Vous en avez sans doute entendu parler : l’AI Act a été officiellement adopté par le Parlement européen et le texte est entré en vigueur le 1er Août 2024. À l’image du RGPD en son temps, cette nouvelle réglementation marque un tournant majeur dans le domaine de l’intelligence artificielle et de la Data, et va profondément impacter nos pratiques en tant que professionnels de la Data.
Pour les data scientists, cela veut dire repenser nos méthodes de travail et nos best practices afin de garantir la conformité avec ce nouveau cadre légal. Mais face à la complexité du texte et à la multitude d’annonces autour de son adoption, il n’est pas facile de s’y retrouver.
Cette série d’articles a pour but de mieux comprendre ce qu’est l’AI Act et d’en extraire les éléments clés qui concernent directement notre métier. L’objectif est de vous aider, en tant que praticien de la data, à comprendre ce que prévoit la réglementation, à identifier les obligations qui en découlent et à adapter vos pratiques en conséquence.
Dans ce premier article, nous explorerons d’abord les fondamentaux :
- Qu’est-ce que l’AI Act et pourquoi a-t-il été mis en place ?
- Comment y est défini un système d’intelligence artificielle ?
- Qui sont les acteurs concernés et à quel moment sont-ils impliqués ?
- Quelle est l’approche de catégorisation par niveau de risque ?
- Et enfin, comment la loi sera-t-elle mise en œuvre dans le temps, par quelles instances, et avec quelles conséquences en cas de non-conformité ?
I. Qu’est-ce que l’AI Act et pourquoi a-t-il été créé ?
L’AI Act est donc le premier cadre juridique complet de l’Union européenne visant à encadrer le développement, la commercialisation et l’utilisation des systèmes d’intelligence artificielle (IA) au sein des États membres.
Son ambition principale : s’assurer que les systèmes d’IA soient dignes de confiance, qu’ils respectent la santé, la sécurité et les droits fondamentaux des citoyens européens, tout en favorisant l’innovation technologique, éthique et responsable.
Le texte encadre non seulement la mise sur le marché et la mise en service des systèmes d’IA, mais aussi leur utilisation concrète. Pour ce faire, il repose sur une approche fondée sur le niveau de risque que représente un système d’IA selon son cas d’usage. À chaque niveau de risque correspondent des obligations que doivent respecter différents acteurs du cycle de vie de l’IA. Nous détaillerons cette catégorisation plus loin dans l’article.
Enfin, l’AI Act accorde une attention particulière aux GPAI modèles : les General Purpose AI models, ou modèles d’IA à usage général, en raison de leur impact transversal sur de nombreux domaines d’application.
II. Comment l’AI Act définit-il un « système d’IA » ?
On le sait : le terme « Intelligence Artificielle » peut évoquer différentes choses en fonction de la personne à laquelle on s’adresse. C’est pourquoi il est fondamental de comprendre précisément ce que l’AI Act entend par système d’IA, afin de savoir à quels cas et à quelles pratiques cette réglementation s’applique réellement.
Pour cela, on peut se référer à l’article 3 du texte. Voici comment un système d’IA y est décrit :
“‘AI system’ means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments;“
Cette définition permet de dégager plusieurs critères clés pour qu’un système entre dans le champ d’application de l’AI Act :
- Il s’agit d’abord d’un système et non pas d’un simple modèle.
- Il se base sur des machines et non pas sur un traitement humain.
- Il présente un certain niveau d’autonomie et peut faire preuve d’adaptabilité après son déploiement, ce qui sous-entend une capacité d’apprentissage ou d’ajustement, et non pas une simple suite d’instructions fixes.
- Enfin, ses résultats doivent avoir un impact potentiel sur le monde réel ou virtuel.
On peut donc en déduire que tout système intégrant un modèle de Machine Learning, de Deep Learning, ou utilisant un LLM (Large Language Model) à un moment donné de son fonctionnement, sera considéré comme un système d’IA au sens de l’AI Act. À l’inverse, un système basé uniquement sur des règles statiques ou une logique déterministe ne rentre pas dans ce périmètre.
Le texte précise aussi ce qu’il entend par le terme “risque”, concept central du dispositif, auquel le texte se réfère de nombreuses fois. Le risque est défini comme la combinaison entre la probabilité qu’un dommage survienne et la gravité de ce dommage. C’est sur cette base que les systèmes d’IA seront classifiés dans différentes catégories de risques dans le reste du texte.
Maintenant que nous savons quels types de systèmes sont concernés par l’AI Act, intéressons-nous aux acteurs concernés par cette régulation et aux phases du cycle de vie durant lesquelles ils sont impliqués.
