Retour sur les points clés de l'IA ACT avant la prochaine échéance du 2 août 2025 portant sur l'IA à usage général. Par Karim Amrar, Juriste.

Retour sur les points clés de l’IA ACT avant la prochaine échéance du 2 août 2025 portant sur l’IA à usage général.

Par Karim Amrar, Juriste.

4488 lectures 1re Parution: Modifié: 5  /5

Explorer : # intelligence artificielle # réglementation européenne # conformité réglementaire # protection des données

Le règlement sur l’intelligence artificielle du 13 juin 2024 est le premier texte international qui porte l’ambition de réguler l’intelligence artificielle (« IA ») selon une approche axée sur les risques, afin de soutenir le développement et le déploiement responsables d’une IA fiable, éthique, transparente et sécurisée tout en renforçant la souveraineté numérique de l’Europe.
L’IA est aujourd’hui au cœur de rivalités technologiques et commerciales à l’échelle mondiale. Les institutions européennes identifient dans ce contexte l’IA "digne de confiance" comme étant un levier stratégique de la transition numérique européenne, pour répondre aux défis de l’innovation face à la domination des géants nord-américains et chinois de l’IA.
L’IA Act est ainsi élaboré pour établir le cadre juridique incontournable et harmonisé des 27 États membres afin de soutenir l’innovation technologique et pour stimuler l’investissement du secteur privé continental.

-

Au sommaire de cet article...

Le déploiement de technologies d’IA s’accompagne de nouvelles perspectives et renouvelle les débats sur ces technologies gouvernées par les algorithmes et la programmation, notamment sur la confidentialité des données qu’ils traitent, mais également sur l’intégrité des systèmes d’information avec lesquels ils sont connectés.

L’intelligence artificielle s’imposant désormais, comme une technologie ubiquitaire dans les outils numériques exploités dans un large éventail de secteurs de l’économie, le règlement sur l’Intelligence Artificielle (« IA Act ») [1] se hisse parmi les cadres réglementaires européens de premier plan tant pour les développeurs de systèmes d’IA, que les entreprises, utilisatrices de ces systèmes, afin de fiabiliser les IA utilisées.

L’extension rapide des systèmes d’IA à usage général, notamment de l’une de ses sous-catégories à savoir les IA génératives, questionne au regard de l’exploitation qu’ils réalisent des données et de leurs algorithmes, qui pour la grande majorité ne sont pas en open source. Le succès confirmé des technologies d’IA générative comme « ChatGPT », « Mistral AI » et « Deepseek » témoignent de l’engouement inégalé du grand public pour leur capacité d’innovation rapide qui surprend. Ces technologies disruptives d’IA générative intéressent également les entreprises en raison des usages en termes de promesses marketing, marque employeur et gains de productivité, qu’elles pourraient en tirer. Il s’agit en effet de systèmes d’IA entraînés à générer du contenu (texte, images, vidéos) à partir d’un corpus spécifique de données d’entraînement. L’entraînement vise le processus d’apprentissage initial d’un « modèle de fondation », qui nécessite un grand nombre de données. Cette phase d’entraînement est suivie de la phase « d’inférence » qui désigne l’exploitation du modèle entraîné pour créer du contenu. L’IA générative est particulièrement interessante car elle encore loin d’avoir atteint son plein potentiel. La compétition pour l’innovation et la création de nouveaux modèles d’IA générative ne fait que débuter.

Les données étant au cœur de l’IA, force est de constater qu’à ce jour l’IA se développe principalement à partir de bases de données anglo-saxonnes. Devant ce constat, l’adoption du règlement sur l’intelligence artificielle continentale s’inscrit précisément dans la continuité de la stratégie européenne de 2020 dont l’objectif affiché est de : « créer un marché unique des données qui garantira la compétitivité mondiale de l’Europe et sa souveraineté en matière de données » [2].
La stratégie européenne pour les données vise à instaurer un marché unique des données, plus précisément un « espace européen commun pour les données » pour assurer la souveraineté des données ainsi que la compétitivité mondiale de l’Europe face aux Big Tech nord-américains et chinois.
L’IA Act s’inscrit ainsi dans la dynamique de deux règlements européens récents sur la donnée qui visent à faciliter le déploiement de l’IA en Europe.
Il s’agit d’une part, du règlement sur la gouvernance des données dit « Data Governance Act » [3] qui est entré en vigueur le 24 septembre 2023, et qui vise à déployer un cadre européen commun pour les données pour faciliter la disponibilité ainsi que le partage sécurisé d’un grand nombre de données au sein de l’Union européenne.
Il s’agit d’autre part du règlement sur les données dit « Data Act » [4] qui entrera en vigueur le 12 septembre 2025, dont l’objet est d’installer un cadre sécurisé au partage des données numériques industrielles. Les progrès en termes de puissances de calcul, le développement de nouveaux algorithmes et le traitement de données massives offriront alors aux entités de nouvelles opportunités pour exploiter pleinement le potentiel de l’IA au sein de ce « data spaces » européen, faisant ainsi de l’Europe un chef de file de l’économie fondée sur les données.

