Un cadre européen pour l'intelligence artificielle : obligations et sanctions (3/3)

Un cadre européen pour l'intelligence artificielle : obligations et sanctions (3/3)

19.09.2024

Gestion d'entreprise

L'IA act impose une série d'obligations aux fournisseurs, déployeurs et distributeurs de systèmes d'IA à haut risque. Des exigences d'information sont également prévues pour certains systèmes générant des contenus de synthèse. Les sanctions pourront grimper jusqu'à 15 millions d'euros ou 3% du chiffre d'affaires annuel.

Le Icône PDFrèglement européen (UE) 2024/1689, dit "IA act", introduit un ensemble de règles contraignantes concernant les systèmes d’IA. Le texte impose tout d'abord des obligations spécifiques à l’encontre de tous les acteurs de la chaîne de valeur d’un système d’IA à haut risque (voir le détail de cette notion dans notre seconde partie).

Respect des exigences de conformité par les fournisseurs des systèmes d’IA à haut risque 

► Les fournisseurs doivent veiller à ce que leurs systèmes d'IA à haut risque respectent les exigences de conformité énoncées par le règlement européen. Ils doivent notamment :

  • établir une documentation technique avant la mise sur le marché ou la mise en service ;
  • mettre en oeuvre d'un "système de gestion des risques" sur l’ensemble du cycle de vie du système d’IA à haut risque ;
  • fournir une notice d'utilisation contenant des informations "concises, complètes, exactes et claires, qui soient pertinentes, accessibles et compréhensibles pour les déployeurs" ;
  • s'enregistrer dans la base de données de l'Union européenne et y enregistrer leur système d'IA.

Ils sont également tenus de mettre en place un "système de gestion de la qualité" (stratégie de respect de la règlementation ou encore procédures d'examens, de test et de validation), d'assurer la tenue des journaux générés automatiquement par le système d’IA à haut risque, de conserver toute la documentation pendant 10 ans et de prendre les mesures correctives nécessaires.

Ces fournisseurs établissent aussi une "déclaration UE de conformité" par laquelle ils attestent que le système d'IA à haut risque concerné satisfait aux exigences de conformité imposées par le règlement, et apposent le marquage CE sur le système concerné.

► Les mandataires (établis dans l'UE) de fournisseurs de systèmes à haut risque (établis dans des pays tiers) sont habilités à vérifier que la déclaration UE de conformité et la documentation technique ont bien été établies et que le fournisseur a suivi une procédure appropriée d'évaluation de la conformité. Ils tiennent à disposition des autorités compétentes les informations et documents nécessaires.

Mesures techniques et organisationnelles de la part des déployeurs

Des obligations du fournisseur vont découler celles des autres maillons de la chaîne.

► Avant de mettre sur le marché un système d'IA à haut risque, les importateurs doivent vérifier que le fournisseur a suivi la procédure pertinente d'évaluation de la conformité et établi la documentation technique ou encore que le système porte le marquage CE requis et est accompagné de la déclaration UE de conformité. Lorsqu'ils ont des raisons suffisantes de considérer que le système n'est pas conforme au règlement, les importateurs ne le mettent sur le marché qu'après sa mise en conformité.

Les importateurs sont également tenus d'indiquer leur nom, raison sociale ou marque déposée, adresse, sur le système d’IA à haut risque et sur son emballage ou dans la documentation l’accompagnant. Ils s’assurent également, lorsqu’un système d’IA à haut risque est sous leur responsabilité, que les conditions de stockage ou de transport ne compromettent pas sa conformité avec les exigences européennes.

► Des vérifications similaires sont demandées aux distributeurs avant la mise à disposition sur le marché d'un système d’IA à haut risque. Si toutefois un système à haut risque est mis à disposition et n'est pas conforme aux exigences européennes, le distributeur concerné doit prendre les mesures correctives nécessaires ou le retirer du marché.

► Du côté des déployeurs, le règlement leur impose de prendre des "mesures techniques et organisationnelles appropriées" afin de garantir qu’ils utilisent ces systèmes conformément aux notices d’utilisation accompagnant les systèmes d’IA. Lorsqu’ils considèrent que l’utilisation du système d’IA à haut risque présente un risque ou lorsqu’ils détectent un incident grave, les déployeurs doivent informer le fournisseur ou le distributeur ainsi que l’autorité de surveillance du marché concernée, et suspendre l’utilisation de ce système.

Certains déployeurs sont tenus d'effectuer une analyse d'impact des systèmes d'IA à haut risque sur les droits fondamentaux. Ils doivent également s'enregistrer dans la base de données de l'UE.

