Sitemap
Open in app

Sign in

Medium Logo
Write

Sign in

ILB Labs publications

The ILB labs (Data and ESG) are teams of expert in applied research projects. Please find here their publications, from concept introduction to explorative research!

L’AI Act : vers une IA responsable en Europe

--

En 2022, le marché de l’intelligence artificielle était évalué à 40 milliards de dollars. D’ici 2032, ce même marché pourrait atteindre plus de 1 300 milliards. Nous assistons à un essor rapide de l’IA, porteur de croissance et de progrès dans les secteurs de la santé, du transport, de l’énergie ou de la production, mais aussi porteur de risques pour les droits fondamentaux et la sécurité, tant individuelle que collective, publique ou privée. En effet, en se développant autour de secteurs critiques, l’IA pourrait poser des risques éthiques et même systémiques pour la société et l’économie.

De plus, l’Europe souffre aujourd’hui du manque de « champions » technologiques comparables aux GAFAM américains ou aux BATX chinois. Pour combler cet écart et éviter de rater une nouvelle révolution technologique, l’Europe cherche à faire naître ses propres champions dans cet Eldorado qu’est l’IA. Dans cette optique, elle cherche à devenir un acteur clé dans l’innovation et la régulation de ce secteur porteur, grâce à L’AI Act, en vigueur depuis le 1er août 2024. Cet article vous aidera à mieux comprendre les différents aspects essentiels de cette loi ainsi que ses conséquences potentielles pour les individus, les entreprises et l’économie.

L’AI Act : vers une IA responsable en Europe — image générée par Dall-E

Une loi dans la lignée des ambitions de l’Union Européenne

L’AI Act (« loi sur l’IA ») de l’Union Européenne s’inscrit dans un contexte d’engouement public et privé autour de l’IA. Cet intérêt a été alimenté par le modèle LLM (Large Language Model) Chat-GPT, qui a propulsé l’IA vers de nouveaux horizons : ce modèle a atteint la barre des 100 millions d’utilisateurs seulement deux mois après son lancement. ChatGPT a démocratisé l’IA, attirant un intérêt accru et des opportunités financières dans ce secteur, mais a également suscité des préoccupations concernant la sécurité des données des utilisateurs et les droits de propriété tels que les droits d’auteurs, comme le démontre le procès du New York Times contre OpenAI.

Cette loi émerge également dans un contexte de volonté internationale de régulation. La puissance de calcul, l’autonomie et l’opacité des systèmes d’IA pour les utilisateurs ont poussé les législateurs du monde entier à envisager des régulations nationales et supranationales de l’IA. Même si la loi sur l’IA a été présentée à la Commission européenne le 21 avril 2021, des sommets comme la déclaration de Bletchley du 1er novembre 2023 illustrent le consensus international actuel, public et privé, sur la nécessité de réguler l’IA pour en atténuer les peurs et les risques et favoriser un climat d’innovation sécurisé et de confiance.

Il est également pertinent de mentionner l’avènement du RGPD, qui, par son succès, a ouvert la voie à la loi sur l’IA. Les régimes de responsabilités, de gouvernance, de surveillance et un système de sanctions rappellent la structure de cette nouvelle loi. L’UE, en tant qu’institution supranationale, a su instaurer par le RGPD une loi posant des fondations solides en matière de droits numériques fondamentaux et de régulation, comme le démontrent les procès contre des géants du numérique tels qu’Amazon ou Tiktok. Ainsi, avec le premier cadre réglementaire global sur l’IA, l’UE se positionne comme un des acteurs les plus importants dans la protection des droits fondamentaux liés à la data et à l’IA et cherche à devenir une référence dans la régulation de ce secteur économique.

Définitions et Acteurs

La loi européenne sur l’IA introduit des définitions claires pour les différents acteurs de l’écosystème de l’IA, établissant ainsi la responsabilité tout au long de la chaîne de valeur. Il est essentiel de prendre en compte certaines de ces définitions pour comprendre le contenu et les objectifs de la loi sur l’IA. Vous trouverez ci-dessous des définitions majeures selon la loi sur l’IA de l’UE.

