LGK
Se connecter
Les risques de l'IA Act (UE)

  • 2 avr.

Risque faible, élevé, interdit : comment l'AI Act classe les systèmes d'intelligence artificielle ?

L'IA Act est le règlement européen qui encadre l'utilisation et la commercialisation des IA dans le marché unique européen. Tout comme en matière de santé ou d'écologie, l'Union européenne a basé les règles de droit sur une logique d'identification et de gestion de risque. Désormais, le droit européen en matière d'IA distingue quatre niveaux de risques, qui conduisent à l'application de différentes règles en pratique.

Le point de départ de l’AI Act repose sur une idée simple mais fondamentale : toutes les intelligences artificielles ne présentent pas le même degré de dangerosité pour les droits et libertés des citoyens européens. Alors que certaines IA ne portent pas d'atteintes particulières, d'autres peuvent entrainer des conséquences majeures sur la vie des individus.

Il a donc été nécessaire de concilier l'innovation technologique et la protection des droits fondamentaux de nos concitoyens. L'IA Act repose sur une logique déjà admise en droit : une régulation différenciée fondée sur l’identification et la gestion des risques, à l’image des régimes existants en droit de la santé, en droit de l’environnement ou encore en matière de produits dangereux.

Cette approche a conduit à distinguer plusieurs niveaux de risques différents en matière d'IA. Nous allons voir dans cet article que le degré de risque conditionne directement les obligations des opérateurs économiques, la conformité des systèmes et leurs conditions d'accès au marché européen.

La logique de la conformité basée sur le risque

Les articles 5 à 9 de l'IA Act nous renseignent sur les classifications des systèmes d'IA selon leur niveau de risque.

Au plan juridique cela emporte une conséquence pratique majeure : chaque protagoniste de la chaîne de valeur de l'IA doit trouver son rôle mais aussi qualifier son IA ainsi que le risque associé. Autrement dit, les acteurs de marché doivent :

  • Qualifier juridiquement les systèmes d'IA en les cartographiant

  • Analyser et appliquer le régime juridique adéquat via une phase de mise en conformité

  • Documenter la conformité mise en œuvre.

On voit donc bien ici une logique de graduation du régime en fonction du risque que représente l'IA.

Des pratiques interdites : une logique de protection absolue des droits fondamentaux

Dès lors qu'une pratique IA relève d'une des pratiques listées à l'article 5, elle est strictement interdite. Pourquoi ? Car on considère juridiquement que la pratique en question n'est pas compatible du tout avec la protection des droits fondamentaux du citoyen européen. Juridiquement, ces interdictions sont la conséquence directe de textes tels que la Charte des droits fondamentaux de l'Union européenne ou encore la déclaration européenne sur les droits et principes numériques.

Ces interdictions traduisent la volonté du législateur de poser des limites claires à l’utilisation de l’intelligence artificielle lorsque celle-ci porte atteinte aux valeurs fondamentales de l’Union.

Sont notamment prohibés par l'IA Act :

  • les systèmes exploitant les vulnérabilités de certaines personnes (en raison de leur âge, handicap ou situation sociale) (article 5, §1, b) ;

  • les techniques de manipulation subliminale altérant le comportement d’un individu sans qu’il en ait conscience (article 5, §1, a) ;

  • les dispositifs de notation sociale mis en place par les autorités publiques (article 5, §1, c) ;

  • l’utilisation de systèmes de reconnaissance biométrique en temps réel dans l’espace public, sauf exceptions strictement encadrées (article 5, §1, d et §2).

Pour les citoyens, cela signifie que certaines dérives technologiques observées dans d’autres régions du monde sont désormais juridiquement impossibles au sein de l’Union européenne.

Pour les entreprises et les administrations, ces pratiques constituent des lignes rouges absolues, dont la violation expose à des sanctions particulièrement lourdes (article 99, §3).

Des pratiques à haut risque : strictement encadrées

Les systèmes à haut risque (définis à l’article 6 et à l’annexe III) constituent le cœur opérationnel du règlement. Ils instaurent un véritable droit de la conformité technique et organisationnelle.

Il s’agit de systèmes qui, sans être interdits, sont susceptibles d’avoir un impact significatif sur les droits fondamentaux, la sécurité ou les conditions de vie des personnes.

