Avec son adoption formelle le 21 mai 2024 et son entrée en vigueur le 1er août 2024, le règlement européen sur l'intelligence artificielle (UE 2024/1689), également connu sous le nom de "AI Act", marque une étape importante dans la réglementation de l'intelligence artificielle. Premier cadre réglementaire global et horizontal, ce règlement fixe des règles applicables à une variété de secteurs et d'activités. Son objectif : guider le développement et l'utilisation des systèmes d'IA au sein de l'UE de manière responsable et sûre. Si la plupart des dispositions ne prendront effet que deux ans après son entrée en vigueur (2 août 2026), certaines entreront en vigueur plus tôt ou plus tard.

Intelligence artificielle

La loi sur l'IA définit un système d'intelligence artificielle (IA) comme un système basé sur une machine qui :

• conçus pour fonctionner avec différents niveaux d'autonomie,

• peut faire preuve d’une capacité d’adaptation après son déploiement,

• et, qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que

• des prédictions,

• du contenu,

• des recommandations,

• ou des décisions qui peuvent influencer les environnements physiques ou virtuels. 

Plus précisément, les systèmes d'IA peuvent être utilisés dans une variété d'applications, telles que

• les assistants virtuels (par exemple Siri, Alexa, Google Assistant),

• pour la recommandation de contenu sur les plateformes de diffusion en continu,

• les systèmes de reconnaissance faciale,

• et des services de traduction automatique.

Un système d'IA comprend donc tous les éléments nécessaires pour utiliser efficacement un ou plusieurs modèles d'IA dans la pratique, y compris l'infrastructure informatique telle que l'interface utilisateur.

Champ d'application

La loi sur l'IA impose une série d'obligations aux différents acteurs publics et privés impliqués dans le développement, la diffusion ou l'utilisation de systèmes d'IA. Ces obligations s'appliquent à :

• Fournisseurs : développeurs d'un système d'IA ou d'un modèle d'IA à usage général,

• Déployeurs : les utilisateurs d'un système d'IA, sauf si l'utilisation a lieu dans un contexte personnel et non professionnel,

• importateurs et distributeurs de systèmes d'IA,

• Fabricants de produits de systèmes d'intelligence artificielle.

 Ces règles s'appliquent aux parties tant à l'intérieur qu'à l'extérieur de l'UE, à condition que

• le système d'IA sera lancé sur le marché européen,

• Si les résultats du système seront utilisés au sein de l'UE.

La loi sur l'IA ne s'applique pas aux systèmes d'IA en cours d'utilisation :

• pour la recherche scientifique et le développement,

• à des fins militaires, de défense ou de sécurité nationale,

• dans le cadre d'activités personnelles et non professionnelles.

Approche fondée sur les risques

La loi sur l'IA classe les systèmes d'IA selon quatre niveaux de risque, avec les obligations correspondantes.

Risque inacceptable : les systèmes d'IA susceptibles de porter gravement atteinte aux droits fondamentaux sont interdits depuis le 2 février 2025. Il s'agit notamment de :

• Notation sociale basée sur le comportement ou les caractéristiques personnelles,

• Systèmes d'IA destinés à être utilisés pour détecter l'état émotionnel de personnes physiques dans des situations liées au lieu de travail et à l'éducation,

• la manipulation des groupes vulnérables (comme les jouets contrôlés par l'IA qui provoquent des comportements dangereux chez les enfants),

• les applications de police prédictive purement basées sur le profilage,

• la collecte non autorisée et non ciblée d'images faciales ("scraping"),

• la catégorisation biométrique qui pourrait conduire à des déductions sur les convictions politiques ou l'orientation sexuelle,

Risque élevé : ces systèmes d'IA peuvent avoir un impact significatif sur la sécurité, la santé ou les droits fondamentaux des personnes dans l'UE. Ils ne sont autorisés que sous réserve du respect de règles strictes telles que l'évaluation des risques, la transparence et la surveillance humaine. Il s'agit par exemple des systèmes d'IA utilisés :

• Lors du recrutement ou de la sélection des candidatures,

• de prendre des décisions concernant les conditions d'emploi, la promotion ou la cessation de la relation de travail,

• pour évaluer la solvabilité des consommateurs.

Risque limité (également appelé "risque de transparence") : Ces systèmes nécessitent principalement une communication claire avec l'utilisateur. En voici quelques exemples :

• les chatbots pour indiquer clairement que l'on s'adresse à une machine,

• les deepfakes et autres contenus générés par l'IA (texte, image, audio) qui devraient être marqués comme tels.

Risque minimal : la plupart des systèmes d'IA actuellement utilisés dans l'UE entrent dans cette catégorie. Ils ne présentent pas de risques significatifs et sont exempts d'obligations supplémentaires. En voici quelques exemples :

• L'IA dans les jeux vidéo,

• les filtres anti-spam dans les programmes de courrier électronique.

