Le 12 juillet 2024, le règlement sur l’intelligence artificielle (règlement sur l’IA), également connu sous le nom de « AI Act », a été publié au Journal officiel de l’Union européenne dans sa version signée par le Parlement européen du 13 juin dernier[1].

Cette publication offre l’opportunité de revenir sur l’approche par les risques adoptée par ce texte (I), d’examiner sa mise en œuvre progressive (II) et de proposer des pistes de réflexion pour une mise en conformité réussie (III). 

1. L’approche par les risques du règlement sur l’IA

Le règlement sur l’IA s’applique aux systèmes d’IA[2], c’est-à-dire aux systèmes automatisés conçus pour fonctionner à différents niveaux d’autonomie et capable de s’adapter après leur déploiement. Ces systèmes d’IA génèrent des sorties telles que des prédictions, du contenu, des recommandations ou des décisions, influençant les environnements physiques ou virtuels.

Pour comprendre les enjeux de l’application progressive de ce texte, il convient de rappeler que le règlement adopte une approche fondée sur les risques, en fonction du niveau de risque que les systèmes d’IA représentent pour les droits et libertés des personnes. Cette approche a pour objectif de moduler les règles en fonction de l’intensité et de la portée des risques associés aux systèmes d’IA.

Le règlement sur l’IA distingue ainsi quatre niveaux de risques : (i) les systèmes d’IA à usage inacceptable qui sont interdits[3], (ii) les systèmes d’IA à haut risque, soumis à des exigences renforcées[4], (iii) les systèmes d’IA présentant un risque faible, soumis principalement à des obligations de transparence[5] et (iv) les systèmes d’IA à risques minimes, qui représentent la majorité des systèmes d’IA et qui ne sont soumis à aucune obligation spécifique.

Cette classification des systèmes d’IA entraîne des obligations particulières pour les différents acteurs impliqués dans leur développement, mise sur le marché et utilisation. L’objectif est de garantir une utilisation sécurisée et éthique de l’IA, tout en permettant l’innovation et la croissance dans ce secteur technologique crucial.

1. L’application progressive du règlement sur l’IA

Le règlement sur l’IA entrera en vigueur vingt jours après sa publication, soit à partir du 1^er août 2024. Toutefois, son application sera progressive, et la date de mise en conformité avec certaines obligations est différée[6]. Cela permettra aux acteurs concernés de s’adapter graduellement aux nouvelles obligations et de mettre en place les mesures nécessaires pour se conformer aux dispositions du règlement.

• 2 février 2025 (soit 6 mois après l’entrée en vigueur) : les pratiques interdites en matière d’IA entrent en vigueur :

Les pratiques interdites en matière d’IA entreront en vigueur à partir de cette date. Cette application anticipée s’explique par la nécessité d’interdire immédiatement les systèmes d’IA présentant des risques inacceptables afin de prévenir tout dommage potentiel. Aucune période de mise en conformité n’est requise pour ces systèmes, car ils doivent être supprimés dès que possible pour assurer la sécurité et la protection des droits fondamentaux.

• 2 août 2025 (soit 12 mois après l’entrée en vigueur) : les exigences appliquées aux modèles d’IA à usage général et la nomination des autorités compétentes à l’échelle des Etats membres entrent en vigueur :

L’ensemble des obligations découlant du règlement sur l’IA concernant les modèles d’IA à usage général devra être mis en application dès le 2 août 2025[7]. En outre, les autorités nationales compétentes seront désignées d’ici un an[8].

• 2 août 2026 (soit 24 mois après l’entrée en vigueur) : l’ensemble des dispositions du règlement sur l’IA sont applicables :

L’ensemble des dispositions du règlement sur l’IA est applicable. Cela inclut notamment l’application des règles relatives aux systèmes d’IA à haut risque de l’annexe III ainsi que la mise en place par les autorités des Etats membres d’au moins un bac à sable réglementaire.

• 2 août 2027 (soit 36 mois après l’entrée en vigueur) : les règles relatives à l’annexe I entrent en vigueur :

Les systèmes d’IA à haut risque répondant aux critères de l’article 6.1 et de l’annexe I, devront se conformer à leurs obligations avant le 2 août 2027. Cela inclut notamment les systèmes d’IA intégrés comme composants de sécurité dans les jouets pour enfants ou encore dans les dispositifs médicaux.

 Pour une mise en conformité réussie : à vos marques, prêts, anticipez !

Au regard de ces éléments, la plupart des obligations découlant du règlement sur l’IA devront être respectées d’ici août 2026. Autrement dit, le développement des systèmes d’IA doit dès maintenant intégrer ce nouvel encadrement. Les acteurs concernés par les systèmes d’IA tels que les concepteurs, les déployeurs ou les fournisseurs, peuvent déjà mettre en place certaines pratiques.

Pour être prêts, ils peuvent se lancer dans la cartographie des risques liés à l’utilisation de systèmes d’IA, adapter leurs contrats, élaborer une charte sur l’intelligence artificielle, former et sensibiliser leurs équipes et mettre en place un audit et une surveillance continue de l’utilisation des systèmes d’IA : autant de pistes à explorer pour une mise en conformité réussie.