  • Système d’IA (SIA) : un système basé sur une machine, conçu pour fonctionner avec des niveaux d’autonomie variables et pouvant montrer une adaptabilité après déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d’entrée qu’il reçoit, comment générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer des environnements physiques ou virtuels.

Exemple : Tesla Autopilot est un système d’IA développé par Tesla Inc. Pour ses véhicules. Le système utilise un réseau de caméras, de capteurs et d’algorithmes d’apprentissage automatique pour permettre la conduite autonome, l’aide au stationnement. Il est capable de percevoir l’environnement, de prendre des décisions en temps réel, et de contrôler le véhicule pour assurer une conduite plus sûre et plus efficace.

  • Système d’IA à usage général (GPAI : General Purpose AI) : un système d’IA fondé sur un modèle d’IA à usage général est capable de répondre à des besoins divers, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA.

Exemple : GPT-3 développé par OpenAI est un modèle de langage à usage général qui peut être utilisé pour une multitude de tâches comme la rédaction de textes, la traduction, la génération de code, et bien d’autres applications.

  • Fournisseur, ou “développeur” : une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou gratuit.

Exemple : OpenAI est un fournisseur de systèmes d’IA. Il a développé des modèles de langage tels que GPT-4, utilisé pour des applications diverses comme de la génération de texte, des assistants virtuels. OpenAI fournit ses modèles via des API accessibles aux entreprises, leur permettant d’intégrer des capacités d’IA avancées dans leurs propres produits et services. Par exemple, OpenAI fournit l’API GPT-4, que des entreprises comme Duolingo et Shopify utilisent pour améliorer leurs offres.

  • Déployeur, ou “utilisateur” : une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant un système d’IA sous son autorité, sauf si le système d’IA est utilisé dans le cadre d’une activité personnelle non professionnelle.

Exemple : Amazon utilise des systèmes d’IA dans ses opérations, par exemple avec Amazon Rekognition, un service de reconnaissance d’images et de vidéos utilisé pour analyser les flux vidéo en temps réel et automatiser les processus de surveillance.

  • Importateur : une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA portant le nom ou la marque d’une personne physique ou morale établie dans un pays tiers.

Exemple : SoftBank Robotics Europe importe le robot Pepper, développé par SoftBank Robotics au Japon, et le commercialise sur le marché européen en tant que plateforme utilisant l’IA pour l’interaction avec les clients dans les magasins, les banques et d’autres environnements de service.

  • Distributeur une personne physique ou morale de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union.

Exemple : Ingram Micro est un distributeur mondial de produits technologiques, y compris des systèmes d’IA développés par d’autres entreprises. Ils distribuent par exemple des solutions développées par des entreprises comme NVIDIA ou Intel, sans modifier les produits originaux.

Contenu de la loi

Présentation de la loi

La loi sur l’IA vise à positionner l’Union Européenne comme l’un des leaders de l’IA sécurisée, avec des règles claires pour son développement, sa commercialisation et son utilisation. Cette loi adopte une approche horizontale basée sur les risques. Les systèmes d’IA sont classés en fonction de leur potentiel de préjudice sociétal en quatre catégories : risque inacceptable (pratiques interdites), risque élevé, risque limité et risque minimal. Cette classification détermine le niveau de régulation, les systèmes présentant le risque le plus élevé ou entraînant des conséquences importantes sur le bien-être et les moyens de subsistance des personnes concernées étant soumis aux règles et obligations les plus strictes. Les entreprises doivent évaluer avec précision le niveau de risque de leurs systèmes d’IA, car cela détermine leurs responsabilités réglementaires correspondantes. La priorité de l’UE est de veiller à ce que les systèmes d’IA utilisés dans l’Union soient sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement.

Types de risques

Voici les différentes règles pour les différents niveaux de risques :

  • Risque inacceptable (pratiques interdites) : systèmes d’IA contraires aux valeurs de l’UE, portant atteinte à des droits fondamentaux.

