Tout ce que vous devez savoir sur la loi sur l’IA de l’UE

Les systèmes d’intelligence artificielle (IA) présentent de nouveaux risques dont les lois existantes ne tiennent pas entièrement compte. Pour pallier ces lacunes, l’Union européenne (UE) a adopté le Règlement sur l’intelligence artificielle (UE) 2024/1689 (le « règlement sur l’IA de l’UE »). Ce cadre réglementaire, qui vise à compléter plutôt qu’à remplacer les lois existantes, impose des obligations supplémentaires aux fournisseurs et aux déployeurs de systèmes d’IA.

Ce bulletin a pour but d’aider les utilisateurs et les fournisseurs de services à mieux comprendre la façon dont les nouveaux règlements, comme le règlement sur l’IA de l’UE, interagissent avec les lois existantes, comme le RGPD. Pour approfondir vos connaissances à ce sujet, nous nous recommandons également de lire notre bulletin intitulé « Franchir une nouvelle frontière : considérations relatives à l’IA et à la protection de la vie privée ».

Aperçu du règlement sur l’IA

Le 13 juin 2024, l’UE a adopté la toute première loi exhaustive au monde sur l’IA, loi conçue pour réglementer l’utilisation des systèmes d’IA dans les États membres de l’UE. Le règlement sur l’IA de l’UE est entré en vigueur le 1er août 2024, mais ses dispositions s’appliqueront graduellement. Aucune de ses exigences n’est encore applicable, et les premières interdictions relatives à certains systèmes d’IA prendront effet à compter du 2 février 2025^[1]. Le 2 août 2025, d’autres règles entreront en vigueur, dont celles concernant les organismes notifiés^[2], les modèles d’IA à usage général^[3], la gouvernance^[4], la confidentialité^[5] et les sanctions^[6]. D’ici le 2 août 2026, la plupart des dispositions restantes s’appliqueront, à l’exception de l’article 6, point 1 et des obligations qui en découlent, lesquels entreront en vigueur le 2 août 2027^[7].

Le règlement sur l’IA de l’UE définit clairement ce qu’est un système d’IA et décrit les obligations y afférent qu’il faut respecter. Selon l’article 3, point 1, un système d’IA s’entend d’un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie, qui peut faire preuve d’une capacité d’adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions pouvant influencer les environnements physiques ou virtuels^[8]. Le règlement adopte également une approche réglementaire fondée sur les risques dans un cadre plus large en matière de détection et de gestion des risques liés à l’IA. Ces risques sont classés dans quatre catégories distinctes :

1. Risques inacceptables : Systèmes d’IA ou utilisations de l’IA qui présentent des risques importants de préjudices, des risques inacceptables pour les personnes et leurs droits et qui sont interdits. Le règlement proscrit les systèmes préjudiciables, y compris ceux qui font appel à la manipulation cognitive (p. ex., les jouets dangereux à commande vocale), à la notation sociale et à l’identification biométrique (p. ex., la reconnaissance faciale en temps réel)^[9].
2. Hauts risques : Systèmes d’IA ou utilisations de l’IA qui font partie de certaines catégories de cas d’utilisation et de types de systèmes à haut risque et qui ne sont pas toujours interdits ou exemptés. Les systèmes d’IA à haut risque incluent les systèmes qui représentent une menace pour la sécurité ou les droits fondamentaux. Ces systèmes seront classés en deux groupes : (1) les systèmes d’IA intégrés à des produits régis par les lois sur la sécurité des produits de l’UE, comme les jouets, les appareils d’aviation, les automobiles (véhicules autonomes), les dispositifs médicaux et les ascenseurs; et (2) les systèmes d’IA utilisés dans certains secteurs inscrits dans une base de données de l’UE, comme l’éducation et la formation professionnelle, l’emploi, la gestion de la main-d’œuvre et l’accès au travail indépendant^[10].
3. Risques limités : Systèmes d’IA ou utilisations de l’IA qui ne font pas partie de la catégorie « à haut risque », mais qui présentent certains risques en matière de transparence et d’exigences sans lien toutefois avec les systèmes à risque minimal. Comptent parmi ces systèmes l’hypertrucage et les robots conversationnels.
4. Risques minimaux : Systèmes d’IA ou utilisations de l’IA ayant une faible incidence sur les personnes et leurs droits et qui, dans la plupart des cas, ne sont pas directement réglementés par le règlement sur l’IA de l’UE^[11]. Pour être considéré comme présentant un risque minimal, un système ne doit pas faire partie des trois catégories susmentionnées.

