Le règlement européen sur l’intelligence artificielle (IA Act du 13 juin 2024) établit un cadre juridique inédit pour réguler l’utilisation des systèmes d’IA (SIA) au sein de l’Union européenne, visant à garantir une utilisation éthique et sécurisée de ces technologies. Il s’applique à divers acteurs, et en premier lieu aux fournisseurs de ces systèmes. Ces derniers sont définis comme toute personne physique ou morale, autorité publique, agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit (article 3 du Règlement). Les développeurs sont donc confondus avec les fournisseurs.

1. Obligations générales des fournisseurs.

Formation.

Les fournisseurs de systèmes d’IA (comme les déployeurs de SIA) doivent prendre des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des SIA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés (article 4 du Règlement).
Il en résulte une obligation pour les entreprises de former les développeurs et utilisateurs de SIA.

Transparence.

Les fournisseurs doivent informer les personnes physiques concernées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée, compte tenu des circonstances et du contexte d’utilisation (art 50.1).
Les fournisseurs de systèmes d’IA, y compris de systèmes d’IA à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, doivent veiller à ce que les sorties des systèmes d’IA soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA (art. 50.2).
L’information doit être fournie au plus tard au moment de la première interaction ou de la première exposition.

Interdictions.

Il est interdit de mettre en service ou d’utiliser un système d’IA qui a recours à des techniques subliminales, qui exploite les éventuelles vulnérabilités des personnes, qui évaluent ou classifient les personnes en fonction de leur comportement social ou de leurs caractéristiques personnelles, qui a pour but la reconnaissance faciale, la catégorisation biométrique etc (la liste des interdictions figure à l’article 5 du Règlement)

2. Obligations spécifiques pour les fournisseurs de systèmes d’IA à haut risque (SIAHR) (Voir l’article IA Act et systèmes d’IA à haut risque).

• Respecter la législation d’harmonisation de l’Union dont la liste figure à la section A de l’annexe I (art 8).

• Fournir une notice d’utilisation contenant des informations complètes (art 13) sur le fonctionnement du système pour permettre aux déployeurs d’interpréter les sorties du système et de les utiliser de manière appropriée. Les informations devant y figurer sont listées à l’article 13 du Règlement.

• Etablir un système de gestion des risques, le mettre en œuvre, le documenter et le tenir à jour (art 9.1). Ce système consiste en un processus itératif qui se déroule sur l’ensemble du cycle de vie d’un système d’IA à haut risque et qui comprend :
  a) l’identification et l’analyse des risques connus et raisonnablement prévisibles que le système d’IA à haut risque peut poser pour la santé, la sécurité ou les droits fondamentaux lorsque le système d’IA à haut risque est utilisé conformément à sa destination ;
  b) l’estimation et l’évaluation des risques susceptibles d’apparaître lorsque le SIAHR est utilisé conformément à sa destination et dans des conditions de mauvaise utilisation raisonnablement prévisible ;
  c) l’évaluation d’autres risques susceptibles d’apparaître, sur la base de l’analyse des données recueillies au moyen du système de surveillance visé à l’article 72 ;
  d) l’adoption de mesures appropriées et ciblées de gestion des risques, conçues pour répondre aux risques identifiés en vertu du point a).

Dans ce cadre, les fournisseurs doivent veiller à :
a) éliminer ou réduire les risques identifiés autant que la technologie le permet grâce à une conception et à un développement appropriés du système d’IA à haut risque ;
b) mettre en œuvre, le cas échéant, des mesures adéquates d’atténuation et de contrôle répondant aux risques impossibles à éliminer ;
c) fournir aux déployeurs les informations requises conformément à l’article 13 et, éventuellement, une formation (art 9.5)

• Mettre en place une procédure d’évaluation de conformité du système, avant sa mise sur le marché ou sa mise en service (art. 43).

• Effectuer des tests des systèmes d’IA à haut risque afin de déterminer les mesures de gestion des risques les plus appropriées et les plus ciblées, à tout moment pendant le processus de développement et, en tout état de cause, avant leur mise sur le marché ou leur mise en service (art 9.6 à 9.8).

• Assurer la qualité des jeux de données d’entraînement, de validation et de test (art 9.10). Par exemple, les fournisseurs doivent vérifier la finalité initiale de la collecte de données et prendre les mesures appropriées visant à détecter, prévenir et atténuer les éventuels biais repérés. Sur ce point, voir également l’article 10 du Règlement).

• Rédiger une documentation technique relative au SIAHR avant que ce système ne soit mis sur le marché ou mis en service et le tenir à jour (art 11). Cette documentation contient, au minimum, les éléments énoncés à l’annexe IV du Règlement. A cette fin, la Commission établira un formulaire de documentation technique simplifié pour les petites entreprises.

• Procéder à l’enregistrement automatique des événements (journaux) tout au long de la durée de vie du système (art 12). Les journaux sont conservés pendant une période adaptée à la destination du système d’IA à haut risque, d’au moins six mois, sauf disposition contraire dans le droit de l’Union ou le droit national applicable (art 19).

• Permettre un contrôle effectif par des personnes physiques pendant la période d’utilisation du SIAHR, notamment au moyen d’interfaces homme-machine appropriées (art 14).

• Pouvoir garantir que le SIAHR dispose d’un niveau approprié d’exactitude, de robustesse et de cybersécurité, de façon constante tout au long de son cycle de vie (art 15).

