L'AI Act représente une révolution réglementaire dans le paysage numérique européen. Ce règlement, adopté par le Parlement européen et le Conseil de l'Union européenne, établit un cadre juridique harmonisé pour l'intelligence artificielle à travers tous les États membres.

Contrairement à une directive qui nécessiterait une transposition dans le droit national, l'AI Act s'applique directement en France comme dans tous les autres états de l'Union Européenne.

Cette approche garantit une uniformité d'application et évite la fragmentation réglementaire qui pourrait entraver l'innovation.

La France n'a pas encore officiellement désigné son autorité nationale compétente (NCA) pour superviser l'application de l'AI Act. Par défaut, la Direction Générale des Entreprises (DGE) assume ce rôle. Cependant, étant donné les implications potentielles sur les données personnelles, la CNIL devrait également jouer un rôle significatif.

Trouver l'équilibre entre innovation et régulation

Malgré les craintes initiales, l'AI Act a été conçu avec une attention particulière aux besoins des PME (petites et moyennes entreprises) et ETI (entreprises de taille intermédiaires). Si le RGPD (Règlement général sur la protection des données) a parfois été perçu comme disproportionnellement lourd pour les petites structures, l'AI Act a été mis en place pour alléger la charge pour les petites structures.

L'approche est pragmatique et tient compte des réalités économiques des petites entreprises. Six mesures concrètes illustrent cette volonté d'équilibre :

• Bacs à sable réglementaires : environnements contrôlés permettant aux PME de tester leurs innovations avec accès prioritaire et gratuit, y compris en conditions réelles.

• Réduction des coûts et des frais de mise en conformité : les frais d'évaluation seront proportionnels à la taille des PME et la Commission évaluera régulièrement les coûts de mise en conformité et s'efforcera de les réduire.

• Documentation simplifiée : formulaires techniques adaptés aux petites entreprises et formations ciblées pour comprendre le règlement.

• Communication dédiée : canaux spécifiques pour répondre aux questions des PME avec une approche pratique plutôt que théorique.

• Proportionnalité : obligations adaptées pour les fournisseurs de modèles d'IA à usage général, avec des indicateurs de performance distincts pour les PME.

Les catégories et leurs obligations

Fournisseur ou Déployeur ?

La majorité des obligations incombent aux fournisseurs (développeurs) de systèmes d'IA à haut risque, et vos obligations varient radicalement selon votre rôle. Elles se limitent à des obligations d'informations si vous êtes utilisateur professionnel (déployeur).

Solution SaaS externe : vous êtes déployeur avec une responsabilité limitée

En tant que simple utilisateur d'une solution développée par d'autres, vos responsabilités sont allégées, mais il existe des obligations légales malgré tout :

• Vérifiez la conformité de votre fournisseur SaaS à l'AI Act (demandez-leur leur documentation)
• Informez clairement les utilisateurs qu'elles interagissent avec une IA
• Informez clairement les utilisateurs que des données synthétiques sont produites
• Formez vos équipes aux capacités et limites de l'IA

Solution créée par un prestataire : responsabilité partagée

Lorsque vous commandez un système sur mesure, la ligne de démarcation des responsabilités devient plus floue :

• Clarifiez par contrat qui endosse le rôle de "fournisseur" au sens de l'AI Act.

• Collaborez à l'analyse de risque pour déterminer si le système est considéré à haut risque.

• Partagez la responsabilité de la documentation technique et des mesures de conformité.

Sans clarification contractuelle, vous pourriez être considéré comme co-fournisseur, avec toutes les obligations qui en découlent.

Solution développée en interne : vous êtes fournisseur avec une pleine responsabilité

Créer votre propre solution vous place en première ligne face aux exigences réglementaires :

• Évaluez rigoureusement si votre outil relève notamment de l'Annexe III (voir ci-après).

• Documentez exhaustivement vos choix techniques et votre analyse de risque.

• Notifiez l'autorité compétente si nécessaire et enregistrez votre système dans la base européenne.

• Implémentez toutes les garanties techniques requises pour les systèmes à haut risque.

Dans de nombreux cas, un système IA peut-être exempté des obligations de haut risque, mais vous devrez documenter cette analyse.

Dans tous les cas : transparence et vigilance

Quel que soit votre rôle, certaines obligations demeurent invariables :

• Indiquez clairement l'utilisation de l'IA

• Marquez le contenu généré par IA

• Formez vos utilisateurs

• Suivez l'évolution de l'interprétation réglementaire

L'AI Act n'est pas qu'une contrainte. Il s'agit d'une opportunité de bâtir la confiance dans vos solutions. En matière commerciale, cette confiance peut devenir votre meilleur argument de vente.

Qu'est-ce qu'un système IA et quelles sont les obligations générales

Selon l'AI Act, un système d'IA est défini comme "un système basé sur une machine qui est conçu pour fonctionner avec différents niveaux d'autonomie et qui peut faire preuve d'adaptabilité après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données qu'il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer des environnements physiques ou virtuels."

Cela inclut bien-sûr les agents IA mais aussi la plupart des outils qui utilisent l'IA générative ou l'IA prédictive.

