Résumé de haut niveau de la loi sur l’IA

Dans cet article, nous vous proposons un résumé de haut niveau de la loi sur l’IA, en sélectionnant les parties les plus susceptibles de vous intéresser, quel que soit votre profil. Nous fournissons des liens vers le document original lorsque cela est pertinent afin que vous puissiez toujours vous référer au texte de la loi.

La loi « Informatique et Libertés » 78-17 du 6 janvier 1978 modifiée

  • C’est une loi française qui réglemente la liberté de traitement des données personnelles, c’est-à-dire la liberté de ficher les personnes humaines.
  • Cette liberté étant indissociable de l’activité informatique, cette loi réglemente donc les conséquences potentiellement antisociales de l’activité informatique.

Résumé en quatre points

La loi sur l‘IA classe l’IA en fonction de son niveau de risque :

  • Les risques inacceptables sont interdits (par exemple, les systèmes de notation sociale et l’IA manipulatrice).
  • La majeure partie du texte traite des systèmes d’IA à haut risque, qui sont réglementés.
  • Une section plus restreinte traite des systèmes d’IA à risque limité, soumis à des obligations de transparence moins strictes : les développeurs et les déployeurs doivent s’assurer que les utilisateurs finaux sont conscients qu’ils interagissent avec une IA (chatbots et deepfakes).
  • Les risques minimes ne sont pas réglementés (y compris la majorité des applications d’IA actuellement disponibles sur le marché unique de l’UE, telles que les jeux vidéo et les filtres anti-spam basés sur l’IA, du moins en 2021 ; cela est en train de changer avec l’IA générative).

IA à usage général (GPAI) :

  • Tous les fournisseurs de modèles GPAI doivent fournir une documentation technique, des instructions d’utilisation, se conformer à la directive sur le droit d’auteur et publier un résumé du contenu utilisé pour la formation.
  • Les fournisseurs de modèles GPAI sous licence libre et ouverte doivent uniquement respecter les droits d’auteur et publier le résumé des données d’entraînement, sauf s’ils présentent un risque systémique.
  • Tous les fournisseurs de modèles GPAI qui présentent un risque systémique, qu’ils soient ouverts ou fermés, doivent également procéder à des évaluations de modèles, à des tests adversaires, suivre et signaler les incidents graves et garantir des protections en matière de cybersécurité.

Les déployeurs sont des personnes physiques ou morales qui déploient un système d’IA à titre professionnel, et non les utilisateurs finaux concernés.

  • Les déployeurs de systèmes d’IA à haut risque ont certaines obligations, bien que moins importantes que celles des fournisseurs (développeurs).
  • Cela s’applique aux déployeurs situés dans l’UE et aux utilisateurs de pays tiers lorsque les résultats du système d’IA sont utilisés dans l’UE.

La majorité des obligations incombent aux fournisseurs (développeurs) de systèmes d’IA à haut risque.

  • Ceux qui ont l’intention de mettre sur le marché ou de mettre en service des systèmes d’IA à haut risque dans l’UE, qu’ils soient basés dans l’UE ou dans un pays tiers.
  • Et également les fournisseurs de pays tiers lorsque les résultats du système d’IA à haut risque sont utilisés dans l’UE.

Systèmes d’IA interdits (chapitre II, art. 5)

  • utilisant des techniques subliminales, manipulatrices ou trompeuses pour déformer les comportements et nuire à la prise de décision éclairée, causant ainsi un préjudice important.
  • Exploiter les vulnérabilités liées à l’âge, au handicap ou à la situation socio-économique pour fausser comportement, causant ainsi un préjudice important.
  • notation sociale, c’est-à-dire évaluer ou classer des individus ou des groupes en fonction de leur comportement social ou de leurs traits de personnalité, ce qui entraîne un traitement préjudiciable ou défavorable à leur égard.
  • évaluer le risque qu’une personne commette des infractions pénales uniquement sur la base d’un profilage ou de

traits de personnalité, sauf lorsqu’il est utilisé pour compléter des évaluations humaines fondées sur des faits objectifs et vérifiables directement liés à une activité criminelle.