L’ IA Act traduit aujourd’hui l’évolution d’une logique d’encadrement de l’IA par l’éthique par le droit souple vers une logique d’encadrement juridique de la conformité de l’IA aux droits fondamentaux, et aux droits de propriété intellectuelle, tout en veillant à ne pas contraindre l’innovation. Il lui est parfois reproché que son approche est trop axée sur la régulation, au détriment de l’innovation technologique.
L’article premier de l’IA Act affiche clairement l’ambition du rédacteur européen qui est : 

« L’objectif du règlement est d’améliorer le fonctionnement du marché intérieur et de promouvoir l’adoption d’une IA axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, notamment la démocratie, l’état de droit et la protection de l’environnement, contre les effets néfastes des systèmes d’IA dans l’Union », et « en soutenant l’innovation ».

Sous cet angle, l’enjeu pour les entreprises, confrontées à ces exigences de conformité réglementaire, est d’appréhender stratégiquement ce nouveau cadre normatif tout en faisant preuve d’intelligence économique pour en exploiter les avantages concurrentiels décisifs. Il est donc essentiel pour les entreprises qui intègrent des systèmes d’IA fournis par des tiers de s’assurer qu’ils respectent les exigences de l’IA Act, d’autant plus que l’article 4 du règlement pose l’obligation pour les entreprises de former leur personnel à l’utilisation des systèmes d’IA.

Les entreprises doivent donc se préparer dès maintenant afin d’anticiper l’application échelonnée des obligations posées par l’IA Act. La mise en place d’une gouvernance adaptée est essentielle. L’entreprise utilisatrice devra adopter une démarche proactive de conformité réglementaire en réalisant l’inventaire des usages internes de systèmes d’IA, en définissant une politique de déploiement et d’utilisation des systèmes d’IA, en réalisant régulièrement des audits de conformité avec les fournisseurs afin d’évaluer les risques associés à chaque utilisation de système d’IA.

À ce titre, l’IA Act vient imposer des obligations graduelles, selon le niveau de risque associé aux systèmes d’IA utilisés, tant aux développeurs de systèmes d’IA qu’aux entreprises qui utilisent ces technologies dans le cadre de leurs activités. Les premières mesures sont en vigueur depuis le 2 février 2025. Les dispositions de l’IA Act qui traitent spécifiquement de l’IA à usage général, dont l’entrée en vigueur est fixée le 2 août 2025, concentrent aujourd’hui toutes les attentions. Les sanctions prévues par le texte seront applicables également à compter du 2 août 2025. Le reste des mesures se déploiera en plusieurs étapes jusqu’en 2027.

Il appartient aux entreprises d’identifier dans quelles catégories de risques s’insèrent les systèmes d’IA qu’elles utilisent afin d’appliquer les règles adaptées de mise en conformité à l’IA Act.

Le présent article propose de revenir synthétiquement sur les points clés de l’IA Act à l’aune des obligations graduelles selon les systèmes d’IA retenues et de son calendrier d’application échelonné.

I. Classification des systèmes d’IA et entrée progressive du règlement.

A. Définition et classification des système d’IA.

Le Parlement européen, définit l’IA comme tout outil utilisé par une machine capable de « reproduire des comportements liés aux humains, tels que le raisonnement, la planification et la créativité ».

L’IA Act retient une définition large de l’IA qu’il appréhende comme « tout système automatisé conçu pour fonctionner avec différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels » [5].
À ce titre, la Commission a publié ses lignes directrices sur la définition des systèmes d’IA afin de faciliter l’application des règles de la première législation sur l’IA. Les lignes directrices soulignent notamment la distinction entre systèmes d’IA et logiciels conventionnels et excluent ces derniers du champ d’application de la définition des systèmes d’IA.

La lecture de l’IA Act, et de son article 95, permet de dégager quatre catégories de système d’IA, selon une échelle de risque, de minimale à inacceptable, pour la santé, la sécurité et les droits fondamentaux.

La première catégorie dégagée porte sur les systèmes d’IA à risque minimal ou nul. Ces systèmes ne sont pas expressément réglementés par le texte. La plupart des systèmes d’IA actuellement utilisés dans l’UE font partie de cette catégorie. Il s’agit des systèmes avec peu ou pas de risques tels que les outils de traduction, les jeux vidéo et les filtres anti-spam activés par l’IA.

La deuxième catégorie dégagée est les systèmes d’IA à risque limité ou modéré. Ces systèmes ne sont pas expressément visés par le texte. Ces systèmes sont soumis à des obligations de transparence plus légères au regard de l’article 50 du règlement. On peut néanmoins déduire cette catégorie à la lecture des autres dispositions du règlement. On peut ranger dans cette catégorie les systèmes d’IA interactifs, les IA génératives, les systèmes d’IA de reconnaissance émotionnelle ou de catégorisation biométrique et les systèmes de permutation intelligents de visages dits « hypertrucage » ou « deepfakes ».

