Voté la semaine dernière par le Parlement européen, l’AI Act classifie les systèmes d’intelligence artificielle selon leur niveau de risque. Il interdit ainsi les applications les plus dangereuses et impose un arsenal de critères à remplir pour les usages potentiellement problématiques. De quoi adapter l'arsenal de l'Union à l'ère de l'IA générative, cinq ans après le RGPD.La mise en place de régulations plus poussées autour de l'intelligence artificielle se concrétise dans l'UE. La semaine dernière, le Parlement européen a largement voté en faveur de l'AI Act (pour Artificial Intelligence Act), un texte qui vise à mieux encadrer cette technologie.
Cette dernière, de plus en plus utilisée par les entreprises et les pouvoirs publics, a récemment connu des progrès fulgurants, avec l'arrivée en fanfare de l'intelligence artificielle générative, capable de créer de toute pièce des contenus originaux, et révélée au grand public via des logiciels de création d'images, comme Midjourney et par le chatbot ChatGPT. Face à ces évolutions rapides de la technologie, une mise à jour s'imposait depuis les règles sur la gestion des données mises en place par le RGPD.
Quatre niveaux de risques
« Le droit suit ici la technologie. À mesure que celle-ci évolue, on vient renforcer l'encadrement juridique pour garantir les droits et la liberté des individus, contrôler l'acuité des réponses fournies par l'intelligence artificielle, corriger les biais et s'assurer que les risques soient soigneusement évalués », résume Eric Le Quellenec, avocat chez Simmons & Simmons, spécialisé dans la cybersécurité et la confidentialité des données.
L'un des principaux apports de l'AI Act consiste à classer les systèmes d'intelligence artificielle en plusieurs catégories, en fonction du niveau de risque qu'ils posent : faible, moyen ou élevé. Une quatrième catégorie regroupe les systèmes posant un risque inacceptable, qui sont tout simplement interdits dans l'UE. Cette dernière inclut notamment les systèmes de crédit social basés sur l'IA et l'utilisation de dispositifs d'identification biométrique à distance, en temps réel et à des fins répressives dans des espaces accessibles au public. L'interdiction de la reconnaissance faciale, évoquée lors de l'élaboration du texte, n'a finalement pas été retenue.