Le règlement sur l’IA a été publié : les choses sérieuses commencent !
Le règlement sur l’intelligence artificielle (IA) a été publié le 12 juillet 2024 au Journal officiel de l’Union européenne et entre en vigueur début août. À partir du mois d’août, les règles fixées dans le règlement sur l’IA pour le développement et l’utilisation des systèmes d’IA seront juridiquement contraignantes tant au niveau européen que national. Comme différents délais sont prévus pour l’application du règlement sur l’IA, en fonction du type de système d’IA, de la catégorie de risque et encore d’une série d’autres facteurs, la mise en œuvre se fera progressivement. L’objectif du règlement sur l’IA est de garantir que chaque citoyen en Europe puisse avoir la certitude que les systèmes d’IA sont sûrs et que les droits fondamentaux seront protégés.
De nouvelles règles et de nouveaux droits pour qui ?
Le champ d’application du règlement sur l’IA est large et vise les acteurs publics et privés (notamment les compagnies d’assurances et de réassurances). Pour les entreprises qui développent de l’IA, il est désormais clair à quelles exigences les modèles et systèmes d'IA doivent répondre. Elles doivent par exemple continuer à surveiller les risques existants et nouveaux. Les entreprises qui utilisent l’IA doivent également se conformer à des obligations, et elles sont responsables de l’utilisation du système d’IA conformément à la notice d’utilisation développée par le fournisseur du système d'IA. C’est pourquoi le règlement sur l’IA désigne aussi ces entreprises comme « déployeurs ».
Le degré de sévérité des règles fixées dans le règlement sur l’IA dépend du niveau des risques associés à un système d'IA. Les systèmes d’IA qui génèrent un risque inacceptable (par exemple, une notation sociale injustifiée) sont interdits. Les systèmes d’IA à haut risque sont soumis à des exigences élevées. Il s’agit par exemple des systèmes d’IA destinés à être utilisés pour l’évaluation des risques et la tarification en ce qui concerne les personnes physiques en matière d’assurance-vie et d’assurance maladie. Des règles supplémentaires sont aussi prévues pour les systèmes d’IA présentant un risque plus élevé de tromperie ; ces systèmes d’IA qui génèrent du contenu doivent marquer le contenu comme « généré » ou « manipulé ». Des règles s’appliquent également pour les dialogueurs : les personnes doivent être informées qu’elles interagissent avec un système d’IA.
Une mise en oeuvre progressive
L’introduction de règles juridiquement contraignantes à partir du mois d’août ne signifie pas encore qu’un contrôle du respect de ces règles pourra être mis en place et qu’il faudra déjà satisfaire à des obligations. Cela ne pourra par exemple être possible qu’après six mois à partir de l’entrée en vigueur du règlement sur l’IA (en août) pour les dispositions relatives aux interdictions. Les règles de gouvernance et les obligations pour les modèles d’IA à usage général seront d’application après douze mois.
En outre, le règlement sur l’IA constitue une première étape pour la réglementation des systèmes d’IA, dès lors qu’une série de codes de bonne conduite, de codes de bonnes pratiques et de lignes directrices sont attendus, tant des autorités nationales que de l'Union européenne.
Contrôle de l’application du règlement sur l’IA
Le contrôle du respect de la loi sur l’IA se fait en grande partie au niveau national grâce à l’autorité notifiante et à l’autorité de surveillance du marché. Elles veillent au respect des exigences en ce qui concerne les systèmes d’IA interdits, les systèmes d’IA à haut risque et les obligations de transparence. On ignore encore quelle autorité de surveillance nationale assumera ce rôle. La Belgique doit communiquer au plus tard le 2 août 2025 des informations sur la manière dont les autorités compétentes peuvent être contactées. En outre, l’Autorité de protection des données est compétente pour le contrôle du respect des principes de base de la protection des données personnelles. La Belgique doit également déterminer au plus tard le 2 novembre 2024 quelle instance gouvernementale supervisera ou fera respecter les obligations visant à protéger les droits fondamentaux (par exemple, le droit à la non-discrimination).
Au niveau européen, le « EU AI Board » et le « AI Office » veilleront au contrôle des grands modèles d’IA.
Conclusion
Les compagnies d’assurances qui déploient déjà des systèmes d’IA ou qui prévoient de le faire à l’avenir, doivent désormais tenir compte d’un plus grand nombre de règles. Elles doivent faire en sorte que les systèmes d’IA qu’elles souhaitent utiliser soient fiables et de qualité.