L'Europe est-elle prête à contrôler l'IA ? La supervision et les sanctions commencent bientôt
Des changements importants en termes de surveillance et de sanctions sont à venir pour les fournisseurs d'IA en Europe, car les nouvelles dispositions de la loi européenne sur l'IA entrent en vigueur à partir du 2 août.
Voici ce qui va changer ce mois-ci en ce qui concerne le règlement de l'UE sur l'IA, qui est entré en vigueur il y a exactement un an ce mois-ci, mais qui a été mis en œuvre progressivement.
Contrôle national
Le 2 août, les États membres devront notifier (lien en anglais) à la Commission européenne les autorités de surveillance du marché qu'ils désignent pour contrôler le respect de la loi sur l'IA par les entreprises.
Cela signifie que les fournisseurs de systèmes d'IA feront l'objet d'un examen minutieux à partir de cette date.
Euronews a rapporté (lien en anglais) en mai qu'à trois mois de l'échéance de début août, il n'était pas clair dans au moins la moitié des États membres quelle autorité serait désignée.
L'exécutif de l'UE n'a pas voulu faire de commentaires en mars sur les pays qui sont déjà prêts, mais on s'attend à ce que les États membres qui ont récemment connu des élections soient retardés dans la mise en place de ces régulateurs.
Selon un fonctionnaire de la Commission, certaines notifications ont été reçues et sont en cours d'examen.
Laura Lazaro Cabrera, directrice du programme pour l'équité et les données au Centre pour la démocratie et la technologie, a déclaré à Euronews que de nombreux États membres allaient manquer la date limite du 2 août pour nommer leurs régulateurs.
Elle a déclaré qu'il était "crucial" que les autorités nationales soient nommées dès que possible, et "qu'elles soient compétentes et dotées de ressources adéquates pour superviser le large éventail de risques posés par les systèmes d'IA, y compris ceux liés aux droits fondamentaux".
Artur Bogucki, chercheur associé au Centre for European Policy Studies (CEPS), s'est fait l'écho des retards probables.
"Ce n'est pas surprenant si l'on considère la complexité même de ce qui est requis. Les pays doivent établir des autorités de surveillance du marché, mettre en place des organismes de notification, définir des régimes de sanctions et, d'une manière ou d'une autre, trouver du personnel doté d'une expertise couvrant l'IA, l'informatique, la cybersécurité, les droits fondamentaux et les connaissances sectorielles. Ce n'est pas une mince affaire sur le marché concurrentiel des talents technologiques d'aujourd'hui ", a-t-il déclaré.
M. Bogucki a déclaré que cela ne s'arrêtait pas là, car il reste à voir comment de multiples organismes au niveau de l'UE et au niveau national doivent se coordonner.
"Cette complexité est d'autant plus grande que la loi sur l'IA doit interagir avec des réglementations existantes telles que le GDPR, la loi sur les services numériques et la loi sur les marchés numériques. Nous voyons déjà des risques de chevauchements et de conflits, qui rappellent la façon dont les différentes autorités de protection des données en Europe ont adopté des approches divergentes pour réglementer les entreprises technologiques", a-t-il déclaré.
Sanctions
Des dispositions prévoyant des sanctions entrent également en vigueur. Les entreprises peuvent se voir infliger une amende pouvant aller jusqu'à 35 millions d'euros en cas d'infraction à la loi sur l'IA, ou jusqu'à 7 % du chiffre d'affaires annuel mondial total, le montant le plus élevé étant retenu.
Les États membres de l'UE devront adopter des lois d'application qui prévoient des sanctions en cas d'infraction et donnent des pouvoirs à leurs autorités. Les petites entreprises se verront appliquer des amendes moins élevées.
La loi sur l'IA fixe un plafond, et non un plancher, pour les amendes. Selon Mme Lazaro Cabrera, il y aura probablement "une grande variabilité dans la manière dont les États membres choisiront d'infliger des amendes à leurs autorités publiques en cas de non-respect de la loi sur l'IA, si tant est qu'ils le fassent".
Elle a ajouté que même s'il y aura des divergences dans la manière dont les États membres fixent le niveau des amendes applicables, "la recherche d'un forum dans ce contexte a ses limites".
"En fin de compte, les autorités de surveillance du marché sont compétentes pour agir en relation avec tout produit entrant sur le marché de l'UE dans son ensemble, et les amendes ne sont qu'un des nombreux outils à leur disposition", a-t-elle déclaré.
M. Bogucki a déclaré que la structure de gouvernance devait également s'attaquer aux questions relatives aux pratiques interdites en matière d'IA, par exemple lorsqu'il s'agit d'identification biométrique.
"Différents États membres peuvent avoir des appétits politiques très différents pour l'application dans ces domaines, et sans mécanismes de coordination forts au niveau de l'UE, nous pourrions assister à la même fragmentation que celle qui a affecté l'application du GDPR", selon lui.
GPAI
Enfin, les règles relatives aux systèmes d'IA à usage général - qui comprennent les grands modèles de langage tels que Grok de X, Gemini de Google et ChatGPT d'OpenAI - entreront en vigueur.
En juillet, la Commission a publié un code de bonnes pratiques sur les systèmes d'IA à usage général qui a fait l'objet de nombreux débats. Cet ensemble de règles volontaires portant sur la transparence, les droits d'auteur et les questions de sûreté et de sécurité vise à aider les fournisseurs de modèles GPAI à se conformer à la loi sur l'IA.
La Commission a récemment déclaré que ceux qui ne signent pas le code peuvent s'attendre à un examen plus approfondi, alors que les signataires sont réputés se conformer à la loi sur l'IA. Cependant, les entreprises qui signent le code devront toujours se conformer aux règles de l'IA.
Le géant américain de la technologie Meta a déclaré la semaine dernière qu'il ne signerait pas, après avoir dénoncé le fait que les règles étouffaient l'innovation, tandis que d'autres, comme Google et OpenAI, ont déclaré qu'ils signeraient.
Pour compliquer les choses, tous les produits mis sur le marché avant le 2 août disposent d'une période de deux ans pour mettre en œuvre les règles, et tous les nouveaux outils lancés après cette date doivent s'y conformer immédiatement.
La loi européenne sur l'IA continue de se déployer par étapes, chacune comportant de nouvelles obligations pour les fournisseurs et les déployeurs. Dans deux ans, le 2 août 2027, la loi sur l'IA sera pleinement applicable.