Découvrez dans cet article dans quels cas l'AI Act s'applique également aux entreprises suisses et ce à quoi vous devez prêter attention.
La loi sur l'IA (AI Act) classe les systèmes dits « d'IA » selon un niveau de risque et en déduit des exigences et des réglementations différentes pour les divers acteurs concernés. Étant donné que l’AI Act – à l’instar, par exemple, du Règlement général sur la protection des données de l’UE (RGPD, GDPR) – a ce qu’on appelle un effet extraterritorial, les entreprises suisses, quelle que soit leur taille (c’est-à-dire y compris les PME et les start-ups), doivent se conformer à l’AI Act dans différentes situations.
La loi sur l'IA (AI Act) est un ensemble complexe de règles établies par l'UE. Dans cet article, nous nous concentrerons sur certains aspects importants.
Quelles entreprises suisses doivent se conformer à l'AI Act de l'UE ?
Une entreprise ayant son siège en Suisse doit se conformer à l'AI Act dans les cas suivants (liste non exhaustive) :
- Lorsqu'un fournisseur met sur le marché ou met en service un système d'IA dans l'UE ;
- Lorsqu'un fournisseur met sur le marché de l'UE un modèle d'IA à usage général ;
- Lorsque le résultat généré par le système d'IA d'un fournisseur ou d'un opérateur est utilisé dans l'UE ;
- Représentants des prestataires.
Qu'entend-on par « système d'IA » ?
On entend par « système d'IA » un système assisté par ordinateur, conçu pour fonctionner avec un degré d'autonomie variable, capable de s'adapter après sa mise en service et qui, à partir des données d'entrée reçues, détermine, en fonction d'objectifs explicites ou implicites, comment générer des résultats tels que des prévisions, des contenus, des recommandations ou des décisions susceptibles d'influencer des environnements physiques ou virtuels.
Qu'entend-on par « modèle d'IA à usage général » ?
On entend par « modèle d’IA à usage général » un modèle d’IA — y compris les cas où un tel modèle est entraîné à partir d’un vaste ensemble de données dans le cadre d’une auto-surveillance complète —, qui présente une grande polyvalence et qui est capable, quelle que soit la manière dont il est mis sur le marché, d’accomplir avec compétence un large éventail de tâches différentes, et qui peut être intégré dans une multitude de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés, avant leur mise sur le marché, à des fins de recherche et de développement ou pour la conception de prototypes.
Exemples :
- ChatGPT
- Claude
Qui est le prestataire ?
On entend par « fournisseur » toute personne physique ou morale, autorité publique, organisme ou autre entité qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et qui le met sur le marché sous son propre nom ou sa marque commerciale, ou qui met en service ce système d’IA sous son propre nom ou sa marque commerciale, que ce soit à titre onéreux ou gratuit.
Exemples :
- OpenAI (ChatGPT)
- Microsoft (Copilot)
Qui est l'exploitant ?
On entend par « exploitant » toute personne physique ou morale, autorité publique, organisme ou autre entité qui utilise un système d'IA sous sa propre responsabilité, sauf si ce système d'IA est utilisé dans le cadre d'une activité personnelle et non professionnelle.
Exemples :
- Toute entreprise qui utilise un système d'IA.
À partir de quand considère-t-on qu'un système d'IA présente un risque inacceptable, et qu'entend-on par « pratiques interdites » ?
Les situations suivantes sont considérées comme présentant un risque inacceptable :
- Influence subliminale par des techniques délibérément manipulatrices ou trompeuses
- Exploitation des faiblesses ou de la vulnérabilité
- Évaluation sociale (« social scoring »)
- Prévision des activités criminelles
- Base de données de reconnaissance faciale
- La reconnaissance des émotions sur le lieu de travail ou dans les établissements d'enseignement
- Classification biométrique
- Surveillance biométrique
Exemples :
- Manipulation ciblée des contenus sur les réseaux sociaux à des fins politiques.
- Analyse des données issues des réseaux sociaux afin d'évaluer la solvabilité d'une personne.
Quelles sont les conséquences lorsqu'un système d'IA présente un risque inacceptable ?
Les pratiques liées à l'IA sont totalement interdites lorsqu'elles sont considérées comme présentant un risque inacceptable. C'est pourquoi on les qualifie également de pratiques interdites.
Dans quels cas un système d'IA présente-t-il un risque élevé ?
D'une part, lorsqu'il s'agit d'un produit ou d'un composant de sécurité d'un produit relevant de la réglementation d'harmonisation de l'UE (par exemple, les dispositifs médicaux, les machines industrielles, les jouets, les aéronefs, les voitures). D'autre part, les cas d'application visés à l'annexe III (susceptible d'être modifiée/adaptée) :
- Biométrie :
- systèmes d'identification biométrique à distance
- classification biométrique selon des attributs sensibles
- Systèmes de reconnaissance des émotions
- Infrastructure critique :
- Systèmes de sécurité pour la gestion et l'exploitation d'infrastructures telles que les transports, l'eau et l'approvisionnement en énergie
- Éducation :
- Systèmes d'accès, d'évaluation et de surveillance dans les établissements d'enseignement
- Emploi et gestion des ressources humaines :
- Systèmes relatifs au recrutement, à l'évaluation, aux conditions de travail et au suivi des salariés
- Services de base :
- Évaluation des droits aux prestations publiques/privées (par exemple, santé, crédits)
- Poursuites pénales :
- Évaluation des risques, détecteurs de mensonges, analyse des éléments de preuve, profilage
- Migration et contrôle des frontières :
- Détecteurs de mensonges, évaluations des risques, aide pour les demandes d'asile et de visa
- Droit et démocratie :
- Soutien aux autorités judiciaires, ingérence dans les résultats électoraux
Quelles sont les conséquences lorsqu'un système d'IA est classé comme présentant un risque élevé ?
