Règlement sur l’intelligence artificielle de l’Union européenne : ce que les entreprises doivent savoir

Le Règlement sur l’intelligence artificielle (IA) constitue le principal cadre réglementaire de l’Union européenne (UE) pour les systèmes d’IA. Il vise à cerner, prévenir et atténuer les risques liés à l’IA, et à veiller à ce que les systèmes d’IA soient développés et utilisés de manière sûre et éthique. Le Règlement sur l’IA a commencé à entrer en vigueur progressivement depuis février 2025. 

Il convient de noter que le Règlement sur l’IA s’applique à toutes les entreprises offrant des systèmes ou services d’IA au sein de l’UE, qu’elles y soient établies ou non. Cela signifie que toute entreprise canadienne commercialisant ou utilisant un système d’IA dans l’UE doit s’y conformer.

• Définition générale des systèmes d’IA : Le Règlement sur l’IA définit les systèmes d’IA comme des systèmes automatisés qui fonctionnent à différents niveaux d’autonomie et qui peuvent apprendre ou s’adapter après leur déploiement afin de produire des résultats à partir des données reçues.
• Approche fondée sur le risque : Le Règlement sur l’IA applique un cadre fondé sur les risques, qui définit différentes obligations en fonction du niveau de risque présenté par un système d’IA, ces niveaux allant d’un risque minimal à un risque inacceptable.
• Mesures allégées pour les petites et moyennes entreprises (PME) : Pour se qualifier en tant que PME, les entreprises doivent compter moins de 250 employés et avoir soit un chiffre d’affaires annuel inférieur à 50 millions d’euros, soit un bilan annuel total inférieur à 43 millions d’euros.

Pour déterminer si votre entreprise doit se conformer au Règlement sur l’IA, vous devez déterminer votre rôle dans la chaîne de valeur de l’IA et le niveau de risque lié à votre système d’IA. 

Vos obligations précises varient en fonction des deux éléments suivants :

1. votre rôle dans la chaîne d’approvisionnement (si vous êtes fournisseur, déployeur, importateur ou distributeur du système d’IA);
2. le niveau de risque du système d’IA (inacceptable, haut, limité ou minimal)

Veuillez noter que l’UE envisage de retarder l’application de certaines obligations du Règlement sur l’IA pour les systèmes d’IA à haut risque et d’alléger certaines obligations pour les entreprises. Ce guide sera actualisé dès l’adoption officielle de ces modifications.

Les entreprises établies hors UE doivent désigner un représentant autorisé basé en UE; certaines obligations de conformité en vertu du Règlement sur l’IA peuvent être déléguées à ce représentant. 

Outre votre rôle dans la chaîne de valeur de l’IA, les obligations de votre entreprise sont également déterminées par le niveau de risque de votre système d’IA. Le Règlement sur l’IA définit quatre catégories de risque, classées de la plus élevée à la plus faible.

Un système d’IA est considéré comme étant à haut risque dans les cas suivants :

• il est destiné à être utilisé comme composant de sécurité d’un produit figurant à l’annexe I du Règlement sur l’IA;
• il relève de l’une des mesures législatives énumérées à l’annexe I du Règlement sur l’IA;

il est destiné à être utilisé dans le secteur de l’éducation, dans les processus de recrutement et d’emploi, à des fins d’évaluation du crédit (à l’exception de la détection de fraude) ou pour la tarification des assurances pour des personnes physiques, comme mentionné à l’annexe III du Règlement sur l’IA.

• Établir un système de gestion des risques sur tout le cycle de vie du système d’IA à haut risque.
• Assurer une gouvernance des données garantissant que les ensembles de données d’entraînement, de validation et d’essais sont pertinents, suffisamment représentatifs et, dans la mesure du possible, exempts d’erreurs et complets au regard de la finalité prévue.
• Mettre en place une documentation technique démontrant la conformité. Les PME peuvent choisir de fournir des informations de manière simplifiée, selon un format qui sera élaboré par la Commission européenne.
• Intégrer des mécanismes de tenue de registres au sein du système d’IA permettant l’enregistrement automatique des événements pertinents pour la détermination des risques et des modifications substantielles tout au long du cycle de vie du système.
• Fournir des instructions d’utilisation à l’intention des déployeurs.
• Permettre aux déployeurs de mettre en œuvre un contrôle humain.
• Concevoir le système d’IA afin d’atteindre des niveaux appropriés d’exactitude, de robustesse et de cybersécurité.
• Établir un système de gestion de la qualité pour assurer la conformité avec le Règlement sur l’IA.

