Application des premières règles
Les premières règles de la loi sur l’IA sont entrées en vigueur le 2 février 2025. Elles concernent les dispositions des chapitres I et II.
Le Chapitre I énonce les dispositions générales relatives à l’objet de la loi sur l’IA, les définitions, le champ d’application de cette loi et les dispositions relatives à la maîtrise de l’IA. Ces dispositions sont essentielles, car elles déterminent la portée matérielle, territoriale et personnelle de la loi sur l’IA. Par exemple, l’article 3 définit ce qu’est un «système d’IA» (ce qui signifie: «un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels»). La Commission européenne a annoncé qu’elle allait publier des lignes directrices permettant de définir les systèmes d’IA, afin d’aider l’industrie à déterminer si un système logiciel donné peut être qualifié d’IA.
Le Chapitre II contient des dispositions sur les pratiques interdites en matière d’IA. Il s’agit de systèmes d’IA qui présentent un risque inacceptable et sont donc totalement interdits au sein de l’UE. Il s’agit notamment des technologies d’IA susceptibles de violer les droits et libertés fondamentaux. Plus précisément, la loi sur l’IA interdit les systèmes d’IA manipulateurs qui trompent ou exploitent les utilisateurs, ainsi que l’IA qui tire parti des vulnérabilités de certaines personnes, comme les enfants ou les personnes handicapées. En outre, l’évaluation sociale, à l’instar des pratiques en vigueur en Chine, est explicitement interdite. La loi sur l’IA interdit également l’évaluation des risques basée uniquement sur le profilage pour prédire le comportement criminel. Autre exemple: l’extraction non ciblée de données en ligne pour créer des bases de données de reconnaissance faciale – comme dans le cas de Clearview AI – n’est pas autorisée. L’interdiction de ces systèmes vise à prévenir l’utilisation abusive de l’IA et à faire respecter les normes éthiques au sein de l’UE.
Obligation de prendre des mesures permettant la maîtrise de l’IA
La maîtrise de l’IA se définit comme «les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux déployeurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le cadre du présent règlement, de déployer des systèmes d’IA en connaissance de cause, ainsi que de prendre conscience des possibilités et des risques de l’IA et des dommages éventuels qu’elle peut causer». En bref, la maîtrise de l’IA consiste à comprendre les systèmes d’IA, leurs risques et leurs opportunités. Les mesures de maîtrise de l’IA doivent permettre aux utilisateurs, aux prestataires et aux personnes concernées de prendre des décisions éclairées sur l’IA, tout en respectant leurs droits et obligations.
Le législateur européen souligne l’importance de la maîtrise de l’IA en introduisant, dès le début de la loi sur l’IA (article 4), une obligation pour les fournisseurs et les déployeurs de systèmes d’IA de garantir un niveau suffisant de maîtrise de l’IA. L’objectif est de s’assurer que le personnel connaît parfaitement les systèmes d’intelligence artificielle avec lesquels il travaille. Cette obligation faisant partie des dispositions générales, elle s’applique universellement à tous les systèmes d’IA, quel que soit leur niveau de risque. La loi sur l’IA précise que les efforts visant à maîtriser l’IA doivent être adaptés aux besoins spécifiques des différents individus ou groupes.
Les mesures de maîtrise de l’IA impliquent principalement la formation et/ou l’embauche de personnel qualifié. Il serait utile pour les organisations d’identifier les employés qui ont affaire aux systèmes d’IA, de découvrir les différences de niveau de difficulté de ces systèmes et d’adapter la formation en conséquence. Il est recommandé de documenter tous les cours de formation, à des fins de preuve.
La Commission européenne, en collaboration avec le Comité européen sur l’intelligence artificielle, va promouvoir des outils de formation à l’IA et a annoncé qu’elle allait publier une base de données dynamique sur les pratiques en matière de formation à l’IA. La loi sur l’IA prévoit également que les codes de conduite volontaires contiendront des éléments relatifs à la connaissance de l’IA.
Conformité et sanctions?
La loi sur l’IA prévoit que le non-respect de l’interdiction des pratiques d’IA visées au Chapitre II est passible d’amendes administratives pouvant aller jusqu’à 35 000 000,00 EUR ou, si le contrevenant est une entreprise, jusqu’à 7% de son chiffre d’affaires annuel mondial total pour l’exercice précédent, le montant le plus élevé étant retenu. Ces sanctions s’appliqueront à partir du 2 août 2025.
En ce qui concerne le non-respect du principe de maîtrise de l’IA, la loi sur l’IA ne prévoit pas de sanction spécifique. Toutefois, il appartient aux États membres de compléter les règles de la loi sur l’IA relatives aux sanctions et autres mesures d’exécution, qui peuvent également inclure des avertissements et des mesures non pécuniaires. En Belgique, aucune réglementation de ce type n’a encore été adoptée, car les autorités discutent encore de la structure de surveillance à mettre en place. Le législateur belge devrait adopter des règles sur la structure de contrôle et sur les sanctions dans les mois à venir.
