Pour saisir pleinement les enjeux du nouveau RIA, une exploration approfondie de ses objectifs et de son champ d’application s’impose (I). Cette démarche sera suivie d’une analyse détaillée des implications concrètes de ce cadre juridique, en particulier concernant les exigences de conformité et les sanctions en cas de non-respect, aspects qui revêtent une importance cruciale pour les acteurs concernés (II).
I. Une approche globale.
L’impact global du RIA sera d’abord évalué en identifiant les systèmes d’IA concernés et les acteurs touchés par ce cadre juridique (I.A). Les obligations spécifiques imposées à ces acteurs seront, quant à elles, analysées en fonction du niveau de risque associé à leurs systèmes d’IA (I.B).
A. Un Règlement à large impact.
La première étape pour déterminer l’applicabilité du RIA consiste à vérifier si un système d’IA correspond à la définition proposée dans le texte.
D’après le Chapitre 1, Article 3 du RIA, le système d’IA est défini comme :
« (1) un système basé sur une machine, qui est conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels (…) ».
Ce cadre juridique concernera les acteurs publics et privés, qu’ils soient basés dans l’UE ou non, dès qu’un système d’IA est commercialisé dans l’Union ou que son utilisation impacte des personnes au sein de l’UE. Les sujets les plus fortement réglementés sont les fournisseurs de systèmes d’IA. Les importateurs et les distributeurs ont également des obligations propres.
Enfin, le RIA impose certaines obligations aux déployeurs (ou utilisateurs) de systèmes d’IA.
Cependant, il existe certaines dérogations au RIA. Les activités de recherche, de développement et de prototypage qui ont lieu avant la mise sur le marché d’un système d’IA ne sont pas soumises à ces dispositions. En outre, les systèmes d’IA exclusivement conçus à des fins militaires, de défense ou de sécurité nationale sont également exemptés, quel que soit le type d’entité exerçant ces activités.
B. Obligations des acteurs concernés.
Le RIA distingue quatre niveaux de risque de systèmes d’IA : minimal, limité, élevé et inacceptable. Chaque niveau comporte ces propres obligations.
Les systèmes d’IA à risque minimal, tels que les systèmes de recommandation et les filtres anti-spam, ne sont soumis à aucune obligation spécifique, précisément en raison de leur faible risque.
Pour certains systèmes à risque limité, le RIA impose des obligations de transparence pour les systèmes d’IA qui interagissent avec les individus, comme les chatbots basés sur l’IA ou les systèmes générant des deepfakes.
La plupart des dispositions du RIA concernent les systèmes d’IA a risque élevé. Le RIA identifie deux catégories de systèmes à haut risque : ceux intégrés dans des produits (médical, transport) et ceux affectant les droits fondamentaux. Afin de garantir la sécurité et la fiabilité, des obligations strictes sont imposées, telles que des évaluations indépendantes et des mesures de transparence.
Enfin, les systèmes d’IA jugés inacceptables qui menacent les droits fondamentaux, sont interdits. Cela inclut les systèmes de manipulation cognitive et comportementale ou les systèmes d’identification biométrique en temps réel et à distance.
En outre, le RIA introduit des règles spécifiques pour les modèles d’IA à usage général, définis comme des systèmes très performants capables d’accomplir une grande variété de tâches, y compris l’IA générative, qui produit des contenus tels que des œuvres graphiques ou littéraires, similaires à ceux produits par des humains. Ces modèles, notamment ceux à fort impact et présentant des risques systémiques, comme le modèle avancé GPT-4, doivent faire l’objet d’évaluations approfondies et signaler tout incident grave à la Commission.
Au lendemain de son entrée en vigueur, ce nouveau cadre juridique innovant laisse de nombreux acteurs dans l’incertitude quant à son applicabilité à leurs usages spécifiques. Concepteurs, développeurs et entreprises utilisatrices de systèmes d’IA cherchent d’ores-et-déjà des clarifications sur la manière dont cette législation sera amenée à s’appliquer à leurs pratiques, afin d’anticiper au mieux leur mise en conformité.
II. Champ d’application.
Les délais de mise en conformité imposés par le RIA seront d’abord abordés (II.A), suivis par une analyse du régime des sanctions prévues pour assurer une application rigoureuse du RIA (II.B).
A. Délais de mise en conformité.
Le RIA est entré en vigueur le 1ᵉʳ août 2024 et s’appliquera en principe deux ans après, soit à partir du 2 août 2026.
Toutefois, certaines dispositions deviendront applicables plus tôt. Les interdictions, définitions et dispositions relatives à l’éducation à l’IA s’appliqueront dès le 2 février 2025. Les règles de gouvernance et les obligations concernant l’IA à usage général deviendront applicables le 2 août 2025.
À l’inverse, les obligations pour les systèmes à haut risque, notamment ceux intégrés dans des produits réglementés énumérés à l’annexe II, ne s’appliqueront qu’à partir du 2 août 2027.
Étant donné qu’il s’agit d’un règlement, les règles seront directement applicables dans tous les États membres de l’UE ; une transposition dans les législations nationales n’est pas nécessaire.
B. Un système de sanctions dissuasif.
Le régime de sanctions du RIA, tout en s’inspirant du RGPD, se distingue par ses montants plafonds plus élevés, et par conséquent son caractère dissuasif.
En effet, les entreprises qui enfreignent les règles relatives aux systèmes d’IA à haut risque s’exposent à des amendes pouvant atteindre 35 millions d’euros ou 7% de leur chiffre d’affaires mondial (alors que les sanctions prises en vertu du RGPD peuvent atteindre jusqu’au 20 millions d’euros ou 4% du chiffre d’affaires mondial).
De même, la communication d’informations inexactes aux autorités est passible d’amendes pouvant aller jusqu’à 7,5 millions d’euros. En outre, le non-respect d’autres obligations prévues par le RIA peut entraîner des amendes allant jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial.
L’Union européenne a posé un jalon historique en adoptant le premier Règlement mondial sur l’intelligence artificielle. Ce texte, bien qu’ambitieux, laisse encore des questions pratiques en suspens. Cependant, il offre une base solide pour construire un avenir où l’IA est au service de l’humanité. La collaboration de tous les acteurs concernés permettra de lever progressivement les incertitudes et de définir les meilleures pratiques. L’Europe a ainsi l’opportunité de devenir un innovateur juridique en matière d’intelligence artificielle responsable, en démontrant que l’innovation peut aller de pair avec l’éthique.
