AI Act. Les étapes-clés pour se mettre en conformité

Depuis le 2 février 2025, les obligations de l'AI Act entrent progressivement en vigueur dans l’Union européenne. Ce règlement impose des restrictions strictes aux organisations qui développent, utilisent ou commercialisent des systèmes ou modèles d’intelligence artificielle. Que vous soyez une entreprise privée ou un service public, il est essentiel de savoir quelles sont vos obligations au risque de se voir imposer de lourdes amendes.

Afin d'accompagner les entreprises et services publics dans cette démarche, l'Agence du Numérique relaie et s’appuie sur un guide détaillant les étapes à suivre pour se mettre en conformité, en tant qu’utilisateur ou producteur d’IA.

L’AI Act repose sur une approche différenciée : les obligations varient selon que l’on utilise un système ou que l’on développe un modèle.

• Un système d’IA est un outil opérationnel, souvent intégré dans un produit ou utilisé directement par une organisation (ex. : un logiciel de recrutement, un chatbot, un outil de scoring).
• Un modèle d’IA à usage général est une brique technologique plus fondamentale, souvent développée par des tiers, et pouvant être réutilisée dans plusieurs systèmes (ex. : GPT, BERT, LLaMA, Mistral IA, etc).

Cette distinction constitue la première étape clé pour se mettre en conformité : elle permet d’identifier les chapitres du règlement européen applicables et les obligations à respecter.

L’AI Act classe les IA selon quatre niveaux de risque :

• Risque inacceptable : systèmes interdits (ex. : reconnaissance faciale massive, notation sociale, manipulation comportementale).
• Risque élevé : IA utilisée dans des domaines sensibles (santé, éducation, justice, emploi, migration, etc.). Ces IA sont soumises à des obligations strictes.
• Risque spécifique en matière de transparence : IA interagissant avec des humains (ex. chatbots) qui doivent informer clairement les utilisateurs.
• Risque minime : IA sans impact significatif, pour lesquelles des codes de conduite volontaires sont recommandés.

À partir du 2 février 2025, l’AI Act interdit certains systèmes d’IA jugés à risque inacceptable : notation sociale, reconnaissance faciale en temps réel dans l’espace public à des fins répressives, ou encore IA manipulant le comportement humain de manière trompeuse. Sans évaluation préalable des risques, une organisation pourrait déployer ou commercialiser une IA interdite, s’exposant ainsi à des sanctions sévères.

L’objectif de l’AI Act est de garantir que l’intelligence artificielle développée respecte les droits fondamentaux des citoyens européens, ainsi que la sécurité des personnes et la transparence dans les interactions homme-machine. En évaluant le risque, l’organisation contribue à prévenir les abus, les discriminations, et les atteintes à la vie privée.

Identifier clairement sa position dans la chaîne de valeur est essentiel pour appliquer les obligations qui concernent l'organisation. Si l’exercice semble simple dans les cas classiques, il devient bien plus complexe dans les situations hybrides.

Quelques exemples :

• Vous achetez une IA à un fournisseur étranger, la modifiez légèrement, puis la proposez à vos clients : êtes-vous fournisseur, importateur ou distributeur ?
• Vous êtes une collectivité locale qui utilise une IA développée par un prestataire : êtes-vous déployeur ou mandataire ?
• Vous intégrez un modèle d’IA à usage général dans un système plus large : êtes-vous fournisseur du système ou simple utilisateur du modèle ?

Ces cas hybrides nécessitent une analyse approfondie de vos responsabilités, de vos contrats et des modalités de mise sur le marché ou d’utilisation de l’IA.

Quels sont les rôles à identifier :

• Fournisseur : vous développez ou commercialisez une IA sous votre nom.
• Déployeur : vous utilisez une IA dans vos activités professionnelles.
• Mandataire : vous agissez au nom d’un fournisseur établi hors UE.
• Importateur : vous introduisez une IA sur le marché européen.
• Distributeur : vous mettez une IA à disposition sans en être le fabricant.

Chaque rôle s’accompagne de critères précis : conditions d’identification (comme une modification substantielle, la mise sur le marché ou l’usage professionnel) et obligations associées (documentation, enregistrement, marquage CE, devoir d’alerte).