• Autres obligations issues de l’article 16 du Règlement, imposées aux fournisseurs de SIAHR :
  • indiquer sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, leur nom, raison sociale ou marque déposée, l’adresse à laquelle ils peuvent être contactés ;
  • apposer le marquage CE sur le système d’IA à haut risque ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant ;
  • à la demande motivée d’une autorité nationale compétente, prouver la conformité du système d’IA à haut risque avec les exigences énoncées à la section 2 du Règlement ;
  • veiller à ce que le système d’IA à haut risque soit conforme aux exigences en matière d’accessibilité conformément aux directives (UE) 2016/2102 et (UE) 2019/882.

• Mettre en place un système de gestion de la qualité garantissant le respect du Règlement. Ce système est documenté de manière méthodique et ordonnée sous la forme de politiques, de procédures et d’instructions écrites (art 17).

• Coopérer avec les autorités compétentes concernées :
  • en tenant à leur disposition un certain nombre de documentation, listées à l’article 18, pendant 10 ans après la mise sur le marché ou la mise en service du SIAHR
  • en leur fournissant les informations demandées, y compris l’accès aux journaux générés automatiquement par le SIAHR (art. 21)
  • en les informant en cas de détection d’un risque et collaborer avec l’organisme ayant détecté le risque pour rechercher les causes (art. 20)
  • en leur signalant tout incident grave dans lesquels cet incident s’est produit (art 73).

• Prendre les mesures correctives nécessaires pour mettre en conformité le SIAHR immédiatement si les déployeurs, le mandataire et les importateurs ont des raisons de considérer que le système mis sur le marché ou mis en service n’est pas conforme au présent règlement (art 19) ; puis le cas échéant, le retirer, le désactiver ou le rappeler, et informer les distributeurs.

• Désigner un mandataire établi dans l’Union, par mandat écrit (pour les fournisseurs de SIAHR établis dans des pays tiers) et ce, avant de mettre le SIAHR à disposition sur le marché de l’Union (art 22).

• Etablir une déclaration UE de conformité pour chaque système d’IA à haut risque et la conserver pendant une durée de dix ans à partir du moment où le système d’IA à haut risque a été mis sur le marché ou mis en service (art 47).

• Organiser une procédure de surveillance après commercialisation les SIAHR (art. 72) après commercialisation pour les systèmes d’IA à haut risque.

• Enregistrement du fournisseur et de son système dans la base de données de l’UE visée à l’article 71 du Règlement. Cette obligation est imposée aux systèmes d’IA à haut risque énuméré à l’annexe III (à l’exception des systèmes d’IA à haut risque visés à l’annexe III, point 2), et aux systèmes d’IA à propos duquel le fournisseur a conclu qu’il ne s’agissait pas d’un système à haut risque (article 49).

3. Obligations des fournisseurs de modèles d’IA à usage général.

Un modèle d’IA à usage général est un système d’IA capable d’exécuter une large gamme de tâches distinctes (reconnaissance de formes, traduction, création de contenus en texte, audio, images, ou vidéo). Il est formé à partir de grandes quantités de données via des méthodes d’auto-supervision à grande échelle et possède au moins un milliard de paramètres. Ces modèles sont conçus pour être intégrés dans divers systèmes ou applications en aval, préalables à la mise sur le marché.

Hormis pour les IA utilisées pour des activités de recherche, développement ou prototypage, les fournisseurs de modèle d’IA à usage général doivent élaborer et :

• Tenir à jour la documentation technique du modèle, y compris son processus d’entraînement et d’essai et les résultats de son évaluation.
• Tenir à jour et mettre à disposition des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA.
• Mettre à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le Bureau de l’IA.

Obligations des fournisseurs de modèles d’IA à usage général présentant un risque systémique :

• Un modèle d’IA à risque systémique est celui qui dispose de capacités à fort impact (c’est-à-dire lorsque la quantité cumulée de calcul utilisée pour son entraînement (mesurée en opérations en virgule flottante) est supérieure à 10. Le niveau d’impact est évalué sur la base de méthodologies et d’outils techniques appropriés, y compris des indicateurs et des critères de référence.
• Le fournisseur concerné en informe la Commission sans tarder et, en tout état de cause, dans un délai de deux semaines après la date à laquelle ce critère est rempli ou après qu’il a été établi qu’il le sera.
• Le fournisseur doit effectuer une évaluation de son modèle sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, y compris en réalisant et en documentant des essais contradictoires du modèle en vue d’identifier et d’atténuer les risques systémiques (art 55 1 a).
• Les fournisseurs des modèles d’IA à risque ont enfin les mêmes obligations d’évaluation et de réduction des risques, documentation et coopération avec les autorités, et sont aussi soumis aux mêmes obligations de sécurité cyber que les fournisseurs de SIA à haut risque.

A noter.

• Il existe des règles spécifiques pour les fournisseurs de systèmes d’IA destinés aux autorités publiques ou aux institutions, organes ou organismes de l’Union ou aux établissements financiers.
• Il existe des règles spécifiques pour les SIA liés à la biométrie.

En conclusion, le règlement européen sur l’IA impose peu d’obligations aux fournisseurs de systèmes d’IA, sauf s’ils sont classifiés à haut risque ou à usage général présentant un risque systémique. Il est néanmoins évident que même les petits fournisseurs de SIA sans risque se verront imposées des mécanismes très contraignants par les sociétés utilisatrices.

Les exigences imposées aux fournisseurs de systèmes à risque sont en revanche très nombreuses. En comprenant ces exigences et en se conformant aux normes établies, les fournisseurs peuvent non seulement assurer la conformité légale mais aussi contribuer à une utilisation plus responsable et bénéfique de l’IA.

Charlotte Galichet Avocat au Barreau de Paris [->c.galichet@avocatspi.com] www.avocatspi.com

Cet article est protégé par les droits d'auteur pour toute réutilisation ou diffusion, plus d'infos dans nos mentions légales ( https://www.village-justice.com/articles/Mentions-legales,16300.html#droits ).