Concrètement, un système d'analyse de CV utilisé par une grande entreprise pour présélectionner des candidats, un chatbot d'assistance client déployé par une ETI pour répondre aux questions fréquentes, ou une application de recommandation personnalisée développée par une startup - tous entrent dans cette catégorie.

Obligations générales

Tous les systèmes d'IA, quelle que soit leur classification de risque, sont soumis à des exigences fondamentales de transparence et de littératie (de formation). Concrètement, cela signifie que  

• Les personnes interagissant avec un système d'IA doivent être clairement informées de cette interaction (sauf si cela est évident dans le contexte).
• Le contenu synthétique ou manipulé doit être clairement identifié comme tel, de manière détectable par des machines.
• Les utilisateurs doivent recevoir des informations suffisantes pour comprendre les capacités et limites du système.

Ces obligations s'appliquent à tout les systèmes IA, que vous soyez fournisseur ou déployeur.

Systèmes interdits

L'AI Act interdit clairement certains systèmes d'IA présentant des risques inacceptables pour les droits fondamentaux, indépendamment de leur performance.

Sont prohibés :

• Les systèmes de notation sociale classant les individus selon leur comportement.
• Les technologies manipulant les personnes vulnérables.
• L'identification biométrique en temps réel dans les espaces publics (sauf rares exceptions sécuritaires).
• Les systèmes d'inférence émotionnelle au travail ou dans l'enseignement (hors raisons médicales/sécuritaires).
• La création de bases de données faciales par extraction massive d'images en ligne ou via vidéosurveillance.

Modèles fondationnels

Les modèles fondationnels représentent une catégorie spécifique dans l'AI Act. Ce sont des modèles d'IA entraînés sur de vastes données, capables d'accomplir diverses tâches et d'être intégrés dans différentes applications.

Leurs fournisseurs doivent créer une documentation technique détaillée, informer les développeurs en aval, respecter le droit d'auteur, et publier un résumé du contenu d'entraînement. Les modèles open source bénéficient d'allègements, sauf s'ils présentent un risque systémique.

Les modèles entraînés avec une puissance supérieure à 10^25 FLOP (comme GPT-4o, Mistral Large 2, ou Gemini 1.0 Ultra) sont considérés à risque systémique. Ils doivent subir des évaluations supplémentaires, incluant des tests adversariaux, et implémenter des systèmes de suivi et de signalement d'incidents.

Systèmes à haut risque : comprendre les enjeux et obligations

La catégorie des systèmes à haut risque constitue le cœur de l'AI Act et mérite une attention particulière. Un système est considéré à haut risque s'il correspond à l'un des deux critères suivants :

• s'il est utilisé comme composant de sécurité d'un produit couvert par des lois de UE (listées en annexe I)
• ou bien, il correspond à l'un des cas d'usage détaillés dans l'Annexe III

L'Annexe III couvre huit domaines sensibles où l'IA présente des risques significatifs :

• Les systèmes biométriques (hors ceux interdits).

• Les infrastructures critiques (gestion du trafic routier, approvisionnement en eau, gaz, électricité).

• L'éducation et la formation professionnelle (admission, évaluation des résultats d'apprentissage).

• L'emploi et la gestion des travailleurs (recrutement, promotion, licenciement).

• L'accès aux services essentiels publics et privés (évaluation de la solvabilité, assurance santé).

• L'application de la loi (évaluation des risques de criminalité).

• La gestion de la migration, de l'asile et des frontières.

• L'administration de la justice et les processus démocratiques.

Prenons un exemple concret :

une ETI développe un système d'IA pour analyser les CV des candidats. Ce système entre dans la catégorie "emploi et gestion des travailleurs" de l'Annexe III et serait donc considéré à haut risque.

De même, une startup qui crée une application d'IA pour évaluer l'éligibilité à des prêts bancaires tomberait dans la catégorie "accès aux services essentiels".

Exemption des obligations

Toutefois, l'AI Act prévoit des exemptions importantes. Un système n'est pas considéré à haut risque, même s'il figure dans l'Annexe III, s'il :

• Exécute une tâche bien définie dans u process plus large
• Améliore le résultat d'une tâche réalisée par un humain‍
• Effectue une tâche préparatoire à une évaluation pertinente pour les cas d'utilisation de l'Annexe III.

Si un fournisseur estime que son système relevant de l'Annexe III n'est pas à haut risque en raison des exemptions mentionnées, il doit documenter cette évaluation et la soumettre à l'autorité nationale compétente sur demande. Il doit également enregistrer son système dans la base de données de l'UE avant sa mise sur le marché.

Par exemple, un outil d'IA qui aide simplement à formater des CV ou à détecter des fautes d'orthographe ne serait pas considéré à haut risque, même en contexte de recrutement.

Pour un système d'IA médical analysant des radiologies, une exemption pourrait s'appliquer s'il se limite à prétraiter les images et signaler des anomalies, tandis que le diagnostic final reste établi par un médecin qui examine les résultats indépendamment. Ici, l'IA améliore le processus sans remplacer le jugement médical humain.

