Vous en avez sans doute entendu parler : l’AI Act a été officiellement adopté par le Parlement européen et le texte est entré en vigueur le 1er Août 2024. À l’image du RGPD en son temps, cette nouvelle réglementation marque un tournant majeur dans le domaine de l’intelligence artificielle et de la Data, et va profondément impacter nos pratiques en tant que professionnels de la Data.
Pour les data scientists, cela veut dire repenser nos méthodes de travail et nos best practices afin de garantir la conformité avec ce nouveau cadre légal. Mais face à la complexité du texte et à la multitude d’annonces autour de son adoption, il n’est pas facile de s’y retrouver.
Cette série d’articles a pour but de mieux comprendre ce qu’est l’AI Act et d’en extraire les éléments clés qui concernent directement notre métier. L’objectif est de vous aider, en tant que praticien de la data, à comprendre ce que prévoit la réglementation, à identifier les obligations qui en découlent et à adapter vos pratiques en conséquence.
Dans ce premier article, nous explorerons d’abord les fondamentaux :
- Qu’est-ce que l’AI Act et pourquoi a-t-il été mis en place ?
- Comment y est défini un système d’intelligence artificielle ?
- Qui sont les acteurs concernés et à quel moment sont-ils impliqués ?
- Quelle est l’approche de catégorisation par niveau de risque ?
- Et enfin, comment la loi sera-t-elle mise en œuvre dans le temps, par quelles instances, et avec quelles conséquences en cas de non-conformité ?
I. Qu’est-ce que l’AI Act et pourquoi a-t-il été créé ?
L’AI Act est donc le premier cadre juridique complet de l’Union européenne visant à encadrer le développement, la commercialisation et l’utilisation des systèmes d’intelligence artificielle (IA) au sein des États membres.
Son ambition principale : s’assurer que les systèmes d’IA soient dignes de confiance, qu’ils respectent la santé, la sécurité et les droits fondamentaux des citoyens européens, tout en favorisant l’innovation technologique, éthique et responsable.
Le texte encadre non seulement la mise sur le marché et la mise en service des systèmes d’IA, mais aussi leur utilisation concrète. Pour ce faire, il repose sur une approche fondée sur le niveau de risque que représente un système d’IA selon son cas d’usage. À chaque niveau de risque correspondent des obligations que doivent respecter différents acteurs du cycle de vie de l’IA. Nous détaillerons cette catégorisation plus loin dans l’article.
Enfin, l’AI Act accorde une attention particulière aux GPAI modèles : les General Purpose AI models, ou modèles d’IA à usage général, en raison de leur impact transversal sur de nombreux domaines d’application.
II. Comment l’AI Act définit-il un « système d’IA » ?
On le sait : le terme « Intelligence Artificielle » peut évoquer différentes choses en fonction de la personne à laquelle on s’adresse. C’est pourquoi il est fondamental de comprendre précisément ce que l’AI Act entend par système d’IA, afin de savoir à quels cas et à quelles pratiques cette réglementation s’applique réellement.
Pour cela, on peut se référer à l’article 3 du texte. Voici comment un système d’IA y est décrit :
“‘AI system’ means a machine-based system that is designed to operate with varying levels of autonomy and that may exhibit adaptiveness after deployment, and that, for explicit or implicit objectives, infers, from the input it receives, how to generate outputs such as predictions, content, recommendations, or decisions that can influence physical or virtual environments;“
Cette définition permet de dégager plusieurs critères clés pour qu’un système entre dans le champ d’application de l’AI Act :
- Il s’agit d’abord d’un système et non pas d’un simple modèle.
- Il se base sur des machines et non pas sur un traitement humain.
- Il présente un certain niveau d’autonomie et peut faire preuve d’adaptabilité après son déploiement, ce qui sous-entend une capacité d’apprentissage ou d’ajustement, et non pas une simple suite d’instructions fixes.
- Enfin, ses résultats doivent avoir un impact potentiel sur le monde réel ou virtuel.