  • compiler des bases de données de reconnaissance faciale en récupérant de manière non ciblée des images faciales à partir de Internet ou images de vidéosurveillance.
  • déduire les émotions sur les lieux de travail ou dans les établissements d’enseignement, sauf pour des raisonsmédicales ou de sécurité.
  • Systèmes de catégorisation biométrique Déduction d’attributs sensibles (race, opinions politiques, appartenance syndicale

, appartenance syndicale, convictions religieuses ou philosophiques, vie sexuelle ou orientation sexuelle), sauf pour l’étiquetage ou le filtrage de jeux de données biométriques acquis légalement ou lorsque les forces de l’ordre catégorisent des données biométriques.

  • Identification biométrique à distance « en temps réel » (RBI) dans les espaces accessibles au public à des fins d’application de la loi, sauf dans les cas suivants :
  1. recherche ciblée de personnes disparues, de victimes d’enlèvement et de personnes victimes de traite ou d’exploitation sexuelle ;
  2. prévention d’une menace spécifique, substantielle et imminente pour la vie ou la sécurité physique, ou d’une attaque terroriste prévisible ; ou
  3. l’identification de suspects dans des crimes graves (par exemple, meurtre, viol, vol à main armée, trafic de stupéfiants et d’armes illégales, crime organisé, crime environnemental, etc.
  • L’utilisation de la RBI en temps réel basée sur l’IA n’est autorisée que lorsque le fait de ne pas utiliser cet outil causerait un préjudice, notamment en ce qui concerne la gravité, la probabilité et l’ampleur de ce préjudice, et doit tenir compte des droits et libertés des personnes concernées.
  • Avant le déploiement, la police doit réaliser une analyse d’impact sur les droits fondamentaux et enregistrer le système dans la base de données de l’UE. Toutefois, dans des cas d’urgence dûment justifiés, le déploiement peut commencer sans enregistrement, à condition qu’il soit enregistré ultérieurement sans retard injustifié.
  • Avant le déploiement, elle doit également obtenir l’autorisation d’une autorité judiciaire ou d’une autorité administrative indépendante 1. Toutefois, dans des cas d’urgence dûment justifiés, le déploiement peut commencer sans autorisation, à condition que celle-ci soit demandée dans les 24 heures. Si l’autorisation est refusée, le déploiement doit cesser immédiatement et toutes les données, résultats et productions doivent être supprimés.

1 Les autorités administratives indépendantes peuvent être soumises à une influence politique plus importante que les autorités judiciaires (Hacker, 2024).

Annexe III Cas d’utilisation
Données biométriques non interdites :

•  Systèmes d’identification biométrique à distance, à l’exclusion de la vérification biométrique qui confirme qu’une personne est bien celle qu’elle prétend être.

•  Systèmes de catégorisation biométrique déduisant des attributs ou caractéristiques sensibles ou protégés.

•  Systèmes de reconnaissance des émotions.
Infrastructures critiques :

•  Composants de sécurité dans la gestion et l’exploitation des infrastructures numériques critiques, du trafic routier et de l’approvisionnement en eau, en gaz, en chauffage et en électricité.
Éducation et formation professionnelle :

•  Systèmes d’IA déterminant l’accès, l’admission ou l’affectation à des établissements d’enseignement et de formation professionnelle à tous les niveaux.

•  Évaluation des résultats d’apprentissage, y compris ceux utilisés pour orienter le processus d’apprentissage de l’élève.

•  Évaluation du niveau d’éducation approprié pour un individu.

•  Surveillance et détection des comportements interdits des étudiants pendant les examens.
Emploi, gestion des travailleurs et accès au travail indépendant :

•  Systèmes d’IA utilisés pour le recrutement ou la sélection, en particulier les offres d’emploi ciblées, l’analyse et le filtrage des candidatures, et l’évaluation des candidats.

