Industrie

La loi européenne AI : ce qu'elle signifie réellement pour les entreprises expédiant du AI

Vincent Wahidi
Vincent Wahidi · 6 min de lecture
La loi européenne AI : ce qu'elle signifie réellement pour les entreprises expédiant du AI

Si vous construisez, achetez ou déployez de l'AI qui touche des personnes dans l'UE, la loi AI fixe désormais les règles auxquelles vous devez répondre. Les amendes pour pratiques interdites s'appliquent depuis février 2025, et l'échéance qui compte pour la plupart des entreprises ordinaires, quand les obligations liées au risque élevé et leurs sanctions entrent en vigueur, arrive le 2 août 2026. La plupart des équipes n'ont pas besoin de paniquer. Elles doivent savoir à quel niveau de risque appartient leur système et démarrer la documentation requise par ce niveau.

Quatre niveaux, et seulement deux qui vous coûtent de réels efforts

La loi classe chaque système AI en quatre niveaux de risque. Les risques inacceptables sont carrément interdits : le score social du gouvernement, la plupart des identifications biométriques en temps réel dans les espaces publics et les manipulations qui causent des dommages. Ces pratiques sont interdites depuis le 2 février 2025. Le risque minimal, qui couvre la plupart des logiciels dont les filtres anti-spam et les moteurs de recommandation, n'entraîne aucune nouvelle obligation.

Entre ces deux extrêmes se trouvent les niveaux qui façonnent réellement la façon dont vous construisez. Un risque limité entraîne un devoir de transparence : informer les gens lorsqu’ils parlent à un robot et étiqueter les médias synthétiques. Le risque élevé est celui où résident les lourdes obligations et où ira la majeure partie du travail de conformité et du budget. Si vous ne pouvez pas encore exclure un risque élevé pour un système, assumez-le jusqu'à ce que vous le puissiez. Le coût de deviner des erreurs pointe dans une seule direction.

Qu'est-ce qui est réellement considéré comme à haut risque

C’est la question qui détermine votre charge de travail, et elle est plus précise que ne le suggèrent les gros titres. Un système est à haut risque dans deux cas. Premièrement, s’il s’agit d’un élément de sécurité d’un produit déjà réglementé, tel qu’un dispositif médical, une machine ou un véhicule. Deuxièmement, s'il opère dans l'un des domaines énumérés par la loi à l'annexe III : embauche et gestion des travailleurs, accès à l'éducation, notation de crédit et services financiers essentiels, services et avantages publics essentiels, application de la loi, migration et administration de la justice.

Le fil conducteur est la conséquence. Si votre modèle aide à décider qui obtiendra un emploi, un prêt, une place dans une école ou une allocation, le risque est probablement élevé et il vous incombe de démontrer le contraire. Un chatbot qui répond aux questions sur les produits ne présente pas de risque élevé. Le même chatbot, reconverti pour filtrer les candidats à un emploi, l'est.

Les dates qui entraînent des amendes

La loi est entrée en vigueur le 1er août 2024 et sera mise en œuvre par étapes. Les pratiques interdites et l'obligation d'alphabétisation AI s'appliquent depuis le 2 février 2025. Les obligations pour les modèles AI à usage général, les grands modèles de langage sur lesquels la plupart des équipes s'appuient désormais, s'appliquent à partir du 2 août 2025. La date la plus importante pour les entreprises ordinaires est le 2 août 2026, date à laquelle les exigences à haut risque et les sanctions financières entreront en vigueur. Le AI à haut risque intégré dans les produits réglementés a jusqu'au 2 août 2027.

Les sanctions sont dimensionnées pour se faire sentir. L'utilisation d'un système interdit peut coûter jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect des obligations à haut risque peut atteindre 15 millions d'euros, soit 3 pour cent du chiffre d'affaires. Fournir aux régulateurs des informations incorrectes ou trompeuses peut atteindre 7,5 millions d'euros, soit 1 pour cent. Ce sont des plafonds, adaptés à la violation, mais ils sont suffisamment élevés pour que « nous nous en occuperons plus tard » ne soit plus un plan.

À quoi ressemblent les obligations à haut risque dans la pratique

Supprimez le langage juridique et le régime à haut risque est pour l’essentiel une bonne discipline d’ingénierie, écrite. Vous avez besoin d'un processus de gestion des risques qui s'étend sur toute la durée de vie du système, et non d'une approbation ponctuelle. Vous avez besoin d’une gouvernance des données : savoir quelles sont vos données de formation et d’entrée, d’où elles proviennent et comment elles pourraient biaiser un résultat. Vous avez besoin d'une documentation technique et d'une journalisation automatique afin que, lorsqu'une décision est contestée, vous puissiez reconstituer la manière dont le système y est parvenu. Vous avez besoin d’une surveillance humaine significative, d’une personne capable de comprendre, d’outrepasser et d’arrêter le système, plutôt qu’un accord automatique. Et avant d’être mis en service, un système à haut risque nécessite une évaluation de la conformité et un enregistrement dans la base de données de l’UE.

Rien de tout cela n’est exotique. C'est la même discipline qui sépare un modèle qui s'exécute en production d'une démo qui fonctionne une fois.

Que faire maintenant

Une liste de contrôle courte et honnête vaut mieux qu’un classeur de conformité que personne ne lit.

  • Inventoriez chaque système AI que vous construisez ou achetez, y compris les fonctionnalités silencieusement alimentées par le modèle d'un fournisseur.
  • Classer chacun par niveau et être strict sur les zones à haut risque de l'annexe III.
  • Attribuez à chaque système à haut risque un propriétaire nommé. La conformité sans propriétaire ne se produit pas.
  • Démarrez la documentation technique et la journalisation maintenant, alors que le système est petit. Le moderniser plus tard coûte beaucoup plus.
  • Intégrez le chemin de la supervision humaine au produit, et non comme un ajout à la fin.
  • Lisez les conditions générales de votre fournisseur AI. Leurs obligations n’effacent pas les vôtres.

Mapper vos systèmes aux niveaux de risque de la loi et construire la documentation que chacun exige fait partie de notre travail de conseil AI.

À emporter

La loi AI vise moins à interdire le AI qu'à vous obliger à documenter et à superviser le AI qui prend des décisions conséquentes concernant les personnes. Pour les systèmes qui présentent clairement un risque minime ou limité, le travail est minime. Pour les systèmes à haut risque, le travail est réel et le 2 août 2026 est plus proche qu’il n’y paraît. Mappez d'abord vos systèmes aux niveaux. Presque tout le reste découle de la connaissance de votre position.

Vincent Wahidi

Auteur

Vincent Wahidi is the director of Encelyte, a computer engineer who builds production AI, automation, and custom software for enterprises across Cyprus and the wider region. He writes the strategy, cost and decision-maker pieces himself; the practical how-to guides are curated under the five mission-cat bylines below.

À lire ensuite

AI pour les hôtels et les opérateurs touristiques : au-delà du chatbot

Un problème qui mérite d'être résolu ?

Dites-nous ce que vous construisez ou corrigez. Nous vous répondrons dans un délai d'un jour ouvré avec une prochaine étape claire.