On peut donc en déduire que tout système intégrant un modèle de Machine Learning, de Deep Learning, ou utilisant un LLM (Large Language Model) à un moment donné de son fonctionnement, sera considéré comme un système d’IA au sens de l’AI Act. À l’inverse, un système basé uniquement sur des règles statiques ou une logique déterministe ne rentre pas dans ce périmètre.
Le texte précise aussi ce qu’il entend par le terme “risque”, concept central du dispositif, auquel le texte se réfère de nombreuses fois. Le risque est défini comme la combinaison entre la probabilité qu’un dommage survienne et la gravité de ce dommage. C’est sur cette base que les systèmes d’IA seront classifiés dans différentes catégories de risques dans le reste du texte.
Maintenant que nous savons quels types de systèmes sont concernés par l’AI Act, intéressons-nous aux acteurs concernés par cette régulation et aux phases du cycle de vie durant lesquelles ils sont impliqués.
III. Quels sont les acteurs concernés par l’IA Act, et à quel moment ?
L’un des points essentiels de l’AI Act est la définition claire des responsabilités selon le rôle joué par chaque entité dans le cycle de vie d’un système d’IA. Le texte distingue principalement quatre types d’acteurs qui doivent respecter certaines obligations en fonction de leur niveau d’intervention sur le système.
1. Le provider (fournisseur)
Il s’agit de toute personne physique ou morale qui développe un système d’IA ou qui le fait développer pour le commercialiser ou le mettre à disposition (gratuitement ou non), sous son propre nom ou sa propre marque.
Par exemple, une entreprise qui conçoit et déploie un système d’IA afin d’optimiser son service après-vente en interne ou qui le commercialise à ses clients pour leurs besoins de service après-vente est considérée comme provider.
2. Le deployer (utilisateur)
Le deployer est toute personne physique ou morale qui utilise un système d’IA dans un cadre professionnel ou organisationnel, c’est-à-dire dans un but autre que purement personnel.
C’est le cas d’une entreprise qui souscrit à une solution d’IA pour gérer son recrutement ou ses ventes.
À noter : si le deployer apporte des modifications au système (par exemple via un fine-tuning) ou appose sa propre marque au système, il bascule dans le rôle de provider, avec les obligations correspondantes.
3. L’importer
L’importer est une entité basée dans l’UE qui met sur le marché européen un système d’IA développé en dehors de l’Union et le fait sous la marque d’un fournisseur non-européen. Ce rôle implique également des responsabilités de conformité, notamment s’assurer que le système respecte les exigences prévues par l’AI Act avant sa mise sur le marché.
4. Le distributeur
Mentionné aussi dans le texte, le distributeur est une entité qui rend un système d’IA disponible sur le marché européen sans en être le développeur, ni l’importateur, ni le fournisseur. Cela peut inclure par exemple une marketplace ou un revendeur SaaS.
Et qu’en est-il des entreprises non-européennes ?
Il est important de noter que l’AI Act a une portée extraterritoriale. Toute entreprise, même établie hors UE, est concernée par le texte dès lors que :
- son système d’IA est utilisé dans l’Union européenne, ou
- les outputs du système ont un impact sur des citoyens européens.
Autrement dit, un système d’IA développé à l’étranger, mais utilisé par une entreprise européenne ou ayant des effets mesurables dans l’UE (par exemple, une plateforme de contenu génératif), entre dans le champ d’application de la réglementation.
Une responsabilité partagée tout au long du cycle de vie
Enfin, il est important de souligner que les obligations ne sont pas limitées à la phase de mise sur le marché. Le texte de loi insiste sur le fait que la conformité s’applique tout au long du cycle de vie du système, ce qui inclut les mises à jour, les modifications fonctionnelles et même les changements dans les conditions d’utilisation.
IV. L’approche de catégorisation par niveau de risque
Maintenant que nous savons quels types de systèmes sont concernés par l’AI Act et quels sont les rôles des différents acteurs impliqués, il est temps de se pencher sur un aspect central de cette régulation : le système de catégorisation par niveau de risque.