Ces obligations peuvent être transférées aux distributeurs, importateurs ou déployeurs dans les cas suivants :

• ils apposent leur nom ou leur marque sur un système d’IA à haut risque;
• ils apportent une modification substantielle à un système d’IA à haut risque;
• ils modifient la finalité prévue d’un système d’IA de telle manière qu’il devienne à haut risque.

Une fois que vous avez rempli vos obligations de conformité au titre du Règlement sur l’IA, vous devez suivre les étapes suivantes :

• Réaliser une évaluation de mise en conformité : Démontrer la conformité au Règlement sur l’IA au moyen d’une procédure formelle d’évaluation de conformité, ce qui peut inclure une analyse d’impact sur les droits fondamentaux (AIDF).
• Émettre une déclaration UE de conformité : Pour chaque système d’IA à haut risque, vous devez fournir une déclaration de conformité attestant que le système respecte les exigences légales pertinentes.
• Enregistrer votre système à haut risque dans la base de données de l’UE.

Si vous fournissez un service public dans l’UE ou si vous déployez un système d’IA à haut risque lié à l’application de la loi, à la migration, au contrôle des frontières ou aux demandes d’asile, vous devez réaliser une AIDF. Cette analyse exige des déployeurs qu’ils :

• décrivent comment et quand le système d’IA sera utilisé et qui il pourrait toucher;
• cernent les risques potentiels de préjudice pour les individus ou groupes concernés;
• présentent les mesures de contrôle humain mises en place pour atténuer ces risques;
• précisent les actions à entreprendre si les risques se matérialisent.

Cette évaluation doit être réalisée avant la première utilisation du système, mais peut être mise à jour si les circonstances changent. Le Bureau européen de l’IA fournira un modèle pour aider les déployeurs à respecter leurs obligations. Si une organisation a déjà réalisé une analyse d’impact relative à la protection des données conformément aux lois européennes sur la protection de la vie privée, l’analyse d’impact sur les droits fondamentaux devrait s’ajouter à cette analyse.

• Utiliser les systèmes d’IA à haut risque conformément aux instructions du fournisseur et affecter du personnel formé pour superviser leur fonctionnement.
• Surveiller les performances du système, signaler les risques ou incidents graves aux fournisseurs et aux autorités, garantir la qualité des données d’entrée et conserver les journaux du système pendant au moins 6 mois.
• Informer les travailleurs et les personnes concernées lors du déploiement de systèmes d’IA à haut risque dans les lieux de travail ou dans les processus décisionnels.
• Coopérer avec les autorités pour assurer la conformité et utiliser la documentation du système d’IA pour remplir les obligations d’évaluation d’impact sur la protection des données lorsque cela est applicable

Si vous êtes importateur ou distributeur de systèmes d’IA à haut risque, vous devez vous assurer que ces systèmes respectent toutes les exigences réglementaires avant leur mise sur le marché dans l’UE.

Les importateurs doivent vérifier que le fournisseur a :

• réalisé la procédure d’évaluation de conformité;
• préparé la documentation technique nécessaire;
• apposé le marquage « CE » requis;
• fournit la déclaration UE de conformité et les instructions d’utilisation;
• désigné un représentant autorisé établi en UE.

Les distributeurs doivent faire preuve de diligence raisonnable pour s’assurer que les systèmes d’IA à haut risque sont conformes au Règlement sur l’IA avant leur mise sur le marché.

Un système d’IA est considéré comme étant à risque limité dans les cas suivants :

• il interagit directement avec les utilisateurs;
• il présente des risques minimaux pour les droits et la sécurité des individus.

À titre d’exemples, mentionnons les agents conversationnels et assistants virtuels (comme les robots de service à la clientèle alimentés par l’IA), les outils de création de contenu généré par l’IA (comme les générateurs de texte, créateurs d’images par IA) et les générateurs d’hypertrucages ou de médias synthétiques

En tant que fournisseur d’un système d’IA à risque limité, vous devez vous assurer de ce qui suit :

• les utilisateurs sont clairement informés qu’ils interagissent avec un système d’IA;
• tout contenu généré ou manipulé par l’IA, y compris audio, images, vidéos ou texte, est étiqueté dans un format lisible par machine afin de le rendre détectable comme étant artificiellement généré;
• l’étiquetage de ce contenu est robuste, fiable et interopérable et tient compte de la faisabilité technique et des normes pertinentes.

