L’Acte sur l’IA de l’UE : Que signifie-t-il pour les organisations britanniques utilisant ou fournissant des systèmes d’IA ?
L’Acte sur l’IA de l’UE (l’Acte) représente le premier cadre réglementaire mondial complet pour l’intelligence artificielle, imposant des obligations variées à chaque étape de la chaîne d’approvisionnement de l’IA. Bien qu’il s’agisse d’une législation de l’UE, elle a un effet extraterritorial significatif, et les entreprises britanniques doivent donc procéder avec prudence.
Portée de l’Acte
La portée de l’Acte est large, s’appliquant non seulement aux développeurs et fournisseurs de systèmes d’IA, mais également aux entreprises qui les utilisent. Les réglementations sont déjà partiellement en vigueur. L’Acte est entré en vigueur le 1er août 2024, avec une mise en œuvre échelonnée jusqu’à août 2027 (potentiellement prolongée selon la proposition de “Réglementation Omnibus Numérique sur l’IA” dévoilée en novembre 2025).
Obligations imposées par l’Acte
L’Acte adopte une approche basée sur le risque concernant la réglementation, avec des obligations généralement liées à la catégorisation des risques d’un système d’IA. Voici les principales catégories :
- Tous les niveaux de risque : Certaines obligations s’appliquent à toutes les entreprises concernées, indépendamment du niveau de risque. Cela inclut l’exigence, en vigueur depuis le 2 février 2025, que les entreprises garantissent que leur personnel est suffisamment “littéraire en IA”.
- Risque limité : Les systèmes de risque limité interagissent directement avec les individus ou créent du contenu vu par eux. Les fournisseurs et utilisateurs de ces systèmes doivent respecter des exigences de transparence à partir du 2 août 2026.
- Haut risque : Les systèmes à haut risque entraînent des obligations plus strictes, touchant des domaines comme l’éducation, l’emploi et la sécurité. Les fournisseurs et utilisateurs doivent surveiller la performance, rapporter les incidents, et réaliser des évaluations d’impact.
- Risque inacceptable : Les systèmes jugés “inacceptables” sont interdits depuis le 2 février 2025. Cela inclut les systèmes qui utilisent des techniques manipulatives ou qui infèrent les émotions dans des environnements de travail.
Portée extraterritoriale : Quelles entreprises britanniques sont concernées ?
L’Acte a un effet extraterritorial important. Les entreprises britanniques peuvent être concernées si elles rendent des systèmes d’IA disponibles sur le marché de l’UE (en tant que “fournisseurs” ou “distributeurs”). Elles peuvent également être touchées si elles utilisent des systèmes d’IA au Royaume-Uni dont les résultats sont utilisés dans l’UE.
Exemples de fournisseurs/distributeurs britanniques :
Les entités britanniques qui rendent des systèmes d’IA disponibles sur le marché de l’UE incluent, par exemple, une entreprise technologique éducative qui incorpore une fonction de recherche IA dans son logiciel vendu en UE.
Exemples de déployeurs britanniques :
Les déployeurs d’IA au Royaume-Uni sont soumis à l’Acte s’ils utilisent des systèmes d’IA dont les résultats sont utilisés dans l’UE. Par exemple, une entreprise de services professionnels utilisant l’IA pour rédiger un document pour un client en UE.
Défis et ambiguïtés
Un risque potentiel pour les déployeurs britanniques est que certaines entreprises utilisant l’IA ne prévoient pas que les résultats de leur utilisation aboutissent dans l’UE, mais cela pourrait se produire par inadvertance. Cette ambiguïté pourrait élargir la portée des entreprises britanniques concernées par l’Acte.
Pénalités et applicabilité
Les pénalités pour violation peuvent être très élevées, atteignant jusqu’à 7% du chiffre d’affaires annuel mondial ou 35 millions d’euros pour des violations graves. L’application des exigences de littératie en IA pourrait également poser problème en l’absence de pénalités spécifiques.
Étapes à suivre pour les entreprises britanniques
Les entreprises britanniques doivent se poser les questions suivantes :
- Pourraient-elles tomber sous le coup de l’Acte ?
- Si oui, quelles obligations leur sont applicables ?
- Comment gérer leur exposition à l’Acte ?
Il est essentiel de réaliser des examens internes pour déterminer si l’utilisation de l’IA les rend concernés et de mettre à jour les contrats avec les fournisseurs et les clients pour garantir la transparence sur l’utilisation de l’IA.
En conclusion, l’Acte sur l’IA de l’UE représente un cadre complexe que les entreprises britanniques doivent naviguer avec prudence, en restant vigilantes face aux évolutions réglementaires futures.