Le principe est simple : pour chaque système d’IA, il est nécessaire d’évaluer le risque que son utilisation fait peser sur la santé, la sécurité et les droits fondamentaux des citoyens européens. C’est ce niveau de risque qui détermine les obligations réglementaires à respecter, tant pour le provider que pour le deployer.
Il est important de noter que le niveau de risque repose non pas sur la technologie utilisée, mais sur le cas d’usage du système, donc sur la manière dont il peut impacter les citoyens européens. Ce point est important car il permet au texte de loi de rester pertinent, même face à l’émergence de nouvelles approches technologiques. Ainsi, un système d’IA, même très basique, utilisé pour évaluer des citoyens à des fins de social scoring sera considéré comme à risque inacceptable. Tandis qu’un système d’IA utilisant un modèle avancé (par exemple un LLM) pour générer des designs de jeu vidéo pourra être classé comme à risque minimal.
Voyons quels sont les 4 niveaux de risques définis par l’AI Act :
Risque Inacceptable • Social scoring • Profilage • Inférence des émotions sur le lieu de travail • Exploiter des vulnérabilités de personnes • Signaux subliminaux pour manipuler le comportement
Risque Élevé • Biométrie • Recrutement • Accès aux services essentiels • Justice et maintien de l’ordre • Immigration • Processus démocratique
Risque Modéré • Chatbot • Génération de contenu • Recommandation
Risque Faible
• Filtre anti-spam • Classification de photos personnelles • Recommandation de playlist
1. Risque inacceptable (prohibé)
Ce niveau de risque est attribué aux systèmes d’IA dont le cas d’usage présente une menace manifeste pour la santé, la sécurité et les droits fondamentaux des citoyens européens. L’article 5 du texte de loi définit des guidelines afin de savoir quels types de systèmes entrent dans cette catégorie. Notamment :
- sistemas que exploram as vulnerabilidades de indivíduos ou grupos de pessoas (crianças, idosos, deficientes);
- sistemas que usam sinais subliminares para manipular o comportamento;
- sistemas de pontuação social;
- sistemas de perfilagem;
- sistemas de inferência de emoções no local de trabalho, entre outros. Os sistemas classificados nessa categoria de risco são simplesmente proibidos de serem implantados (por implantadores) e usados (por provedores).
2. Alto risco (regulamentado)
Os sistemas classificados como de alto risco representam um risco potencial significativo, mas são aceitáveis se cumprirem um conjunto estrito de requisitos técnicos, organizacionais e documentais.
Dois casos dizem respeito principalmente:
- Sistemas de IA integrados a produtos que se enquadram nas regulamentações setoriais existentes (por exemplo, dispositivos médicos, veículos autônomos) e desempenham um papel como componente de segurança.
- Os sistemas usados em uma das 8 áreas críticas listadas em apêndice III ao texto da lei, incluindo: Recrutamento e gestão de pessoal biométrico Acesso à educação, serviços essenciais ou assistência social Justiça e aplicação da lei Controle de Fronteiras e Processo Democrático de Imigração
Les Provedores e Implantadores desses sistemas devem atender a uma série de requisitos: gerenciamento de riscos, documentação, transparência, auditabilidade, segurança cibernética, governança de dados etc.
Sem cumprir essas obrigações, o sistema não pode ser colocado no mercado ou usado na UE.
3. Risco moderado (maior transparência)
Os sistemas de risco moderado não representam uma ameaça direta aos direitos fundamentais, mas ainda podem influenciar o comportamento ou as decisões dos usuários. Isso inclui sistemas projetados para interagir com indivíduos, como chatbots ou ferramentas de geração ou recomendação de conteúdo.
Eles estão sujeitos principalmente a obrigações de transparência.
4. Risco mínimo ou baixo (não regulamentado)
Finalmente, a categoria de menor risco diz respeito a sistemas que não representam um risco significativo para os direitos fundamentais dos cidadãos e, portanto, não estão sujeitos aos requisitos específicos da Lei de IA. Esses são, por exemplo, sistemas para classificar fotos pessoais, recomendar playlists musicais ou filtrar spam por e-mail.
