Règlement sur l'intelligence artificielle
règlement de l'UE sur l'utilisation de l'intelligence artificielle
From Wikipedia, the free encyclopedia
Le règlement sur l'intelligence artificielle (en anglais : Artificial Intelligence Act, AI Act ou EU AI Act) est un règlement européen qui introduit un cadre réglementaire et juridique commun pour l'intelligence artificielle (IA) au sein de l'Union européenne. Il vise en particulier à gérer les risques associés à l'IA, qu'il classe en fonction du type d'application (risque minime, limité, élevé ou inacceptable)[1], avec une catégorie spéciale pour l'IA à usage général comme ChatGPT[2]. Il est entré en vigueur le , ses dispositions entrant progressivement en application au cours des 6 à 36 mois suivants[3].
| Titre | Règlement du Parlement européen et du Conseil établissant des règles harmonisée concernant l'intelligence artificielle (législation sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union |
|---|---|
| Abréviation | Règlement sur l’IA |
| Référence | COM/2021/206 final |
| Organisation internationale | Commission européenne |
| Type | Proposition de règlement de l'Union européenne |
| Branche | Droit de l'Union européenne, droit de l'informatique |
| Signature |
|---|
Lire en ligne
Cette législation interdit les applications d'IA dans des domaines considérés comme représentant un risque « inacceptable » tels que la notation sociale, n'impose pas de restriction pour le niveau de risque « minimal », et impose des obligations notamment de transparence pour les niveaux intermédiaires[4]. Les systèmes d'IA à usage général pouvant poser un risque systémique sont soumis à des obligations particulières, et doivent notamment faire l'objet d'une évaluation de sécurité[2].
Elle s'étend à toute entité fournissant un produit ou un service à base d'IA (avec quelques exceptions, dont le secteur militaire[5]). Comme pour le règlement général sur la protection des données (RGPD), la législation sur l'intelligence artificielle est extraterritoriale, s'appliquant aux produits utilisés dans l'Union Européenne mais ayant un impact indirect sur les fournisseurs étrangers[1].
Depuis le début de 2025, le règlement sur l'intelligence artificielle fait l'objet d'une première évaluation. D'autre part, une négociation est en cours entre la Commission européenne et les plateformes d'IA sur un code de bonnes pratiques conduite, avec une consultation de l'ensemble des parties prenantes, la presse, les auteurs, les artistes, etc. Ce code vise à faire respecter, par les grands acteurs de l'IA, les droits des auteurs et des éditeurs[6].
Niveaux de risque
La législation sur l'intelligence artificielle classe les systèmes d'intelligence artificielle en cinq catégories, selon leur niveau de risque pour les droits fondamentaux dans l'Union européenne et la sécurité des personnes, des groupes, des sociétés et de la civilisation[1]. Cette classification des risques de l'intelligence artificielle vise à assurer un équilibre entre la promotion de l'innovation et la protection des droits et des intérêts des citoyens européens face aux défis posés par l'intelligence artificielle[7]. Les cinq catégories de risque sont :
- Inacceptable : Ce sont en général ceux qui portent atteinte aux valeurs et aux droits fondamentaux de l'Union européenne, tels que la dignité humaine, la démocratie ou l'État de droit. Ces systèmes sont interdits par la législation sur l'intelligence artificielle. Il s'agit par exemple des systèmes d'intelligence artificielle qui manipulent le comportement humain, des systèmes de notation sociale. Cela inclut aussi les systèmes d'identification biométrique (reconnaissance faciale notamment) dans des zones accessibles au public, s'ils fonctionnent en temps réel et à distance[8] ;
- Élevé : Cela concerne notamment les systèmes d'intelligence artificielle utilisés dans les secteurs de la santé, de l'éducation, du recrutement, de la gestion d'infrastructures critiques, du maintien de l'ordre ou de la justice[2]. Ces systèmes sont soumis à des exigences strictes en matière de qualité, de transparence, de supervision humaine et de sécurité[9]. Ils doivent être évalués avant leur mise sur le marché, ainsi qu'au cours de leur cycle de vie[2] ;
- IA à usage général : Cette catégorie a été créée en 2023 à la suite de la rapide montée en popularité de systèmes d'IA polyvalents comme ChatGPT. Les systèmes d'IA à fort impact et pouvant poser des risques systémiques doivent suivre un processus approfondi d'évaluation et rapporter tout incident grave à la Commission européenne, là où les systèmes plus faibles n'ont que des obligations de transparence[2] ;
- Limité : Ces systèmes sont soumis à des obligations de transparence visant à informer les utilisateurs qu'ils interagissent avec un système d'intelligence artificielle et à leur permettre d'exercer leurs choix. Les intelligences artificielles concernées sont par exemple celles qui permettent de générer ou manipuler des images, du son ou des vidéos (deepfakes notamment)[2] ;
- Minimal : Cela concerne par exemple les systèmes d'IA utilisés pour les jeux vidéo ou les filtres anti-spam. Ces systèmes d'IA ne seront pas soumis à des obligations, mais les fournisseurs sont incités à suivre un code de conduite pouvant notamment traiter de durabilité environnementale, d'accessibilité aux personnes handicapées[8].
