Recherche

L'AI Act et ses exceptions entrent partiellement en application

Une partie des dispositions de l'AI Act applicables depuis le 2 février 2025 ont pour effet d'exclure certains systèmes et usages du champ du règlement.

Publié par Clément Bohic le - mis à jour à
Lecture
7 min
  • Imprimer
L'AI Act et ses exceptions entrent partiellement en application
© généré par IA

L'AI Act, surtout une histoire d'exceptions ?

Une bonne partie des dispositions entrées en application ce 2 février 2025 ont pour effet d'exclure du champ du règlement certains systèmes et usages.

Il en est ainsi pour les systèmes d'IA utilisés exclusivement à des fins militaires, de défense ou de sécurité nationale.

Même chose pour les autorités publiques de pays tiers et les organisations internationales utilisant des systèmes d'IA dans le cadre de la coopération internationale ou d'accords internationaux de coopération des services répressifs ou judiciaires avec l'UE ou des États membres. À la condition qu'elles fournissent des garanties adéquates sur la protection des droits fondamentaux et des libertés des personnes.

Sont également exclus les systèmes ou modèles d'IA spécifiquement développés et mis en service uniquement à des fins de recherche et de développement scientifiques.

Idem pour les activités de recherche, d'essai et de développement réalisées avant la mise sur le marché ou la mise en service de systèmes ou de modèles d'IA. Cette exception ne couvre pas les essais en conditions réelles.

Également hors champ est l'usage de systèmes d'IA par des personnes physiques dans le cadre d'activités strictement personnelles.

Les systèmes d'IA publiés dans le cadre de licences libres et ouvertes sont également exempts d'AI Act. Sauf s'ils sont mis sur le marché ou mis en service en tant que systèmes d'IA à haut risque ou en tant que systèmes d'IA relevant de l'article 5 ou de l'article 50.

Des enquêtes pénales aux raisons médicales, des exceptions sur les usages interdits

L'article 5, également entré en application ce 2 février 2025, établit des pratiques interdites en matière d'IA. Dans les grandes lignes :

  • Recours à des techniques subliminales ou délibérément manipulatrices ou trompeuses

  • Exploitation de vulnérabilités dues à l'âge, au handicap ou à la situation sociale ou économique

  • "Notation sociale", si elle conduit à un traitement préjudiciable ou défavorable dans des contextes sociaux dissociés du contexte de génération ou de collecte des données d'origine ; ou si ce traitement s'avère injustifié ou disproportionné par rapport au comportement social de la personne ou à la gravité de celui-ci

  • Évaluation ou prédiction du risque de commission d'une infraction pénale, uniquement sur la base d'un profilage ou d'une évaluation des traits de personnalité ou caractéristiques

  • Inférence des émotions d'une personne sur le lieu de travail et dans les établissements d'enseignement

  • Catégorisation individuelle de personnes sur la base de leurs données biométriques pour déduire ou inférer la race, les opinions politiques, les convictions religieuses, l'orientation sexuelle, etc.

  • Identification biométrique à distance en temps réel dans des espaces publics à des fins répressives

Là aussi, l'AI Act établit de nombreuses exceptions. Par exemple, sur la question de l'inférence des émotions sur le lieu de travail, tolérée pour raisons médicales ou de sécurité. Ou sur la prédiction du risque de commission d'infraction pénale, dans le cas où les systèmes d'IA servent à "étayer l'évaluation humaine de l'implication d'une personne dans une activité criminelle, qui est déjà fondée sur des faits objectifs et vérifiables".

L'AI Act tolère aussi, concernant la catégorisation biométrique de personnes, l'étiquetage ou le filtrage de jeux de données acquis légalement. Il y ajoute la catégorisation effectuée dans le domaine répressif. Dans le même esprit, l'identification biométrique à distance en tant réel dans des espaces publics à des fins répressives n'est pas répréhensible dans trois cas :

  • Recherche ciblée de victimes spécifiques d'enlèvement, de la traite ou de l'exploitation sexuelle d'êtres humains, ainsi que la recherche de personnes disparues

  • Prévention d'une menace "spécifique, substantielle et imminente" pour la vie ou la sécurité physique de personnes ou d'une menace "réelle et actuelle ou réelle et prévisible" d'attentat terroriste

  • Localisation ou identification d'une personne soupçonnée d'avoir commis une infraction pénale, aux fins de mener une enquête pénale, d'engager des poursuites ou d'exécuter une sanction pénale pour certaines infractions punissables, dans l'État membre concerné, d'une peine ou d'une mesure de sûreté privative de liberté d'une durée maximale d'au moins 4 ans

L'article 5 apporte diverses précisions sur l'identification biométrique à distance en temps réel dans les espaces publics à des fins répressives. Elles imposent notamment des exigences de proportionnalité et l'obtention d'une autorisation préalable d'une autorité judiciaire ou d'une autorité administrative indépendante. Là aussi, néanmoins, il existe une exception : en cas d'urgence, l'autorisation peut être obtenue a posteriori, dans un délai de 24 heures.