Les systèmes d'IA à haut risque sont soumis à une réglementation stricte et exhaustive.
Les fournisseurs de ce type de système d'IA à haut risque doivent, par exemple, respecter les obligations suivantes :
- Système de gestion de la qualité et des risques
- Gouvernance des données
- Documentation technique
- Obligations de déclaration
- Exigences en matière de transparence
- Surveillance humaine
- Précision, robustesse et cybersécurité
- Mesures correctives
- Déclaration de conformité
Les exploitants de systèmes d'IA à haut risque doivent également respecter de nombreuses obligations, par exemple :
- Veiller à ce que le système d'IA soit utilisé conformément au mode d'emploi (mesures techniques et organisationnelles)
- Surveillance humaine
- Surveillance et obligation d'information
- Conservation des procès-verbaux
- Analyse d'impact sur les droits fondamentaux
Quelles sont les exigences en matière de transparence qui s'appliquent à tous les systèmes d'IA ?
Indépendamment de toute classification des risques, les obligations de transparence suivantes doivent toujours être respectées :
- Les fournisseurs de systèmes d'IA doivent veiller à ce que les personnes physiques soient informées lorsqu'elles interagissent directement avec un système d'IA, sauf si cela est évident.
- Les fournisseurs de systèmes d'IA générant des contenus audio, image, vidéo ou textuels synthétiques doivent veiller à ce que les résultats produits par ces systèmes soient marqués dans un format lisible par machine et identifiables comme étant générés ou manipulés artificiellement.
- Les exploitants d'un système de reconnaissance des émotions ou d'un système de catégorisation biométrique informent les personnes physiques du fonctionnement et du traitement des données à caractère personnel.
- Les exploitants doivent signaler les « deepfakes », c'est-à-dire les contenus visuels, sonores ou vidéo générés ou manipulés par l'IA qui ressemblent à des personnes, des objets, des lieux, des institutions ou des événements réels, ou qui pourraient être perçus à tort par une personne comme étant authentiques ou véridiques.
- Les exploitants d'un système d'IA qui génère ou modifie des textes destinés à être publiés afin d'informer le public sur des questions d'intérêt général doivent indiquer que ces textes ont été générés ou modifiés par une intelligence artificielle.
Quelles sont les règles applicables à tous les fournisseurs et exploitants de systèmes d'IA ?
Tant les fournisseurs que les exploitants de systèmes d'IA doivent garantir ce que l'on appelle la « compétence en matière d'IA », c'est-à-dire qu'ils doivent veiller à ce que leur personnel et toute autre personne chargée de l'utilisation de ces systèmes disposent de connaissances suffisantes pour les utiliser.
Voici un aperçu des formations initiales et continues.
Quels sont les risques en cas de non-respect de la loi sur l'IA ?
En fonction de l'infraction, les niveaux de sanctions suivants sont prévus :
- 35 millions d'euros, soit 7 % du chiffre d'affaires annuel mondial
- 15 millions d'euros, soit 3 % du chiffre d'affaires annuel mondial
- 7,5 millions d'euros, soit 1 % du chiffre d'affaires annuel mondial
À partir de quand les obligations prévues par l'AI Act s'appliquent-elles ?
La loi sur l'IA est en vigueur depuis début août 2024. Les obligations relatives à sa mise en œuvre s'appliquent toutefois de manière échelonnée, comme suit :
À partir du 2 février 2025 :
- Interdiction des systèmes d'IA présentant un risque inacceptable
- Une certification des compétences en IA est nécessaire pour tous
À partir du 2 août 2025 :
- Réglementations relatives aux modèles d'IA à usage général
À partir du 2 août 2026 :
- Toutes les réglementations, à l'exception de certains systèmes d'IA à haut risque
À partir du 2 août 2027 :
- Réglementations applicables à certains systèmes d'IA à haut risque
Dans quels cas la loi sur l'IA ne s'applique-t-elle pas ?
La loi sur l'IA ne s'applique pas dans les cas suivants :
- À des fins militaires et de sécurité
- Coopération internationale en matière de répression et de coopération judiciaire
- Recherche et développement
- Usage personnel
- IA open source (à condition qu'il ne s'agisse pas de pratiques interdites en matière d'IA, d'un système à haut risque ou de la génération de deepfakes)
Résumé et grille d'évaluation
L'AI Act est un ensemble de règles complexe dont les modalités concrètes ne se préciseront qu'avec le temps, c'est-à-dire à mesure que seront publiées les directives correspondantes et que l'expérience pratique s'enrichira.
Dans cet article, nous nous sommes concentrés sur quelques aspects importants.
Dans la pratique, nous recommandons de suivre les étapes de contrôle suivantes :
- S'agit-il d'un système d'IA ou d'un modèle d'IA à usage général ?
- Si oui : quelle est la fonction prévue par l'AI-Act dans laquelle on exerce son activité ? Est-on notamment fournisseur ou exploitant d'un système d'IA ?
- La loi sur l'IA s'applique-t-elle lorsque l'on se trouve en dehors de l'UE ?
- À quelle catégorie de risque appartient le système d'IA ?
Enfin, il convient de noter que les exploitants doivent également respecter les obligations définies par le fabricant d’un système d’IA ou d’un modèle d’IA à usage général dans ses conditions d’utilisation. Celles-ci peuvent aller au-delà des obligations définies dans la loi sur l’IA.
Aperçu des formations initiales et continues.
Informations sur la source : Cet article a été rédigé à l'origine par Caroline Danner, avocate et associée fondatrice d'ONLAW, et publié sur son blog. Nous sommes autorisés à le publier ici avec son accord.
