Utilisateurs du TRPlane Club
Les régulateurs du bloc européen peuvent interdire l’utilisation de systèmes d’IA qu’ils jugent susceptibles de présenter un « risque inacceptable » ou un préjudice.
Le 2 février est la date limite de mise en conformité avec l'EU AI Act, le cadre réglementaire complet de l'IA que le Parlement européen a finalement approuvé en mars dernier après des années de développement. La loi est officiellement entrée en vigueur le 1er août. Ce qui suit est maintenant la première des échéances de conformité.
Les détails sont précisés à l’article 5. Mais d’une manière générale, l’événement est conçu pour couvrir une myriade de cas d’utilisation où l’IA peut apparaître et interagir avec les gens, des applications grand public aux environnements physiques.
Faible Cette approche Il existe quatre grands niveaux de risque : (1) le risque minimal (par exemple, les filtres de courrier électronique) ne nécessite pas de surveillance réglementaire ; (2) les risques limités, qui incluent les chatbots de service client, feront l’objet d’une surveillance réglementaire légère ; (3) Risque élevé – l’IA pour les recommandations en matière de soins de santé en est un exemple – sera confrontée à une surveillance réglementaire importante ; et (4) les applications à risque inacceptable, au cœur des exigences de conformité de ce mois-ci, seront entièrement interdites.
Certaines des activités inacceptables comprennent :
- L’IA utilisée pour la notation sociale (par exemple, la création de profils de risque en fonction du comportement d’une personne).
- Ai qui manipule les décisions d'une personne de manière subliminale ou trompeuse.
- Une IA qui exploite des vulnérabilités telles que l’âge, le handicap ou le statut socio-économique.
- Une IA qui tente de prédire les personnes qui commettent des crimes en fonction de leur apparence.
- Une IA qui utilise la biométrie pour déduire les caractéristiques d'une personne, telles que son orientation sexuelle.
- Une IA qui collecte des données biométriques « en temps réel » dans les lieux publics à des fins de maintien de l’ordre.
- Ai essaie de déduire les émotions des gens au travail ou à l'école.
- Une IA qui crée ou étend des bases de données de reconnaissance faciale en récupérant des images en ligne ou à partir de caméras de sécurité.
Les entreprises qui utiliseront l’une des applications d’IA mentionnées ci-dessus dans l’UE seront passibles d’amendes, quel que soit leur lieu d’établissement. Ils pourraient être redevables d'un montant pouvant atteindre 35 millions d'euros (environ 36 millions de dollars), ou 7 % de leur chiffre d'affaires annuel de l'exercice précédent, selon le montant le plus élevé.
Les amendes ne seront pas appliquées avant un certain temps, a déclaré Rob Sumroy, responsable de la technologie au sein du cabinet d'avocats britannique Slaughter and May.
« Les organisations devraient être entièrement conformes d’ici le 2 février, mais… la prochaine échéance dont les entreprises doivent être conscientes est août », a déclaré Sumroy. « D’ici là, nous saurons quelles sont les autorités compétentes et les amendes et mesures d’application entreront en vigueur. »
Promesses préliminaires
La date limite annoncée du 2 février n’est en fait qu’une formalité.
En septembre dernier, plus de 100 entreprises ont signé le Pacte européen sur l’IA, un engagement volontaire visant à commencer à mettre en œuvre les principes de la loi sur l’IA avant la soumission de leur candidature. Dans le cadre du pacte, les signataires, parmi lesquels Amazon, Google et OpenAI, se sont engagés à identifier les systèmes d'IA susceptibles d'être classés à haut risque en vertu de la loi sur l'IA.
Certains géants de la technologie, notamment Meta et Apple, ont bafoué le pacte. La start-up française d'IA Mistral, qui a fait face à des critiques plus sévères à l'égard de l'IA Act, a également choisi de ne pas signer.
Cela ne signifie pas qu’Apple, Meta, Mistral ou d’autres qui ne sont pas d’accord avec le pacte ne respecteront pas leurs obligations, notamment en interdisant les systèmes présentant des risques inacceptables. Sumroy note qu’étant donné la nature des cas d’utilisation interdits décrits, la plupart des entreprises ne s’engageront de toute façon pas dans de telles pratiques.
« Pour les organisations, l’une des principales préoccupations concernant la loi européenne sur l’IA est de savoir si des lignes directrices, des normes et des codes de conduite clairs arriveront à temps et, surtout, s’ils apporteront aux organisations des éclaircissements sur la conformité », a déclaré Sumroy. « Toutefois, jusqu’à présent, les groupes de travail respectent leurs délais concernant le Code de conduite pour… les développeurs. »
Exemptions possibles
Il existe des exceptions à plusieurs interdictions de la loi sur l’IA.
Par exemple, la loi autorise les forces de l’ordre à utiliser certains systèmes qui collectent des données biométriques dans les lieux publics si ces systèmes aident à mener une « recherche spécifique » pour, par exemple, une victime d’enlèvement, ou pour aider à prévenir une menace « spécifique, substantielle et imminente » pour la vie. Cette exemption nécessite l’autorisation de l’organisme directeur compétent, et la loi souligne que la police ne peut pas prendre une décision qui « produit un effet juridique défavorable » sur une personne en se basant uniquement sur les résultats de ces systèmes.
La loi prévoit également des exceptions pour les systèmes qui déduisent des émotions sur les lieux de travail et dans les écoles lorsqu’il existe une justification « médicale ou de sécurité », comme les systèmes conçus pour un usage thérapeutique.
La Commission européenne, l’organe exécutif de l’UE, a déclaré qu'il publierait des directives supplémentaires « début 2025 », suite à une consultation des parties prenantes en novembre. Toutefois, ces lignes directrices n’ont pas encore été publiées.
Sumroy a déclaré qu'il n'était pas clair non plus comment d'autres lois en vigueur pourraient interagir avec les interdictions et les dispositions connexes de la loi sur l'IA. Il se peut que la clarté ne soit pas apportée avant plus tard dans l’année, à l’approche de la période de dépôt des candidatures.
« Il est important que les organisations se souviennent que la réglementation de l’IA n’existe pas de manière isolée », a déclaré Sumroy. « D'autres cadres juridiques, tels que le RGPD, NIS2 et Dora, interagiront avec l'AI Act, créant des défis potentiels, notamment autour du chevauchement des exigences de signalement des incidents. Comprendre comment ces lois s’articulent sera aussi crucial que comprendre l’action de l’IA elle-même.
