Adoption de la Législation sur l’intelligence artificielle en Union européenne : ce que les entreprises canadiennes doivent savoir

Entreprises canadiennes, attention! La LIA, qui, comme nous le verrons ultérieurement, entre en vigueur sous peu, ne s’appliquera pas uniquement aux ressortissants européens!

Les intervenants localisés dans des pays autres qu’en Union européenne et qui effectuent la mise en marché et la mise en service de systèmes d’intelligence artificielle (ci-après « systèmes d’IA ») ou de modèles d’IA à usage général y sont également soumis.

La LIA s’applique également lorsque les résultats générés par les systèmes d’IA sont utilisés dans l’Union européenne.

Vous ne devez donc pas négliger de vous y conformer, le cas échéant, car de très fortes amendes y sont prévues!

Objectif

L’objectif de la LIA est d’améliorer le fonctionnement du marché intérieur européen en promouvant l’adoption de l’intelligence artificielle axée sur le facteur humain et digne de confiance durant toute la durée de vie du système d'intelligence artificielle. Elle cherche à atteindre son objectif tout en garantissant un niveau élevé de protection des valeurs de l’Union européenne, notamment la protection de la santé, de la sécurité et des droits fondamentaux.

Le texte final est actuellement disponible dans les 24 langues officielles de l’Union européenne. 

La catégorisation des systèmes

Pour remplir son objectif, la LIA impose des règles spécifiques aux systèmes d’IA en fonction du risque qu’ils représentent.

Il y a trois niveaux de catégorisation, soit (1) les pratiques interdites en matière d’IA, (2) les systèmes d’IA à haut risque et (3) les modèles d’IA à usage général.

(1)   Les pratiques interdites en matière d’IA

Les pratiques interdites en matière d’IA sont explicitement prévues à l’article 5 de la LIA. Ce sont les utilisations de l’IA qui sont considérées comme étant néfastes et abusives, et dont l’utilisation serait contraire aux valeurs de l’Union européenne.

Sont notamment interdits :

-        Les systèmes ayant recours à des techniques subliminales[1], au-dessous du seuil de conscience d’une personne, manipulatrices ou trompeuses;

-        Les systèmes exploitant « les éventuelles vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne […] »;

-        Les systèmes d’évaluation ou de classification des personnes physiques;

-        Les systèmes « qui créent ou développent des bases de données de reconnaissance faciale par le moissonnage non ciblé d’images faciales provenant d’internet ou de la vidéosurveillance »;

-        Les systèmes permettant la reconnaissance des émotions sur les lieux de travail et dans les établissements d’enseignement;

-        Les systèmes de catégorisation biométrique.

(2)   Les systèmes d’IA à haut risque

La LIA met en place des règles spécifiques pour les systèmes d’IA à haut risque afin « de garantir un niveau cohérent et élevé de protection des intérêts publics en matière de santé, de sécurité et de droits fondamentaux »[2].

Ces systèmes doivent remplir certaines exigences durant l’ensemble de leur cycle de vie pour ne pas être contraires à la LIA.

Sont notamment reconnus comme étant des systèmes d’IA à haut risque les systèmes qui sont un composant de sécurité dans un produit régulé[3] ou encore les systèmes qui sont eux-mêmes le produit régulé, et qui sont soumis à une évaluation de conformité par un tiers. Entrent notamment dans cette catégorie les jouets, les ascenseurs, les appareils à gaz ou encore les dispositifs médicaux.

De plus, l’annexe III de la LIArépertorie les systèmes d’IA qui sont également reconnus comme étant à haut risque. Nous y retrouvons notamment les domaines de :

-        La biométrie, si l’utilisation est autorisée par la législation nationale ou de l’Union européenne;

-        Des infrastructures critiques, infrastructures numériques critiques, du trafic routier ou de la fourniture d’eau, gaz, chauffage ou électricité;

-        L’éducation et de la formation professionnelle;

-        L’emploi, la gestion de la main-d’œuvre et l’accès à l’emploi indépendant;

-        L’accès et du droit aux services privés essentiels et aux services publics et prestations sociales essentiels.