Des types de systèmes d’IA qui sont « interdits » en vertu de la loi sur l’IA : tout système d’IA déployant la manipulation, l’exploitation (des vulnérabilités) et/ou le contrôle social, notation sociale des personnes physiques à des fins générales (scoring social), déduction des émotions sur le lieu de travail ou dans les établissements d’enseignement, système de catégorisation biométrique, identification biométrique à distance « en temps réel » (IBD). Il existe des exceptions potentielles pour la déduction des émotions pour des raisons médicales ou de sécurité et des exceptions potentielles pour l’IBD en temps réel dans les cas de recherche de personnes disparues, de prévention d’une menace grave et imminente ou pour identifier les suspects de crimes graves par exemple.

Cas concret d’IA potentiellement interdit : la chaîne de supermarché japonaise Aeon a utilisé un système de surveillance basé sur l’IA baptisé “Mr. Smile” pour analyser les interactions des employés avec leurs clients et vérifier qu’ils affichent leur plus beau sourire pour « Améliorer (…) la qualité du service ».

Ce type de système serait potentiellement banni en Europe sous la nouvelle juridiction en raison de l’interdiction de déduction des émotions sur le lieu de travail.

  • Risque élevé : les systèmes d’IA classés comme à haut risque sont soumis à une réglementation stricte. Avant leur mise sur le marché, ces systèmes doivent passer une évaluation de conformité et être enregistrés obligatoirement dans une base de données de l’UE. Les fournisseurs d’IA à haut risque doivent documenter les données utilisées pour leur entraînement ainsi que les méthodologies employées, établir une documentation technique pour démontrer la conformité et fournir aux autorités les informations nécessaires pour cette évaluation (marquage CE). Les fournisseurs d’IA à haut risque doivent concevoir leur IA de manière à permettre une supervision humaine, atteindre des niveaux adéquats de précision, de robustesse et de cybersécurité et mettre en place un programme de gestion des risques. De plus, des instructions d’utilisation doivent être fournies aux déployeurs pour assurer leur conformité avec la réglementation (notamment en matière de transparence de la conception et d’instructions pour les utilisateurs).

Les SIA à risque élevé seront définis et listés dans leur intégralité par la Commission Européenne. Cette catégorie est essentielle dans la législation car elle englobe divers types de SIA avec de nombreuses obligations.

Voici quelques exemples de SIA considérés comme à « risque élevé » : ceux qui effectuent un traitement automatisé de données personnelles (profilage) pour évaluer des aspects divers de la vie d’une personne, tels ses performances professionnelles, sa situation économique, sa santé, ses préférences, ses intérêts, sa localisation, etc. Cela inclut également les systèmes de gestion et d’exploitation des infrastructures critiques, ainsi que ceux impliqués dans l’administration de la justice et les processus démocratiques.

Cas concret de SIA potentiellement catégorisé comme à « risque élevé » : IDx-DR, développé par IDx Technologies, est un système d’IA initialement déployé aux Etats-Unis et commercialisé dans l’Espace économique européen. Le système analyse les images rétiniennes pour détecter des signes de rétinopathie diabétique, une complication du diabète qui peut entraîner la cécité.

Ce système serait potentiellement catégorisé come à « risque élevé » car il est utilisé dans le domaine médical pour diagnostiquer une condition de santé.

  • Risque limité : Les systèmes d’IA classés comme présentant un « risque limité » doivent respecter des obligations de transparence. Ils doivent fournir des informations claires et adéquates sur leur fonctionnement général. Les entreprises doivent garantir une transparence totale quant à l’utilisation des technologies d’IA, notamment en divulguant au public lorsque du contenu (textes, images, vidéos) a été généré par l’IA. Selon la Commission Européenne, la majorité des SIA relèvent de cette catégorie.

Voici quelques exemples de SIA considérés comme à « risque limité » : les systèmes qui interagissent avec les humains (chatbots) qui sont utilisés pour détecter les émotions, pour générer ou manipuler du contenu (deepfakes).

