Le règlement (UE) 2024/1689 vise à encourager le développement et l’adoption de systèmes d’intelligence artificielle (IA) sûrs et dignes de confiance dans l’ensemble du marché unique de l’Union européenne (UE) dans les secteurs privé et public, tout en garantissant la santé et la sécurité des citoyens de l’UE, ainsi que le respect des droits fondamentaux. Le règlement établit des règles fondées sur les risques concernant:
la mise sur le marché, la mise en service et l’utilisation de certains systèmes d’IA;
l’interdiction de certaines pratiques en matière d’IA;
des exigences et des obligations relatives aux systèmes d’IA à haut risque;
la transparence de certains systèmes d’IA;
la transparence et la gestion des risques pour les modèles d’IA à usage général (modèles d’IA puissants qui sous-tendent des systèmes d’IA capables d’effectuer un large éventail de tâches);
le suivi du marché, la surveillance du marché, la gouvernance et l’application des règles;
le soutien à l’innovation, en mettant particulièrement l’accent sur les petites et moyennes entreprises (PME) et sur les jeunes pousses.
Il existe quelques exceptions, par exemple pour les systèmes utilisés exclusivement à des fins militaires et de défense ou à des fins de recherche.
POINTS CLÉS
Qu’est-ce qu’un système d’IA?
Un système d’IA est un système automatisé conçu pour fonctionner avec un certain niveau d’autonomie pouvant:
s’adapter après son déploiement; et
générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions à partir des entrées qu’il a reçues (pour atteindre des objectifs explicites ou implicites).
Une approche fondée sur les risques
La législation suit une approche fondée sur les risques, ce qui signifie que plus le risque de nuire à la société est élevé, plus les règles sont strictes. Le règlement définit l’utilisation de l’IA dans les domaines suivants comme étant à haut risque, en raison de l’impact potentiel sur les droits fondamentaux, la sécurité et le bien-être:
les composants de sécurité dans les produits relevant de la législation d’harmonisation de l’UE (ou en tant que produits autonomes) qui sont soumis à une évaluation de la conformité par un tiers selon la même législation d’harmonisation de l’UE;
la biométrie, lorsqu’elle est utilisée pour l’identification à distance, la catégorisation des personnes en fonction d’attributs sensibles (comme la race ou la religion), ou la reconnaissance des émotions, sauf lorsqu’elle est utilisée pour vérifier simplement l’identité;
les infrastructures critiques, lorsque l’IA est un composant de sécurité dans des domaines tels que les infrastructures numériques, le trafic, l’eau, le gaz, le chauffage et l’électricité;
l’éducation et la formation professionnelle, y compris l’accès aux questions d’éducation, l’évaluation des acquis d’apprentissage, l’évaluation des niveaux d’enseignement ou la surveillance du comportement durant les examens;
l’emploi, y compris le recrutement, la sélection des candidats, la prise de décisions en matière d’emploi (promotions, licenciements), l’attribution des tâches ou le suivi des performances;
les services essentiels — les systèmes d’IA utilisés par les autorités publiques pour évaluer l’admissibilité aux services publics (soins de santé, prestations), la note de crédit et les risques d’assurance, et hiérarchiser les interventions d’urgence;
la répression — les systèmes d’IA utilisés pour l’évaluation des risques en matière de criminalité, les polygraphes, l’évaluation de la fiabilité des preuves, la prévision du risque de récidive ou le profilage des individus dans le cadre d’enquêtes pénales;
la migration et le contrôle des frontières — les systèmes d’IA utilisés pour évaluer les risques liés à la migration, à l’asile et aux demandes de visa, ou pour détecter et identifier les personnes dans des contextes migratoires;
l’administration de la justice et les processus démocratiques — les systèmes d’IA utilisés par les autorités judiciaires pour la recherche et l’interprétation juridiques ou les systèmes qui pourraient influencer les résultats des élections.
Le règlement interdit les pratiques d’IA suivantes présentant un niveau de risque inacceptable
Des techniques subliminales ou trompeuses de manipulation des comportements individuels ou des comportements de groupe, portant atteinte à leur capacité à prendre des décisions en connaissance de cause et susceptibles de causer un préjudice.
