Droit des données
le 23/01/2025
David CONERARDY
Inès MARCENAT

L’ère de la régulation débute avec l’IA Act : interdiction des IA à risque inacceptable à compter du 2 février 2025

Parlement Européen et du Conseil, Règlement 2024/1689

Le règlement sur l’Intelligence Artificielle (IA Act)[1] constitue la première législation d’envergure à l’échelle mondiale qui vise à encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle (IA) présentant des risques pour la santé, la sécurité ou les droits fondamentaux.

Entré en vigueur le 1er août 2024, ce règlement instaure un cadre législatif structuré, dont l’application se fait progressivement sur deux ans.

 

1. Les quatre niveaux de risque

L’IA Act propose une classification des systèmes d’IA en quatre catégories, déterminées par le niveau de risque qu’ils présentent. Selon le niveau de risque identifié, les obligations réglementaires applicables varient.

  • Risque inacceptable[2]

Un système d’IA est considéré comme présentant un risque inacceptable lorsque son utilisation est contraire aux valeurs fondamentales de l’Union européenne et aux droits fondamentaux.

Il peut s’agir, par exemple, de systèmes de notation sociale ou de technologies exploitant la vulnérabilité des individus, qui mettent en péril les principes essentiels de dignité et d’égalité.

Ces IA sont totalement prohibées par le règlement.

  • Haut risque[3]

Un système d’IA est considéré comme étant à haut risque lorsqu’il peut porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux. Dès lors, le développement de ces IA est soumis à des exigences renforcées (évaluation de conformité, documentation technique, …).

Ces systèmes sont listés au sein de des annexes I et III de l’IA Act, incluant, entre autres, les systèmes d’IA biométriques ainsi que les systèmes d’IA utilisés dans le recrutement.

  • Risque spécifique en matière de transparence[4]

Certains systèmes d’IA, parce qu’ils interagissent avec des personnes physiques, et qu’ils peuvent les influencer et orienter leurs comportements, présentent un risque spécifique de transparence. Partant, certaines obligations en matière d’information aux personnes leur sont applicables pour, d’une part, garantir une transparence totale et, d’autre part, renforcer la confiance dans ces outils.

À titre d’exemple, il est nécessaire que les utilisateurs employant des chatbots soient clairement informés de leur interaction avec une machine.

  • Risque minimal

Cette catégorie englobe tous les systèmes d’IA ne présentant pas de risques particuliers en matière de sécurité ou de protection des droits fondamentaux. En conséquence, aucune obligation spécifique ne leur est applicable.

Selon la Commission européenne, ces systèmes représentent la grande majorité de ceux actuellement utilisés ou susceptibles de l’être au sein de l’Union européenne.

Cette catégorie comprend notamment des applications telles que les jeux vidéo intégrant l’IA ou les filtres anti-spam, qui, en raison de leur faible impact sur la sécurité et les droits fondamentaux, échappent à une réglementation spécifique.

 

2. Les systèmes d’IA à risque inacceptable interdits dès le 2 février 2025

A partir du 2 février 2025, les systèmes d’IA présentant un risque inacceptable, c’est-à-dire ceux dont l’utilisation est contraire aux valeurs fondamentales de l’Union Européenne, seront interdits.

A titre d’illustration, sont spécifiquement interdits :

  • les technologies de notation sociale ;
  • les technologies qui exploitent les vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne physique ;
  • les techniques subliminales, au-dessous du seuil de conscience d’une personne, ou les techniques délibérément manipulatrices ou trompeuses ;
  • l’identification biométrique utilisée par les services répressifs à distance en temps réel et dans des lieux accessibles au public ;
  • la police prédictive ciblant les individus[5];
  • la reconnaissance des émotions sur le lieu de travail et dans les établissements.

Toute entité ne respectant pas ces interdictions de mise sur le marché, de mise en service, et d’utilisation des systèmes d’IA à risque inacceptable s’expose à une amende administrative pouvant aller jusqu’à 35 millions d’euro (ou 7 % de son chiffre d’affaires annuel mondial)[6].

Ainsi, il est essentiel que toutes les entités, qu’elles soient publiques ou privées, identifient les systèmes d’IA qu’elles utilisent et procèdent à une cartographie précise des obligations qui leur sont applicables.

L’interdiction reflète une volonté de préserver la vie privée, la dignité humaine et les libertés fondamentales face à des systèmes d’IA potentiellement intrusifs.

En définitive, l’IA Act marque une volonté claire de l’Union européenne de protéger les droits fondamentaux et de limiter les usages abusifs de l’IA.

Cependant, cette régulation soulève des défis majeurs : définir précisément les frontières d’un “risque inacceptable” risque de s’avérer complexe et pourrait créer une insécurité juridique pour les entreprises. De plus, le caractère potentiellement lourd des obligations imposées (en matière de conformité et de preuves de non-nocivité) pourrait freiner l’innovation et décourager les jeunes pousses technologiques. À l’inverse, on peut espérer qu’en instaurant un cadre clair, l’UE encourage un environnement compétitif où les acteurs les plus responsables s’épanouissent, tout en protégeant les citoyens.

La réussite de cette réglementation dépendra toutefois de sa mise en application concrète, notamment de la coordination entre autorités nationales et instances européennes.

______

 

[1]Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (Texte présentant de l’intérêt pour l’EEE)

[2] Article 5 IA Act

[3] Article 6 et suivants IA Act

[4] Articles 50 et suivants IA Act

[5] Renvoie aux systèmes d’IA visant à prédire le risque qu’une personne physique commette une infraction pénale, uniquement sur la base du profilage de la personne ou de l’évaluation de ses traits et/ou de ses caractéristiques.

[6] Article 99.3) IA Act