Cas concret d’IA potentiellement catégorisé comme à risque « risque limité » : Spotify utilise des IA pour recommander des chansons et des artistes en fonction des préférences et habitudes d’écoute des utilisateurs. Ces recommandations sont générées par des algorithmes de filtrage collaboratif et de traitement du langage naturel qui analysent les données d’écoute des utilisateurs pour proposer des contenus personnalisés.

Ce système serait potentiellement catégorisé comme à « risque limité » car l’algorithme est sophistiqué et traite des données personnelles, mais a un impact limité sur les droits fondamentaux et ne présente pas de risques majeurs pour la sécurité.

  • Risque minimal : Les systèmes d’IA présentant un impact très limité ou nul sur les droits fondamentaux, la sécurité, ou la vie privée des individus ne sont pas soumis à la réglementation de la loi sur l’IA. Les systèmes d’IA à « risque minimal » peuvent appliquer un code de conduite volontaire.

Cas concret de SIA potentiellement catégorisé comme à « risque minimal » : Google Translate utilise l’IA pour traduire des textes entre différentes langues. Il est conçu pour améliorer la communication en permettant de comprendre et de traduire des contenus écrits dans des langues non maîtrisées.

Ce système serait potentiellement catégorisé comme à « risque minimal » car les traductions fournies n’ont aucun impact significatif sur les droits fondamentaux des utilisateurs et le système présente une absence de risques sécuritaires ou privés importants.

IA à usage général

Les modes et systèmes d’IA à usage général, ou GPAI, sont soumis à des réglementations spécifiques en raison des risques particuliers associés à leur polyvalence et à l’éventail des applications possibles qu’un modèle ou un système d’IA à usage général peut avoir. Ces régulations visent non seulement à prévenir les dommages potentiels liés à une mauvaise utilisation, comme c’est le cas pour d’autres systèmes, mais aussi à gérer le manque de contrôle qui peut exister avec ces systèmes.

Rappelons tout d’abord ce qu’est un Système d’IA à usage général (GPAI) : un Système d’IA à usage général peut être utilisé et adapté à un large éventail d’applications pour lesquelles il n’a pas été conçu intentionnellement et spécifiquement. Un tel système est destiné à exécuter des fonctions génériques telles que la reconnaissance d’images et de paroles, la génération d’images ou de contenu audio et vidéo, la détection de formes, la réponse à des questions, la traduction, etc. Des exemples notables de systèmes d’IA à usage général sont GPT-4 par OpenAI, Gato par DeepMind ou encore IBM Watson.

Les systèmes GPAI sont donc capables de répondre à divers besoins, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA. Ils peuvent également être utilisés comme des systèmes d’IA à haut risque ou intégrés dans ces derniers. Les fournisseurs de GPAI doivent collaborer avec les fournisseurs de systèmes d’IA à haut risque pour les aider à se conformer aux exigences réglementaires.

Tous les fournisseurs de modèles de GPAI doivent :

  • rédiger une documentation technique comprenant le processus d’entraînement, d’essai et les résultats de l’évaluation ;
  • préparer des informations et une documentation à fournir aux fournisseurs qui ont l’intention d’intégrer le modèle GPAI dans leur propre système d’IA ;
  • établir une politique de conformité avec la directive sur le droit d’auteur ;
  • publier un résumé détaillé des données utilisées pour l’entraînement du modèle GPAI.

Les modèles GPAI à licence libre et ouverte, dont les paramètres sont accessibles au public, doivent seulement respecter les deux dernières obligations ci-dessus, à moins que le modèle ne présente un risque systémique.

Un modèle GPAI est considéré comme présentant un risque systémique si la quantité totale de calcul utilisée pour son entraînement dépasse 10^25 opérations en virgule flottante (FLOPs). Les fournisseurs doivent notifier la Commission dans un délai de deux semaines si leur modèle répond à ce critère. Le fournisseur peut présenter des arguments selon lesquels, bien que répondant aux critères, son modèle ne présente pas de risques systémiques. La Commission peut décider, sur la base de cette notification ou à la suite d’une alerte émise par un groupe d’experts indépendants, si le risque est effectivement systémique et présente des capacités d’impact élevées.