•  Promotion et résiliation des contrats, attribution des tâches en fonction des traits de personnalité ou des caractéristiques et du comportement, et suivi et évaluation des performances.
Accès et jouissance des services publics et privés essentiels :

•  Systèmes d’IA utilisés par les autorités publiques pour évaluer l’éligibilité aux prestations et services, y compris leur attribution, leur réduction, leur révocation ou leur recouvrement.

•  Évaluation de la solvabilité, sauf en cas de détection de fraude financière.

•  Évaluation et classification des appels d’urgence, y compris la hiérarchisation des interventions de la police, des pompiers, des services médicaux et des services de triage des patients en urgence.

•  Évaluation des risques et tarification dans le domaine de l’assurance maladie et de l’assurance vie.
Application de la loi :

•  Systèmes d’IA utilisés pour évaluer le risque qu’une personne soit victime d’un crime.

•  Polygraphes.

•  Évaluation de la fiabilité des preuves lors d’enquêtes ou de poursuites pénales.

•  Évaluation du risque qu’une personne commette ou récidive un délit, sans se baser uniquement sur le profilage ou l’évaluation des traits de personnalité ou des antécédents criminels.

•  Profilage lors des enquêtes, poursuites ou poursuites pénales.
Gestion des migrations, de l’asile et des contrôles aux frontières :

•  Polygraphes.

•  Évaluation des risques liés à la migration irrégulière ou à la santé.

•  Examen des demandes d’asile, de visa et de permis de séjour, ainsi que des plaintes associées liées à l’éligibilité.

•  Détection, reconnaissance ou identification des personnes, à l’exception de la vérification des documents de voyage.
Administration de la justice et processus démocratiques :

•  Systèmes d’IA utilisés pour rechercher et interpréter des faits et appliquer la loi à des faits concrets ou utilisés dans le cadre de modes alternatifs de résolution des conflits.

•  Influence sur les résultats des élections et des référendums ou sur le comportement électoral, à l’exclusion des résultats qui n’interagissent pas directement avec les personnes, comme les outils utilisés pour organiser, optimiser et structurer les campagnes politiques.

IA à usage général (GPAI) (chapitre V)

Le modèle GPAI désigne un modèle d’IA, y compris lorsqu’il est entraîné à l’aide d’une grande quantité de données en utilisant une auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter avec compétence un large éventail de tâches distinctes, quelle que soit la manière dont le modèle est commercialisé, et qui peut être intégré dans divers systèmes ou applications en aval. Cela ne couvre pas les modèles d’IA qui sont utilisés avant leur mise sur le marché à des fins de recherche, de développement et de prototypage.

Un système GPAI désigne un système d’IA basé sur un modèle d’IA à usage général, capable de servir à diverses fins, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA.

Les systèmes GPAI peuvent être utilisés comme des systèmes d’IA à haut risque ou intégrés à ceux-ci. Les fournisseurs de systèmes GPAI doivent coopérer avec les fournisseurs de systèmes d’IA à haut risque afin de permettre à ces derniers de se conformer à la réglementation.

Tous les fournisseurs de modèles GPAI doivent (art. 53) :

  • Rédiger la documentation technique, y compris le processus de formation et de test et les résultats d’évaluation.
  • Rédiger des informations et de la documentation à fournir aux fournisseurs en aval qui ont l’intention d’

intégrer le modèle GPAI dans leur propre système d’IA afin que ce dernier comprenne ses capacités et ses limites et soit en mesure de s’y conformer.

  • Mettre en place une politique visant à respecter la directive sur le droit d’auteur.
  • Publier un résumé suffisamment détaillé du contenu utilisé pour la formation du modèle GPAI.

Les modèles GPAI sous licence libre et ouverte, dont les paramètres, y compris les poids, l’architecture et l’utilisation du modèle, sont accessibles au public, permettant l’accès, l’utilisation, la modification et la distribution du modèle, ne doivent se conformer qu’aux deux dernières obligations ci-dessus, sauf si le modèle GPAI sous licence libre et ouverte est systémique.

