AI Act : l’Europe définit une classification des risques associés à l’IA
De retour du World of AI Cannes Festival, qui s’est tenu au Palais des Festivals de Cannes du 13 au 15 février 2025, nous constatons que le paysage des produits basés sur l’intelligence artificielle (IA) continue de s’élargir considérablement. Lors des éditions précédentes, l’attention s’était focalisée sur ChatGPT, une IA conversationnelle qui suscite encore aujourd’hui un vif intérêt. Plus récemment, son concurrent chinois, DeepSeek, a émergé sur le marché. Bien que DeepSeek affiche des performances comparables, des zones d’ombre subsistent quant à ses méthodes de collecte et d’utilisation des données personnelles des utilisateurs. Nous avons d’ailleurs rédigé un article détaillant notre position sur l’intégration de DeepSeek ou non dans nos propres solutions d’IA.
Parallèlement, d’autres modèles ont émergé, mettant en avant un respect strict des données des utilisateurs. Mistral AI, une start-up française, se distingue en se positionnant comme l’une des solutions les plus conformes au Règlement Général sur la Protection des Données (RGPD). Cependant, malgré cette réputation, Mistral AI fait actuellement l’objet d’une plainte pour une présumée violation des données personnelles, remettant en question ses pratiques en matière de confidentialité.
Face à la prolifération rapide de ces logiciels et aux politiques de protection des données souvent opaques, l’Europe a réagi en adoptant l’AI Act l’année dernière. Ce cadre législatif vise à réguler l’utilisation des systèmes d’IA en interaction avec les citoyens de l’Union européenne, garantissant ainsi la protection de leurs droits fondamentaux. Bien que nous ne soyons pas des experts juridiques, nous souhaitons vous présenter un aperçu des nouvelles obligations légales liées à l’utilisation des systèmes d’IA, afin de vous informer des implications actuelles de cette législation.
1. Un nouveau règlement européen sur l’IA
En juin 2024, le Parlement européen a adopté le règlement (UE) 2024/1689 (oui, encore un !), établissant des règles harmonisées pour l’intelligence artificielle (IA) au sein de l’Union européenne. Ce cadre législatif vise à encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’IA, tout en protégeant les droits fondamentaux des citoyens européens.
L’un des objectifs principaux de cette législation est de garantir que les systèmes d’IA respectent les valeurs de l’Union, notamment la protection des droits fondamentaux, la démocratie et l’État de droit. Le règlement établit une classification des systèmes d’IA en fonction de leur niveau de risque : minimal, limité, élevé et inacceptable. Les systèmes présentant un risque inacceptable, tels que certaines applications de reconnaissance faciale dans l’espace public, sont interdits, tandis que ceux à risque élevé sont soumis à des exigences strictes avant leur mise sur le marché.
2. Risques minimaux liés à l’IA
Les systèmes d’intelligence artificielle classés comme présentant un risque minimal incluent notamment les jeux vidéo utilisant l’IA pour animer des personnages virtuels ou encore les filtres anti-spam qui trient automatiquement les courriers électroniques. Ces applications ne représentent pas une menace significative pour la sécurité ou les droits fondamentaux des citoyens et, de ce fait, ne sont pas soumises à des réglementations spécifiques dans le cadre de l’AI Act. Les entreprises et développeurs peuvent ainsi les déployer sans restriction particulière au sein de l’Union européenne.
3. L’IA à risque limité
4. L’IA à haut risque
Les systèmes d’IA à haut risque sont ceux qui peuvent avoir un impact significatif sur la sécurité des personnes ou sur leurs droits fondamentaux. Parmi les exemples notables, on retrouve :
- Les applications de chirurgie assistée par robot piloté par l’IA, où une erreur pourrait mettre en danger la vie des patients.
- Le tri automatisé des CV dans les processus de recrutement, pouvant introduire des biais discriminatoires.
- La notation de crédit, qui peut restreindre l’accès des citoyens à des prêts financiers.
- L’examen automatisé des demandes de visa, influençant directement la liberté de circulation des individus.
Pour être autorisés, ces systèmes doivent respecter des exigences strictes en matière de qualité, de transparence et de supervision humaine afin de réduire les risques. Les entreprises développant ou utilisant ces technologies doivent garantir une évaluation rigoureuse de leur impact, ainsi qu’un contrôle constant pour prévenir tout abus ou dysfonctionnement.
