La loi européenne sur l'IA : Tout ce que vous devez savoir en 2024

Le Parlement européen a approuvé la première loi sur l'intelligence artificielle (AIA) au monde, un cadre global pour lutter contre les risques liés à l'intelligence artificielle (IA). Après deux ans et demi de débats politiques et de négociations, cette décision fait de l'Europe la référence mondiale en matière de réglementation de l'IA. Quelles sont donc les conséquences pour nous et pour la communauté de l'IA en 2024 ?

Que signifie la loi européenne sur l’IA ?

L'UE a reconnu la nécessité fondamentale de garantir le développement sûr et sécurisé des systèmes d'IA. La loi européenne sur l'IA a été introduite pour atténuer les préjudices dans les domaines où l'utilisation de l'IA présente des risques importants pour les droits fondamentaux, comme soins de santé, éducation, services publicset surveillance des frontières. Cette loi prévoit des règlements pour modèles d'IA à usage général (GPAI) mettant l’accent sur la transparence, la traçabilité, la non-discrimination et le respect de l’environnement.

En outre, la législation exige que les entreprises technologiques qui développent des technologies d’IA produisent un résumé des données utilisées pour modèles de formation, fournir des rapports sur les données en cours de formation et mettre en œuvre des évaluations régulières des risques pour atténuer les risques et se conformer aux exigences de la loi européenne sur l’IA. Ces couches supplémentaires garantissent une surveillance humaine plutôt que des processus automatisés pour éviter les biais, le profilage ou les résultats dangereux et nuisibles.

Le Parlement européen a également proposé une définition technologiquement neutre de l’IA à appliquer aux futurs systèmes d’IA.

Pourquoi la loi de l'Union européenne (UE) sur l'IA est importante

Comme il s'agit de la première puissance mondiale à adopter une législation sur l'IA, nous pourrions observer ce qui deviendrait à terme des normes réglementaires mondiales. De plus, cela pourrait avoir un effet boule de neige, avec l'introduction de réglementations sectorielles spécifiques par des organisations spécifiques dans les années à venir. Il est intéressant de noter que le projet de loi a été déposé avant même ChatGPT introduction en novembre 2022 et l'explosion de outils d'IA générative en 2023.

La loi européenne sur l’IA ne sera pas appliquée avant 2025, permettant aux entreprises de s'adapter et de se préparer. D'ici là, les entreprises seront invitées à se conformer volontairement aux règles en 2024, mais aucune sanction ne sera prévue en cas de non-respect. Cependant, lors de sa mise en œuvre, les entreprises qui enfreignent les règles de la loi sur l'IA pourraient se voir infliger des amendes pouvant atteindre 35 millions d'euros ou entre 1,5% à 7% de leurs ventes mondiales au cours de l’exercice précédent (voir ci-dessous pour plus de détails).

Que restreint la loi européenne sur l’IA ?

La loi sur l'intelligence artificielle du Conseil de l'Union européenne interdit et restreint plusieurs utilisations de l'IA. Voici quelques pratiques interdites par la nouvelle législation :

• Grattage massif, indiscriminé et non ciblé de données biométriques L'utilisation d'images faciales provenant de réseaux sociaux ou de séquences vidéo pour créer ou enrichir des bases de données de reconnaissance faciale est interdite. Cela inclut également les systèmes de reconnaissance faciale et émotionnelle dans les lieux publics tels que les lieux de travail, les patrouilles frontalières, les forces de l'ordre et les établissements scolaires. Certaines exceptions de sécurité existent toutefois, comme l'utilisation de l'IA pour détecter l'endormissement d'un conducteur. L'utilisation de la technologie de reconnaissance faciale par les forces de l'ordre est limitée à des utilisations telles que l'identification des victimes du terrorisme, des enlèvements et de la traite des êtres humains.
• L’utilisation de systèmes de notation sociale par les autorités publiques pour évaluer la conformité des citoyens est également interdite. Cela est dû au fait que cela peut entraîner des conséquences discriminatoires, des injustices et l'exclusion de groupes spécifiques. Les systèmes d'IA manipulant le comportement des individus pour influencer ou guider leurs décisions sont interdits. Par exemple, la manipulation ciblée de contenus sur les réseaux sociaux et autres plateformes à des fins politiques ou commerciales est interdite. Tout opérateur de systèmes créant des contenus manipulés doit en informer les utilisateurs.
• En outre, tout système d’IA qui évalue les risques des personnes physiques ou des groupes et établit un profil de délinquance est interdit. Cela interdit les outils qui prédisent la survenue ou la récurrence d’un délit ou d’un crime en se basant sur le profilage d’une personne à l’aide de caractéristiques et de données telles que la localisation ou le comportement criminel passé.
• Les fournisseurs de modèles de base doivent également soumettre des résumés détaillés des données de formation pour la construction de leurs modèles d'IA..