 

Tout distributeur, importateur, déployeur ou autre tiers est considéré comme un fournisseur d’un système d’IA à haut risque et est soumis aux obligations incombant au fournisseur dans toutes les circonstances suivantes :

  • il commercialise sous son propre nom ou sa propre marque un système d’IA à haut risque déjà mis sur le marché (ou en service), sans préjudice des dispositions contractuelles prévoyant une autre répartition des obligations ;
  • il apporte une modification substantielle à un système d’IA à haut risque qui a déjà été mis sur le marché (ou en service) de telle manière qu’il reste un système d’IA à haut risque au sens du règlement ;
  • il modifie la destination d’un système d’IA qui n’a pas été classé à haut risque et a déjà été mis sur le marché (ou en service) de telle manière que le système d’IA concerné devient un système d’IA à haut risque au sens du règlement.

Dans ces situations, le fournisseur qui a initialement mis sur le marché ou mis en service le système d’IA n’est plus considéré comme un fournisseur de ce système d’IA mais il coopère étroitement avec les nouveaux fournisseurs.

 

Obligations d'information pour les systèmes qui interagissent avec les personnes physiques 

Des obligations de transparence s’imposent aux fournisseurs et aux déployeurs pour certains systèmes d’IA qui présentent des risques spécifiques d’usurpation d’identité ou de tromperie, qu’ils soient ou non considérés comme étant à haut risque :

► Pour les systèmes d’intelligence artificielle destinés à interagir directement avec des personnes physiques, les fournisseurs doivent veiller à ce qu’ils soient conçus et développés de manière que les personnes physiques concernées soient informées qu’elles interagissent avec un système d’IA (sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée). Cette obligation ne s’applique pas pour la détection des infractions pénales.

► Concernant les systèmes d’IA qui génèrent des contenus de synthèse (audio, image, vidéo ou texte), les fournisseurs veillent à ce que les sorties de ces systèmes "soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une intelligence artificielle".

Les fournisseurs doivent s'assurer que leurs solutions techniques soient aussi "efficaces, interopérables, solides et fiables" que la technologie le permet, compte tenu des spécificités et des limites des différents types de contenus. Cette obligation ne s’applique pas dans la mesure où les systèmes d’IA remplissent une fonction d’assistance pour la mise en forme standard ou ne modifient pas de manière substantielle les données d’entrée fournies par le déployeur ou leur sémantique.

Par ailleurs : 

► Les déployeurs d’un système de reconnaissance des émotions ou d’un système de catégorisation biométrique sont tenus d'informer les personnes physiques qui y sont exposées du fonctionnement du système et traitent les données à caractère personnel.

► Les déployeurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo constituant un hypertrucage doivent indiquer que les contenus ont été générés ou manipulés par une IA. 

► Les déployeurs d’un système d’IA qui génère ou manipule des textes publiés dans le but d’informer le public sur des questions d’intérêt public sont tenus d'indiquer que le texte a été généré ou manipulé par une IA. 

Des exceptions à ces obligations de transparence s'appliquent pour la détection des infractions pénales.

Des amendes même en cas de fourniture d'informations inexactes

La non exécution de ces mesures est sanctionnée par le règlement qui fixe uniquement des plafonds. Avec son pendant, une grille de sanctions que les Etats membres sont invités à peaufiner. A côté des amendes administratives, les mesures d’exécution pourront également comprendre des avertissements et des mesures non monétaires. Des sanctions "effectives, proportionnées et dissuasives" qui s’appliqueront dès août 2025.

Les opérateurs qui ne respectent pas ces dispositions pourront se voir infliger une amende administrative :

  • allant jusqu’à 15 millions d’euros ;
  • ou, si l’auteur de l’infraction est une entreprise, jusqu’à 3 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

Des sanctions sont également prévues en cas de fourniture d’informations "inexactes, incomplètes ou trompeuses" aux organismes notifiés ou aux autorités nationales compétentes en réponse à une demande. L'amende administrative est fixé à 7,5 millions d'euros maximum ou, si l’auteur de l’infraction est une entreprise, elle peut monter jusqu’à 1 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

Concernant les pratiques d’IA interdites par le règlement, les sanctions pourront aller jusqu’à 35 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu.

Pour les PME, le règlement est un peu plus clément. Chaque amende s’élève au maximum aux pourcentages ou montants susvisés mais c'est le chiffre le plus faible qui est retenu.

Gestion d'entreprise

La gestion d’entreprise constitue l’essentiel de l’activité d’un dirigeant d’entreprise. Elle fait appel à un grand nombre de notions empruntées de la comptabilité, de la finance (gestion des risques au moyen de la gestion des actifs et des assurances professionnelles), du droit des affaires (statut juridique, contrats commerciaux, fiscalité, cadre réglementaire et légal de l’activité), de la gestion de ressources humaines...

Découvrir tous les contenus liés
Céline Chapuis
Vous aimerez aussi