Plus d'options
Mot-clés liés à la formation
Durée de la formation
Lieux
Niveau de la formation
Dates de la formation souhaitées
Du au
Téléchargez
notre catalogue 2025 ! Enregistrer le PDF
Actualités
Retour à toutes les actualités

L’AI ACT : quelle portée pour les entreprises, collectivités et associations ? – Paroles d’experts

Publié le lundi 13 janvier 2025
AI ACT

AI ACT

Pour aller plus loin, l’IEEPI et Anne-Sophie Viard-Crétat vous proposent la formation :

 

Paroles d’experts : Anne-Sophie Viard-Crétat.

L’IEEPI donne la parole à ses experts, aujourd’hui Anne-Sophie VIARD-CRETAT (Avocate associée en droit des contrats et des nouvelles technologies au cabinet TGS France Avocats) nous proposent une analyse sur l’AI ACT : quelle portée pour les entreprises, collectivités et associations ?

 

  1. Qu’est-ce que le Règlement IA (AI ACT) et quel est son objectif ?

Le règlement IA (intitulé « AI ACT » en anglais), adopté le 13 juin 2024 par l’Union européenne, marque un tournant majeur dans la régulation de l’intelligence artificielle.
Il s’agit du premier texte au niveau mondial, visant à encadrer l’IA de manière générale, depuis sa conception jusqu’à son utilisation.

Toutefois, ce texte fait place à de nombreux défis d’interprétation pour les juristes et les Avocats car certaines notions sont parfois très génériques.

 

  1. Qu’est-ce qu’un système d’Intelligence Artificielle (« SIA ») ?

Le Règlement définit le système d’Intelligence Artificielle comme :

« un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».

L’objectif de cette définition est clairement affiché en préambule du Règlement : offrir « une souplesse nécessaire pour tenir compte des évolutions technologiques rapides dans ce domaine ».

Néanmoins, si nous comprenons la volonté d’anticiper des innovations futures, à ce jour, cette définition soulève des difficultés d’interprétation. Tout d’abord, les contours des termes « à différents niveaux d’autonomie » sont particulièrement flous et laissent place à une interprétation large. De plus, la notion d’autonomie n’étant pas définie, la qualification n’est pas aisée.

Ensuite, le texte exige que le système puisse « faire preuve d’une capacité d’autonomie après son déploiement ». Il est à noter qu’il suffit que le système puisse faire preuve d’autonomie sans que celle-ci ne soit effective pour que le système soit un système d’IA. Ce choix sémantique interroge sur les hypothèses réellement visées.

 

  1. Qui est concerné par ce Règlement ?

Le Règlement IA s’applique à tous les acteurs, de tout secteur d’activité, impliqués dans le développement, la commercialisation ou l’utilisation des systèmes d’IA au sein de l’Union européenne.

En raison de son périmètre très vaste, le Règlement concerne quasiment toutes les entreprises, les structures publiques, les institutions et les associations de l’Union Européenne telles que :

  • Les entreprises technologiques concevant des systèmes d’IA ;
  • Les éditeurs de logiciels intégrant de l’IA dans leurs produits ;
  • Les cabinets de recrutement utilisant des outils de tri de CV basés sur l’IA ;
  • Les services de communication générant des visuels, supports ou textes via des outils d’IA ;
  • Les établissements hospitaliers utilisant l’IA pour l’aide au diagnostic ou la transcription de rapports médicaux ;
  • Les entreprises industrielles intégrant l’IA dans des chaînes de production automatisées.

Il est donc difficile d’échapper à l’AI ACT en 2025.

 

  1. Quelles sont les catégories d’acteurs prévues par le Règlement ?

Le Règlement prévoit différentes obligations selon les acteurs impliqués dans la conception, la commercialisation ou l’utilisation des systèmes d’IA. Sont ainsi visés :

  • Le « fournisseur » du SIA. Il s’agira de la personne physique ou morale ayant conçu ou développé le système d’IA et à l’origine de sa mise sur le marché ;
  • Le « déployeur » du SIA. Cette notion vise ici l’entité utilisatrice du système d’IA (ex : une entreprise qui le déploie pour ses salariés) ;
  • Le « distributeur » ou l’ « importateur » du SIA. Ces acteurs interviennent dans la chaine d’approvisionnement et de commercialisation du SIA ;
  • Le « fournisseur en aval » du SIA : il s’agit de la personne qui reprend un modèle d’IA d’un tiers ou son propre modèle d’IA pour l’intégrer au système d’IA qu’elle conçoit. Par exemple, intégrer un outil d’IA Générative (ex : ChatGPT) dans un système d’IA plus global.

Cette qualification juridique est une étape cruciale mais complexe qui nécessite une analyse au cas par cas et pour chaque système d’IA concerné. Ainsi, un acteur peut cumuler plusieurs qualifications juridiques et devoir respecter les obligations liées. Nous déconseillons donc fortement de s’inspirer de la qualification retenue par un concurrent ou un acteur connu sur le marché. A titre d’exemple, un déployeur pourrait en réalité être un fournisseur en aval dans certaines situations. Or, une erreur de qualification entrainerait le non-respect des obligations applicables et partant, un risque de sanction.