La troisième catégorie porte sur les systèmes d’IA à risque élevé. Il s’agit de la catégorie la plus régulée. Les systèmes d’IA peuvent être classés comme étant à haut risque dans deux cas : (i) si le système d’IA est intégré comme composant de sécurité dans les produits couverts par la législation existante sur les produits (annexe I) ou s’il constitue lui-même un tel produit (par exemple des logiciels médicaux fondés sur l’IA) ; et (ii) si le système d’IA est destiné à être utilisé pour un cas d’utilisation à haut risque mentionné à l’annexe III du règlement sur l’IA. La liste figurant à cette annexe énumère des cas d’utilisation dans des domaines tels que l’éducation, l’emploi, la répression ou la migration. Le texte soumet à des règles supplémentaires sur les systèmes d’IA ayant un impact significatif sur la santé, la sécurité ou les droits fondamentaux. Les systèmes d’IA à haut risque sont soumis à des exigences renforcées. Les déployeurs du système d’IA à haut risque sont également soumis aux obligations supplémentaires ! L’article 6 du règlement et son annexe III précisent les domaines visés.

La dernière catégorie porte sur les systèmes d’IA à risque inacceptable [6]. Le règlement interdit la mise sur le marché, la mise en service ou l’utilisation interdite de huit systèmes d’IA à haut risque. Il est visé notamment l’IA manipulatrice, les systèmes de notation sociaux, systèmes de catégorisation biométrique, la constitution de bases de données de reconnaissance faciale, identification biométrique à distance en temps réel dans des espaces publics, etc. Ces dispositions sont en vigueur depuis le 2 février dernier.

Le 4 février 2025, la Commission a publié les lignes directrices sur les pratiques interdites en matière d’IA.Ces lignes directrices, non contraignantes, apportent des précisions pratiques pour les fournisseurs et les développeurs de systèmes d’IA dans les obligations à respecter en présence de risques inacceptables, en rappelant qu’ils doivent intégrer des mécanismes de protection et interdire contractuellement les usages prohibés.

B. Le calendrier échelonnée d’application du règlement européen sur l’IA selon les systèmes d’IA.

L’IA Act est entré en vigueur le 1ᵉʳ août 2024. L’ application du règlement est ensuite échelonnée entre le 2 février 2025, le 2 août 2026 et le 2 août 2027.

Les dates clés à retenir de l’application échelonnée du règlement IA Act sont les suivantes :

  • Les systèmes d’IA présentant des risques jugés inacceptables sont interdits, dès le 2 février 2025 ;
  • Les codes de pratique devraient être prêts pour le 2 mai 2025 ;
  • Les dispositions du règlement qui portent sur les modèles d’IA à usage général, entrent en vigueur le 2 août 2025 ;
  • Les États membres auront jusqu’au 2 août 2025 pour nommer des autorités nationales compétentes chargées de superviser l’application des règles relatives aux systèmes d’IA et d’effectuer des activités de surveillance du marché.
  • Le Comité européen de l’intelligence artificielle, composé de ces régulateurs nationaux, coordonnera ces mesures et veillera au respect de l’IA Act par les Etats. Il entrera en fonctions le 2 août 2025 ;
  • Les dispositions relatives aux systèmes d’IA à haut risque entreront en vigueur de manière progressive à compter du 2 août 2026 concernant les risques listés à l’annexe III (biométrie, les infrastructures critiques, l’éducation, l’emploi ou la justice ) ;
  • Les dispositions relatives aux systèmes d’IA à haut risque entreront en vigueur de manière progressive à compter du 2 août 2027 concernant ceux visés à l’article 6 § 1 du règlement (c’est-à-dire relevant d’une réglementation harmonisée tels que les jouets, les dispositifs médicaux et les machines) ;
  • Les dispositions relatives aux systèmes d’IA à haut risque entreront en vigueur de manière progressive à compter du 31 décembre 2030 pour les risques visés à l’annexe X.

La Commission procèdera à une évaluation de l’application du présent règlement et fait rapport au Parlement européen, au Conseil et au Comité économique et social européen, le 2 août 2031.

II/ Rappel des principales obligations issues de l’IA Act.

A. Identification des acteurs concernés : les fournisseurs, les distributeurs, et les déployeurs de systèmes d’IA.

Le règlement sur l’IA revendique pleinement sa vocation extra-territoriale puisqu’il s’applique dès lors que le système d’IA est mis sur le marché ou mis en service dans l’Union européenne, mais également quand l’utilisateur est situé dans l’Union européenne ou que le résultat est utilisé dans l’Union européenne [7]. Il absorbe ainsi dans son champ d’application les développeurs de modèles d’IA extra-européen comme les big tech nord-américaine et chinoise dès qu’elles interviennent sur le marché européen.

Par ailleurs, l’IA Act appréhende largement les acteurs concernés. Il s’applique à la fois aux fournisseurs et aux distributeurs, et aux déployeurs de systèmes d’IA.