Ces interdictions, et bien d'autres, sont classées selon différents niveaux de risque dans la loi européenne sur l'IA, qui varient en fonction de leur gravité. Examinons ces niveaux de risque :

Règles relatives aux différents niveaux de risque dans la loi sur l'IA

La loi européenne sur l'IA adopte une approche réglementaire fondée sur les risques, classant les applications d'IA en quatre niveaux. Ainsi, plus le risque est élevé, plus la gouvernance est stricte.

• Risque inacceptable : Un système d'IA classé comme « risque inacceptable » représente une menace pour nous, les humains. La manipulation cognitive des comportements humains, la notation sociale et certaines utilisations des systèmes biométriques entrent dans cette catégorie. La seule exception concerne les forces de l'ordre, mais même celles-ci sont limitées à des usages spécifiques.
• Risque élevé : Les systèmes d'IA qui affectent la sécurité humaine et nos droits fondamentaux seront considérés comme à haut risque. Cela inclut les systèmes d'évaluation de crédit et les demandes d'indemnisation automatisées. Tous les systèmes à haut risque, comme le modèle avancé GPT-4, seront rigoureusement contrôlés par des évaluations de conformité avant leur mise sur le marché et feront l'objet d'une surveillance continue tout au long de leur cycle de vie. Les entreprises devront également enregistrer le produit dans une base de données de l'UE.
• Risque limité : Les outils d'IA tels que les chatbots, les deepfakes et les fonctionnalités comme la personnalisation sont considérés comme présentant un « risque limité ». Les entreprises qui fournissent de tels services doivent garantir la transparence avec leurs clients quant à l'utilisation de leurs modèles d'IA et au type de données concernées.
• Risque minimal : Pour les outils et processus qui relèvent du « risque minimal », le projet de loi de l’UE sur l’IA encourage les entreprises à disposer d’un code de conduite garantissant que l’IA est utilisée de manière éthique.

Protections des modèles d'IA à usage général

Après de longues délibérations sur la réglementation des « modèles fondamentaux » dans la loi européenne sur l'IA, un compromis a été trouvé sous la forme d'une approche à plusieurs niveaux. Ce compromis porte sur la terminologie relative aux modèles/systèmes d'IA à usage général (« GPAI ») et répartit les obligations en deux niveaux :

• Niveau 1 : plusieurs obligations uniformes pour tous les modèles GPAI.
• Niveau 2 : un ensemble supplémentaire d’obligations pour les modèles GPAI présentant des risques systémiques.

Obligations de niveau 1 : Dans le cadre du niveau 1, tous les fournisseurs de modèles GPAI doivent respecter des exigences de transparence, qui exigent l'élaboration d'une documentation technique contenant des résumés détaillés du contenu utilisé pour la formation. De plus, ces organisations doivent se conformer à la législation européenne sur le droit d'auteur afin de garantir une utilisation éthique du contenu.

Obligations de niveau 2 : Les modèles GPAI intégrant un risque systémique seront considérés comme de second niveau. Les modèles GPA de second niveau seront soumis à des obligations plus strictes, notamment l'évaluation des modèles d'IA, l'évaluation et l'atténuation des risques, l'utilisation de mesures de sécurité adéquates, le signalement des incidents graves, la mise en place de mesures de sécurité appropriées et la communication d'informations sur l'efficacité énergétique. Pour que les modèles GPAI présentant un niveau de risque élevé soient conformes à la loi européenne sur l'IA dans leur état actuel, il est recommandé qu'ils adhèrent aux codes de bonnes pratiques jusqu'à ce que les normes européennes soient formalisées et publiées.

Cadre d'application et de sanctions

Selon le Conseil européen, la loi européenne sur l'IA sera appliquée par les autorités nationales compétentes de surveillance du marché de chaque État membre. En outre, un office européen de l'IA, qui sera un nouvel organe de décision au sein de la Commission européenne, définira les normes et les mécanismes d'application des nouvelles règles relatives aux modèles d'IA.

