Adopté au mois de mai dernier, l’AI Act est entré en vigueur le 2 février.
A ce stade, il s’agit essentiellement de « débrancher » les systèmes d’intelligence artificielle (IA) interdits car générant un « risque inacceptable »[1] en raison de la menace qu’ils représentent pour les « droits fondamentaux » (cf. Intelligence artificielle : « Nous ne sommes plus dans le temps du débat intellectuel »).
Ainsi les systèmes relevant de « techniques de manipulation », ceux destinés à établir une « notation sociale » comme en Chine, l’« utilisation abusive de la reconnaissance faciale » ou encore la reconnaissance des émotions sur un lieu de travail ou dans un cadre éducatif, sont prohibés. De même, ce qui relèverait de technologies pouvant « discriminer des individus en fonction de leur âge, d’un handicap ou d’une situation économique », et les pratiques de « police prédictive ».
Un cadre répressif à mettre en place
Outre ces IA interdites, les dispositions qui sont entrées en vigueur le 2 février concernent les « exigences relatives à la maîtrise de l’IA ». Chaque entreprise se doit « de lister les systèmes d’IA utilisés en interne et de cartographier les obligations auxquelles elles peuvent être soumises ».
Les organisations qui contreviennent à ces règles s’exposent à des amendes allant jusqu’à 7% de leur chiffre d’affaires mondial.
Toutefois, les éventuelles sanctions ne sont susceptibles d’arriver qu’à partir du 2 août. Le « cadre répressif » n’est pas encore mis en place. « Les détails concernant les sanctions manquent encore et les autorités chargées de l’application de la loi ne sont pas encore en place », explique l’analyste Enza Iannopollo qui qualifie cependant cette étape de « très importante ».
Une nouvelle étape cet été
La prochaine échéance est celle du 2 août prochain. « A cette date, les autorités seront beaucoup plus susceptibles de sanctionner les entreprises qui ne sont pas conformes », considère Enza Iannopollo. En effet, « les plus gros acteurs seront supervisés par une nouvelle autorité, le Bureau européen de l’IA, les autres étant sous la responsabilité d’autorités désignées au sein de chacun des Etats membres ».
Par ailleurs, avec la mise en œuvre du deuxième volet de l’AI Act, « les entreprises qui fournissent les grands modèles, d’Open AI à Mistral, seront soumises à des obligations de transparence, et à des mesures d’atténuation des risques systémiques que certains de ces modèles pourraient comporter ».
Ensuite, en 2027, ce sont les usages des IA jugés « à haut risque »[2] qui seront réglementés.
Les entreprises, même si elles sont établies en dehors de l’Union européenne, devront se conformer à l’AI Act si elles « fournissent ou déploient des systèmes d’IA qui sont utilisés dans l’UE ». Des domaines comme le recrutement ou la santé pourraient notamment être concernés.
Complément du 06/02/2025 : Un Institut national pour l’évaluation et la sécurité de l’intelligence artificielle (Inesia) a été créé le 31 janvier. L’organisme sera chargé de « l’analyse des risques systémiques dans le champ de la sécurité nationale, [du] soutien à la mise en œuvre de la régulation de l’IA, et [de] l’évaluation de la performance et de la fiabilité des modèles d’IA », a précisé l’Exécutif.
En revanche, en l’absence d’une « nouvelle structure juridique à part », l’Inesia « ne sera pas dotée des pouvoirs d’un régulateur mais plutôt d’une mission de surveillance ».
[1] Défini par le chapitre II du règlement
[2] Par exemple pour l’octroi de prêts ou de contrats
Sources : La revue du digital (28/01/2025) ; L’Usine nouvelle, Léna Corot (03/02/2025) ; Le Monde, Alexandre Piquard (02/02/2025) ; Les Echos, Florian Dèbes (02/02/2025) ; Le Figaro, Ingrid Vergara (31/01/2025) ; Financial Express, Priya Pathak (03/02/2025) ; Le Monde avec AFP (03/02/2025) – Photo : iStock