Auteur: Claeys & Engels
La loi sur l’IA a été publiée aujourd’hui au Journal officiel de l’Union européenne. Le compte à rebours a commencé pour les entreprises qui utilisent l’intelligence artificielle dans leurs processus métier. La loi sur l’IA entrera en vigueur le 1er août 2024 et la plupart des obligations des entreprises devront être remplies dans un délai de 2 ans. Ce flash d’information présente les lignes directrices et les mesures d’action les plus importantes pour les entreprises.
1) Avancement de l’intelligence artificielle dans les processus métiers
L’intelligence artificielle (IA) semble être devenue omniprésente ces derniers temps. Par exemple, un éditeur de logiciels a récemment annoncé qu’il pourrait passer à une semaine de travail de 4 jours, en partie grâce aux gains d’efficacité grâce à l’IA. Selon les chiffres d’Eurostat, la Belgique fait partie des leaders de l’UE avec 14 % de personnes interrogées ayant indiqué qu’elles auraient utilisé l’IA au sein de leur entreprise en 2023. Cela signifie que la Belgique se situe bien au-dessus de la moyenne européenne de 8 %. Cela ressort également du Claeys & Engels HR Beacon, où 14 % des personnes interrogées ont également indiqué qu’elles avaient déjà utilisé l’IA.
2) Objet de la loi IA
L’objectif de l’AI Act est de créer un cadre juridique uniforme en Europe pour le développement, la commercialisation, le déploiement et l’utilisation de systèmes d’IA. La loi sur l’IA vise à promouvoir l’introduction d’une IA fiable et centrée sur l’humain et à garantir un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux, tel qu’inscrit dans la Charte de l’Union européenne.
3) Approche basée sur les risques
Pour atteindre cet objectif, une approche basée sur les risques est suivie dans la loi sur l’IA. De cette manière, les règles applicables sont adaptées à la gravité et à l’étendue des risques que comportent les systèmes d’IA.
L’AI Act interdit tout d’abord certaines pratiques inacceptables dans le domaine de l’IA. Par exemple, l’utilisation de systèmes d’IA pour déduire les émotions des personnes sur le lieu de travail est en principe interdite. Cette interdiction prendra effet à partir de février 2025.
Il existe donc un certain nombre de systèmes d’IA qualifiés de « à haut risque ». Ces systèmes d’IA doivent répondre à un certain nombre d’exigences obligatoires. De nombreux systèmes d’IA utilisés à des fins RH entrent dans la catégorie à haut risque. Dans un contexte de recrutement, cela concerne par exemple les systèmes d’IA utilisés pour recruter ou sélectionner des personnes physiques, notamment pour publier des offres d’emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats.
Enfin, certains systèmes d’IA présentent un risque limité en raison d’un manque de transparence. Cette catégorie comprend, par exemple, les systèmes d’IA qui servent à améliorer la langue de documents préalablement préparés ou à répondre à des questions (par exemple avec ChatGPT). Dans ce contexte, les entreprises devront informer la personne concernée que le contenu a été généré par l’IA.
4) Acteurs au titre de la loi IA
La loi sur l’IA contient différentes obligations selon qu’une organisation est qualifiée de fournisseur, d’importateur, de distributeur, de fabricant de produits, de mandataire ou de soi-disant utilisateur responsable (déployeur, ci-après « utilisateur »). Dans la plupart des cas, les employeurs peuvent être qualifiés d’utilisateurs.
Une qualification de prestataire ne peut toutefois pas être exclue. Ce sera le cas, par exemple, lorsqu’une entreprise n’utilise pas simplement un système d’IA existant, mais dispose d’un système d’IA existant développé et mis à disposition pour utilisation sous son propre nom. Le seuil entre utilisateurs et fournisseurs est peut-être faible, mais les conséquences en termes d’obligations ne le sont pas.
5) Obligations des fournisseurs et des utilisateurs
La plupart des obligations en vertu de la loi sur l’IA s’appliquent aux fournisseurs de systèmes d’IA et cela s’applique encore plus lorsqu’il s’agit de systèmes d’IA à haut risque. Les prestataires doivent notamment dans ce cas :
fournir des systèmes de gestion des risques et de gestion de la qualité tout au long du cycle de vie du système, mettre en œuvre des mesures de gouvernance des données, fournir une documentation technique et une journalisation automatique, fournir des instructions aux utilisateurs, intégrer une surveillance humaine dans la conception du système et garantir l’exactitude, la robustesse et la cybersécurité.
Les utilisateurs de systèmes d’IA à haut risque ont les obligations suivantes :
prendre les mesures techniques et organisationnelles appropriées pour garantir qu’ils utilisent les systèmes d’IA conformément aux instructions d’utilisation. Attribuer la surveillance humaine des systèmes d’IA à des personnes disposant des compétences, de la formation, de l’autorité et du soutien nécessaires. Lorsque les utilisateurs contrôlent les données d’entrée, ils doivent s’assurer qu’elles sont pertinentes et suffisamment représentatives. Les utilisateurs doivent également surveiller le fonctionnement du système d’IA et conserver des journaux pendant au moins 6 mois.
Les employeurs seront tenus d’informer les représentants des salariés et les salariés concernés, avant d’utiliser un système d’IA sur le lieu de travail, qu’ils seront soumis à l’utilisation d’un système d’IA à haut risque.
En outre, les entreprises doivent prendre des mesures pour garantir un niveau suffisant de connaissances en IA parmi ceux qui entrent en contact avec les systèmes d’IA. Cette obligation entrera en vigueur à partir de février 2025.
6) Application
Le contrôle de la loi IA sera exercé par différentes autorités. Au niveau européen, l’AI Office et l’AI Board assumeront ce rôle et publieront également des conseils et des recommandations. Au niveau national, une ou plusieurs autorités locales veilleront à l’application de la loi. Celles-ci peuvent être établies au sein des autorités de protection des données existantes, mais cela n’est pas nécessaire.
La violation des dispositions concernant les systèmes d’IA interdits peut entraîner des amendes de 35 millions d’euros ou 7 % du chiffre d’affaires annuel d’une entreprise. D’autres violations peuvent entraîner des amendes allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires annuel d’une entreprise. Fournir des informations incorrectes, incomplètes ou trompeuses aux autorités peut entraîner des amendes allant jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires annuel d’une entreprise. Ces amendes peuvent être moindres pour les PME et les startups.
7) Application progressive dans le temps
Il y a déjà quelques dates à noter concernant l’application de la loi IA pour les entreprises agissant en tant que fournisseur ou utilisateur. Après la publication de l’AI Act le 12 juillet 2024, l’AI Act entrera en vigueur en août 2024.
Commencez à vous préparer dès aujourd’hui
Il est crucial de commencer à préparer la loi sur l’IA en temps opportun. Il est préférable que les entreprises déterminent dès maintenant les systèmes d’IA qu’elles et leurs partenaires utilisent. Pour chaque système d’IA, l’entreprise doit vérifier comment elle est qualifiée au sens de la loi IA, notamment en tant que fournisseur ou utilisateur.
Il faut ensuite déterminer dans quelle catégorie de risque se situe le système d’IA. Il est préférable de réaliser cet exercice avant février 2025, car les règles concernant les systèmes d’IA interdits entreront alors en vigueur.
Sur la base de cet aperçu, l’entreprise peut définir ses obligations et élaborer un plan d’action pour les mettre en œuvre en temps opportun. La plupart des obligations s’appliqueront à partir d’août 2026. Des mesures transitoires s’appliquent toutefois à certains systèmes d’IA.
Source : Claeys & Engels