En cas de doute, adoptez deux réflexes : documenter et anticiper. Notez vos activités liées à l’IA, analysez vos contrats avec vos fournisseurs ou partenaires et anticipez les obligations les plus strictes pour éviter tout risque juridique

Après avoir déterminé la nature de votre IA (système ou modèle), évalué son niveau de risque et précisé votre rôle dans la chaîne de valeur, l’étape suivante consiste à définir les obligations qui s’appliquent. Cette analyse repose sur deux critères essentiels :

• Le niveau de risque : inacceptable, élevé, spécifique en matière de transparence ou minime ;
• Le rôle de votre organisation : fournisseur, déployeur, mandataire, importateur ou distributeur.

Quel que soit votre rôle, si votre IA est classée "risque inacceptable", elle ne peut être mise sur le marché, mise en service ou utilisée.

Les systèmes à risque élevé sont soumis à des exigences renforcées. Exemples d’obligations par rôle :

• Fournisseur : conformité technique, gestion qualité, documentation, marquage CE, enregistrement, déclaration UE, mesures correctives.
• Déployeur : contrôle humain, vérification des données, devoir d’alerte, tenue de journaux, information des salariés, analyse d’impact sur les droits fondamentaux.
• Mandataire : vérification de la conformité, conservation des documents, coopération avec les autorités.
• Importateur : vérification de la conformité, précaution en cas de doute, conditions de stockage, conservation des certificats.
• Distributeur : vérification des documents, devoir d’information, mesures correctives, coopération avec les autorités.

Ce niveau concerne les IA qui interagissent directement avec des personnes (ex. chatbots, générateurs de contenu, deepfakes). Les obligations sont principalement liées à l’information des utilisateurs :

• Fournisseur : garantir que les utilisateurs savent qu’ils interagissent avec une IA, marquer les contenus générés, assurer la traçabilité.
• Déployeur : informer les personnes exposées, notamment dans les cas de reconnaissance des émotions ou de
  catégorisation biométrique.

Les systèmes d’IA à risque minime ne sont soumis à aucune obligation légale. Toutefois, les organisations sont encouragées à adopter des codes de conduite volontaires, dont des modèles seront proposés par la Commission européenne. Ces codes visent notamment à :

• Promouvoir la transparence et la sécurité.
• Encourager des pratiques éthiques et responsables.
• Réduire l’impact environnemental.

Les modèles d’IA à usage général occupent une place centrale dans l’écosystème de l’intelligence artificielle. Contrairement aux systèmes conçus pour des tâches spécifiques, ces modèles sont capables d’exécuter un large éventail de fonctions et peuvent être intégrés dans de nombreuses applications ou systèmes en aval.

Ces modèles sont considérés comme potentiellement dangereux pour la société, la sécurité publique ou les droits fondamentaux. Ils sont soumis à des obligations renforcées.

Un modèle est considéré comme présentant un risque systémique dans deux situations :

• lorsqu’il dispose de capacités à fort impact, évaluées selon des méthodologies techniques (indicateurs, benchmarks, etc.) ;
• lorsqu’il est désigné comme tel par la Commission européenne, soit d’office, soit à la suite d’une alerte scientifique.

Les modèles se caractérisent par :

• l'absence des deux critères de classification à savoir, ils ne disposent pas de capacités à fort impact ou n’ont pas été désignés par la Commission européenne comme présentant un risque systémique ;
• Ou, bien qu’ils disposent de capacités à fort impact, ils ne sont pas considérés comme systémiques en raison de caractéristiques spécifiques (Art. 52 §2)

Chaque modèle est soumis à des obligations propres. Si vous êtes concerné, il est indispensable d’approfondir la question en consultant le chapitre dédié dans le guide.

• Ne remplissent aucun des deux critères ci-dessus.
• Ou, bien qu’ils aient une capacité à fort impact, ne présentent pas de risque systémique en raison de leurs caractéristiques spécifiques (Art. 52 §2).

Même si votre IA n’est soumise à aucune obligation légale, cela ne signifie pas qu’il n’y a rien à faire. L’adoption de chartes ou de codes de conduite est fortement recommandée, notamment pour encadrer l’usage que vos collaborateurs font de l’IA.

Objectif : éviter que des données sensibles ou confidentielles ne soient introduites par erreur dans des systèmes d’entraînement.

Ces chartes et codes permettent notamment de :

• Respecter les principes éthiques.
• Promouvoir l’inclusion et la diversité dans les équipes de développement.
• Favoriser l’accessibilité pour les personnes en situation de handicap.
• Réduire l’impact environnemental des solutions déployées.

Ces codes, publiés par la Commission européenne, pourraient devenir des standards de référence. Ils feront l'objet d'une prochaine publication sur Digital Wallonia.

N'hésitez pas à solliciter l'expertise de spécialistes pour sécuriser vos pratiques.