Des sanctions financières seront prévues en cas de violation de la loi européenne sur l'IA, mais plusieurs facteurs, tels que le type de système d'IA, la taille de l'entreprise et l'ampleur de la violation, détermineront le montant des amendes. Les sanctions s'échelonneront de :

• 7,5 millions d'euros ou 1,5% du chiffre d'affaires brut d'une entreprise (le montant le plus élevé étant retenu), si les informations fournies sont incorrectes.
• 15 millions d'euros ou 3% du chiffre d'affaires brut d'une entreprise (le montant le plus élevé étant retenu) pour violation des obligations des lois de l'UE sur l'IA.
• 35 millions d'euros ou 3% du chiffre d'affaires brut d'une entreprise (le montant le plus élevé étant retenu) pour les violations d'applications d'IA interdites.

En outre, sur la base des négociations, les petites entreprises et les start-ups pourraient bénéficier d’une pause puisque la loi européenne sur l’IA prévoira des plafonds d’amendes pour garantir qu’elles soient proportionnées à ces organisations.

Loi européenne sur l’IA : frein à l’innovation ou promotion de la sécurité des données ?

On ne peut nier que la loi européenne sur l'IA est nécessaire pour garantir la sécurité des données. Cependant, la frontière est mince entre atteindre cet objectif et freiner l'innovation. Le président français Emmanuel Macron a fait écho à ces sentiments, affirmant que ces règles historiques pourraient rendre Les entreprises technologiques européennes sont à la traîne par rapport à leurs concurrentes aux États-Unis, au Royaume-Uni et en Chine.

Toutefois, selon le projet d'IA de l'UE, certaines garanties intégrées visent à protéger et à maintenir les avancées inventives en matière d'IA. L'objectif est de trouver un équilibre entre la gestion des risques et la promotion des innovations en matière d'IA à usage général.

Dans les mois à venir, nous attendons de l'UE qu'elle clarifie les aspects juridiques de l'utilisation de l'IA par les gouvernements dans la surveillance biométrique et pour la sécurité nationale. Les gouvernements nationaux de l'UE, menés par la France, ont déjà obtenu des exemptions pour certaines utilisations de l'IA dans l'armée ou la défense.

Comme il reste encore beaucoup de temps avant l'entrée en vigueur de la loi, certains détails pourraient encore être peaufinés d'ici là. 2024 s'annonce donc comme une année décisive.

Comment BigID contribue à sécuriser le développement de l'IA et à réduire les risques liés à l'IA

La loi européenne sur l’IA est un nouveau cadre juridique pour le développement AI auquel le public peut faire confiance. Il reflète l'engagement de l'UE à stimuler l'innovation, à garantir le développement de l'IA, la sécurité nationale et les droits fondamentaux des personnes et des entreprises.

À mesure que ces organisations tirent parti IA et grands modèles linguistiques (LLM) comme ChatGPT (Tier 2), ces modèles s'appuient fortement sur données non structurées à des fins de formation. BigID fournit une solution complète pour gouverner et sécuriser les données tout au long du cycle de développement de l'IA, avec la capacité d'identifier les informations personnelles et sensibles à travers les données structurées et non structurées sources. Avec BigID, les organisations peuvent :

• Découvrez des informations personnelles et sensibles dans les ensembles d'entraînement de l'IA, y compris les secrets et les mots de passe, les données clients, les données financières, les adresses IP, les données confidentielles, etc.
• Comprendre les identités spécifiques dont les données sont utilisées pour la formation de l’IA.
• Classer, étiqueter et marquer les données par type, réglementation, sensibilité et même objectif d'utilisation – sur des données structurées, des données non structurées, sur site ou dans le cloud.
• Adoptez l’IA en toute sécurité en élaborant des politiques d’utilisation des données dans toute l’organisation.
• Gérer, protéger et gouverner l'IA avec des protocoles robustes de confidentialité, de conformité et de sécurité, permettant une confiance zéro et atténuant les risques internes.
• Évaluer le risque lié aux données et fournir rapidement des rapports aux autorités réglementaires de l’UE.

Planifiez une démo avec nos experts pour voir comment BigID peut aider votre organisation à réduire les risques et à se conformer aux exigences de la loi européenne sur l'IA.

Auteur

Verrion Wright

Stratégie et développement du contenu

Verrion Wright est un spécialiste du marketing très expérimenté et ambitieux, avec plus de 20 ans d'expérience dans le marketing produit, le développement de contenu et la stratégie numérique. Il a occupé des postes de direction dans divers secteurs, notamment les services informatiques, la confidentialité des données, le marketing et la publicité (planification des médias), en mettant l'accent sur les connaissances fondées sur les données et le marketing intégré. Chez BigID, Verrion est le directeur de la stratégie et du développement de contenu, qui aide à élever le contenu à travers tous les piliers, les régions et les acheteurs, en créant systématiquement un contenu convaincant sur plusieurs supports - y compris la vidéo, les articles, les listes de contrôle, les livres blancs et les guides.