No entanto, mesmo para esses sistemas, as boas práticas continuam recomendadas, especialmente em termos de transparência, robustez e ética.
V. Cronograma de aplicação da Lei de IA e sanções por não conformidade
Agora que vimos os principais princípios regulatórios da Lei de IA, vamos ver quando os vários regulamentos entrarão em vigor e quais sanções estão disponíveis para os atores que não cumprem. A Lei de IA foi formalmente adotada pelo Parlamento Europeu em 13 de março de 2024 e entrou em vigor em 1 de agosto de 2024. O texto não será aplicado imediatamente em sua totalidade.
- 2 de fevereiro de 2025: Sistemas inaceitavelmente arriscados são proibidos
- 2 de agosto de 2025: Aplicam-se o modelo GPAI, as regras de governança e privacidade
- 2 de agosto de 2026: o restante da lei entra em vigor, exceto para sistemas de alto risco
- 2 de agosto de 2027: aplicam-se os regulamentos para sistemas de alto risco.
Penalidades por não conformidade
A Lei de IA prevê um regime de penalidades proporcional à gravidade da não conformidade. As multas podem chegar a 35 milhões de euros ou 7% do faturamento anual global.
VI. Organização dos órgãos responsáveis pela aplicação da Lei de IA
Para garantir uma aplicação consistente e harmonizada da Lei de IA em toda a União Europeia, vários órgãos de governança foram previstos pelo regulamento. Cada um deles desempenha um papel específico na supervisão, coordenação, aconselhamento ou monitoramento do desenvolvimento da IA.
Em primeiro lugar, temos o Escritório de IA (dentro da Comissão Europeia). É o ator central do sistema. Seu papel é supervisionar a implementação geral do texto da lei, monitorar a evolução dos modelos do GPAI, mas também emitir diretrizes e esclarecimentos sobre a interpretação do texto e punir sistemas não compatíveis (com controle direto e poderes investigativos). Ele também é responsável por colaborar com as autoridades nacionais e outras autoridades europeias, em particular em casos transfronteiriços.
O Conselho de IA, ou Comité Europeu de IA, reúne representantes das autoridades competentes de cada Estado-Membro. Em particular, permite assegurar uma aplicação uniforme da Lei da IA em toda a UE, coordenar as autoridades nacionais (equivalentes aos CNILs locais), emitir pareceres técnicos e compartilhar as melhores práticas.
O Painel de Especialistas Independentes reúne especialistas científicos, técnicos, legais e éticos em IA. Seu papel é dar uma opinião independente sobre certos sistemas ou modelos, contribuir para a avaliação dos GPAIS e alertar para novos riscos tecnológicos ou sociais. A opinião deles não é juridicamente vinculativa, mas pode influenciar fortemente as decisões do AI Office.
Mesmo antes da entrada em vigor do texto, a Comissão lançou uma iniciativa chamada “Pacto de IA”. Essa iniciativa não vinculativa permite que as empresas que desejam fazer isso se envolvam em conformidade antecipada com a Lei de IA e contribuam com as melhores práticas de IA responsável. É uma forma de as organizações iniciarem sua transformação regulatória enquanto interagem com os reguladores.
Em conclusão
A Lei de IA marca um ponto de virada na forma como a inteligência artificial é pensada, desenvolvida e usada na União Europeia. Como cientistas de dados, não somos mais apenas atores técnicos: também estamos nos tornando garantidores de conformidade, transparência e ética.
Entender os fundamentos dessa nova regulamentação, identificar os papéis e responsabilidades que dela decorrem, integrar a lógica de gerenciamento de riscos em nossos projetos... tantos reflexos a serem adotados agora para antecipar com calma os próximos prazos.
No próximo artigo, analisaremos as obrigações que incumbem a um provedor — uma função que inclui a de desenvolvedor — no contexto de sistemas de IA de alto risco, que é a categoria sujeita aos requisitos mais rigorosos. Veremos como adaptar concretamente nosso fluxo de trabalho de Ciência de Dados para integrar as melhores práticas necessárias para a conformidade e, assim, contribuir para sistemas de IA mais sustentáveis e confiáveis.
