C'est officiel depuis le 13 mars 2024: l'IA Act est à présent en application.

L'IA Act c'est un peu le RGPD de l'IA. C'est à dire un ensemble de règles définies par le législateur pour encadrer l'utilisation de l'IA sur le territoire européen.

Cette nouvelle régulation est dans les cartons depuis 2021. Elle a bien sur été revue au goût du jour en incluant l'utilisation des modèles dits "GenAI" qui ont contribué à considérablement démocratiser l'utilisation de l'intelligence artificielle par les entreprises.

4 types de systèmes d'intelligence artificielle

L'IA Act catégorise les système d'intelligence artificielles (SIA) en 4 catégories.

SIA à risque inacceptable

Ce type de système est tout simplement interdit en UE car ils contreviennent aux droits fondamentaux des citoyens et aux valeurs portées par l'UA

Cette catégorie regroupe notamment:

• les tentatives de manipulation du comportement ou des décisions de l'homme
• la classification des individus en fonction de leur comportement social
• l'identification biométrique à distance et en temps réel

Il n'y a pas de mise en conformité possible.

SIA à haut risque

Ce sont des systèmes régulés car ils peuvent potentiellement porter atteinte à la sécurité des personnes ou aux droits fondamentaux.

Quelques exemples:

• scoring social bancaire, tri de CV
• identification biométrique
• IA médicales

Ces systèmes devront faire l'objet d'un marquage "label CE" et une déclaration de conformité devra être produite et enregistrée dans la base de données de l'UE.

SIA à risque faible

Cette catégorie regroupe la plupart des utilisations de la GenAI et en général tous les systèmes ayant des interactions directs avec un utilisateur humain.

Par exemple:

• génération de contenu (marketing, pédagogique, etc)
• RAG et assistant conversationnels
• Agents

Ces systèmes ont une obligation de transparence avec leurs utilisateurs en leur indiquant qu'ils sont entrain d’interagir avec une IA ou qu'un contenu a été généré par une IA.

SIA à risque minime

La plupart des systèmes pre-GenAI sont dans cette catégorie. Ce sont souvent des systèmes de traitement automatisés comme les filtres anti-spam par exemple.

Ces systèmes ne doivent pas respecter de règles particulières.

Quelle type de SIA pour les produits GenAI?

Dans la plupart des cas, les entreprises développant des produits à base de modèles de langue ou d'image seront dans la catégorie "SIA à risque faible".

C'est le cas de Didask par exemple, qui développe une IA pédagogique capable de créer des cours et d'aider les étudiants à progresser.

Il faut alors respecter l'obligation de transparence et indiquer aux utilisateurs qu'ils interagissent ou consultent du contenu généré par une IA.

Ces obligations de transparence sont définies dans l'article 50 de l'IA Act.

Exception des composants de sécurité

Si la défaillance ou le mauvais fonctionnement de votre produit met en danger la santé ou la sécurité des personnes ou des biens alors il pourra être catégorisé comme "SIA à haut risque".

Voir l'annexe I et l'annexe III pour plus d'informations.

Déterminer soit même le type de système d'IA

Un formulaire est disponible afin de déterminer quelle catégorie de SIA correspond à son activité.

https://artificialintelligenceact.eu/fr/evaluation/verificateur-de-conformite-a-l-acte-de-l-ai-de-l-ue

Délais de conformité

Comme pour le RGPD, il y a un délai de mise en conformité après la publication de l'IA Act.

Pour les SIA à haut risque, ce délai peut varier en 24 et 36 mois.

Pour les SIA à risque faible, ce délai est de 24 mois.