1. Le fournisseur d’un système d’IA développe un système d’IA avant de le proposer sur le marché [8]. Les fournisseurs jouent un rôle central dans le système de conformité. Il est essentiel qu’ils vérifient que les systèmes d’IA à risque élevé respectent les exigences techniques et qu’ils puissent prouver leur conformité en cas de contrôle par une autorité compétente [9]. Par ailleurs, ils sont soumis aux obligations de transparence [10].

2. Le distributeur désigne toute personne physique ou morale de la chaîne d’approvisionnement, à l’exception du fournisseur ou de l’importateur, qui met un système d’IA à disposition sur le marché de l’Union. Avant de mettre un système d’IA à haut risque à disposition sur le marché, il doivent notamment vérifier qu’il porte le marquage CE requis, qu’il est accompagné d’une copie de la déclaration UE de conformité et de sa notice d’utilisation [11].

3. Les entreprises qui intègrent des systèmes d’IA sont qualifiées « déployeurs d’un système d’IA ».
Le déployeur d’un système d’IA est « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non-professionnel » [12]. Les déployeurs d’un système d’IA risque élevé sont soumis à une série d’obligations [13]. Ils sont tenus de vérifier que le fournisseur a effectué les évaluations de conformité nécessaires pour un système à risque élevé, comme la documentation technique, les tests de sécurité et la gestion des données [14]. Autrement dit, ils doivent sélectionner des fournisseurs fiables et solliciter des garanties de conformité.
Les déployeurs de systèmes d’IA doivent s’assurer que les systèmes mis en service dans l’Union respectent les obligations techniques et organisationnelles issues du règlement et ils doivent notifier les risques aux autorités compétentes dans le cas contraire [15]. Ils sont tenues de se conformer aux notices d’utilisation [16], de veiller sur les données d’entrée [17], d’en surveiller le fonctionnement [18] et d’assurer la tenue des journaux [19]. Ils sont également soumis aux obligations de transparence [20].

Les déployeurs de systèmes d’IA doivent identifier et évaluer les impacts potentiels sur tous les droits fondamentaux résultant de l’utilisation des systèmes d’I à haut risque, et déployer des mesures pour atténuer tout impact négatif [21]. L’IA Act précise que l’analyse d’impact sur les droits fondamentaux (« FRIA ») est principalement requise « des déployeurs de systèmes d’IA à haut risque », des « déployeurs qui sont des organismes de droit public » et des déployeurs qui « sont des entités privées fournissant des services publics » [22].
Cette étude d’impact permet d’identifier préventivement une possible violation des droits fondamentaux. Le contenu de cette analyse d’impact est énuméré dans le texte, et comprend une description du processus, de la période d’utilisation, des catégories de personnes affectées, des risques de préjudices, des mesures de contrôle et des mesures prévues en cas de matérialisation des risques [23].
Dès l’analyse d’impact est réalisé, le déployeur du système d’IA doit notifier les résultats de l’évaluation à l’autorité de surveillance compétente, à moins que le déployeur ne soit exempté de l’obligation de notification, notamment pour des « raisons exceptionnelles de sécurité publique ou pour assurer la protection de la vie et de la santé humaines, ou la protection de l’environnement » [24].

Les entreprises pourront prochainement profiter de la mise en oeuvre d’un bac à sable réglementaire en matière d’IA, qui devra être opérationnel au plus tard le 2 août 2026 [25]. Elles pourront ainsi développer, tester et valider des systèmes d’IA innovants, avant leur mise sur le marché, dans un environnement contrôlé afin de s’assurer de leur conformité réglementaire.

B. Les obligations selon les systèmes d’IA.

a. Les obligations applicables aux systèmes d’IA à haut risque et à risque limité.

Les entreprises doivent identifier dans quelles catégories de risques entre les systèmes d’IA afin d’appliquer les règles adaptées de mise en conformité. Pour répondre à ces enjeux, il serait opportun pour les entreprises de se doter d’un comité de gouvernance des risques IA pour l’accompagner dans les missions suivantes :

  • Transparence des systèmes d’IA pour identifier les risques potentiels associés aux systèmes d’IA déployés, ainsi que des mesures prises pour les réduire ;
  • Traçabilité des systèmes d’IA par une documentation détaillée devant accompagner les systèmes d’IA, de la conception à la mise en place des mesures de sécurité ;
  • Gestion des vulnérabilité systèmes d’IA par la surveillance continue des systèmes d’IA qui est cruciale pour évaluer les potentielles vulnérabilités, incluant la documentation des incidents, les mesures correctives appliquées et leur suivi après leur exécution.

L’IA Act détermine les règles applicables en fonction du niveau de risque des systèmes d’IA mis en place.

1. Les systèmes d’IA qui présentent un risque minimal ou nul ne sont pas soumis à des dispositions spécifiques du règlement sur l’IA. La majorité des systèmes d’IA présentent de tels risques limités peuvent donc être développés et exploités à condition de respecter la législation en vigueur. Toutefois, les entreprises ont la possibilité d’adopter volontairement des codes de bonnes pratiques [26] ou des codes de conduite [27].

