Couverture du journal du 16/01/2025 Le nouveau magazine

Propriété intellectuelle. AI Act : quelles conséquences pratiques pour les entreprises ?

Après plus de trois ans de réflexion, de débats et d’amendements, le règlement européen sur l’IA (aussi connu sous le nom d’AI Act) a finalement été voté le 14 mars 2024, pour entrer en vigueur de manière progressive jusqu’au 2 août 2026. À l’heure où le sujet de l’intelligence artificielle prend de plus en plus de place dans la sphère publique et où de nombreuses professions s’interrogent sur les possibilités qu’offrent des modèles d’IA toujours plus performants, nous vous proposons de faire un rapide résumé de cette nouvelle règlementation européenne, première législation générale au monde sur le sujet.

Solvoxia

Cécile Guyot et Jonathan Guilloux, avocats, Cabinet Solvoxia.

Qu’est-ce qu’un système d’intelligence artificielle ?

L’AI Act vise à réglementer ce qu’il nomme les systèmes d’intelligence artificielle (IA), qu’il définit comme étant tout « système automatisé conçu pour fonctionner à différents niveaux d’autonomie et qui peut générer des prédictions, des recommandations ou des décisions qui influencent les environnements physiques ou virtuels », finalement dont l’objectif est d’effectuer des tâches qui nécessitent normalement l’intelligence humaine.  

Quelques exemples ? Les systèmes de recommandation de contenus sur les plateformes d’écoute de musique ou de visionnage de films/séries, les systèmes d’analyse d’imagerie médicale ou encore les interfaces de génération de contenus à partir de différentes sources de données type ChatGPT.


Lire aussi
Comment protéger mon idée ?


La philosophie derrière cette règlementation est de permettre le développement des systèmes d’IA tout en protégeant les droits fondamentaux des personnes.

Les systèmes d’IA sont classés en quatre catégories : ceux présentant un risque inacceptable et étant donc interdits (systèmes exploitant la vulnérabilité comme par exemple l’âge, le handicap ou encore la situation sociale ou économique d’une personne susceptible de lui causer un préjudice important, système pour mener des évaluations ou prédictions de risque qu’une personne commette une infraction pénale en se basant uniquement sur du profilage) ; ceux à haut risque nécessitant le respect d’obligations renforcées (systèmes d’IA destinés à être utilisés pour la reconnaissance des émotions si cela est autorisé par le droit de l’UE ou le droit national ou encore les systèmes d’IA destinés à être utilisés pour surveiller et détecter les comportements interdits des étudiants pendant des examens) ; ceux dont le risque est limité et enfin ceux présentant un risque faible/nul.

Suis-je concerné par l’AI Act ?

L’AI Act s’applique à tout acteur qui conçoit, utilise, importe ou distribue des systèmes d’IA dans l’UE, peu importe l’endroit où il est établi et aux systèmes d’IA qui sont utilisés dans l’UE, même s’ils sont développés ailleurs.

Son champ d’application est donc extrêmement large, à la manière de ce qui avait également pu être fait pour le RGPD concernant les données à caractère personnel.

Si oui, à quel titre est-ce que j’interviens ?

Une fois le système d’IA catégorisé, la question à se poser est celle du rôle adopté vis-à-vis de celui-ci. L’AI Act distingue en effet plusieurs catégories d’acteurs, dont les obligations et responsabilités varient :

  • Le fournisseur est celui qui développe ou fait développer le système d’IA, et qui le met sur le marché ou le met en service sous son nom ou sa marque ;
  • Le déployeur est la personne qui utilise sous sa propre autorité un système d’IA, en dehors d’un usage à titre personnel (potentiellement une société déployant un système d’IA en interne) ;
  • L’importateur est la personne, établie dans l’UE, qui met sur le marché un système d’IA dont le fournisseur est établi dans un pays tiers ;
  • Le distributeur est toute personne de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA sur le marché de l’UE.

Il est à noter que les personnes (dénommées « personnes concernées » dans le texte) qui utiliseraient un système d’IA à titre personnel n’ont pas d’obligations spécifiques au titre de l’AI Act.

Quelles obligations m’incombent ?

Comme d’ores et déjà précisé, les obligations de chaque acteur intervenant sur un système d’IA vont varier selon la catégorie de l’IA concernée.

Si les systèmes d’IA considérés comme présentant un risque qui n’est pas acceptable pour les libertés fondamentales des personnes sont interdits, ceux à « à haut risque » le sont mais font alors peser des règles spécifiques sur les différents intervenants.

C’est ainsi sur les fournisseurs de tels systèmes d’IA que pèsent les obligations les plus lourdes : ils doivent notamment mettre en place un système de gestion des risques, assurer la gouvernance des données utilisées par le système d’IA, fournir des instructions d’utilisation de leur IA, indiquer leurs coordonnées très clairement sur la documentation ainsi que le marquage CE, garantir la robustesse et la cybersécurité du système d’IA ou encore disposer d’une documentation technique à même de démontrer la conformité de ce dernier.

Les déployeurs d’IA à haut risque, quant à eux, ont des obligations légèrement moindres : ils sont par exemple tenus de respecter les instructions d’utilisation fournies par les fournisseurs, d’informer ces derniers s’ils décèlent un incident grave, d’informer les représentants des travailleurs de l’utilisation d’un tel système (en cas de déployeur-employeur) ou encore de réaliser une analyse d’impact sur les droits fondamentaux que le déploiement du système d’IA pourrait avoir.

Lorsque le système d’IA présente un risque limité des obligations sont également prévues, relevant principalement des obligations de maîtrise (formation des développeurs/utilisateurs de l’IA) et de transparence pour que les personnes soient bien informées qu’elles interagissent avec une intelligence artificielle ou qu’elles sont en présence de données en étant issues (ex : ChatGPT).

Pour quelle date dois-je être prêt ?

Les règles pour les systèmes IA présentant des risques inacceptables commencent à s’appliquer dès le 2 février 2025 et le déploiement total interviendra le 2 août 2026.

Comment sera contrôlé le respect de l’AI Act ?

Au sein de la Commission Européenne est créé un organisme dédié au contrôle de la mise en œuvre effective de l’AI Act et de la conformité des fournisseurs d’IA : le Bureau européen de l’IA (AI Office).

Le pouvoir de sanctionner les manquements à l’AI Act est toutefois laissé aux Etats Membres, le texte précisant simplement les montants de sanctions de divers manquements.

À titre d’exemple, la sanction la plus sévère est prévue pour celui qui fournirait un système d’IA interdit, s’exposant ainsi à une amende administrative pouvant aller jusqu’à 7 % de son chiffre d’affaires annuel mondial ou 35 M€.

En résumé, pour savoir quelles sont vos obligations aux termes de l’AI Act, il faut vous poser la question de savoir si vous êtes en présence d’un Système d’IA, si oui, à quelle catégorie il appartient et enfin votre rôle le concernant