Le règlement sur l’IA de l’UE impose un large éventail d’obligations aux différents intervenants du cycle de vie d’un système d’IA à haut risque. À titre d’exemple, les systèmes d’IA à haut risque faisant appel à des techniques qui impliquent l’entraînement de modèles d’IA au moyen de données sont développés sur la base de jeux de données d’entraînement, de validation et de test qui satisfont aux critères de qualité visés à l’article 10 du règlement sur l’IA de l’UE^[12]. Ces obligations varient également selon qu’une entité ou une personne est le créateur du système d’IA (le « fournisseur ») ou un simple utilisateur dudit système (le « déployeur »)^[13]. Les fournisseurs et les déployeurs de systèmes d’IA doivent non seulement savoir quand se conformer à l’UE, mais aussi comment se conformer aux lois existantes, comme le Règlement général sur la protection des données.

Champ d’application

Le règlement sur l’IA de l’UE définit les obligations des fournisseurs, des déployeurs, des importateurs, des distributeurs et des fabricants de produits des systèmes d’IA en tenant compte du marché de l’UE. Il peut s’appliquer aux entreprises canadiennes en raison de sa vaste portée territoriale. Par exemple, il s’applique aux :

1. Fournisseurs qui mettent sur le marché de l’UE ou mettent en service des systèmes d’IA ou qui mettent sur le marché de l’UE des modèles d’IA à usage général;
2. Déployeurs de systèmes d’IA qui ont leur lieu d’établissement dans l’UE ou sont situés dans l’UE;
3. Fournisseurs et déployeurs de systèmes d’IA qui sont situés dans un pays tiers lorsque les sorties produites par le système d’IA sont utilisées dans l’UE (article 2, point 1 du règlement sur l’IA de l’UE).

Le règlement sur l’IA de l’UE énumère également certaines exceptions à son champ d’application général (il ne s’applique pas, par exemple, aux systèmes d’IA ouverts, à moins qu’ils ne soient interdits ou catégorisés comme étant des systèmes d’IA à haut risque ou des systèmes d’IA dont l’utilisation est réservée à la recherche et au développement scientifiques).

Comprendre les obligations de conformité du règlement sur l’IA de l’UE et du RGPD

Le règlement sur l’IA de l’UE et le RGPD peuvent s’appliquer à différentes étapes du développement, du déploiement et de l’exploitation des systèmes d’IA^[14]. Il convient toutefois de noter que ces règlements traitent de sujets bien distincts et qu’ils sont élaborés de façon à se compléter plutôt qu’à se chevaucher.

Comme le règlement sur l’IA de l’UE n’est pas encore entièrement en vigueur, il importe de déterminer la nécessité, une fois qu’il le sera, de se conformer soit au règlement sur l’IA de l’UE, soit au RGPD, soit aux deux. Comme il a été mentionné précédemment, cette évaluation dépendra des circonstances précises entourant l’utilisation et le traitement des données personnelles dans le cadre du système dont il est question.

La nécessité de déployer des efforts réglementaires continus

Bien que le règlement sur l’IA de l’UE soit conçu pour répondre aux nombreux défis liés à l’intelligence artificielle, les efforts réglementaires de l’UE ne s’arrêteront pas là. L’élargissement des pratiques de collecte des données dans divers secteurs pourrait accroître le besoin d’entreprendre des réformes réglementaires ou de créer de nouveaux règlements.