2. Le règlement vise à son article 5 les pratiques d’IA qui sont purement et simplement interdites depuis le 2 février 2025.
Il s’agit notamment :

  • des systèmes d’IA qui ont recours à des « techniques subliminales ou à des techniques délibérément manipulatrices ou trompeuses visant ou ayant pour effet d’altérer substantiellement le comportement d’une personne ou d’un groupe de personnes en portant atteinte à leur capacité de prendre une décision éclairée » ;
  • les systèmes d’IA qui exploitent les éventuelles vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne ou d’un groupe de personnes ; des dispositifs de notation sociale conduisant à un traitement préjudiciable ou défavorable, notamment injustifié ou disproportionné par rapport au comportement social des personnes concernées ;
  • les systèmes visant à évaluer ou à prédire le risque qu’une personne physique commette une infraction pénale, uniquement sur la base du profilage d’une personne physique ou de l’évaluation de ses traits de personnalité ou caractéristiques ; les bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance ;
  • les dispositifs inférant les émotions d’une personne physique sur le lieu de travail, sauf raisons médicales ou de sécurité ;
  • les systèmes qui catégorisent individuellement les personnes physiques sur la base de leurs données biométriques afin d’arriver à des déductions ou à des inférences concernant leur race, leurs opinions politiques, leur affiliation à une organisation syndicale, leurs convictions religieuses ou philosophiques, leur vie sexuelle ou leur orientation sexuelle ;
  • les identifications biométriques à distance en temps réel dans des espaces accessibles au public à des fins répressives, sous certaines réserves.

3. Pour les systèmes d’IA à risque limité, l’obligation principale porte sur la transparence des systèmes d’IA. Les intelligences artificielles génératives rentrent dans cette catégorie des systèmes d’IA à risque limité.
Bien que le règlement ne prévoit pas de disposition spécifique pour cette catégorie de système d’IA, ces systèmes entrent dans le champ d’application des obligations de transparence et d’information visées l’article 50 du règlement. Ils doivent être développés et utilisés de manière à permettre une traçabilité et une explicabilité appropriées, de sorte que les utilisateurs réalisent qu’ils communiquent ou interagissent avec un système d’IA en plus d’être informés de leurs droits. Par ailleurs, les déployeurs doivent être dûment informés des capacités et des limites de ce système d’IA. Cette information doit être claire et accessible.
Cela se traduit synthétiquement par le respect des obligations suivantes :

  • information des utilisateurs lors de l’utilisation de systèmes d’IA ;
  • identification du contenu généré par l’IA par les fournisseurs ;
  • étiquetage des contenus générés par l’IA, étiquetés comme générées artificiellement par le système d’IA.

4. Le cœur de la réglementation concerne les systèmes à risque élevé. Le règlement fixe les obligations applicables aux systèmes d’IA à haut risque dans ses articles 6 à 49. Dès la conception de systèmes d’IA susceptible de présenter de tels risques, les entreprises doivent mettre en place des mesures pour évaluer leur conformité. Cette évaluation doit être répétée si le système ou sa finalité sont substantiellement modifiés.

Les systèmes d’IA systèmes d’IA à haut risque devront notamment adopter les exigences suivantes afin d’être mis sur le marché :

  • systèmes adéquats d’évaluation [28] ;
  • haute qualité des ensembles de données alimentant le système afin de détecter, prévenir et atténuer les biais et corriger les résultats discriminatoires interdits [29] ;
  • enregistrement des activités afin d’assurer la traçabilité des événements pertinents [30] ;
  • documentation détaillée fournissant les informations nécessaires sur le système pour assurer la transparence de son fonctionnement et permettre l’évaluation de sa conformité [31] ;
  • haut niveau d’exactitude, de robustesse et de cybersécurité [32].

Enfin, il faut préciser que les dispositions du RGPD trouvent à s’appliquer dans l’IA Act, les bases de données devant alimenter les systèmes d’IA doivent respecter le principe d’exactitude, ce qui implique que les données personnelles sont « exactes et, si nécessaire, tenues à jour » [33].

b. L’obligation de transparence spécifique pour les systèmes d’IA basés sur un modèle d’IA à usage général.

Le règlement développe des règles harmonisées en matière de transparence, applicables à certains systèmes d’IA [34], et notamment à l’égard des systèmes d’IA basés sur un modèle d’IA à usage général. Cela traduit la vigilance particulière des autorités pour ces types d’IA.

Les dispositions sur les systèmes d’IA à usage général, qui constituent une catégorie transverse du règlement, entreront prochainement en application dès le 2 août 2025. À compter de cette date, les fournisseurs de ces modèles doivent mettre à disposition une documentation technique et des instructions d’utilisation, et se conformer à la directive sur les droits d’auteur et publier un résumé du contenu utilisé pour l’entraînement de leurs algorithmes.

Les modèles d’IA à usage général peuvent accomplir de nombreuses tâches et sont à la base de nombreux systèmes d’IA dans l’UE. Le règlement ne restreint pas l’utilisation de tels systèmes. En y consacrant un chapitré dédié au sein de ses articles 51 à 56, l’un de ses objectifs est de soutenir l’innovation pour ces systèmes d’IA à usage général tout en prévenant les éventuelles violations des droits fondamentaux et de la propriété intellectuelle en spécifiant les obligations de transparence.