En plus des obligations mentionnées, les fournisseurs de modèles GPAI présentant un risque systémique doivent également :

  • réaliser des évaluations de modèles, y compris mener et documenter des tests contradictoires ;
  • évaluer et atténuer les risques systémiques éventuels ;
  • identifier, documenter et signaler les incidents graves et les éventuelles mesures correctives à l’Office de l’IA et aux autorités nationales compétentes ;
  • assurer un niveau adéquat de protection de la cybersécurité.

Tous les fournisseurs de modèles GPAI peuvent prouver leur conformité en adhérant volontairement à un code de bonnes pratiques jusqu’à ce que des normes européennes harmonisées soient publiées, ce qui entraînera une présomption de conformité. Ceux qui choisissent de ne pas adhérer doivent démontrer qu’ils disposent d’autres moyens adéquats pour respecter leurs obligations afin d’obtenir l’approbation de la Commission.

Le code de pratique cité ci-dessus prendra en compte les approches internationales. Il couvrira, mais sans s’y limiter, les obligations mentionnées précédemment, telles que :

  • les informations pertinentes à inclure dans la documentation technique destinée aux autorités et aux fournisseurs en aval,
  • l’identification des types et sources de risques systémiques, ainsi que les modalités de gestion des risques.

Le code devra également aborder les défis spécifiques liés à la gestion des risques, notamment la manière dont ces risques peuvent émerger et se matérialiser tout au long de la chaîne de valeur.

Exclusions et dérogations

Les systèmes suivants ne sont pas couverts par la loi :

  • La recherche scientifique et commerciale, le développement et le prototypage (avant l’introduction sur le marché) ;
  • L’usage non professionnel et personnel, ainsi que les usages militaires, de défense ou de sécurité nationale ;
  • Les modèles Open Source, sauf s’ils sont intégrés dans des systèmes à haut risque.

Entrée en vigueur et transition

La loi est entrée en vigueur le 1 aout 2024, cependant la plupart de ses dispositions seront applicables après une période de transition de 24 mois, soit à partir du 2 août 2026. Certaines dispositions spécifiques ont des périodes de transition spécifiques :

  • 6 mois : interdiction sur les systèmes d’IA prohibées (à partir du 2 février 2025)
  • 9 mois : publication et mise en œuvre des codes de pratique
  • 12 mois : règles sur l’IA à usage général (GPAI) et sanctions deviennent applicables (à partir du 2 août 2025)
  • 36 mois : application des règles aux systèmes d’IA à haut risque intégrés dans de grands systèmes informatiques, conformément aux actes juridiques de l’annexe I (à partir du 2 août 2027)

Cadres d’application et portées

La loi sur l’IA établit des institutions supranationales pour assurer une mise en œuvre efficace et aider les instances locales à appliquer les régulations définies :

  • L’Office de l’IA (AI Office) : création d’un bureau européen de l’IA chargé de la supervision, du développement des lignes directrices et de la promotion des codes de pratique. L’Office contrôlera la mise en œuvre et la conformité des fournisseurs de modèles GPAI. Les fournisseurs en aval peuvent déposer plainte auprès de l’Office concernant les infractions commises par les fournisseurs en amont. L’Office peut évaluer les modèles GPAI pour vérifier leur conformité si les informations obtenues sont insuffisantes ou pour enquêter sur les risques systémiques, notamment à la suite d’un rapport qualifié d’un groupe scientifique d’experts indépendants.
  • Conseil de l’IA : garantit l’application cohérente des dispositions et encourage la collaboration entre les autorités et les parties prenantes. Le Conseil émet des recommandations, des avis et des normes techniques pour guider les différents acteurs.

Les États membres de l’UE sont responsables de la mise en œuvre et de l’application des dispositions dans leurs juridictions respectives. Les autorités réglementaires nationales supervisent la conformité, les actions d’application et les enquêtes sur les violations de la loi. En déléguant ces responsabilités d’application aux autorités nationales, la loi assure une application localisée adaptée à chaque paysage réglementaire et contexte culturel des États membres.