Les systèmes de gestion algorithmique en milieu de travail, par exemple, permettent de mener des activités de surveillance avancées (suivi du rendement au travail, examen du comportement numérique, gestion des pauses, etc.)^[15]. Ces méthodes de collecte des données soulèvent des questions quant au respect de la vie privée des travailleurs et à la transparence entourant la façon dont ces renseignements sont utilisés. Les directives actuelles de l’UE, dont certaines existent depuis déjà longtemps, répondent à un large éventail de questions relatives au travail, dont le fait d’informer et de consulter les employés, ainsi que la protection de leur santé et de leur sécurité. Ces directives pourraient toutefois être renforcées par des instructions plus précises, et il pourrait être nécessaire de revoir certaines de leurs « clauses dormantes »^[16].

Par conséquent, certains intervenants réclament de nouveaux règlements pour faire face aux risques émergents, tandis que d’autres proposent de rendre plus inclusives les lois existantes. Ce qui est clair, c’est qu’il sera plus laborieux de se conformer à la loi à mesure que d’autres règlements seront adoptés, et le débat sur la question de savoir s’il vaut mieux créer de nouvelles lois ou modifier les lois existantes se poursuivra.

Comment Fasken peut-il vous aider à vous conformer en matière d’IA et de protection de la vie privée?

Chez Fasken, nous restons à l’avant-garde de la réglementation des technologies dans l’Union européenne et au Canada et nous vous tenons au courant de l’actualité dans ce domaine. Pour obtenir un éclairage pertinent, consultez nos ressources en intelligence artificielle. Si vous avez des questions ou des préoccupations, nous sommes là pour vous aider. N’hésitez pas à
communiquer avec les auteurs de ce bulletin si vous avez besoin d’aide relativement à toute question concernant les lois sur l’IA ou la protection de la vie privée.

Groupe Protection des renseignements confidentiels, vie privée et cybersécurité

Forte de plusieurs années d’expérience, notre équipe nationale de protection de la vie privée et cybersécurité est composée de 36 avocats et avocates et offre une vaste gamme de services. Qu’il s’agisse de traiter de questions complexes liées à la protection des renseignements personnels et aux incidents de confidentialité ou de fournir des conseils sur le RGPD de l’Union européenne et les nouveaux régimes juridiques, nous offrons des conseils juridiques complets et bénéficions de la confiance des principaux fournisseurs de cyberassurance et des entreprises du palmarès Fortune 500. Notre groupe est reconnu comme un chef de file dans son domaine, ayant reçu de nombreuses distinctions, comme le prix « Équipe de protection de la vie privée de l’année » lors des Prix PICCASO, en plus d’avoir été reconnu par les répertoires Chambers Canada et Best Lawyers in Canada. Pour de plus amples renseignements, veuillez consulter notre site Web.

[1] Parlement européen. « Règlement sur l’intelligence artificielle (règlement sur l’IA) », chapitres 1 et 2. 2024.

[2] Règlement sur l’IA, supra, note 1, chapitre III, section 4.

[3] Règlement sur l’IA, supra, note 1, chapitre V.

[4] Règlement sur l’IA, supra, note 1, chapitre VII.

[5] Règlement sur l’IA, supra, note 1, article 78.

[6] Règlement sur l’IA, supra, note 1, articles 99 et 100.

[7] Parlement européen. Calendrier de mise en œuvre du règlement sur l’intelligence artificielle. 2024.

[8] Union européenne (UE), juillet 2024. « Règlement sur l’intelligence artificielle (règlement sur l’IA) », JO L, 2024/1689, 12.7.2024, article 3, point 1.

[9] Ibid, art. 6.

[10] Parlement européen. « Loi sur l’IA de l’UE : première réglementation de l’intelligence artificielle », 1er juin 2023.

[11] Règlement sur l’IA, supra, note 1.

[12] Règlement sur l’IA, supra, note 1, art. 10.

[13] Règlement sur l’IA, supra, note 1, art. 4.

[14] CNIL, juillet 2024. « Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL ».

[15] Service de recherche du Parlement européen, juin 2024. « Addressing AI risks in the workplace Workers and algorithms ».

[16] Ibid.