Cette distinction illustre la différence entre assistant IA et agent IA. Un assistant fournit des informations que l'humain évalue pour décider. Un agent prend des décisions ou agit de façon autonome, avec peu ou sans intervention humaine. Cette nuance est fondamentale dans l'AI Act, car elle détermine le niveau d'obligations applicables au système.

Obligations pour les systèmes à haut-risque

Les obligations pour les systèmes à haut risque sont substantielles et comprennent :

• Un système de gestion des risques tout au long du cycle de vie.

• Une gouvernance des données garantissant des ensembles représentatifs et sans erreurs.

• Une documentation technique détaillée.

• Le système pour permettre la traçabilité et l'enregistrement automatique des événements.

• Des instructions d'utilisation aux déployeurs en aval.

• Le système pour permettre une supervision humaine.

• Des niveaux appropriés de précision, de robustesse et de cybersécurité.

• Un système de gestion de la qualité.

Les systèmes d'IA touchant à des domaines sensibles ou à des données personnelles entraînent généralement des obligations substantielles. Si vous pensez être exempté, la prudence s'impose : documentez soigneusement votre évaluation pour pouvoir la justifier auprès des autorités en cas de contrôle.

Les dates clés de l'AI Act : calendrier d'application

Chronologie corrigée et actualisée

• Publication officielle : 12 juillet 2024 au Journal officiel de l'UE.

• Entrée en vigueur : 1er août 2024 (et non au printemps 2025).

• Interdictions et obligation de littératie IA : Applicables depuis le 2 février 2025.

• Codes de pratique : Finalisation prévue pour le 2 mai 2025.

• Modèles d'IA à usage général et gouvernance : Applicables le 2 août 2025.

• Systèmes à haut risque et reste du règlement : Application au 2 août 2026.

• Application complète (Article 6.1) : 2 août 2027.

Dates importantes pour 2025

• Aujourd'hui (mars 2025) : Les interdictions des systèmes à risque inacceptable sont déjà en vigueur ainsi que l'obligation de littératie (formation).

• D'ici mai 2025 : Publication des codes de pratique par la Commission.

• Août 2025 : Désignation des autorités nationales compétentes par les États membres.

• Août 2025 : Entrée en application des dispositions sur les modèles d'IA à usage général.

Plan d'action pour les entreprises

Face à l'entrée en vigueur progressive de l'AI Act, les entreprises doivent mettre en place une stratégie structurée pour assurer leur conformité. Voici les actions prioritaires à entreprendre dès maintenant :

• Inventorier vos systèmes d'IA - Recensez tous les outils et applications utilisant l'IA dans votre organisation.

• Évaluer le niveau de risque - Déterminez si vos systèmes relèvent de l'Annexe III et documentez votre analyse.

• Identifier votre rôle - Clarifiez si vous êtes fournisseur, déployeur ou les deux pour chaque système.

• Prioriser les obligations immédiates - Mettez en œuvre les exigences de transparence et de littératie déjà applicables.

• Préparer la documentation technique - Constituez progressivement vos dossiers de conformité.

• Suivre l'évolution réglementaire - Restez informé des précisions apportées par les autorités nationales.

La mise en conformité avec l'AI Act représente un investissement stratégique qui, au-delà de l'aspect réglementaire, peut devenir un véritable avantage concurrentiel en renforçant la confiance de vos clients et partenaires dans vos solutions d'IA.

L'AI Act représente un tournant majeur dans la régulation de l'intelligence artificielle en Europe. Plutôt qu'un simple fardeau réglementaire, il constitue un cadre structurant qui renforcera la confiance dans les technologies d'IA et favorisera leur adoption par les utilisateurs et les entreprises.

• La réglementation est en vigueur depuis février 2025. L'autorité référente en France n'est pas encore officiellement désignée, mais devrait être la DGE et la CNIL.

• Elle vous concerne si vous concevez ou faites développer un outil d'IA, même pour un usage interne.

• Les obligations de transparence et d'information s'appliquent à tous :
  • Natural person : obligation d'indiquer qu'il s'agit d'un robot,
  • Synthetic data : obligation de préciser qu'il s'agit de données générées artificiellement)

• Pour les systèmes à haut risque, qui traitent des données personnelles ou impactent directement des individus, vous devrez documenter vos travaux, y compris les justifications de vos éventuelles exemptions.

En définitive, la clé du succès réside dans l'anticipation :

• Cartographier vos systèmes d'IA existants et futurs.

• Évaluer leur niveau de risque selon les critères précis de l'AI Act.

• Implémenter progressivement les mesures de conformité nécessaires.

Cette approche proactive vous permettra non seulement d'éviter les sanctions potentielles, mais contribuera également à positionner l'IA européenne comme un modèle d'innovation responsable à l'échelle mondiale.

Ressources utiles

Pour vous accompagner dans votre démarche de mise en conformité :

• Synthèse de la réglementation
• Synthèse pour les ETI (small business act)
• Timeline d'implémentation et Plans de mise en œuvre nationaux
• Vérificateur de conformité à l'AI Act
• Explorateur de l'AI Act, dans son intégralité