Les modèles GPAI sont considérés comme systémiques lorsque la quantité cumulée de calculs utilisés pour leur formation est supérieure à 10^25 opérations en virgule flottante par seconde (FLOPS) (art. 51). Les fournisseurs doivent informer la Commission si leur modèle répond à ce critère dans un délai de deux semaines (art. 52). Le fournisseur peut présenter des arguments démontrant que, malgré le fait qu’il réponde aux critères, son modèle ne présente pas de risques systémiques. La Commission peut décider, de sa propre initiative ou sur la base d’une alerte qualifiée émise par le panel scientifique d’experts indépendants, qu’un modèle a un impact élevé, ce qui le rend systémique.

Outre les quatre obligations susmentionnées, les fournisseurs de modèles GPAI présentant un risque systémique doivent également (art. 55) :

  • Effectuer des évaluations de modèles, y compris en réalisant et en documentant des tests contradictoires afin d’identifier et atténuer les risques systémiques.
  • Évaluer et atténuer les risques systémiques potentiels, y compris leurs
  • Suivre, documenter et signaler sans délai les incidents graves et les mesures correctives possibles au Bureau de l’IA et aux autorités nationales compétentes concernées.
  • Garantir un niveau adéquat de protection en matière de cybersécurité.

Tous les fournisseurs de modèles GPAI peuvent démontrer qu’ils respectent leurs obligations s’ils adhèrent volontairement à des codes de bonnes pratiques jusqu’à la publication de normes européennes harmonisées, dont le respect sera

conduisent à une présomption de conformité (art. 56). Les prestataires qui n’adhèrent pas aux codes de bonnes pratiques doivent démontrer qu’ils disposent d’autres moyens adéquats pour se conformer à la réglementation, qui doivent être approuvés par la Commission.

Codes de bonnes pratiques (art. 56)

  • Tiendront compte des approches internationales.
  • Couvriront, sans s’y limiter nécessairement, les obligations susmentionnées, en particulier les informations pertinentes à inclure dans la documentation technique destinée aux autorités et aux fournisseurs en aval, l’identification du type et de la nature des risques systémiques et de leurs sources, ainsi que les modalités de gestion des risques tenant compte des défis spécifiques liés à la manière dont ces risques peuvent apparaître et se matérialiser tout au long de la chaîne de valeur.
  • L’Office de l’IA peut inviter les fournisseurs de modèles GPAI et les autorités nationales compétentes concernées à participer à l’élaboration des codes, tandis que la société civile, l’industrie, le monde universitaire, les fournisseurs en aval et des experts indépendants peuvent soutenir le processus.

Gouvernance (chapitre VI)

  • Le Bureau de l’IA sera créé au sein de la Commission afin de contrôler la mise en œuvre effective et la conformité des fournisseurs de modèles GPAI (art. 64).
  • Les fournisseurs en aval peuvent déposer une plainte concernant la violation des fournisseurs en amont auprès Bureau de l’IA (art. 89).
  • Le Bureau de l’IA peut procéder à des évaluations du modèle GPAI afin (art. 92) :
    • évaluer la conformité lorsque les informations recueillies dans le cadre de ses pouvoirs de demande d’informations sont insuffisantes.
    • enquêter sur les risques systémiques, en particulier à la suite d’un rapport qualifié du panel scientifique d’experts indépendants (art. 90).

Délais

Après son entrée en vigueur, la loi sur l’IA s’appliquera selon les délais suivants :

  • 6 mois pour les systèmes d’IA interdits.
  • 12 mois pour les GPAI.
  • 24 mois pour les systèmes d’IA à haut risque visés à l’annexe
  • 36 mois pour les systèmes d’IA à haut risque visés à l’annexe

Les codes de bonnes pratiques doivent être prêts 9 mois après l’entrée en vigueur.

Contacter RGPD-Experts

Vous souhaitez que RGPD-Experts vous contacte ?
Nous sommes à votre disposition !