On retrouve notamment dans cette catégorie :

  • les systèmes utilisés dans le recrutement ou l’évaluation des candidats (annexe III, point 4) ;

  • les outils de scoring de crédit (annexe III, point 5) ;

  • certains dispositifs médicaux intégrant de l’IA (article 6, §1, a) ;

  • les systèmes déployés dans les domaines de la justice, du maintien de l’ordre ou de la gestion des frontières (annexe III, points 6 à 8).

Contrairement aux pratiques interdites, ces systèmes restent autorisés, mais leur mise sur le marché et leur utilisation sont soumises à un cadre juridique particulièrement exigeant.

Les opérateurs doivent notamment :

  • mettre en place un système de gestion des risques (article 9) ;

  • garantir la qualité et la pertinence des données utilisées (article 10) ;

  • établir une documentation technique complète (article 11) ;

  • assurer la traçabilité des opérations (article 12) ;

  • informer les utilisateurs de manière claire (article 13) ;

  • garantir une supervision humaine effective (article 14) ;

  • assurer la robustesse, la sécurité et la cybersécurité du système (article 15).

En pratique, cela signifie qu’un algorithme ne peut pas, par exemple, décider seul du rejet d’une candidature ou de l’octroi d’un crédit sans contrôle humain et sans garanties procédurales.

Les différences entre les risques limités et minimaux

L'IA Act prévoit également que les systèmes d'IA puissent avoir un risque limité ou minimal. Attention, cependant, cela ne veut pas juridiquement dire la même chose.

Les systèmes à risque limité comprennent les outils susceptibles d’interagir directement avec les utilisateurs, mais dont l’impact sur leurs droits fondamentaux reste modéré. On pense par exemple aux chatbots, aux assistants conversationnels ou aux systèmes générant des contenus synthétiques (deepfakes) (article 50, §1 et §4). La caractéristique principale de cette catégorie est l’obligation d’information et de transparence : l’utilisateur doit être clairement averti qu’il interagit avec une IA ou qu’un contenu a été généré artificiellement. Cette obligation vise à permettre à chacun d’exercer son jugement critique, d’éviter toute confusion et de prévenir d’éventuelles manipulations.

Les systèmes à risque minimal, en revanche, regroupent les applications considérées comme très peu susceptibles de porter atteinte aux droits fondamentaux ou à la sécurité des personnes. Il peut s’agir de filtres anti-spam, de recommandations de contenus multimédias, d’assistants de traduction ou de systèmes de correction orthographique. Pour ces systèmes, le règlement ne prévoit pas d’obligations spécifiques : l’utilisation est libre, mais les opérateurs doivent toujours respecter le cadre général du droit applicable, notamment le RGPD pour le traitement de données personnelles, le droit de la consommation et la responsabilité civile (considérant 26).

L’analyse comparative entre ces deux régimes révèle plusieurs différences majeures :

  1. Obligation de transparence : elle est explicite et contraignante pour les systèmes à risque limité, mais quasiment inexistante pour les systèmes à risque minimal. Dans ce dernier cas, la transparence relève du droit commun ou d’autres obligations sectorielles (par exemple, l’information au consommateur).

  2. Degré de contrôle réglementaire : les systèmes à risque limité peuvent être soumis à des contrôles ponctuels des autorités nationales (ex. CNIL en France) en cas de manquement à l’information des utilisateurs, alors que les systèmes à risque minimal échappent à ce contrôle spécifique lié à l’AI Act, sauf violation d’autres textes (RGPD, droit de la consommation).

  3. Responsabilité juridique : pour les systèmes à risque limité, un manquement à l’obligation de transparence peut engager la responsabilité de l’opérateur au titre du règlement lui-même (article 50). Pour les systèmes à risque minimal, la responsabilité ne découle pas du niveau de risque AI Act, mais du droit général applicable (dommages causés à un tiers, traitements illicites de données, etc.).

  4. Implications pratiques pour les opérateurs : la distinction influence directement la gestion interne de la conformité. Les systèmes à risque limité nécessitent des procédures de communication claires, une documentation de l’information fournie et des mécanismes pour signaler leur nature artificielle. Les systèmes à risque minimal peuvent être déployés de manière plus souple, mais l’opérateur doit rester vigilant sur les obligations transversales (RGPD, sécurité des utilisateurs).

0 comments

Sign upor login to leave a comment