Le système d’IA basé sur un modèle d’IA à usage général est défini par le règlement comme « un système d’IA qui est fondé sur un modèle d’IA à usage général et qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA » [35]. Ce système d’IA peut répondre à divers besoins, aussi bien pour une utilisation autonome que pour une implémentation dans d’autres systèmes d’IA. Les IA Génératives, qui s’appuient sur ces modèles polyvalents, font naturellement partie de ces systèmes.

Afin de garantir le respect des droits de propriété intellectuelle et des données, en particulier du cadre posé par la directive (UE) 2019/790 du 17 avril 2019 sur le droit d’auteur et les droits voisins dans le marché unique numérique dit « DAMUN », l’IA Act exige une transparence « by design » sur les sources utilisées pour l’entraînement d’un modèle d’IA par les fournisseurs [36].

Le règlement précise que les fournisseurs de modèles d’ IA à usage général :

  • élaborent et tiennent à jour la « documentation technique du modèle, y compris son processus d’entraînement et d’essai et les résultats de son évaluation », et
  • précisent dans la documentation technique du modèle, « au minimum, les informations énoncées à l’annexe XI aux fins de la fournir, sur demande, au Bureau de l’ IA et aux autorités nationales compétentes ».

L’annexe XI [37] du règlement précise à cet égard les informations demandées :

  • des informations sur les données utilisées pour l’entraînement, les essais et la validation, le cas échéant, y compris le type et la provenance des données et les méthodes d’organisation (p. ex. : nettoyage, filtrage, etc.),
  • le nombre de points de données, leur portée et leurs principales caractéristiques ;
  • la manière dont les données ont été obtenues et sélectionnées ;
  • toutes les autres mesures visant à détecter l’inadéquation des sources de données ;
  • les méthodes permettant de détecter les biais identifiables, le cas échéant.

En conséquence, ce règlement contraint les fournisseurs de ces systèmes à partager certaines informations avec les fournisseurs de systèmes en aval. La transparence est un élément clé pour mieux comprendre ces systèmes. Par ailleurs, ces fournisseurs doivent mettre en place des politiques strictes pour garantir le respect de la législation sur le droit d’auteur dans l’IA qu’ils développent, afin de permettre aux titulaires de droits d’auteur et de droits voisins de vérifier que les conditions d’accès licite et d’utilisation de leurs œuvres et prestations ont été respectées, et permettre, le cas échéant, de s’opposer à toute fouille de données.

Il est essentiel de noter que certains systèmes d’IA à usage général, lorsqu’il s’agit de grands modèles d’IA générative, sont considérés comme « à risque systémique », lorsqu’ils dépassent un certain seuil de capacité à fort impact, conformément aux critères de désignation précisés dans l’article 51 et l’Annexe XIII de l’AI Act.
Les fournisseurs de ces systèmes sont tenus d’évaluer et d’atténuer les risques, de signaler les incidents graves, de procéder à des essais et à des évaluations des systèmes d’IA conformément à l’état de la technique ainsi que d’assurer la cybersécurité de leurs systèmes.

Les fournisseurs de modèles d’IA à usage général peuvent s’appuyer sur des codes de bonne pratique pour démontrer qu’ils respectent les obligations énoncées par le réellement jusqu’à la publication d’une norme harmonisée prévue d’ici le 2 août 2025, dont le respect entraînera une présomption de conformité [38]. Les fournisseurs de modèles d’IA à usage général qui n’adhèrent pas à un code de bonnes pratiques approuvé ou ne respectent pas une norme européenne harmonisée doivent démontrer qu’ils disposent d’autres moyens appropriés de mise en conformité et les soumettent à l’appréciation de la Commission.

C. Sanctions.

  • L’IA Act précise que les sanctions doivent être effectives, proportionnées et dissuasives, et tenir compte de la taille de l’entreprise et de sa viabilité économique. Ces sanctions entreront en application le 2 août 2025.
  • Le non-respect des règles édictées par l’IA Act pour les pratiques interdites pourra être sanctionné par des amendes allant jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires mondial, en fonction de la taille de l’entreprise et de l’infraction [39].
  • La non-conformité aux autres dispositions de l’IA Act pourra faire l’objet d’une amende allant jusqu’à 15 millions d’euros, et si l’auteur de l’infraction est une entreprise, jusqu’à 3 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu [40].

Ce qu’il faut retenir.