La loi sur l’IA a une portée extraterritoriale et s’applique à certaines activités au-delà des frontières de l’UE sous certaines conditions. Elle s’applique si :

  • un fournisseur met un système d’IA ou des modèles d’IA à usage général sur le marché de l’UE, qu’il soit établi dans l’UE ou à l’extérieur ;
  • un déployeur de systèmes d’IA possède un établissement dans l’UE ;
  • les fournisseurs et déployeurs de systèmes d’IA sont établis ou situés dans un pays tiers, mais les résultats produits par leurs systèmes sont utilisés au sein de l’UE.

Il est presque impossible d’échapper à l’application de la loi sur l’IA simplement en se relocalisant. Les entités non européennes servant leurs clients de l’UE doivent donc se conformer à l’ensemble des exigences applicables.

Pénalités

La loi sur l’IA prévoit des pénalités en cas de non-conformité, avec des amendes calculées comme il suit, l’amende majorante étant retenue :

  • Jusqu’à 35 000 000 EUR ou 7% du chiffre d’affaires annuel mondial pour non-conformité avec les interdictions ;
  • Jusqu’à 15 000 000 EUR ou 3% du chiffre d’affaires annuel pour les modèles d’IA à usage général et systèmes à haut risque ;
  • Jusqu’à 7 500 000 EUR ou 1% du chiffre d’affaires annuel pour des informations incorrectes ou trompeuses aux autorités.

Avantages : une loi qui combine éthique et innovation

« Une bonne réglementation favorise l’innovation, car sans cadre clair, les développeurs hésitent à intégrer l’IA de peur de ne pas pouvoir prouver qu’ils ont fait leur maximum pour se mettre en conformité en cas d’accident », estime Guillaume Avrin, coordinateur national pour l’intelligence artificielle.

Responsabilité et transparence

La loi établit des définitions claires pour les différents acteurs dans un écosystème souvent flou, et définit également les responsabilités tout au long de la chaîne d’approvisionnement de l’IA. Cela permet de garantir le développement et l’utilisation des systèmes d’IA dans l’UE de manière sûre, fiable et conforme aux droits fondamentaux et aux valeurs.

Dans le domaine de la santé, par exemple, les systèmes d’IA tels que les outils de diagnostic et de surveillance des patients doivent respecter des normes élevées de sécurité et de précision, nécessitant des tests et une validation rigoureuse.

La transparence accrue exigée par la loi permettra à chaque acteur, même les utilisateurs finaux, de mieux comprendre les systèmes d’IA auxquels ils sont confrontés. Que ce soit d’un simple assistant téléphone IA ou un système avancé comme Transpara, qui détecte le cancer du sein, cette compréhension accrue favorisera une plus grande confiance dans les systèmes d’IA. Cela est particulièrement important car, actuellement, 80% des consommateurs expriment des inquiétudes vis-à-vis de l’IA générative, par exemple.

L’Union Européenne pourrait également avoir l’avantage du « Premier Entrant » : se conformer dès le début à des normes rigoureuses peut offrir aux entreprises de l’UE un avantage concurrentiel sur les marchés mondiaux où des régulations similaires pourraient être adoptées à l’avenir.

Sécurité et fiabilité

En encadrant les usages de l’IA, notamment dans des secteurs sensibles, la loi sur l’IA pourrait réduire les incidents liés à l’IA. Depuis la pandémie de Covid-19, les cyberattaques ont augmenté de près de 600%, une hausse en partie due à l’essor de l’IA et aux vulnérabilités associées à des IA mal conçues.

La régulation de l’IA, en imposant des normes plus strictes et un respect accru des droits de propriété et de confidentialité, contribuera également à atténuer le risque accru de fuites de données lié à l’IA.

Par exemple, Samsung a récemment été victime d’une fuite de données confidentielles après que ses employés ont utilisé le modèle ChatGPT. Ce modèle affine ses connaissances grâce aux conversations et requêtes reçues, ce qui peut entraîner le partage des informations confidentielles avec d’autres utilisateurs.