III. Quels sont les acteurs concernés par l’IA Act, et à quel moment ?
L’un des points essentiels de l’AI Act est la définition claire des responsabilités selon le rôle joué par chaque entité dans le cycle de vie d’un système d’IA. Le texte distingue principalement quatre types d’acteurs qui doivent respecter certaines obligations en fonction de leur niveau d’intervention sur le système.
1. Le provider (fournisseur)
Il s’agit de toute personne physique ou morale qui développe un système d’IA ou qui le fait développer pour le commercialiser ou le mettre à disposition (gratuitement ou non), sous son propre nom ou sa propre marque.
Par exemple, une entreprise qui conçoit et déploie un système d’IA afin d’optimiser son service après-vente en interne ou qui le commercialise à ses clients pour leurs besoins de service après-vente est considérée comme provider.
2. Le deployer (utilisateur)
Le deployer est toute personne physique ou morale qui utilise un système d’IA dans un cadre professionnel ou organisationnel, c’est-à-dire dans un but autre que purement personnel.
C’est le cas d’une entreprise qui souscrit à une solution d’IA pour gérer son recrutement ou ses ventes.
À noter : si le deployer apporte des modifications au système (par exemple via un fine-tuning) ou appose sa propre marque au système, il bascule dans le rôle de provider, avec les obligations correspondantes.
3. L’importer
L’importer est une entité basée dans l’UE qui met sur le marché européen un système d’IA développé en dehors de l’Union et le fait sous la marque d’un fournisseur non-européen. Ce rôle implique également des responsabilités de conformité, notamment s’assurer que le système respecte les exigences prévues par l’AI Act avant sa mise sur le marché.
4. Le distributeur
Mentionné aussi dans le texte, le distributeur est une entité qui rend un système d’IA disponible sur le marché européen sans en être le développeur, ni l’importateur, ni le fournisseur. Cela peut inclure par exemple une marketplace ou un revendeur SaaS.
Et qu’en est-il des entreprises non-européennes ?
Il est important de noter que l’AI Act a une portée extraterritoriale. Toute entreprise, même établie hors UE, est concernée par le texte dès lors que :
- son système d’IA est utilisé dans l’Union européenne, ou
- les outputs du système ont un impact sur des citoyens européens.
Autrement dit, un système d’IA développé à l’étranger, mais utilisé par une entreprise européenne ou ayant des effets mesurables dans l’UE (par exemple, une plateforme de contenu génératif), entre dans le champ d’application de la réglementation.
Une responsabilité partagée tout au long du cycle de vie
Enfin, il est important de souligner que les obligations ne sont pas limitées à la phase de mise sur le marché. Le texte de loi insiste sur le fait que la conformité s’applique tout au long du cycle de vie du système, ce qui inclut les mises à jour, les modifications fonctionnelles et même les changements dans les conditions d’utilisation.
IV. L’approche de catégorisation par niveau de risque
Maintenant que nous savons quels types de systèmes sont concernés par l’AI Act et quels sont les rôles des différents acteurs impliqués, il est temps de se pencher sur un aspect central de cette régulation : le système de catégorisation par niveau de risque.
Le principe est simple : pour chaque système d’IA, il est nécessaire d’évaluer le risque que son utilisation fait peser sur la santé, la sécurité et les droits fondamentaux des citoyens européens. C’est ce niveau de risque qui détermine les obligations réglementaires à respecter, tant pour le provider que pour le deployer.
Il est important de noter que le niveau de risque repose non pas sur la technologie utilisée, mais sur le cas d’usage du système, donc sur la manière dont il peut impacter les citoyens européens. Ce point est important car il permet au texte de loi de rester pertinent, même face à l’émergence de nouvelles approches technologiques. Ainsi, un système d’IA, même très basique, utilisé pour évaluer des citoyens à des fins de social scoring sera considéré comme à risque inacceptable. Tandis qu’un système d’IA utilisant un modèle avancé (par exemple un LLM) pour générer des designs de jeu vidéo pourra être classé comme à risque minimal.
Voyons quels sont les 4 niveaux de risques définis par l’AI Act :
Risque Inacceptable • Social scoring • Profilage • Inférence des émotions sur le lieu de travail • Exploiter des vulnérabilités de personnes • Signaux subliminaux pour manipuler le comportement
Risque Élevé • Biométrie • Recrutement • Accès aux services essentiels • Justice et maintien de l’ordre • Immigration • Processus démocratique
Risque Modéré • Chatbot • Génération de contenu • Recommandation
Risque Faible
• Filtre anti-spam • Classification de photos personnelles • Recommandation de playlist
1. Risque inacceptable (prohibé)
Ce niveau de risque est attribué aux systèmes d’IA dont le cas d’usage présente une menace manifeste pour la santé, la sécurité et les droits fondamentaux des citoyens européens. L’article 5 du texte de loi définit des guidelines afin de savoir quels types de systèmes entrent dans cette catégorie. Notamment :
- systems that exploit the vulnerabilities of individuals or groups of people (children, elderly, disabled);
- systems that use subliminal signals to manipulate behavior;
- social scoring systems;
- profiling systems;
- emotion inference systems in the workplace, among others. Systems classified in this risk category are simply forbidden to be deployed (by deployers) and used (by providers).