  • L’IA Act a pour objet d’encadrer de manière éthique et responsable le développement et l’utilisation de l’intelligence artificielle, tout en favorisant la compétitivité de l’Union européenne dans ce secteur.
  • l’IA Act est entré en vigueur le 1ᵉʳ août 2024, avant une application générale fixée pour le 2 août 2026, à l’exception de certaines dispositions spécifiques.
  • Les entreprises doivent identifier dans quelles catégories de risques appartiennent les systèmes d’IA qu’elles utilisent afin d’appliquer les règles adaptées de mise en conformité.
  • Les règles relatives aux modèles d’IA à usage général, et celles sur les sanctions entreront en application le 2 août 2025.
  • À partir du 2 août 2025, la documentation technique et les instructions d’utilisation doivent être fournies par tous les fournisseurs des modèles d’IA à usage général, qui doivent publier un résumé du contenu utilisé pour l’entraînement de leurs algorithmes et se conformer à la directive sur les droits d’auteur.
  • D’ici le 2 août 2025, chaque État membre de l’Union européenne doit par ailleurs désigner une autorité compétente pour appliquer le texte européen sur son territoire.

Karim Amrar
Consultant droit de la propriété intellectuelle& nouvelles technologies.

Recommandez-vous cet article ?

Donnez une note de 1 à 5 à cet article :
L’avez-vous apprécié ?

13 votes

L'auteur déclare ne pas avoir utilisé l'IA générative pour la rédaction de cet article.

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion (plus d'infos dans nos mentions légales).

Notes de l'article:

[1Règlement (UE) n° 2024/1689 du 13 juin 2024, établissant des règles harmonisées concernant l’intelligence artificielle.

[2Une stratégie européenne pour les données, Communication de la Communication de la Commission au Parlement Européen, au Conseil, au Comité Économique et Social Européen et au Comité des Régions, le 19.2.2020.

[3Règlement (UE) 2022/868 portant sur la gouvernance européenne des données.

[4Règlement (UE) du 13 décembre 2023 concernant des règles harmonisées portant sur l’équité de l’accès aux données et de l’utilisation des
données.

[5Règl. nº 2024/1689, 13 juin 2024, art. 3, 1.

[6Règl. nº 2024/1689, 13 juin 2024, art. 5.

[7Règl. nº 2024/1689, 13 juin 2024, art. 2

[8Règl. nº 2024/1689, 13 juin 2024, art. 3, 3.

[9Règl. nº 2024/1689, 13 juin 2024, art.17 à 21, art. 43,48 et 49.

[10Règl. nº 2024/1689, 13 juin 2024, art. 50.

[11Règl. nº 2024/1689, 13 juin 2024, art. 24.

[12Règl. nº 2024/1689, 13 juin 2024, art. 3, 4.

[13Règl. nº 2024/1689, 13 juin 2024, art. 23 et 24.

[14Règl. nº 2024/1689, 13 juin 2024, art. 26.

[15Règl. nº 2024/1689, 13 juin 2024, art.79 § 1.

[16Règl. nº 2024/1689, 13 juin 2024, art. 26 § 1.

[17Règl. nº 2024/1689, 13 juin 2024, art. 26 § 4.

[18Règl. nº 2024/1689, 13 juin 2024, art. 26 § 5.

[19Règl. nº 2024/1689, 13 juin 2024, art. 26 § 6.

[20Règl. nº 2024/1689, 13 juin 2024, art. 50.

[21Règl. nº 2024/1689, 13 juin 2024, art.27.

[22Règl. nº 2024/1689, 13 juin 2024, art. 27

[23Règl. nº 2024/1689, 13 juin 2024, art. 27 (1, a).

[24Règl. nº 2024/1689, 13 juin 2024, art. 46 (1).

[25Règl. nº 2024/1689, 13 juin 2024, art.57.

[26Règl. nº 2024/1689, 13 juin 2024, art. 56.

[27Règl. nº 2024/1689, 13 juin 2024, art. 95.

[28Règl. nº 2024/1689, 13 juin 2024, art. 25§2.

[29Règl. nº 2024/1689, 13 juin 2024, art. 10.

[30Règl. nº 2024/1689, 13 juin 2024, art. 12.

[31Règl. nº 2024/1689, 13 juin 2024, art. 13.

[32Règl. nº 2024/1689, 13 juin 2024, art.15§1.

[33Règl. nº 2016/679, 27 avril 2016 art.5§1, d).

[34Règl. nº 2024/1689, 13 juin 2024, art. 50.

[35Règl. nº 2024/1689, 13 juin 2024, art. 3 (66).

[36Règl. nº 2024/1689, 13 juin 2024, art. 53, § 1, c) et d).

[37Règl. nº 2024/1689, 13 juin 2024 annexe XI, section 1, 2°, c).

[38Règl. nº 2024/1689, 13 juin 2024, art. 53§4.

[39Règl. nº 2024/1689, 13 juin 2024, art. 99§3.

[40Règl. nº 2024/1689, 13 juin 2024, art. 99§4.

A lire aussi :

Explorer : # intelligence artificielle # réglementation européenne # conformité réglementaire # protection des données

  1. Dans la même rubrique
  2. Les Actualités juridiques
  3. Droit du numérique et des TIC
  4. Intelligence Artificielle (IA)

Encadrement juridique de l’usage de l’intelligence artificielle (IA) en entreprise. Par Ludovic de La Monneraye, Avocat.

