriale. Toute organisation qui met un système d’IA sur le marché de l’UE, met un système d’IA en service dans l’UE ou utilise des systèmes d’IA d’une manière qui affecte des personnes dans l’UE doit s’y conformer, quel que soit le lieu de son siège. Cela signifie que les entreprises américaines, britanniques, australiennes et asiatiques ayant des clients dans l’UE, des employés dans l’UE ou des systèmes d’IA tournés vers l’UE entrent toutes dans le champ d’application.
Pertinence pour l’Australie
Pour les organisations australiennes, l’EU AI Act est pertinent sur deux fronts. Premièrement, toute entreprise australienne ayant des activités dans l’UE, des clients dans l’UE ou des produits d’IA destinés à l’UE doit s’y conformer directement, y compris les fintechs australiennes, les fournisseurs de SaaS et les entreprises ayant des filiales ou une clientèle européennes. Deuxièmement, l’EU AI Act indique la direction que prend la réglementation de l’IA à l’échelle mondiale. L’AI Safety Standard propre à l’Australie (publié en août 2024) et les modifications législatives à venir s’inspirent explicitement de cadres internationaux, dont l’EU AI Act. Les organisations australiennes qui développent dès maintenant des capacités de conformité à l’EU AI Act seront mieux préparées aux exigences réglementaires nationales à mesure qu’elles émergeront.