5. L’IA présentant des risques inacceptables
Les systèmes et modèles d’IA à risque inacceptable sont strictement interdits au sein de l’Union européenne et ne peuvent en aucun cas être commercialisés. Ces technologies sont considérées comme une menace directe pour les droits fondamentaux des citoyens, la sécurité publique ou la démocratie.
Parmi ces systèmes prohibés figurent notamment :
- Les IA conçues pour manipuler le comportement humain de manière trompeuse ou coercitive.
- Les technologies abolissant le libre arbitre, comme celles influençant inconsciemment des décisions critiques (vote, consentement, achats, etc.).
- Certains systèmes de surveillance biométrique de masse qui pourraient porter atteinte à la vie privée et aux libertés individuelles.
En interdisant ces usages, l’AI Act vise à préserver les valeurs fondamentales de l’UE, en garantissant que l’IA reste un outil au service de l’humain et non un moyen de le contrôler.
6. Obligations des entreprises
En fonction du niveau de risque lié à l’IA, les règles européennes établissent des nouvelles obligations.
a) Exigences de transparence et de responsabilité
Les entreprises devront fournir des informations transparentes sur les IA qu’elles utilisent. Elles devront également garantir le respect des droits d’auteur et en signaler clairement les contenus manipulés (comme les « deep fakes »), assurant ainsi une utilisation responsable et en pleine connaissance de cause de la technologie. Les systèmes d’IA aux risques inacceptables sont purement et simplement interdits au sein de l’Union Européenne (à quelques exceptions près).
b) Pour les IA à risque élevé
Les systèmes d’IA à risque élevé, dont font partie ChatGPT ou DeepSeek par exemple, doivent :
- respecter des obligations strictes, notamment au niveau de l’évaluation des risques
- fournir une transparence accrue
- bénéficier d’une supervision humaine garantissant ainsi la sécurité et les droits fondamentaux des citoyens de l’UE.
Ces conditions seront évaluées avant leur mise sur le marché et tout au long de leur cycle de vie. Ces technologies à haut risque ne pourront être mises sur le marché que si elles font l’objet d’un marquage « CE », ou bien d’une déclaration de conformité et d’un enregistrement dans la base de données de l’UE.
c) Et quid pour les IA à risque limité ?
Les IA à risque limité doivent respecter en revanche des exigences de transparence minimales qui permettent aux utilisateurs de prendre des décisions en pleine connaissance de cause. Après avoir interagi avec les applications qui les auront informés auparavant, les citoyens de l’UE pourront alors décider s’ils souhaitent continuer à l’utiliser cette IA ou non. Le fournisseur du système d’IA a donc une obligation d’information des utilisateurs sur le fait que le contenu qu’ils vont consommer a été généré par une IA.
7. Impacts concrets pour les utilisateurs
En règle générale, les citoyens auront le droit de déposer des plaintes concernant les systèmes d’IA ainsi que de recevoir des explications sur les décisions fondées sur des systèmes d’IA à haut risque ayant une incidence sur leurs droits.
Le non-respect des règles susmentionnées pourra entraîner des amendes, fonction de la taille de l’entreprise et de l’infraction, comprise entre 7,5 millions d’euros ou 1,5% du chiffre d’affaires (CA) et 35 millions d’euros ou 7% du CA Mondial, le montant le plus élevé étant retenu. Ces pénalités importantes visent à garantir une stricte conformité aux réglementations en vigueur et à dissuader toute violation.
8. Et ensuite ?
L’adoption de l’AI Act marque une étape décisive dans la régulation de l’intelligence artificielle en Europe.
Face à la multiplication de concurrents sur le secteur et aux nouvelles sanctions imposées par l’UE, il est donc extrêmement important pour les entreprises voulant offrir des services directement ou indirectement basés sur une IA de prendre les précautions nécessaires pour informer et protéger les citoyens de l’UE et de travailler avec de vrais professionnels comme Nixxis et son assistant conversationnel dialogg.ai.
Restez connectés pour comprendre comment ces nouvelles règles impacteront le développement, l’utilisation et l’innovation en matière d’IA en Europe.
Luc Jacobs
Président de Nixxis
Visionnaire de l'expérience client augmentée par l'intelligence artificielle, Luc Jacobs conjugue passion pour l'innovation et vision stratégique, propulsant Nixxis au rang de leader dans la transformation digitale de la relation client.
Luc Jacobs
Président de Nixxis
Visionnaire de l'expérience client augmentée par l'intelligence artificielle, Luc Jacobs conjugue passion pour l'innovation et vision stratégique, propulsant Nixxis au rang de leader dans la transformation digitale de la relation client.
