Si vous suivez les actualités liées à l’IA ou aux diverses réglementations vous n’avez pas pu passer à côté de l’AI Act.
L’AI Act en Bref
L’AI Act est la loi de l’Union Européenne qui encadre l’utilisation des « systèmes d’IA » au sein de l’UE. Par système d’IA, comprenez tout service utilisant de l’IA que cela soit le cœur de sa proposition ou simplement pour une fonctionnalité annexe.
L’AI Act a commencé à entrer en vigueur en 2024… mais le sera totalement qu’en 2030.
L’AI Act est une loi composée de plus de 100 articles. L’idée est de couvrir le plus de cas généraux mais aussi les exceptions. De même, il y a un souhait de centraliser autant d’éléments que possible dans ce texte afin de ne pas les multiplier.
Voici quelques articles:
A noter: il y a également de nombreuses Annexes qui sont particulièrement importantes!
Les objectifs de l’AI Act
Les objectifs de l’AI Act sont nombreux. Pour faire simple ils peuvent de regrouper en diviser 3 groupes:
- Protéger et rassurer les citoyens de l’UE: les citoyens doivent avoir confiance dans l’utilisation de l’IA. Pour cela des sécurité sont mises en place.
- Encourager le développement des IA au sein de l’UE (notamment les PME) : les idées viennent de partout. Il faut leur procurer un environnement propice afin de les laisser germer et croitre.
- Définir un cadre de rôles et de responsabilités: il n’y a pas de confiance et de d’encouragement sans cadre.
Les moyens utilisés par l’AI Act
Dans l’optique de répondre à ces 3 objectifs principaux, l’AI Act a mis en place différents outils à travers les différents articles de sa règlementation.
Protéger et rassurer les citoyens de l’UE
- Certaines pratiques sont interdites (sauf quelques exceptions généralement liées à la sécurité nationale)
- Une surveillance constante et croisée
- Une forte transparence obligatoire
Encourager le développement des IA au sein de l’UE
- Des bacs à sable
- De nombreuses exceptions dans le cadre de la recherche
- Des spécifications communes pour répondre plus facilement aux obligations
Définir un cadre de rôles et de responsabilités
- 3 niveaux de risques liés aux IA entrainant 3 niveaux d’obligations: IA à usage général, IA à usage général présentant un risque systémique, IA à Haut risque
- Définitions de nombreux acteurs
- Redondance des vérifications (un peu comme un modèle en tranches d’emmental)
- De lourdes sanctions pouvant aller jusqu’à 7% du CA ou 35 millions d’€ (montant maximum des 2 valeurs)
L’organisation des différents acteurs
Les acteurs définis dans l’IA Act sont nombreux et leurs interactions également. On y parle Distributeur, fournisseurs et déployeurs du côté des acteurs qui proposent des systèmes d’IA.
Du côté « vérification » et encadrement il y a La commission, le comité de l’IA, le bureau de l’IA, des experts indépendants, les états membres et différents organismes.
Je n’ai pas trouvé meilleur moyen de présenter les rôles et interactions de ces différents acteurs que ce schéma:
Les niveaux de risques
Les risques potentiels des IA sont énormes. Néanmoins la majorité des systèmes d’IA ne représente pas forcément de risques énormes et il serait malvenu d’imposer les mêmes lourdeurs administratives à des systèmes ne représentant pas les mêmes risques.
Si c’était le cas cela irai d’ailleurs à l’encontre de l’objectif d’encouragement de développement des IA. Afin de répondre à cette problématiques, les systèmes d’IA ont été divisés en 3 niveaux: IA à usage général, IA à usage général présentant un risque systémique, IA à Haut risque.
Le niveau de risque est déterminé par le domaine d’application et la puissance de l’IA.
En fonction de cela les obligations sont différentes (chaque niveau a aussi les obligations des niveaux de risques inférieurs). Voici comment je représente ces obligations:
Conclusion
L’AI Act est une loi complexe qui se penche sur de nombreux aspects de l’IA.
On voit à travers cette loi l’état d’esprit de l’UE: encourager l’innovation tout en assurant que cette dernière reste dans un cadre qui assure la sécurité et la confiance de ses citoyens.
Cette loi jongle beaucoup avec ces 2 objectifs qui sont difficiles à conjuguer. On le voit notamment avec la recherche sur l’IA qui est encouragée (beaucoup d’exceptions pour la recherche) ainsi que le partage de connaissance (moins d’obligations pour l’open source). Néanmoins, dès lors où il y a commercialisation des règles assez lourdes sont présentes. On arrive à une notion de pragmatisme exigée: a t-on vraiment besoin de l’IA pour son service ? Dans le cas où la réponse est positive, on est inviter à chercher comment limiter un maximum son risque afin de limiter les lourdeurs administratives… On est d’ailleurs ici sur une démarche assez proche des démarches de sobriété essentielles à la Qualité Durable et au référentiel de l’AFNOR.
Pensez à rejoindre le groupe « Le métier du test » si vous souhaitez échanger sur le test
Merci à tous ceux qui mettent « j’aime », partagent ou commentent mes articles
N’hésitez pas à faire vos propres retours d’expérience en commentaire.