2. High risk (regulated)
Systems classified as high risk pose a significant potential hazard, but acceptable if they comply with a strict set of technical, organizational, and documentary requirements.
Two cases are mainly concerned:
- AI systems integrated into products that fall under existing sectoral regulations (e.g. medical devices, autonomous vehicles) and play a role as a safety component.
- The systems used in one of the 8 critical areas listed in appendix III to the text of the law, including: Biometrics Staff Recruitment and Management Access to Education, Essential Services or Social Assistance Justice and Law Enforcement Border Control and Immigration Democratic Process
Les Providers and Deployers of these systems must comply with a series of requirements: risk management, documentation, transparency, auditability, cybersecurity, data governance, etc.
Without complying with these obligations, the system cannot be placed on the market or used in the EU.
3. Moderate risk (increased transparency)
Moderate risk systems do not pose a direct threat to fundamental rights, but can still influence user behavior or decisions. These include systems designed to interact with individuals such as chatbots or content generation or recommendation tools.
They are mainly subject to transparency obligations.
4. Minimal or low risk (not regulated)
Finally, the lowest risk category concerns systems that do not pose a significant risk to citizens' fundamental rights and are therefore not subject to specific requirements under the AI Act. These are, for example, systems for classifying personal photos, recommending musical playlists, or filtering email spam.
However, even for these systems, good practices remain recommended, especially in terms of transparency, robustness and ethics.
V. Timeline of application of the AI Act and sanctions for non-compliance
Now that we've seen the main regulatory principles of the AI Act, let's see when the various regulations will come into force and what sanctions are available to actors who don't comply. The AI Act was formally adopted by the European Parliament on 13 March 2024 and came into force on 1 August 2024. The text will not apply immediately in its entirety.
- February 2, 2025: Unacceptably risky systems are prohibited
- August 2, 2025: Model GPAI, governance, and privacy rules apply
- August 2, 2026: the rest of the law comes into force, except for high-risk systems
- August 2, 2027: regulations for high-risk systems apply.
Penalties for non-compliance
The AI Act provides for a penalty regime that is proportionate to the severity of the non-compliance. The fines can amount to up to 35 million euros or 7% of global annual turnover.
VI. Organization of the bodies responsible for applying the AI Act
To ensure a consistent and harmonized application of the AI Act throughout the European Union, several governance bodies have been provided for by the regulation. Each of them plays a specific role in the supervision, coordination, advice or monitoring of the development of AI.
First of all, we have the AI Office (within the European Commission). It is the central player in the system. Its role is to supervise the general implementation of the law text, to monitor the evolution of the GPAI models, but also to issue guidelines and clarifications on the interpretation of the text and to punish non-compliant systems (with direct control and investigative powers). He is also responsible for collaborating with national authorities and other European authorities, in particular on cross-border cases.
The AI Board, or European AI Committee, brings together representatives of the competent authorities of each Member State. In particular, it makes it possible to ensure a uniform application of the AI Act throughout the EU, to coordinate national authorities (equivalent to local CNILs) and to issue technical opinions and to share best practices.
The Independent Expert Panel brings together scientific, technical, legal and ethical experts in AI. Its role is to give an independent opinion on certain systems or models, to contribute to the evaluation of GPAIs and to alert to new technological or societal risks. Their opinion is not legally binding, but it can strongly influence the decisions of the AI Office.
Even before the text came into force, the Commission launched an initiative called the 'AI Pact'. This non-binding initiative allows companies that wish to do so to engage in early compliance with the AI Act and contribute to best practices in responsible AI. It is a way for organizations to begin their regulatory transformation while interacting with regulators.
In conclusion
The AI Act marks a turning point in the way artificial intelligence is thought, developed and used in the European Union. As data scientists, we are no longer just technical players: we are also becoming guarantors of compliance, transparency and ethics.
Understanding the fundamentals of this new regulation, identifying the roles and responsibilities that flow from it, integrating risk management logic into our projects... so many reflexes to adopt now in order to calmly anticipate the next deadlines.
In the next article, we will look at the obligations incumbent on a provider — a role that includes that of developer — in the context of high-risk AI systems, which is the category subject to the most stringent requirements. We will see how to concretely adapt our Data Science workflow to integrate the best practices necessary for compliance and thus contribute to more sustainable and trustworthy AI systems.
