Très récemment adopté par le Parlement Européen le 13 mars 2024 [1], le projet de règlement sur l’intelligence artificielle entre dans une nouvelle phase de son évolution. Désormais, il ne reste plus que le vote du Conseil de l’UE pour que le texte entre en vigueur en 2025.

 

 

  • Une nouvelle catégorie de système d’IA

L’un des éléments clés de ce projet est relatif à catégorie de systèmes d’IA (SIA) [2] dite « Modèles de fondation ».

Cette dernière regroupe les SIA à usage général, c’est-à-dire les systèmes entrainés sur un large éventail de données dans le but d’être optimisés pour des usages généraux et polyvalents. Les fameuses IA génératives font partie de cette catégorie.

Les fournisseurs et utilisateurs de ces modèles de fondation sont désormais soumis à de nouvelles obligations [3] . Parmi celles-ci, celle de documenter et analyser le développement et l’entrainement du SIA concerné de sorte à garantir un risque minimum d’atteinte aux intérêts protégés par le texte (notamment les droits fondamentaux, la cybersécurité et l’environnement).

Bien que les obligations pour les SIA à haut risques sont plus lourdes, il n’en demeure pas moins que les tous les SIA sont soumis à des obligations de transparence :

  • La rédaction et mise à jour du processus d’entraînement et d’essai du modèle aux autorités et fournisseurs ultérieurs
  • Un résumé détaillé des donnés d’entraînement du modèle
  • Afin de remplir ces obligations, les acteurs concernés pourront s’appuyer sur des codes de bonne pratique édictées par le Bureau de l’IA ou sur des normes harmonisées publiées ultérieurement

L’AI Act ne s’appliquera pas aux modèles open source et gratuits dont les paramètres sont rendus publics, à l’exception des aspects relatifs au respect des droits d’auteur et à la publication d’un résumé détaillé, à moins que les modèles ne présentent un risque systémique

 

  • Une nouvelle méthode de détermination des risques

Du point de vue entrepreneurial, la modification la plus intéressante est sûrement celle relative à la classification des SIA dans la catégorie « Hauts Risques ».

La liste exhaustive présente dans les annexes de la proposition initiale est désormais enrichie d’autres exemples de SIA à haut risque et, plus encore, elle devient illustrative, indicative.

En ce sens, il appartient désormais aux développeurs d’IA d’évaluer eux même la potentialité de « risque significatif » d’atteinte aux droits fondamentaux, à la santé et à la sécurité.

Dans cette optique, et pour aider les acteurs privés à établir la catégorie dans laquelle se trouve leur SIA, l’Union Européenne prévoit de publier des lignes directrices dans les six mois précédant l’entrée en vigueur du règlement.

 

  • L’affirmation de l’importance du respect à la vie privée et à l’intégrité des données à caractère personnel

Avec l’émergence des IA à usage général tels que ChatGPT ou Dall-E, les institutions, à l’instar des autorités nationales, se sont rendu compte des importants manquements en matière de traitement des données à caractère personnel.

C’est ainsi que l’article 4 vient ériger le respect à la vie privée et l’intégrité des données personnelles en principes directeurs du développement de l’IA sur le territoire européen. Les développeurs seront donc tenus de respecter des principes bien connus depuis le RGPD, notamment les principes de privacy by design/default et de minimisation.

Toujours dans la veine du RGPD, le texte prévoit dorénavant une obligation de réalisation d’analyse d’impact préalable au déploiement des SIA à haut risque [4]. Celle-ci consistera en une analyse visant à minimiser

les risques relatifs, encore une fois, aux droits fondamentaux des citoyens. Parmi les critères à retenir sont notamment présents le champ d’application territorial et temporel prévu pour le déploiement du SIA, les catégories d’individus concernés et les objectifs poursuivis par les développeurs.

 

Ce qu’il faut retenir :

Avant toute chose, il faut comprendre que le texte n’est pas formellement entré en vigueur. De ce fait, il est possible que le texte, bien qu’adopté par le Parlement Européen, subisse des modifications mineures par le Conseil de l’UE.

· Si vous êtes acteur en matière de modèle de fondation, il vous faudra réaliser une documentation relative au développement de votre SIA permettant d’établir que vous avez minimisé au plus possible les risques d’atteinte aux droits fondamentaux, à la cybersécurité et à l’environnement.

· Vous devrez dorénavant établir vous-même la catégorie de risque à laquelle appartient votre SIA.

· Si vous développez un SIA à haut risque, vous devrez réaliser, en amont, une analyse d’impact relative aux risques d’atteinte aux droits fondamentaux et particulièrement au droit à la vie privée.

· Si votre projet d’IA générative nécessite d’effectuer une fouille de textes ou données, vous serez soumis à des obligations supplémentaires relatives au respect des droits d’auteur. En plus des conditions légales nécessaires pour réaliser une telle fouille (accès légal et absence de réserve des droits de propriété par les titulaires), vous devrez mettre à disposition du public un résumé détaillé des données protégées par un droit de propriété que vous avez utilisé pour entrainer votre système.

· Vous bénéficiez d’une période transitoire de 12 mois pour les SIA, et 24 mois pour les SIA présentant un haut risque, après l’entrée en vigueur du règlement.

 

[1] https://www.europarl.europa.eu/doceo/document/TA-9-2024-0138_FR.pdf

[2] Article 3 de la Résolution du Parlement du 13 mars 2024

[3] Article 53 de la Résolution du Parlement du 13 mars 2024

[4] Article 27 de la Résolution du Parlement du 13 mars 202

 

Claudia Weber, avocat associé et Marine Hardy, avocat directeur des pôles Innovation & Sécurité et Théodore Perez, juriste stagiaire | ITLAW Avocats

Besoin d’accompagnement dans la création ou la mise en conformité de votre projet de système d’intelligence artificielle ?

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT  pour vous accompagner dans la sécurisation de vos projets et votre compliance.

 

Nous contacter