Des exceptions dans l'exception

Bien qu'évoqué dans le cadre de l'"exception open source", l'article 50 n'entrera en application que le 2 août 2026. Il établit des obligations de transparence pour les fournisseurs et les déployeurs de certains systèmes d'IA. En l'occurrence :

- Pour les fournisseurs de systèmes d'IA destinés à interagir directement avec des personnes physiques, informer ces personnes

- Pour les fournisseurs de systèmes d'IA générant de l'audio, des images, des vidéos ou du texte, marquer les sorties dans un format lisible par machine et identifiables comme ayant été générés ou manipulés par IA

- Pour les déployeurs de systèmes d'IA destinés à la reconnaissance des émotions ou à la catégorisation biométrique, information des personnes exposées à ces systèmes

- Pour les déployeurs de systèmes d'IA générant des deepfakes, information sur le caractère des contenus

- Pour les déployeurs de systèmes d'IA qui génèrent ou manipulent des textes publiés pour informer le public sur des questions d'intérêt public

Une fois encore, les exceptions sont multiples. Parfois même, elles s'imbriquent. Par exemple sur le premier point : les fournisseurs concernés sont exempts d'informer les personnes concernées si la loi autorise l'utilisation des systèmes d'IA à des fins de prévention ou de détection des infractions pénales, d'enquêtes ou de poursuites en la matière... sauf si ces systèmes sont mis à disposition du public pour le signalement de telles infractions.

On retrouve une "exception pénale" pour tous les autres cas sus-évoqués. Sont également exempts les fournisseurs de systèmes d'IA générative qui ont une fonction d'assistance pour la "mise en forme standard" ou qui "ne modifient pas de manière substantielle les données d'entrée fournies par le déployeur ou leur sémantique".

Certains produits exempts d'AI Act

Entre autres exceptions, il en existe une majeure. Elle exclut du champ de l'AI Act les systèmes d'IA classés à haut risque et liés à certains produits couverts par la législation d'harmonisation de l'UE. Les textes concernés sont les suivants :

  • Règlement 300/2008 instaurant des règles communes dans le domaine de la sûreté et de l'aviation civile
  • Règlement 167/2013 sur la réception et la surveillance du marché des véhicules agricoles et forestiers
  • Règlement 168/2013 sur la réception et la surveillance du marché des véhicules à deux ou trois roues et des quadricycles
  • Directive 2014/90/UE sur les équipements marins
  • Directive 2016/797 sur l'interopérabilité du système ferroviaire au sein de l'UE
  • Directive 2018/858 sur la réception et la surveillance du marché des véhicules à moteur et de leurs remorques
  • Directive 2018/1139 instaurant des règles communes dans le domaine de l'aviation civile
  • Directive 2019/2144 établissant des prescriptions applicables à la réception par type des véhicules à moteur et de leurs remorques

Pour ces produits, la Commission européenne devra tout de même tenir compte du chapitre III, section 2 de l'AI Act (exigences applicables aux systèmes d'IA à haut risque) lors de l'adoption de spécifications techniques, de procédures d'approbation, de normes d'essai, etc.

Pas avant 2027 pour les modèles d'IA à "risque systémique"

L'article 6, paragraphe 1, fera partie des dernières dispositions de l'AI Act à entrer en vigueur (2 août 2027). Il est relatif aux modèles d'IA à usage général "présentant un risque systémique". On les classera comme tels s'ils remplissent une des deux conditions suivantes :

- Ils disposent de capacités à fort impact évaluées sur la base de méthodologies et d'outils techniques appropriés, y compris des indicateurs et des critères de référence.

- Sur la base d'une décision de la Commission européenne, il possède des capacités ou un impact équivalents à ceux énoncés au premier point, compte tenu de critères définis en annexe de l'AI Act

Ces critères sont :

  • Nombre de paramètres
  • Qualité ou taille du jeu de données d'entraînement
  • Quantité de calcul utilisée pour l'entraînement
  • Modalités d'entrée et de sortie du modèle
  • Critères de référence et évaluation des capacités du modèle, y compris en tenant compte du nombre de tâches ne nécessitant pas d'entraînement supplémentaire, sa capacité d'adaptation à apprendre de nouvelles tâches distinctes, son niveau d'autonomie et d'extensibilité, ainsi que les outils auxquels il a accès
  • Si le modèle a un impact important sur le marché intérieur en raison de sa portée, qui est présumée lorsqu'il a été mis à la disposition d'au moins 10 000 utilisateurs professionnels enregistrés établis dans l'UE
  • Nombre d'utilisateurs finaux inscrits

Illustration générée par IA

Sur le même thème

Voir tous les articles Data & IA

Livres Blancs #cloud

Voir tous les livres blancs

Vos prochains événements

Voir tous les événements

Voir tous les événements

S'abonner
au magazine
Se connecter
Retour haut de page