Chronologie
La neuvième législature du Parlement européen commence en 2019 et se termine en 2024.
En février 2020, la Commission européenne publie le document « Livre blanc sur l'intelligence artificielle – Une approche européenne axée sur l’excellence et la confiance »[10]. En a lieu une période de débats entre dirigeants de l'Union européenne. Le , la législation sur l'intelligence artificielle est officiellement proposée. Le le Conseil européen adopte l'orientation générale, ce qui permet d'entamer les négociations avec le Parlement européen. Le , après trois jours de « négociation-marathon », le Conseil et le Parlement ont conclu un accord[11]. Le , la Commission européenne crée le Bureau européen de l’intelligence artificielle[12]. Le 13 mars 2024, le projet de règlement européen est adopté par la neuvième législature du Parlement européen, par 523 voix pour et 46 contre[13]. Le , les 27 ministres de l'Union européenne réunis en Conseil de l'Union européenne ont adopté le texte, permettant sa publication au Journal officiel de l'Union européenne[14].
L'entrée en vigueur est survenue le [3]. La mise en application se fait ensuite progressivement :
- en février 2025, le chapitre I correspondant aux dispositions générales et le chapitre II correspondant à la pratique interdite en matière d'IA c'est-à-dire les applications d'IA à risque « inacceptable » s'appliqueront ;
- en août 2025, le chapitre III section 4 (autorités notifiantes et organismes notifié), le chapitre V (modèles d'IA à usage général), le chapitre VII (gouvernance), le chapitre XII (sanctions) contenant l'article 78 (confidentialité) s'appliqueront, à l'exception de l'article 101 (Amendes applicables aux fournisseurs) ;
- en août 2026 : l'ensemble du règlement s'applique, à l'exception de l'article 6, paragraphe 1 du chapitre III et des obligations correspondant aux catégories de systèmes d'IA à risque « élevé » ;
- en août 2027, tout le règlement s'applique[15],[16].
Transposition en France
En février 2026, le Sénat a examiné le volet numérique du projet de loi DDADUE devant transposer plusieurs textes européens, dont l'AI Act, et devant désigner les autorités nationales qui réguleront l'IA en France. À ce stade du projet de loi, le Sénat a confirmé une architecture de régulation sectorielle confiée à une quinzaine d'entités : l'ANSM serait pour l'IA appliquée aux dispositifs médicaux, l'ACPR pour les institutions financières, la DGCCRF pour les jouets et la formation professionnelle, les hautes juridictions pour les systèmes qui les concernent, l'ANFR pour les équipements radioélectriques, les hauts fonctionnaires de défense pour les infrastructures critiques, et diverses directions ministérielles pour les transports, les équipements sous pression ou les ascenseurs. La DGCCRF et la DGE doivent être chargées de coordonner ces acteurs, avec l'appui technique de l'ANSSI[17].
La CNIL deviendrait l'autorité de surveillance du marché pour les pratiques interdites par l'AI Act (notation sociale, manipulation comportementale, exploitation des vulnérabilités, reconnaissance faciale dans l'espace public) et pour superviser les systèmes d'IA à haut risque relevant de l'annexe III, le contrôle de certaines obligations de transparence pour les contenus générés par IA. Elle serait notifiée et chargée de délivrer (et surveiller) les certificats de conformité, pourra prononcer de injonctions, astreintes et amendes (jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial d'une société) et pourra activer une procédure d'urgence en cas d'atteinte grave aux droits fondamentaux. Concernant les plateformes, le pluralisme et les processus électoraux, la CNIL devrait consulter l'Arcom (qui conserve ses compétences en matière de manipulation subliminale et de transparence des contenus synthétiques). L'Arcep vérifierait l'application du Règlement sur les données et l'ANFR celle du Cyber Resilience Act. Des interrogations portent sur les moyens qu'auront ces autorités pour ces missions[17].
Cette loi transpose aussi le Gigabit Infrastructure Act, qui impose aux collectivités de nouvelles obligations de mise à disposition d'infrastructures pour faciliter le déploiement des réseaux télécoms, notamment un élargissement des infrastructures concernées, un droit d'accès encadré et un point d'information unique aux délais de réponse raccourcis. Mais le Sénat a reporté d'un an, jusqu'au , l'application de ces obligations dans les communes de moins de 3 500 habitants (assortie d'un plan d'accompagnement national)[17].
Ce texte doit encore être examiné par l'Assemblée nationale et pourrait évoluer sous l'effet du futur paquet européen dit « omnibus numérique », destiné à simplifier l'ensemble du cadre règlementaire[17].
