Le 12 juillet 2024, le règlement sur l’intelligence artificielle (AI Act ou RIA) a été publié au JOUE dans sa version signée par le Parlement européen en juin dernier. Dans la foulé, le Comité Européen de la Protection des Données (CEPD) vient d’ adopter une position commune sur le rôle des autorités de protection des données européennes dans la mise en œuvre de l’AI Act qui entrera en vigueur progressivement vingt jours après sa publication, soit à partir du 1er août 2024.
Afin de garantir une utilisation sécurisée et éthique de l’IA tout en permettant l’innovation, l’AI Act adopte une approche en fonction du niveau de risque que les systèmes d’IA représentent pour les droits et libertés des personnes permettant de moduler les règles en fonction de l’intensité et de la portée des risques :
- les systèmes d’IA à usage inacceptable sont interdits (notation sociale, exploitation de la vulnérabilité des personnes, recours à des techniques subliminales, utilisation par les services répressifs de l’identification biométrique à distance en temps réel dans des espaces accessibles au public, police prédictive ciblant les individus, reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement, etc.) : les dispositions sont applicables 6 mois après l’entrée en vigueur (02/02/2025). Il s’agit d’interdire immédiatement ces systèmes d’IA afin de prévenir tout dommage potentiel. Aucune période de mise en conformité n’est requise car ces systèmes doivent être supprimés pour assurer la sécurité et la protection des droits fondamentaux;
- les systèmes d’IA à haut risque sont soumis à des exigences renforcées (systèmes biométriques, systèmes utilisés dans le recrutement ou pour des usages répressifs, etc.)
- les systèmes d’IA présentant un risque faible sont soumis à des obligations de transparence (chatbots, génération de contenu artificiel, etc.)
- les systèmes d’IA à risques minimes qui représentent actuellement la majorité des systèmes d’IA ne sont soumis à aucune obligation spécifique.
L’ensemble des obligations concernant les modèles d’IA à usage général et la désignation des autorités nationales de surveillance du marché devront être effectives 12 mois après l’entrée en vigueur (02/08/2025). Il s’agit d’encadrer des modèles comme l’IA générative qui permettent de réaliser un grand nombre de tâches (comme les grands modèles de langage LLM Mistral AI ou OpenAI).
L’ensemble des dispositions de l’AI Act seront applicables 24 mois après l’entrée en vigueur (02/08/2026), notamment celles relatives aux systèmes d’IA à haut risque de l’annexe III. Les systèmes d’IA à haut risque répondant aux critères de l’article 6.1 et de l’annexe I (ex. systèmes d’IA intégrés comme composants de sécurité dans les jouets pour enfants ou encore dans les dispositifs médicaux) devront se conformer à leurs obligations 36 mois après l’entrée en vigueur (02/08/2027).
L’AI Act prévoyant la désignation d’autorités de surveillance du marché, le CEPD a adopté une position commune sur le rôle des autorités de protection des données européennes (ex. CNIL) dans la mise en œuvre du règlement. Les autorités de protection des données européennes rappellent qu’elles disposent d’une expertise dans le traitement de l’impact de l’IA sur les droits fondamentaux et qu’elles devraient donc être désignées comme autorités de surveillance du marché pour un certain nombre de systèmes d’IA à haut risque afin d’assurer une bonne coordination entre les différentes autorités nationales et articulation avec le RGPD.