IA à usage général (GPAI) : Les modèles d'IA générative, tels que les grands modèles de langage ou les systèmes qui génèrent des images ou des sons, seront soumis à des exigences de transparence et de documentation minimale à partir du 2 août 2025. Ces modèles sont de plus en plus souvent intégrés à d'autres applications d'IA, ce qui rend leur réglementation essentielle. La loi sur l'IA laisse également une marge de manœuvre pour des ajustements au fur et à mesure du développement de cette technologie.

Sur le lieu de travail

La loi sur l'IA oblige également les employeurs à réfléchir et, le cas échéant, à prendre des mesures concernant l'utilisation de l'IA. Tout d'abord, une analyse approfondie s'imposera, après quoi un devoir d'information ainsi qu'un devoir de formation pourront émerger.

Analyser

Analysez les applications d'IA utilisées au sein de l'entreprise. Si cette analyse montre que des applications d'IA relevant de la catégorie de risque "risque inacceptable" sont utilisées, vous n'êtes pas autorisé à les utiliser à partir du 2 février 2025.

Informer

Les employeurs qui souhaitent déployer un système d'IA à haut risque sur le lieu de travail doivent en informer au préalable leurs employés et leurs représentants. Ils doivent préciser que le système d'IA s'appliquera à eux. Ces informations doivent être partagées, le cas échéant, conformément aux règles et procédures européennes et nationales applicables en matière d'information et de consultation des travailleurs.

Cette obligation s'ajoute aux obligations strictes qui s'appliquent aux utilisateurs d'"IA à haut risque" :

• Il convient de prendre des mesures techniques et organisationnelles pour s'assurer que les systèmes d'IA sont utilisés comme indiqué dans le mode d'emploi,

• Confier la supervision du fonctionnement des systèmes d'IA à des personnes disposant des compétences, de la formation et de l'autorité nécessaires, et leur assurer un soutien adéquat,

• S'assurer que les données d'entrée sont pertinentes et suffisamment représentatives lorsqu'ils en ont le contrôle,

• Contrôler régulièrement le système d'IA et conserver les journaux pendant au moins six mois, à moins que la loi ne l'exige.

Tenez également compte de la réglementation existante en matière de RGPD, qui stipule que les personnes ne peuvent pas faire l’objet de décisions entièrement automatisées ; une intervention humaine doit toujours être prévue afin d’exercer un contrôle significatif sur la décision.

Formation

Les fournisseurs et les utilisateurs de systèmes d'IA doivent veiller à ce que leur personnel - et les autres personnes travaillant avec l'IA pour leur compte - soit suffisamment familiarisé avec l'intelligence artificielle. Ils prennent donc les mesures appropriées pour actualiser le niveau de connaissances, en tenant compte du bagage technique, de l'expérience, de la formation et de l'environnement de travail concret d'une personne. L'attention est également portée sur les personnes ou les groupes cibles auxquels s'appliquent les systèmes d'intelligence artificielle. Tout le monde ne doit pas atteindre le même niveau de connaissance de l'IA ; un informaticien chargé de développer ou de mettre en œuvre des systèmes d'IA au sein de l'entreprise aura besoin de connaissances (techniques) plus approfondies que, par exemple, une personne du département marketing qui s'appuie principalement sur l'IA générative. Cette exigence s'applique depuis le 2 février 2025.

Pour y remédier, nous vous recommandons de rédiger une politique interne en matière d'IA dans laquelle vous fixez certaines règles de base concernant l'utilisation de l'intelligence artificielle au sein de l'entreprise. Vous pouvez également y indiquer comment vous vous assurez que vos employés sont / restent suffisamment familiarisés avec l'IA.

Sanctions

Une violation de la loi sur l'IA peut entraîner des sanctions sévères.

Par exemple, les pratiques interdites ou le non-respect des exigences en matière de données peuvent être sanctionnés par une amende pouvant atteindre 7 % du chiffre d'affaires annuel mondial ou 35 millions d'euros.

En cas de non-respect d'autres obligations, telles que celles relatives aux systèmes d'IA à haut risque, l'amende peut atteindre 3 % du chiffre d'affaires annuel mondial ou 15 millions d'euros.

Si des informations fausses, incomplètes ou trompeuses sont fournies, la sanction peut atteindre 1 % du chiffre d'affaires ou 7,5 millions d'euros.

Pour les PME et les start-ups, c'est le montant le plus bas qui s'applique dans chaque cas.

Que peut faire Paycover pour vous ?

Chez PayCover, nous avons préparé un modèle de document qui peut servir de guide pour la rédaction d'une politique d'IA au sein de votre entreprise.

Si vous avez encore des question sou si vous souhaitez recevoir un document-type, veuillez contacter votre gestionnaire de dossiers.

Source : Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (règlement sur l'intelligence artificielle).