Limites : une réglementation aux multiples répercussions potentielles

Cecilia Bonefeld-Dahl, directrice générale de DigitalEurope, qui représente le secteur technologique du continent, a déclaré : « Le coût supplémentaire de la conformité pour les entreprises de l’UE nous fait reculer. Nous embaucherons des avocats tandis que le reste du monde embauche des programmeurs. »

Coût élevé de mise en conformité

L’Union Européenne estime actuellement que le coût de la conformité pour les entreprises s’élève à environ 7000 euros. Toutefois, ce chiffre semble irréaliste, notamment pour les PME, car il ne couvre que les frais d’audit et donc d’évaluation de conformité. En réalité, la mise en conformité implique des coûts supplémentaires considérables, tels que la documentation approfondie, l’expertise juridique et technique, la surveillance continue et les audits réguliers pour garantir la conformité. Le coût total de mise en conformité pourrait atteindre jusqu’à 400 000 à 500 000 euros, représentant jusqu’à 40% des profits d’une entreprise, selon sa taille et le niveau de risque associé à son système d’IA.

Frein à l’innovation et au développement rapide de l’IA

Bien que la législation ne s’applique pas aux phases de recherche et développement (R&D) et de prototypage, la nécessité de garantir la conformité dès la phase de développement peut ralentir la mise sur le marché des innovations. Ce retard est particulièrement préjudiciable dans un secteur en rapide évolution, où l’avantage du « premier arrivé », de cet entrepreneur innovateur, est crucial.

Cependant, bien que l’UE impose un cadre réglementaire strict, notamment pour les GPAI, de nombreux cas d’utilisation peuvent être réalisés avec des modèles moins complexes, n’exigeant pas des performances aussi élevées que 𝟏𝟎^𝟐𝟓 opérations en virgule flottante (FLOPs), comme utiliserait un modèle comme GPT-4.

Ces réglementations ne devraient pas freiner de manière significative l’innovation dans l’industrie, bien que des ajustements futurs puissent être nécessaires à mesure que la puissance de calcul des SIA progresse.

Régulation incomplète

Certaines questions essentielles pour la conformité des entreprises restent encore floues, telles que les limites des droits de propriété intellectuelle et les codes de pratique des entreprises, qui restent à être publiés.

Bien que la loi européenne sur l’IA établisse un cadre clair, les applications pratiques peuvent conduire à des cas ambigus, nécessitant des décisions de justice pour clarifier les interprétations.

Pour illustrer le flou potentiel autour de la régulation, prenons l’exemple de MedAI Innovations. Cette entreprise a développé un système d’IA destiné à aider les médecins à diagnostiquer des maladies rares en analysant des images médiales et des données des patients. En vertu de la loi sur l’IA de l’UE, ce système est classé comme à « haut risque ». Le SIA de MedAI utilise des algorithmes d’apprentissage profond qui s’améliorent continuellement grâce à de nouvelles données provenant de divers hôpitaux européens. Selon la loi sur l’IA, les systèmes à haut risque doivent être explicables et traçables. Cependant, les algorithmes de MedAI sont en grande partie considérés comme des « boîtes noires », rendant complexe la compréhension du processus par lequel ils arrivent à leurs diagnostics.

La loi sur l’IA exige une explicabilité pour les systèmes à haut risque, mais il reste à éclaircir jusqu’à quel point un algorithme doit être transparent. Est-il suffisant de comprendre le processus global, chaque décision individuelle doit-elle être expliquée en détail ?

En cas de diagnostic erroné, la responsabilité peut-elle être attribuée à l’entreprise qui développe le système, à l’hôpital qui l’utilise, ou aux développeurs des algorithmes ?

L’apprentissage continu du système d’IA implique que ses capacités évoluent constamment. Comment la loi sur l’IA doit-elle traiter les systèmes en constante évolution ? Les audits réguliers suffisent-ils pour assurer la conformité ?