L’exploitation des vulnérabilités fondées sur l’âge, un handicap ou des situations socio-économiques pour manipuler des personnes ou des groupes, menant à un potentiel préjudice.
La notation sociale, l’évaluation ou la classification des personnes sur la base de leur comportement ou de leurs caractéristiques, entraînant un traitement injuste sans rapport avec le contexte dans lequel les données ont été collectées ou de manière disproportionnée par rapport à la gravité du comportement
L’évaluation du risque pénal, la prévision de la probabilité de commettre un crime en se basant uniquement sur le profilage ou les traits de personnalité, sauf dans le cadre d’enquêtes pénales objectives fondées sur les faits.
La reconnaissance faciale par le moissonnage de bases de données provenant de l’internet ou des caméras de sécurité sans ciblage spécifique.
L’inférence sur les émotions dans des domaines sensibles tels que les lieux de travail ou les établissements d’enseignement, sauf s’ils sont utilisés à des fins médicales ou de sécurité.
La catégorisation biométrique fondée sur des données pour arriver à des inférences concernant des attributs sensibles tels que la race, la religion ou les opinions politiques, à l’exception de l’utilisation légale dans le domaine répressif.
L’identification biométrique en temps réel en public à des fins répressives, sauf si elle est strictement nécessaire pour certaines situations particulières (par exemple la recherche de personnes disparues, la prévention de menaces imminentes ou l’identification des suspects de crimes graves). Elle doit respecter des procédures juridiques strictes, y compris une autorisation préalable, une portée limitée et des garanties pour protéger les droits et les libertés.
Le règlement introduit des obligations d’information lorsqu’un risque pourrait résulter d’un manque de transparence autour de l’utilisation de l’IA:
l’IA conçue pour usurper l’identité d’êtres humains (par exemple un dialogueur) doit en informer l’humain avec qui elle interagit;
la production d’IA générative doit être marquée comme générée par l’IA de manière lisible par la machine;
dans certains cas, la production d’IA générative doit être visiblement étiquetée, à savoir les hypertrucages et le texte destinés à informer le public des questions d’intérêt public.
Tous les autres systèmes d’IA sont réputés à risque limité, et le règlement n’introduit donc pas de nouvelles règles.
Utilisation digne de confiance de grands modèles d’IA
Les modèles d’IA à usage général sont des modèles d’IA qui sont formés sur de grandes quantités de données et qui peuvent exécuter un large éventail de tâches. Il peut s’agir de composants de systèmes d’IA.
Le règlement introduit des obligations de transparence pour les fournisseurs de tels modèles d’IA à usage général, à savoir la documentation technique, la fourniture d’informations aux développeurs en aval des systèmes d’IA et la divulgation des données utilisées pour la formation du modèle.
Les modèles d’IA à usage général les plus puissants peuvent poser des risques systémiques. Si un modèle répond à un certain seuil de capacité, le fournisseur de ce modèle doit remplir des obligations supplémentaires en matière de gestion des risques et de cybersécurité.
Gouvernance
Le règlement met en place plusieurs organes directeurs actifs à partir du :
les autorités nationales compétentes qui superviseront et appliqueront les règles relatives aux systèmes d’IA;
un Bureau de l’IA au sein de la Commission européenne qui coordonnera l’application cohérente des règles communes dans toute l’UE et agira en tant que régulateur pour les modèles d’IA à usage général.
Les États membres de l’UE et le Bureau de l’IA coopéreront étroitement au sein d’un Comité IA composé de représentants des États membres afin de garantir la mise en œuvre cohérente et efficace du règlement.
Le règlement met en place deux organes consultatifs pour le Bureau de l’IA et le Comité IA:
un groupe scientifique composé d’experts indépendants qui fournissent des conseils scientifiques;
un forum consultatif pour les parties prenantes afin de fournir une expertise technique au Comité IA et à la Commission.
Sanctions
Les amendes pour infractions sont fixées en pourcentage du chiffre d’affaires annuel de l’entreprise incriminée ou d’un montant prédéterminé, le plus élevé étant retenu. Les petites et moyennes entreprises et les jeunes pousses font l’objet d’amendes administratives proportionnelles.
