Intelligence artificielle: l’Union européenne légifère

Vaïk Müller, CMS von Erlach Partners Ltd

2 minutes de lecture

Les entreprises suisses peuvent être concernées. A l'instar du RGPD, l’UE a adopté une approche extraterritoriale.

Le 13 mars 2024, le Parlement européen a adopté la loi sur l’intelligence artificielle (IA). Selon les autorités européennes, cette loi vise à fournir aux développeurs et aux déployeurs d’IA des exigences et des obligations claires concernant les utilisations spécifiques de l’IA.

La définition matérielle de la notion de «système d’IA» est la pierre angulaire de la loi et de son champ d’application. En pratique, la longue définition de «système d’IA» contenue dans la loi est basée sur les derniers standards OCDE en la matière. Les éléments clés de cette définition consistent dans le recours aux notions d’»inférence» et d’»autonomie», qui permettent de différencier un système d’IA des logiciels classiques dont le fonctionnement et les résultats sont encadrés (et prédéterminés) strictement par un algorithme. Cette définition est volontairement large afin d’éviter que la loi sur l’IA ne devienne obsolète à brève échéance. De manière intéressante, cette définition ne correspond pas à la définition initiale du système d’IA qui était fondée sur une liste de technologies et de méthodes prédéfinies.

Il restera à voir si cette législation saura trouver son public et s’imposer comme un mal nécessaire en dépit des critiques conjuguées pour des raisons différentes de l’industrie et des organisations de défense des droits civils et de consommateurs.

La loi vise à interdire certains systèmes d’IA, encadrer les systèmes d’IA à usage général (y compris lorsque ceux-ci sont fondés sur des modèles systémiques) et ceux à hauts risques. La liste des systèmes d’IA interdits est exhaustive. Une des exceptions importantes à cette interdiction concerne l’utilisation dans l’espace public de système d’identification biométrique à distance en temps réel pour les forces de l’ordre (étant rappelé que les usages militaires sont exclus de la loi) à des fins de lutte contre la criminalité et le terrorisme. La loi n’interdit pas généralement ces systèmes, mais les soumet à un ensemble de conditions préalables visant à encadrer leur usage (enregistrement du système, sauf exception, analyse d’impact préalable, etc.). Il reviendra à chaque État membre de prévoir ou non la possibilité d’autoriser totalement ou partiellement l’utilisation de systèmes d’identification biométrique, dans le respect des conditions prévues par la loi.
Une autre notion clé est celle de système d’IA à haut risque. Ces systèmes sont en effet soumis à des règles strictes et les entreprises actives dans l’IA, y compris suisses, lorsqu’elles seront soumises à la loi, devront déterminer en amont si les systèmes qu’elles développent, importent, distribuent ou déploient peuvent être considérés comme à haut risque afin de s’assurer de respecter les exigences prévues.

Sur le plan du champ d’application géographique, il faut encore une fois souligner que les entreprises suisses peuvent être également concernées, cette loi, à l’instar du RGPD, ayant adopté une approche extraterritoriale. En effet, sont notamment visés les développeurs (fournisseurs) de système d’IA (y compris fondés sur les modèles d’IA à usage général ou GPAI) qui les mettent sur le marché ou en service dans l’Union, quel que soit leur lieu d’établissement. Cette règle implique en particulier que tout système d’IA auquel il est possible d’accéder et qui peut être utilisé par des déployeurs (utilisateurs) au sein de l’UE, via par exemple une interface web, risque d’être soumis aux règles européennes. Sont également soumis à la loi les développeurs et déployeurs situés en dehors de l’UE, mais dont les résultats générés par leurs systèmes d’IA sont utilisés dans l’Union. 

Les déployeurs sont des utilisateurs, personnes physiques ou morales, autorités publiques, agences ou autres organismes qui déploient un système d’IA à titre professionnel, et non pas les utilisateurs finaux concernés. Les déployeurs de systèmes d’IA à haut risque ont certaines obligations, mais moindre que les fournisseurs (développeurs). Tous les fournisseurs de modèles d’IA à usage général doivent fournir une documentation technique, des instructions d’utilisation, respecter les règles sur les droits d’auteur, et publier un résumé du contenu utilisé pour la formation.

A noter enfin que la loi prévoit certaines sanctions administratives en cas de violation des règles. En fonction du type de violation et de la taille de l’organisation, les sanctions peuvent aller de EUR 7,5 millions ou 1,5% du chiffre d’affaires mondial, à EUR 35 millions ou 7% du chiffre d’affaires mondial. A l’instar des sanctions administratives du RGPD, la légalité de leur application à des entreprises suisses (sans présence dans l’UE) est plus que discutable sur le plan juridique. 

En définitive, il restera à voir si cette législation saura trouver son public et s’imposer comme un mal nécessaire en dépit des critiques conjuguées pour des raisons différentes de l’industrie et des organisations de défense des droits civils et de consommateurs.

A lire aussi...