En permettant la modification et l’ajout de systèmes à la liste de ceux présents à l’Annexe III, le Parlement européen se tient prêt à suivre les développements technologiques et les changements potentiels à venir dans l’utilisation des systèmes d’IA.

(3)   Modèles d’IA à usage général

La LIA définit un modèle d’IA à usage général comme étant « un modèle d'IA, y compris lorsque ce modèle d'IA est entraîné à l'aide d'un grand nombre de données utilisant l'auto-supervision à grande échelle, qui présente une généralité significative et est capable d'exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d'applications en aval, à l'exception des modèles d'IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur publication sur le marché ».[4]

Ils sont classifiés en deux catégories : i) les modèles d’IA à usage général et ii) les modèles d’IA à usage général présentant un risque systémique.

Les modèles d’IA à usage général présentant un risque systémique sont des modèles d’IA à usage général présentant des capacités à fort impact.

La plupart des obligations auxquelles sont soumis ces modèles d’IA sont des obligations de transparence. Cependant, les modèles d’IA à usage général présentant un risque systémique sont soumis à des obligations supplémentaires vis-à-vis l’évaluation et l’atténuation des risques et à une garantie en matière de cybersécurité.

Sanctions

L’importance des amendes imposées en vertu de la LIA est proportionnelle à la gravité de l’infraction commise :

1)    Le non-respect de l’interdiction sur les pratiques interdites peut engendrer une amende de 35 000 000 EUR, ou, dans le cas d’une entreprise, 7 % de son chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.

2)    Le non-respect d’une obligation dans le cas d’un système d’IA qui n’est pas visé par l’article 5 peut mener à une amende de 15 000 000 EUR, ou, dans le cas d’une entreprise, 3 % de son chiffre d’affaires annuel mondial total, le montant le plus élevé étant retenu.

3)    Fournir des informations inexactes, incomplètes ou trompeuses aux autorités compétentes peut mener à une amende de 7 500 000 EUR, ou dans le cas d’une entreprise, 1 % de son chiffre d’affaires mondial total, le montant le plus élevé étant retenu.

Entrée en vigueur

La LIA entrera en vigueur le vingtième jour suivant sa publication au Journal officiel de l’Union européenne, qui est attendue d’ici la fin du mois de juin 2024.

L’applicabilité des différentes interdictions et obligations varie en fonction du système qu’elles visent.

Les interdictions liées aux pratiques interdites en matière d’IA seront applicables 6 mois suivant la date d’entrée en vigueur.

Les dispositions applicables aux systèmes d’IA à haut risque et aux modèles d’IA à usage général seront applicables 12 mois après la date d’entrée en vigueur, ou 36 mois après cette date dans le cas des systèmes d’IA destinés à être utilisés comme composant de sécurité d’un produit régulé ou lorsque les systèmes d’IA sont eux-mêmes ces produits.

Les autres dispositions seront applicables 24 mois après l’entrée en vigueur de la LIA.

Conclusion

Il ne fait aucun doute que la LIA, étant la première législation contraignante visant spécifiquement l’intelligence artificielle, sera précurseur de nombreux autres textes législatifs.

Au Canada, la Loi sur l’intelligence artificielle et les données (ci-après la « LIAD ») fait présentement l’objet de consultations et débats parlementaires. Son entrée en vigueur n’est pas prévue avant 2025.[5]

Il y a fort à parier que les principes directeurs de la LIA visant à assurer la protection des droits fondamentaux et la transparence seront également au cœur de la version finale de la LIAD. L’importance de la transparence était d’ailleurs mise de l’avant dans le Code de conduite volontaire visant un développement et une gestion responsables des systèmes d'IA générative avancés par l'honorable François-Philippe Champagne, en septembre 2023.[6]

N'hésitez pas à contacter notre équipe de professionnels en propriété intellectuelle et en technologie et gouvernance de l'information pour toute question.  

*Mise en garde : Ce texte se veut un résumé vulgarisant les principaux éléments contenus dans la version adoptée du règlement, ne listant pas toutes les spécificités ou les exceptions. Il ne s’agit pas d’une opinion juridique.