Transparence et protection des droits fondamentaux
L’amélioration de la transparence s’applique au développement et à l’utilisation de systèmes d’IA à haut risque:
avant qu’un système d’IA à haut risque ne soit déployé par des entités fournissant des services publics, son impact sur les droits fondamentaux doit être évalué;
les systèmes d’IA à haut risque et les entités qui les utilisent doivent être enregistrés dans une base de données de l’UE.
Innovation
Le règlement prévoit un cadre juridique propice à l’innovation et vise à promouvoir l’apprentissage réglementaire fondé sur des données probantes. Il prévoit des bacs à sable réglementaires de l’IA, dans lesquels des systèmes d’IA innovants peuvent être développés, testés et validés, y compris dans des conditions réelles. Par ailleurs, le règlement permet des essais réels sous certaines conditions des systèmes d’IA à haut risque.
Évaluation et réexamen
La Commission évalue la nécessité de modifier la liste des utilisations à haut risque de l’IA et la liste des pratiques interdites chaque année. Au plus tard le , et tous les quatre ans par la suite, la Commission évaluera et présentera un rapport sur les points suivants:
l’ajout ou l’extension de la liste des catégories à haut risque;
les modifications de la liste des systèmes d’IA nécessitant des mesures de transparence supplémentaires;
les modifications destinées à améliorer la surveillance et la gouvernance.
DEPUIS QUAND CE RÈGLEMENT S’APPLIQUE-T-IL?
Ce règlement s’appliquera à compter du . Il existe toutefois quelques exceptions:
les interdictions, définitions et obligations relatives à la maîtrise de l’IA s’appliquent depuis le ;
certaines règles prendront effet le , y compris celles relatives à la structure de gouvernance, aux sanctions et aux obligations pour les fournisseurs de modèles d’IA à usage général.
Règlement (UE) 2024/1689 du Parlement européen et du Conseil du établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° 168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle) (JO L, 2024/1689 du ).
DOCUMENTS LIÉS
Règlement (UE) 2022/2065 du Parlement européen et du Conseil du relatif à un marché unique des services numériques et modifiant la directive 2000/31/CE (règlement sur les services numériques) (JO L 277 du , p. 1–102).
Directive (UE) 2020/1828 du Parlement européen et du Conseil du relative aux actions représentatives visant à protéger les intérêts collectifs des consommateurs et abrogeant la directive 2009/22/CE (JO L 409 du , p. 1–27).
Les modifications successives de la directive (UE) 2020/1828 ont été intégrées au texte de base. Cette version consolidée n’a qu’une valeur documentaire.
Règlement (UE) 2019/881 du Parlement européen et du Conseil du relatif à l’ENISA (Agence de l’Union européenne pour la cybersécurité) et à la certification de cybersécurité des technologies de l’information et des communications, et abrogeant le règlement (UE) no 526/2013 (règlement sur la cybersécurité) (JO L 151 du , p. 15–69).
Directive (UE) 2019/882 du Parlement européen et du Conseil du relative aux exigences en matière d’accessibilité applicables aux produits et services (JO L 151 du , p. 70–115).
Règlement (UE) 2019/1020 du Parlement européen et du Conseil du sur la surveillance du marché et la conformité des produits, et modifiant la directive 2004/42/CE et les règlements (CE) no 765/2008 et (UE) no 305/2011 (JO L 169 du , p. 1–44)
Règlement (UE) 2019/2144 du Parlement européen et du Conseil du relatif aux prescriptions applicables à la réception par type des véhicules à moteur et de leurs remorques, ainsi que des systèmes, composants et entités techniques distinctes destinés à ces véhicules, en ce qui concerne leur sécurité générale et la protection des occupants des véhicules et des usagers vulnérables de la route, modifiant le règlement (UE) 2018/858 du Parlement européen et du Conseil et abrogeant les règlements (CE) no 78/2009, (CE) no 79/2009 et (CE) no 661/2009 du Parlement européen et du Conseil et les règlements (CE) no 631/2009, (UE) no 406/2010, (UE) no 672/2010, (UE) no 1003/2010, (UE) no 1005/2010, (UE) no 1008/2010, (UE) no 1009/2010, (UE) no 19/2011, (UE) no 109/2011, (UE) no 458/2011, (UE) no 65/2012, (UE) no 130/2012, (UE) no 347/2012, (UE) no 351/2012, (UE) no 1230/2012 et (UE) 2015/166 de la Commission (JO L 325 du , p. 1–40).