En tant que déployeurs d’un système d’IA à risque limité, vous devez :

• informer les utilisateurs si le système d’IA est utilisé pour analyser les émotions ou catégoriser des individus sur la base de données biométriques, sauf si le traitement est légalement autorisé pour la détection ou l’enquête sur des infractions;
• le divulguer lorsque le système crée des hypertrucages ou modifie des images, vidéos ou textes diffusés publiquement, sauf si le contenu est manifestement artistique, créatif ou satirique;
• veiller à ce que toutes les informations requises soient fournies aux utilisateurs dès le premier point d’interaction ou d’exposition, et qu’elles respectent les normes d’accessibilité.

Un système d’IA est considéré comme à risque minimal dans les cas suivants :

• il ne présente aucun risque important pour la santé, la sécurité ou les droits fondamentaux;
• il est utilisé dans des applications quotidiennes où l’IA améliore les fonctionnalités sans affecter directement les individus d’une manière nécessitant une supervision.

À titre d’exemples, mentionnons les filtres antipourriels, les moteurs de recherche alimentés par l’IA, les outils de correction ou de textes prédictifs fondés sur l’IA.

Les systèmes d’IA à risque minimal ne sont pas soumis à des exigences obligatoires au titre du Règlement sur l’IA. Cependant, les fournisseurs et les déployeurs sont encouragés à volontairement suivre les meilleures pratiques en matière de développement et de déploiement de systèmes d’IA par l’adoption de codes de conduite.

Un système d’IA est considéré comme étant un modèle d’IA à usage général dans les cas suivants :

• il a été entraîné à partir d’un vaste ensemble de données au moyen de techniques d’auto‑supervision;
• il peut accomplir un large éventail de tâches, plutôt que d’être conçu pour une fonction précise;
• il est adaptable et peut être intégré dans différents systèmes, dans diverses industries;
• il conserve les mêmes capacités, quel que soit le mode par lequel il est mis à disposition des utilisateurs.

À titre d’exemptions, mentionnons les modèles utilisés exclusivement à des fins de recherche, de développement ou de prototypage.

Les fournisseurs de modèles d’IA à usage général sont tenus de ce qui suit :

• maintenir une documentation technique complète détaillant les processus d’entraînement, d’essais et d’évaluation du modèle;
• fournir aux fournisseurs d’IA en aval une documentation précisant clairement les capacités et les limites du modèle;
• s’assurer de la conformité aux lois européennes sur le droit d’auteur, en particulier en ce qui concerne l’utilisation des données d’entraînement;
• publier un résumé des données d’entraînement utilisées pour développer le modèle, selon le modèle standardisé fourni par le Bureau européen de l’IA;
• coopérer pleinement avec les autorités européennes et nationales afin de faciliter le contrôle réglementaire et l’application de la loi;
• respecter les codes de bonnes pratiques volontaires pour démontrer la conformité jusqu’à l’établissement de normes harmonisées.

Les fournisseurs publiant des modèles d’IA à usage général sous licence libre et ouverte sont exonérés de ces obligations, sauf si le modèle est classé comme présentant un risque systémique.

Les modèles d’IA à usage général sont considérés comme étant des modèles à risque systémique lorsque leur puissance de calcul dépasse 10^25 opérations en virgule flottante par seconde (FLOPS). Dans ce cas, des exigences supplémentaires s’appliquent conformément à l’article 55, y compris le signalement obligatoire et la mise en œuvre de mesures d’atténuation des risques.

L’application du Règlement sur l’IA reposera principalement sur les États membres de l’UE, qui étaient tenus de créer des autorités nationales de surveillance du marché d’ici le 2 août 2025. Ces autorités seront responsables de la surveillance de la conformité, de la conduite des enquêtes et de l’application des sanctions en cas de violations du Règlement sur l’IA.

Le Bureau européen de l’IA jouera un rôle central dans la supervision des modèles d’IA à usage général et fournira des orientations, de la coordination et un soutien aux États membres pour la mise en œuvre et l’interprétation du Règlement sur l’IA.

• Jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel mondial pour la fourniture d’informations incorrectes ou trompeuses.
• Jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour des pratiques d’IA interdites.
• Pour les PME et les jeunes pousses, les amendes sont plafonnées au montant le plus bas des deux seuils (montant fixe ou pourcentage du chiffre d’affaires).

• 2 février 2025 : interdiction des systèmes à risque inacceptable.
• 2 août 2025 : obligations pour les fournisseurs de modèles d’IA à usage général.
• 2 août 2026 : obligations pour les systèmes à haut risque, conformément à l’Annexe III.
• 2 août 2027 : autres obligations pour les systèmes à haut risque.

• Commission européenne – Règlement sur l’intelligence artificielle
• Bureau européen de l’intelligence artificielle