Potentiel frein vis-à-vis de la concurrence internationale

L’Union Européenne ambitionne de devenir un leader en IA grâce à son cadre réglementaire, qui est censé stimuler l’innovation tout en respectant les principes éthiques. Cependant, l’Europe accuse déjà un retard significatif dans les investissements dans les entreprises d’IA : 53% de ces investissements privés mondiaux sont réalisés aux États-Unis, 23% en Chine et seulement 6% en Europe. En limitant le développement libre de l’IA, l’UE pourrait d’autant plus freiner l’investissement dans l’IA sur son territoire.

De plus, la loi sur l’IA pourrait coûter plus de 31 milliards d’euros à l’économie européenne d’ici 2025, réduisant les investissements dans le secteur de plus de 20%. Les SIA règlementés pourraient également avoir du mal à s’exporter face à des systèmes étrangers qui ne font pas face aux mêmes exigences éthiques et sécuritaires.

Il convient toutefois de noter que les chiffres relatifs aux coûts, qu’ils soient globaux pour l’économie européenne ou spécifiques à la conformité des entreprises, sont souvent surestimés dans de nombreuses analyses. De plus, en réalité, seulement entre 5% et 15% des systèmes d’IA seront classifiés comme « à haut risque » et donc nécessiteront des modifications et des coûts de conformité supplémentaires.

Conclusion

La loi européenne sur l’IA constitue indéniablement une avancée majeure dans le secteur de l’IA, ainsi que dans la réglementation mondiale. Il s’agit de la première législation significative émanant de l’une des régions les plus attractives et innovantes, et elle entraîne déjà des répercussions internationales. Par exemple, le Congrès Brésilien a déjà adopté une loi encadrant l’utilisation de l’IA après la proposition de loi sur l’IA faite à la Commission Européenne. Bien que cette loi puisse sembler limiter un certain libre-échange et laissez-faire concernant les systèmes d’IA en Europe, elle s’inscrit dans une dynamique et volonté d’investissement et de croissance dans ce secteur au sein de l’UE.

Malgré les défis potentiels, les avantages de la loi européenne sur l’IA sont significatifs. Elle favorise une meilleure gouvernance et une utilisation plus sûre de l’IA, offrant une base solide aux entreprises cherchant à transformer leurs opérations grâce à l’IA. Ceci est particulièrement important dans des secteurs critiques où la transparence réduit l’incertitude, permettant aux entreprises de poursuivre l’innovation basée sur l’IA avec confiance.

La question ne réside pas seulement dans le positionnement en termes de règlementation et d’innovation, mais surtout dans la manière de se placer à l’avant-garde du développement responsable de l’IA, reflétant un engagement envers des normes éthiques et de sécurité. La loi européenne ne marque pas la fin de l’innovation en IA, ni des avancées dans ce secteur. Au contraire, elle ouvre un nouveau chapitre où l’innovation est associée à la responsabilité, à la sécurité et à l’éthique. Elle montre comment la technologie peut progresser en accord avec nos valeurs.

À propos du DataLab

L’ILB Data Lab est une équipe d’ingénieurs data scientists, rodés aux problématiques de l’industrie financière, qui combine une expertise confirmée et des compétences techniques pour mener de bout en bout des projets de R&D en data science en développant des solutions de pointe.

Remerciements

Nous tenons tout particulièrement à remercier Iker TARDIO et Rafik MANKOUR pour leur implication dans cet article, aux côtés de Jérémy VILCOSQUI, auteur de cette publication.

AI
Ai Act Compliance
Regulation

--

--

ILB Labs publications
ILB Labs publications

Published in ILB Labs publications

17 followers
Last published Mar 20, 2025

The ILB labs (Data and ESG) are teams of expert in applied research projects. Please find here their publications, from concept introduction to explorative research!

ILB Data Lab
ILB Data Lab

Written by ILB Data Lab

8 followers
3 following

The Data Lab is a team of data scientists at the Institut Louis Bachelier, specialized in applied research for companies and/or public institutions.

No responses yet

Help

Status

About

Careers

Press

Blog

Privacy

Rules

Terms

Text to speech