Règlement (UE) 2018/858 du Parlement européen et du Conseil du relatif à la réception et à la surveillance du marché des véhicules à moteur et de leurs remorques, ainsi que des systèmes, composants et entités techniques distinctes destinés à ces véhicules, modifiant les règlements (CE) no 715/2007 et (CE) no 595/2009 et abrogeant la directive 2007/46/CE (JO L 151 du , p. 1–218).
Règlement (UE) 2018/1139 du Parlement européen et du Conseil du concernant des règles communes dans le domaine de l’aviation civile et instituant une Agence de l’Union européenne pour la sécurité aérienne, et modifiant les règlements (CE) no 2111/2005, (CE) no 1008/2008, (UE) no 996/2010, (UE) no 376/2014 et les directives 2014/30/UE et 2014/53/UE du Parlement européen et du Conseil, et abrogeant les règlements (CE) no 552/2004 et (CE) no 216/2008 du Parlement européen et du Conseil ainsi que le règlement (CEE) no 3922/91 du Conseil (JO L 212 du , p. 1–122).
Règlement (UE) 2018/1725 du Parlement européen et du Conseil du relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les institutions, organes et organismes de l’Union et à la libre circulation de ces données, et abrogeant le règlement (CE) no 45/2001 et la décision no 1247/2002/CE (JO L 295 du , p. 39–98).
Règlement (UE) 2016/679 du Parlement européen et du Conseil du relatif à la protection des personnes physiques à l’égard du traitement des données à caractère personnel et à la libre circulation de ces données, et abrogeant la directive 95/46/CE (règlement général sur la protection des données) (JO L 119 du , p. 1-88).
Directive (UE) 2016/680 du Parlement européen et du Conseil du relative à la protection des personnes physiques à l’égard du traitement des données à caractère personnel par les autorités compétentes à des fins de prévention et de détection des infractions pénales, d’enquêtes et de poursuites en la matière ou d’exécution de sanctions pénales, et à la libre circulation de ces données, et abrogeant la décision-cadre 2008/977/JAI du Conseil (JO L 119 du , p. 89–131).
Directive (UE) 2016/797 du Parlement européen et du Conseil du relative à l’interopérabilité du système ferroviaire au sein de l’Union européenne (refonte) (JO L 138 du , p. 44–101).
Directive (UE) 2016/2102 du Parlement européen et du Conseil du relative à l’accessibilité des sites internet et des applications mobiles des organismes du secteur public (JO L 327 du , p. 1–15).
Directive 2014/90/UE du Parlement européen et du Conseil du relative aux équipements marins et abrogeant la directive 96/98/CE du Conseil (JO L 257 du , p. 146–185).
Règlement (UE) no167/2013 du Parlement européen et du Conseil du relatif à la réception et à la surveillance du marché des véhicules agricoles et forestiers (JO L 60 du , p. 1–51).
Règlement (UE) no168/2013 du Parlement européen et du Conseil du relatif à la réception et à la surveillance du marché des véhicules à deux ou trois roues et des quadricycles (JO L 60 du , p. 52–128).
Règlement (UE) no1025/2012 du Parlement européen et du Conseil du relatif à la normalisation européenne, modifiant les directives 89/686/CEE et 93/15/CEE du Conseil ainsi que les directives 94/9/CE, 94/25/CE, 95/16/CE, 97/23/CE, 98/34/CE, 2004/22/CE, 2007/23/CE, 2009/23/CE et 2009/105/CE du Parlement européen et du Conseil et abrogeant la décision 87/95/CEE du Conseil et la décision no 1673/2006/CE du Parlement européen et du Conseil (JO L 316 du , p. 12–33).
Règlement (CE) no300/2008 du Parlement européen et du Conseil du relatif à l’instauration de règles communes dans le domaine de la sûreté de l’aviation civile et abrogeant le règlement (CE) no 2320/2002 (JO L 97 du , p. 72–84).
Règlement (CE) no765/2008 du Parlement européen et du Conseil du fixant les prescriptions relatives à l’accréditation et à la surveillance du marché pour la commercialisation des produits et abrogeant le règlement (CEE) no 339/93 du Conseil (JO L 218 du , p. 30–47).