Mercredi 13 mars, le Parlement européen a ratifié la loi sur l’intelligence artificielle, marquant une étape importante dans la réglementation de la technologie de l’IA au sein de l’Union européenne.
L’acte, qui a été obtenu à l’issue de négociations avec les États membres en décembre 2023, a reçu un soutien substantiel des eurodéputés, avec 523 voix pour, 46 contre et 49 abstentions.
L’objectif premier de la loi est d’assurer la sécurité des applications d’IA et le respect des droits fondamentaux tout en favorisant l’innovation.
Il introduit un cadre qui vise à protéger les droits fondamentaux, la démocratie, l’État de droit et la durabilité environnementale contre les risques potentiels associés à l’IA à haut risque.
Dans le même temps, la législation vise à promouvoir l’innovation et à positionner l’Europe comme un chef de file dans le paysage mondial de l’IA.
La Loi établit des obligations pour les systèmes d’IA en fonction de leurs risques évalués et de leur niveau d’impact.
Elle interdit certaines applications d’IA jugées menaçantes pour les droits des citoyens, telles que les systèmes de catégorisation biométrique basés sur des caractéristiques sensibles et la collecte indiscriminée d’images faciales provenant de sources telles qu’Internet ou des images de vidéosurveillance pour créer des bases de données de reconnaissance faciale.
De plus, des pratiques telles que la reconnaissance des émotions sur les lieux de travail et dans les écoles, la notation sociale, la police prédictive basée uniquement sur le profilage des individus et l’IA qui manipule le comportement humain ou exploite les vulnérabilités sont interdites.
L’utilisation de systèmes d’identification biométrique (RBI) par les forces de l’ordre est généralement interdite, sauf dans des situations étroitement définies et sous réserve de garanties strictes.
Le déploiement de RBI en temps réel est subordonné au respect de critères spécifiques, notamment des limitations de durée et de portée géographique, ainsi qu’à l’obtention d’une autorisation judiciaire ou administrative préalable.
L’utilisation a posteriori de tels systèmes (« RBI post-remote ») est considérée comme à haut risque et nécessiterait une autorisation judiciaire liée à une infraction pénale.
Des obligations claires sont définies pour d’autres systèmes d’IA à haut risque, qui englobent des domaines tels que les infrastructures critiques, l’éducation, l’emploi, les services essentiels, l’application de la loi, la migration et la gestion des frontières, la justice et les processus démocratiques.
Ces systèmes doivent évaluer et atténuer les risques, tenir des registres d’utilisation, assurer la transparence et l’exactitude, et intégrer une supervision humaine. Les citoyens conservent le droit de déposer des plaintes concernant les systèmes d’IA et d’obtenir des explications sur les décisions influencées par des systèmes d’IA à haut risque qui affectent leurs droits.
Les systèmes d’IA à usage général (GPAI), ainsi que leurs modèles sous-jacents, sont soumis à des exigences de transparence, notamment le respect de la législation européenne sur le droit d’auteur et la publication de résumés détaillés des données d’entraînement.
Les modèles d’IAGP plus puissants confrontés à des risques systémiques sont soumis à des exigences supplémentaires, telles que des évaluations de modèles, des évaluations des risques systémiques et des rapports d’incidents.
De plus, les contenus artificiels ou manipulés, tels que les « deepfakes », doivent être clairement identifiés comme tels.
La loi rend obligatoire la mise en place de bacs à sable réglementaires et de tests en conditions réelles à l’échelle nationale, garantissant l’accessibilité aux PME et aux startups pour le développement et la formation d’IA innovante avant leur déploiement sur le marché.
Image : Mathieu CUGNOT © Union Européenne 2024 – Source : PE