Ce qu’il faut retenir de l’AI Act

La Javaness R&D
5 min readMay 13, 2024

--

L’AI Act (AIA) a été adopté unanimement par les 27 Etats membres de l’UE en février 2024, faisant suite à l’accord politique conclu entre le Conseil de l’UE et le Parlement européen en décembre 2023.

L’AIA, dit aussi “loi européenne sur l’intelligence artificielle”, est le premier texte législatif global et contraignant visant l’encadrement de l’utilisation de l’IA. Il s’agit d’un règlement européen, i.e. la forme de législation la plus forte (contraignante et applicable à tous les Etats membres).

Le texte est le résultat d’un exercice d’équilibre prudent entre les défenseurs d’une réglementation forte à même de protéger les droits des personnes et les partisans d’une réglementation plus souple permettant de favoriser l’émergence de champions nationaux, comme Mistral en France et Aleph Alpha en Allemagne.

Le texte est consultable ici 👉 texte de l’AI Act

📒 Que contient l’AI Act ?

L’AIA vise à apporter une réponse aux risques posés par les systèmes IA, même s’il reconnaît que la majorité des systèmes existants et mis sur le marché sont utiles pour répondre aux défis sociétaux et présentent un risque faible voire nul¹. Le texte se veut future-proof, i.e. apte à cadrer également la mise sur le marché et l’utilisation des futures systèmes IA, en permettant une traduction flexible dans le temps de ses dispositions en standards.

1. Des obligations différenciées en fonction des risques

Le texte dresse une classification des risques posés par les systèmes d’IA et les obligations associées.

🚫 Risque inadmissible

Les systèmes IA présentant un risque inadmissible sont tous les systèmes IA présentant une menace claire aux droits des personnes et à leur sécurité.

Exemple :

  • Système de notation sociale par un gouvernement

Obligations :

Ces systèmes IA sont interdits

⚠️ Risque élevé

Les systèmes IA présentant un risque élevé sont les systèmes utilisés dans :

  • Les infrastructures critiques, pouvant représenter un danger pour la vie ou la santé des personnes
  • La gestion de l’accès aux services publics ou privés essentiels
  • Les systèmes judiciaires, pouvant entraver le respect des droits fondamentaux des individus
  • La gestion de la migration et de l’asile et le contrôle des frontières
  • etc.

(Définition non exhaustive. Pour plus d’informations, voir ici)

Des exceptions peuvent toutefois être autorisées (en cas de prévention d’une attaque terroriste par exemple) mais doivent être le résultat d’une autorisation judiciaire ou par une entité indépendante et doivent être limitée dans le temps et l’espace.

Exemples :

  • Système de notation pour l’accès aux crédits
  • Examination des demandes de visas
  • Systèmes de reconnaissance biométriques

Obligations :

Ces systèmes IA seront sujets à une liste d’obligations avant de pouvoir être mis sur le marché:

  • Identification des risques et des mesures d’atténuation
  • Bonne qualité des données ayant servi à l’entraînement du modèle (pour réduire les biais)
  • Traçabilité des résultats
  • Documentation détaillée du système et informations claires à l’intention des déployeurs
  • Niveau élevé de robustesse, de sécurité et de précision
  • Supervision humaine suffisante pour réduire les risques

ℹ️ Risque limité

Les systèmes IA à risque limité sont ceux où l’utilisation d’une IA n’est pas claire. En d’autres termes, une personne interagissant avec ce type de système ne sait pas si elle interagit avec une IA ou avec une personne.

Exemple :

  • Utilisation d’un chatbot alors que l’utilisateur ne sait pas s’il échange avec une personne ou une IA

Obligations :

S’assurer que l’utilisateur est conscient qu’il interagit/utilise un système IA.

Concernant le contenus générés par une IA générative, ils doivent être clairement identifiés comme tel.

Risque minime ou absence de risque

Cela concerne les systèmes IA n’entrant pas dans les catégories ci-dessus, soit la vaste majorité des systèmes IA utilisés dans l’UE²

Ces systèmes ne font pas l’objet d’obligations particulières.

