AI Act

Fonctionnement technique

L'AI Act (Règlement européen sur l'intelligence artificielle) est le premier cadre juridique complet au monde régulant les systèmes d'IA. Adopté en mars 2024, il classifie les systèmes IA en quatre niveaux de risque : inacceptable (interdit), élevé (fortement réglementé), limité (obligations de transparence) et minimal (libre). Cette approche proportionnée vise à encourager l'innovation tout en protégeant les droits fondamentaux.

Les systèmes à risque inacceptable sont interdits : scoring social par les gouvernements, manipulation comportementale subliminale, reconnaissance faciale en temps réel dans l'espace public (sauf exceptions). Les systèmes à haut risque (recrutement, crédit scoring, justice, biométrie, infrastructures critiques) doivent satisfaire des exigences strictes de conformité avant leur mise sur le marché.

Pour les systèmes à haut risque, les obligations incluent : système de gestion des risques, gouvernance des données d'entraînement, documentation technique détaillée, journalisation automatique, transparence envers les utilisateurs, supervision humaine, robustesse et cybersécurité. Les fournisseurs doivent obtenir un marquage CE et enregistrer leurs systèmes dans la base de données européenne.

Cas d'usage

L'AI Act impacte directement les entreprises européennes et toute organisation offrant des services IA aux citoyens européens (effet extraterritorial similaire au RGPD). Les éditeurs de logiciels de recrutement par IA, de scoring crédit, de diagnostic médical assisté et de vidéosurveillance intelligente doivent se conformer aux exigences de haut risque.

Les modèles de fondation (Foundation Models) et l'IA générative sont soumis à des obligations spécifiques de transparence : documentation des données d'entraînement, respect du droit d'auteur, marquage du contenu généré par IA (watermarking). OpenAI, Google et les autres fournisseurs de LLM doivent adapter leurs pratiques pour le marché européen.

Outils et implémentation

La Commission européenne développe des standards harmonisés via le CEN/CENELEC pour préciser les exigences techniques de l'AI Act. L'AI Office supervise l'application du règlement. Le Future of Life Institute et AlgorithmWatch fournissent des analyses et des ressources de conformité.

Pour la mise en conformité technique, les outils d'audit algorithmique (Holistic AI, Credo AI) évaluent les systèmes IA contre les exigences du règlement. TensorFlow Model Analysis et scikit-learn fairness metrics aident à documenter les performances et les biais. Les frameworks de model governance (MLflow, Neptune.ai) assurent la traçabilité requise.

Défense / Bonnes pratiques

Commencez par cartographier tous les systèmes d'IA de votre organisation et les classifier selon les catégories de risque de l'AI Act. Impliquez les équipes juridiques dès le début pour interpréter les exigences applicables à votre contexte. Le calendrier de mise en conformité est progressif : les interdictions s'appliquent dès 2025, les obligations pour les systèmes à haut risque en 2026.

Pour les systèmes à haut risque, mettez en place un système de gestion des risques documenté, incluant l'identification des risques pour les droits fondamentaux, les mesures de mitigation et le monitoring post-déploiement. Documentez la qualité et la gouvernance des jeux de données d'entraînement.

Anticipez les obligations de transparence : informez les utilisateurs qu'ils interagissent avec un système IA, documentez les capacités et les limitations du système, et implémentez des mécanismes de supervision humaine efficaces. Prévoyez un budget pour l'évaluation de conformité par un organisme notifié pour les systèmes à haut risque.

Articles associés

Voir nos articles détaillés sur ce sujet.