19 mai 2025

L’utilisation de l’intelligence artificielle et du "machine learning" dans la détection des fraudes et le blanchiment d’argent : cadre juridique et enjeux éthiques. Par Ted-Rousseau Kennang, Juriste.

29 avril 2025

La responsabilité du fait des choses à l’ère de l’IA : enjeux juridiques et perspectives réglementaires. Par Yasser Elkouri, Doctorant.

17 mars 2025

Conformité à l’AI Act : définition d’Intelligence Artificielle selon l’AI Act. Par Tommaso Stella, Avocat.

12 mars 2025

Intérêt légitime, anonymat et modèles d’IA : guide pratique pour le développement et le déploiement à destination des non-juristes. Par Charlotte Gerrish, Avocat, Marina Danielyan et Abigail Lee, Juristes.

21 février 2025

La conformité au RGPD des IA génératives, un idéal impossible ? Par Lucie Chênebeau, Avocate et Sara D’Orio, Etudiante.

24 février 2025

Village de la justice et du Droit

Bienvenue sur le Village de la Justice.

Le 1er site de la communauté du droit: Avocats, juristes, fiscalistes, notaires, commissaires de Justice, magistrats, RH, paralegals, RH, étudiants... y trouvent services, informations, contacts et peuvent échanger et recruter. *

Aujourd'hui: 156 550 membres, 28199 articles, 127 292 messages sur les forums, 2 600 annonces d'emploi et stage... et 1 500 000 visites du site par mois en moyenne. *


FOCUS SUR...

• 1er Guide synthétique des solutions IA pour les avocats.

• [Dossier] Le mécanisme de la concurrence saine au sein des équipes.




Tous les Articles publiés

Populaires en ce moment

Annonces d'Emploi

Forum

Formations à venir

LES HABITANTS

Membres

Professionnels du droit et autres inscrits

PROFESSIONNELS DU DROIT

Previous Next

 

Procédure d’appel, procédure civile, conseil, contentieux, modes amiables

 

Cabinet d'avocat

 

 

Facilite l'accès aux professions du Droit

 

Réseau de cabinets d’avocats indépendants

 

Collectif d'avocats et de médiateurs

 

Association pour la prévention positive des cyberviolences

 

Cabinet d'Avocats

 

Agir en faveur de l’accès au droit

 

Bien plus que du droit.

 

Réseau de professionnels du Droit

Solutions

Previous Next

 

Traducteurs assermentés

 

Destruction et recyclage de documents confidentiels

 

1er service entièrement en ligne pour externaliser vos appels

 

Offres pour les métiers du droit

 

Aides et Conseils à l'installation des avocats.

 

Logiciels pour professionnels du droit.

 

Association de gestion et de comptabilité pour Avocats

 

Lettre recommandée électronique

 

AI-powered Contract Management

 

Solutions d'informations pour professionnels du droit.

 

Editeur juridique et de solutions de gestion pour les métiers du droit

 

Maintenance informatique spécialisée pour les professionnels du droit

 

Logiciels de conformité, risques et éthique

 

Créateur de confiance juridique

 

Editeur juridique

Formateurs

Previous Next

 

Se former est une chance !

 

Formations courtes ou longues à destination des professionnels du droit

 

Des formations spécialisées

 

La Compétence juridique se recrute !

 

Cabinet juridique et organisme de formation

 

Formation, recherche et innovation

 

L’école des nouveaux juristes !

 

Se former aux métiers du Droit

Nouvelles parutions

Robert Badinter

Robert Badinter - L’œuvre d’un juste

« Un jour, je vous parlerai de la Justice...»

LexisNexis Presse

La Semaine Juridique - Édition Générale

Accédez à votre actualité juridique chaque semaine sous la plume d’auteurs de renom !

A côté du droit !

Sélection Liberalis du week-end : balade en terres corréziennes.

[Nouvelle parution] "Quand on se parle" : la justice restaurative pour les auteurs d’infraction et les victimes.

Les prochaines manifestations sportives des professionnels du Droit.

Régulièrement nous partageons ici avec vous quelques images du net...

A voir et à Écouter... sur le Village de la justice:

- [Podcast] Juger le Droit : la Cour de cassation.
- Dans les coulisses des directions juridiques de EDF et L’ORÉAL.
- [Audio] Discussion sur les études privées de Droit.
- [Podcast] Comment défendre la Justice ? Réponse avec l’ancien garde des Sceaux Didier Migaud.

Le Village de la justice est le 1er site de la communauté des métiers du Droit, en accès libre, créé en 1997 (en savoir plus). Avocats, juristes d'entreprises et salariés, magistrats, étudiants, notaires, huissiers, fiscalistes, RH, experts et conseils etc, y trouvent de nombreuses informations et participent à la communauté, s'informent, établissent leur réseau, recrutent... Le premier Réseau du droit ! > Découvrez notre philosophie et fonctionnement ici.

Edité par Legi Team
Editeur - Publicité
Fil RSS général du Village
Gestion des cookies - RGPD
Mentions légales - CGV - CGU
RSE
Plan du Village de la Justice
Nous écrire

Copyright © Village de la justice et auteurs publiés ici.