Accueil
Le quotidien du droit en ligne
-A+A
Article

Le règlement sur l’intelligence artificielle enfin publié ! Retour sur les dispositions principales

Le règlement sur l’intelligence artificielle, a été publié au Journal officiel de l’Union européenne le 12 juillet 2024. Ce règlement fixe un certain nombre d’obligations contraignantes pour différentes catégories de systèmes d’intelligence artificielle, permettant notamment de renforcer le contrôle et la transparence.

Après plusieurs années de discussions et débats, parfois agités, le premier règlement encadrant les usages des systèmes d’intelligence artificielle (Artificial Intelligence Act [AI Act] ou règlement sur l’intelligence artificielle [RIA]) a été publié au Journal officiel de l’Union européenne le 12 juillet 2024 (v. not., Comm. UE, Communication, 25 avr. 2018, COM[2018] 237 final ou encore, Livre blanc, 24 févr. 2020, COM[2020] 65 final).

Ce règlement constitue la première réglementation de grande ampleur réellement contraignante. Si ce règlement a déjà fait l’objet de plusieurs analyses, ce commentaire vise les dispositions principales de la version finale du texte (v. not., pour des commentaires prépublication du RIA, J. Sénéchal, Vote des parlementaires européens sur l’AI Act : vers une réglementation accrue des IA, des modèles de fondation et des IA génératives, s’inspirant du DSA, du Data Act et du RGPD ?, Dalloz actualité, 22 juin 2023 ; L’AI Act dans sa version finale – provisoire –, une hydre à trois têtes, Dalloz actualité, 11 mars 2024 ; C. Crichton, Projet de règlement sur l’IA [I] : des concepts larges retenus par la Commission, Dalloz actualité, 3 mai 2021 ; Projet de règlement sur l’IA [II] : une approche fondée sur les risques, Dalloz actualité, 4 mai 2021. Pour un commentaire postpublication du RIA, v. C. Crichton, Règlement sur l’intelligence artificielle. Premiers éléments d’analyse, 2024).

Champ d’application et définitions – Articles 2 et 3

Le règlement commence par définir son champ d’application par le biais de l’article 2 et procède aux définitions en son article 3. Le règlement s’applique ainsi au système d’IA (ci-après SIA), défini par l’article 3 comme un « système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (art. 3, § 1). La définition des SIA était un sujet épineux, et c’est une définition large, proche de la définition de l’OCDE, qui a été retenue (v. Recomm. OCDE sur l’IA, adoptée le 22 mai 2019 et amendée le 8 nov. 2023 ; v. égal., sur la largesse de la définition, J. Sénéchal, art. préc., Dalloz actualité, 11 mars 2024).

La question de la territorialité, enjeu important, est également réglée. En pratique, de nombreux opérateurs sont situés hors de l’Union européenne et mettent à disposition leurs SIA sur le marché de l’Union. Le règlement s’applique ainsi aux SIA mis à disposition sur le marché de l’Union ou lorsque les sorties produites par le SIA sont utilisées dans l’Union, qu’importe le lieu d’établissement de l’opérateur (art. 2).

Concernant le champ d’application personnel, le règlement impose la plupart des obligations au fournisseur, et si nécessaire, sur le déployeur qui utilise « sous sa propre autorité un système d’IA » (art. 3 et 4). Il peut également s’appliquer au fabricant de produits, au mandataire, à l’importateur, au distributeur ainsi qu’à toutes personnes concernées (v. C. Crichton, Règlement sur l’intelligence artificielle. Premiers éléments d’analyse, préc.).

Exclusions du champ d’application

Le règlement prévoit plusieurs exceptions, mettant en échec son application. Par exemple, il ne s’applique pas aux SIA développés et utilisés à des fins militaires, de défense ou de sécurité nationale, puisqu’il s’agit ici d’une compétence exclusive des États membres (art. 2, § 3).

Les SIA ou modèles d’IA spécifiquement développés et mis en service à des fins exclusives de recherche scientifique et de développement, ainsi que leurs sorties, sont également exclus du règlement (art. 2, § 6).

Enfin, une autre exclusion notable concerne les SIA diffusés sous licence libre et open source, sauf s’ils sont mis sur le marché ou mis en service en tant que SIA à haut risque ou en tant que SIA qui relève de l’article 5, donc prohibé, ou de l’article 50 qui implique des mesures de transparence particulière (art. 2, § 12).

Pratiques prohibées – Article 5

L’approche fondée sur les risques adoptée par le règlement implique dans un premier temps une liste exhaustive de pratiques prohibées présentant un risque inacceptable (art. 5 ; v. égal., consid. 179 ; v. J. Sénéchal, art. préc., Dalloz actualité, 11 mars 2024).

Sont ainsi interdites les techniques subliminales (art. 5, § 1, a), l’exploitation des vulnérabilités (art. 5, § 1, b), les opérations de police prédictive, notamment sans intervention humaine (art. 5 § 1, d), les SIA qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant de l’internet ou de la vidéosurveillance (art. 5, § 1, e), l’utilisation de SIA pour la...

Il vous reste 75% à lire.

Vous êtes abonné(e) ou disposez de codes d'accès :