 

  1. Quelles sont les catégories de systèmes d’IA encadrés par le Règlement ?

Le Règlement distingue 3 grandes catégories de système d’IA :

  • les SIA à risques limités : cela vise certains systèmes d’IA spécifiques (ex : un agent conversationnel utilisé pour fournir des réponses simples aux clients d’un site de commerce en ligne) ou un modèle d’IA à usage général (ex : ChatGPT) ;
  • les SIA à haut risque : cela vise les systèmes d’IA susceptibles de créer des risques importants pour les utilisateurs et les citoyens. Cette catégorie est assez vaste et recoupe des situations variées telles qu’un dispositif médical intégrant de l’IA, un système d’IA utilisé en matière de recrutement pour filtrer les candidatures et évaluer les candidats ou un système de freinage intégrant de l’IA dans une voiture ;
  • les pratiques d’IA interdites : cela vise les pratiques d’IA considérées comme dangereuses et donc interdites (ex : certains outils permettant de déterminer un score social en fonction du comportement social ou de caractéristiques personnelles).

Contrairement aux idées reçues, le texte ne vise donc pas seulement ChatGPT.

 

  1. Quelles sont les obligations prévues par le Règlement ?

Les obligations applicables vont notamment varier en fonction de deux facteurs :

  • La qualification juridique de l’acteur concerné (fournisseur, déployeur, etc.) ;
  • La qualification du système d’IA ou du modèle d’IA concerné.

Le travail de qualification juridique est donc primordial pour appliquer les bonnes obligations.

A titre d’exemple, les fournisseurs de systèmes d’IA à haut risque devront notamment tenir une documentation détaillée sur les aspects techniques de l’IA, s’enregistrer sur un registre de l’Union Européenne et apposer le marquage CE sur le système d’IA.

Nous noterons également que les déployeurs qui souhaitent mettre à disposition de leurs salariés un système d’IA à haut risque, devront en informer les représentants du personnel.

Par ailleurs, les modèles d’IA à usage général devront notamment mettre en place une politique de respect des droits d’auteur et des droits voisins.

Enfin, des mentions d’information à destination des utilisateurs sont parfois requises pour des systèmes d’IA à risque modéré.

 

  1. Quels sont les enjeux de ce Règlement ?

Le premier enjeu est celui des sanctions qui peuvent atteindre des montants records : jusqu’à 35 millions d’euros d’amende ou 7% du chiffre d’affaires mondial.

Toutefois, au-delà de ces sanctions, l’enjeu actuel pour les acteurs est commercial. En effet, les acteurs d’ores et déjà sensibilisés à ces obligations négocient actuellement leurs contrats avec leurs fournisseurs ou distributeurs de SIA afin d’obtenir des garanties de conformité au Règlement.

Un fournisseur ou un distributeur de SIA pourrait se retrouver en difficulté dans une négociation contractuelle ou dans une réponse à appel d’offres.

Enfin, le dernier enjeu est celui de la responsabilité. L’un des objectifs du Règlement – bientôt complété par une Directive concernant la responsabilité extracontractuelle en matière d’IA- est de faciliter la mise en cause de la responsabilité des acteurs en identifiant mieux leur rôle dans la chaine de valeur de l’IA.

 

  1. Comment débuter la conformité ?

Nous recommandons à tous les acteurs de considérer le Règlement IA comme un projet à part entière et de constituer un groupe de travail réunissant des experts IT avec des juristes ou Avocats afin de :

  • Recenser les outils d’IA déployés, commercialisés ou utilisés dans la structure (cela révèle souvent quelques surprises sur les pratiques individuelles) ;
  • Qualifier ces outils d’IA au sein du Règlement ;
  • Qualifier le rôle de l’acteur pour chaque système d’IA ;
  • Vérifier dans le texte les obligations applicables pour chaque système d’IA recensé et qualifié ;
  • Définir un plan d’actions priorisés qui tiennent compte du calendrier de déploiement du texte (qui sera progressif jusqu’en 2027) ;
  • Informer et sensibiliser les équipes sur l’usage de l’IA et les impacts pour l’entreprise (protection du secret des affaires, risques de contrefaçon de créations artistiques de tiers, respect du RGPD, risques de sanctions de l’AI ACT, etc.).

 

Pour aller plus loin, l’IEEPI et Anne-Sophie Viard-Crétat vous proposent la formation :

Mots clés :
Panorama de presse
L'IEEPI enrichit son e-learning en Propriété Intellectuelle !
1 janvier 2022

E-formations PI – Les Enquêtes Propriété Intellectuelle : un serious game basé sur une logique d’enquête policière. Découvrez les essentiels de la Propriété Intellectuelle avec Pierce Intel, votre Détective PI…

Lire la suite
IEEPI