Très récemment approuvé de façon autonome par le parlement[1], le projet de règlement sur l’intelligence artificielle entre dans une nouvelle phase de son évolution. Désormais, la phase de négociation trilogue[2] peut s’entamer dans le but d’aboutir rapidement à une version finalisée prête à entrer en vigueur au plus tard d’ici 2026.

 

 

  • Une nouvelle catégorie de système d’IA

L’une des nouveautés de cet amendement approuvé est la création récente de la catégorie de SIA[3] dite « Modèles de fondation »[4].

Cette dernière regroupe les SIA à usage général, c’est-à-dire les systèmes entrainés sur un large éventail de données dans le but d’être optimisés pour des usages généraux et polyvalents. Les fameuses IA génératives font partie de cette catégorie.

Les fournisseurs et « déployeurs » de ces modèles de fondation sont désormais soumis à de nouvelles obligations[5]. Parmi celles-ci, celle de documenter et analyser le développement et l’entrainement du SIA concerné de sorte à garantir un risque minimum d’atteinte aux intérêts protégés par le texte (notamment les droits fondamentaux, la cybersécurité et l’environnement).

Bien plus, les API et les modèles de fondation en open source sont eux aussi visés par ces nouvelles obligations. Dès lors, il n’est plus possible de se soustraire à ces exigences en se contenant de reprendre un modèle de fondation préexistant, déjà accessible en format ouvert, et répondant aux règles légales.

 

  • Une nouvelle méthode de détermination des risques

Du point de vue entrepreneurial, la modification la plus intéressante est sûrement celle relative à la classification des SIA dans la catégorie « Hauts Risques ».

La liste exhaustive présente dans les annexes de la proposition initiale est désormais enrichie d’autres exemples de SIA à haut risque et, plus encore, elle devient illustrative, indicative.

En ce sens, il appartient désormais aux développeurs d’IA d’évaluer eux même la potentialité de « risque significatif » d’atteinte aux droits fondamentaux, à la santé et à la sécurité.

Dans cette optique, et pour aider les acteurs privés à établir la catégorie dans laquelle se trouve leur SIA, l’Union Européenne prévoit de publier des lignes directrices dans les six mois précédant l’entrée en vigueur du règlement.

 

  • L’affirmation de l’importance du respect à la vie privée et à l’intégrité des données à caractère personnel

Avec l’émergence des IA à usage général tels que ChatGPT ou Dall-E, les institutions, à l’instar des autorités nationales, se sont rendu compte des importants manquements en matière de traitement des données à caractère personnel.

C’est ainsi que l’article 4 amendé vient ériger le respect à la vie privée et l’intégrité des données personnelles en principes directeurs du développement de l’IA sur le territoire européen. Les développeurs seront donc tenus de respecter des principes bien connus depuis le RGPD, notamment les principes de privacy by design/default et de minimisation.

Toujours dans la veine du RGPD, le texte prévoit dorénavant une obligation de réalisation d’analyse d’impact préalable au déploiement des SIA à haut risque[6]. Celle-ci consistera en une analyse visant à minimiser les risques relatifs, encore une fois, aux droits fondamentaux des citoyens. Parmi les critères à retenir sont notamment présents le champ d’application territorial et temporel prévu pour le déploiement du SIA, les catégories d’individus concernés et les objectifs poursuivis par les développeurs.

Ce qu’il faut retenir :

Avant toute chose, il faut comprendre que le texte n’est encore qu’au stade des négociations. De ce fait, les conseils suivants sont relativement prospectifs et les règles analysées ci-dessus seront potentiellement amenées à changer de nouveau lors des discussions institutionnelles.

  • Si vous êtes acteur en matière de modèle de fondation, il vous faudra réaliser une documentation relative au développement de votre SIA permettant d’établir que vous avez minimisé au plus possible les risques d’atteinte aux droits fondamentaux, à la cybersécurité et à l’environnement.
  • Vous restez soumis à ces obligations même lorsque vous développez des API ou que vous utilisez des modèles de fondation préexistants et accessibles en open source.
  • Vous devrez dorénavant établir vous-même la catégorie de risque à laquelle appartient votre SIA.
  • Si vous développez un SIA à haut risque, vous devrez réaliser, en amont, une analyse d’impact relative aux risques d’atteinte aux droits fondamentaux et particulièrement au droit à la vie privée.
  • Si votre projet d’IA générative nécessite d’effectuer une fouille de textes ou données, vous serez soumis à des obligations supplémentaires relatives au respect des droits d’auteur. En plus des conditions légales nécessaires pour réaliser une telle fouille (accès légal et absence de réserve des droits de propriété par les titulaires), vous devrez mettre à disposition du public un résumé détaillé des données protégées par un droit de propriété que vous avez utilisé pour entrainer votre système.[7]
  • Vous bénéficiez d’une période transitoire de 24 mois après l’entrée en vigueur du règlement.

[1] https://www.europarl.europa.eu/news/en/press-room/20230505IPR84904/ai-act-a-step-closer-to-the-first-rules-on-artificial-intelligence

[2] C’est-à-dire la négociation, entre les trois institutions de l’Union (Conseil, Parlement, Commission), visant à établir la version finale d’un texte amené à être instauré dans l’ordre juridique européen

[3] Système d’Intelligence Artificielle, terminologie retenue et définie par l’AI Act en son article 3

[4] Nouveau Considérant 60e

[5] Article 28b amandé

[6] Article 29a amandé

[7] Article 28b amandé

 

Marine Hardy, avocat directeur des pôles Innovation & Sécurité et Théodore Perez, juriste stagiaire | ITLAW Avocats

Besoin d’accompagnement dans la création ou la mise en conformité de votre projet de système d’intelligence artificielle ?

ITLAW Avocats met à votre service son expérience et son expertise en la matière.

ITLAW Avocat mobilise ses talents et son expertise en matière de protection des données personnelles, de contrats, d’innovation, de projets informatiques complexes et de propriété intellectuelle   ainsi que sa connaissance de l’écosystème IT  pour vous accompagner dans la sécurisation de vos projets et votre compliance.

 

Nous contacter