2. Des obligations visant principalement les fournisseurs

Les obligations concernent donc principalement les systèmes IA à haut risque. Celles-ci incombent principalement aux fournisseurs, que l’AIA distingue des déployeurs (ou utilisateurs) des systèmes IA. Les fournisseurs sont les développeurs de ces systèmes, alors que les déployeurs sont “des personnes physiques ou morales qui déploient un système d’IA à titre professionnel, et non des utilisateurs finaux concernés”³. À titre d’exemple, quand une entreprise française comme La Javaness utilise le modèle Mistral 7B développé par Mistral AI pour créer un chatbot, Mistral AI est dans ce cas le fournisseur et La Javaness est le déployeur. Si La Javaness développe un nouveau modèle, comme Sentence-Camembert ou le Speech Emotion Recognition model for French conversation, en fine-tunant un modèle existant, elle devient également un fournisseur. En supposant que le modèle fine-tuné présente un risque élevé, les obligations de La Javaness seront limitées au fine-tuning du modèle (données ayant servi au fine-tuning, documentation concernant le fine-tuning, etc.).

3. Des obligations spécifiques à l’IA à usage général (GPAI)

L’AIA définit les obligations qui concernent en particulier les modèles GPAI (General Purpose AI). Il s’agit de modèles démontrant de bonnes performances sur un large éventail d’utilisations, quelque soit l’utilisation première pour laquelle le modèle a été mis sur le marché. Pour les fournisseurs de ces modèles, il faudra notamment :

  • Produire une documentation technique, expliquant la méthodologie d’entraînement et de test du modèle, ainsi que les résultats d’évaluation
  • Fournir une documentation à l’intention des acteurs désireux d’intégrer le modèle dans leur système, expliquant les capacités et les limites du modèle
  • Fournir un résumé détaillé du contenu utilisé pour l’entraînement du modèle

Parmi les modèles GPAI, l’AIA distingue ceux qui posent un risque systémique de par leur “grande” capacité et leur diffusion. Techniquement, les modèles ayant été entraînés avec une puissance de calcul supérieure ou égale à 1025 FLOPs sont concernés. Ce seuil a été fixé en tenant compte de la puissance de calcul requise par les modèles GPAI les plus avancés (par exemple : GPT-4 d’OpenAI et Gemini de Google DeepMind⁴). L’AI Office -établi au sein de la Commission Européenne, voir partie ci-dessous- se réserve toutefois le droit de modifier ce seuil, ou d’établir d’autres critères pour l’identification de ces modèles. Des obligations supplémentaires incombent aux fournisseurs de ces modèles: évaluation des atténuation des risques, faire remonter tout incident sérieux, etc.

🗓️ Où en est l’AI Act ?

Le texte est sujet à une dernière vérification juridique et devrait être définitivement adopté d’ici la fin de la législature actuelle (été 2024). Le texte sera ensuite officiellement entériné par le Conseil.

Il entrera en vigueur 20 jours après publication dans le journal officiel, et sera pleinement applicable 24 mois après son entrée en vigueur, à l’exception de certaines mesures qui seront applicables plus tôt, comme l’interdiction des pratiques inadmissibles (6 mois après l’entrée en vigueur) ou plus tard comme les obligations liées aux risques élevés (36 mois après l’entrée en vigueur).

Le 21 février 2024 l’Artificial Intelligence Office a été instauré au sein de la Commission. Il sera chargé du suivi la mise en oeuvre de l’AIA, en particulier en ce qui concerne la GPAI.

Même si l’entrée en vigueur du texte marquera une étape importante dans l’effort européen de régulation de l’IA, le principal défi à venir sera la traduction de ses dispositions de haut niveau en standards clairs, actionnables et adaptés aux systèmes IA.

Notes et références

À propos de l’auteur

Après des études en ingénierie et en géopolitique, et des expériences au sein des Nations Unies et en conseil en stratégie, Ismaïl El Hatimi rejoint La Javaness en tant que data scientist en 2020. Parallèlement à ses activités da cadrage et de réalisation de projets en machine learning, il s’intéresse également aux sujets liés à l’IA de confiance et aux impacts politiques et sociaux de l’IA.

Références

1,2 : https://digital-strategy.ec.europa.eu/fr/policies/regulatory-framework-ai

3 : https://artificialintelligenceact.eu/fr/high-level-summary/

4 : https://ec.europa.eu/commission/presscorner/detail/en/qanda_21_1683

--

--

La Javaness R&D

We help organizations to succeed in the new paradigm of “AI@scale”, by using machine intelligence responsibly and efficiently : www.lajavaness.com