search Rechercher
Ulys logo
menu MENU

Cabinet d’avocats à Bruxelles et Paris
Leader en droit de l’innovation depuis 30 ans

Un procès en vue ?
Lisez le guide destiné à mieux vous préparer

Le portail du droit des technologies, depuis 1997
Powered by

Un site pour tout savoir sur le RGPD
Powered by

Accueil keyboard_arrow_right Actualités keyboard_arrow_right Detail

IA : que prévoit l’accord sur la simplification du règlement sur l’intelligence artificielle ?

Publié le par 36 vues

Breaking news : le Parlement européen et le Conseil se sont accordés sur une réécriture du règlement européen sur l’intelligence artificielle. Au programme : report des obligations applicables aux IA « à haut risque », simplification pour certains secteurs déjà fortement réglementés comme les dispositifs médicaux, nouvelles interdictions visant les deepfakes sexuels et réduction de…

Breaking news : le Parlement européen et le Conseil se sont accordés sur une réécriture du règlement européen sur l’intelligence artificielle. Au programme : report des obligations applicables aux IA « à haut risque », simplification pour certains secteurs déjà fortement réglementés comme les dispositifs médicaux, nouvelles interdictions visant les deepfakes sexuels et réduction de certains doublons administratifs. Le secteur médical, en particulier, attend avec impatience la version II du Règlement IA.

Le règlement européen sur l’intelligence artificielle, c’est quoi ?

Adopté en 2024, l’AI Act constitue le cadre juridique général consacré à l’intelligence artificielle.

Le texte repose sur une logique relativement simple : plus un système IA présente de risques, plus les obligations juridiques sont importantes.

Tout en haut de la pyramide du risque, certains usages sont totalement interdits.

A l’étage intermédiaire, d’autres usages dits « à haut risque » sont autorisés mais soumis à des obligations strictes. Cela vise les systèmes d’IA susceptibles d’avoir un impact important sur la santé, la sécurité ou les droits fondamentaux. Sont notamment concernés certains systèmes utilisés dans les domaines de la santé, des dispositifs médicaux, du recrutement, de l’éducation, des infrastructures critiques, ou encore du contrôle aux frontières. Pour ces systèmes à haut risque, l’AI Act prévoit notamment des obligations de gestion des risques, de documentation technique, de gouvernance des données, de supervision humaine et d’évaluation de conformité.

En bas de la pyramide, on trouve les usages banals et non-risqués, pour lesquels l’obligation principale est la transparence (ne pas faire passer pour un traitement humain ce qui est produit par une IA).

Pourquoi l’Union européenne veut-elle déjà modifier le texte ?

Dans un contexte de concurrence internationale et de préoccupations liées à la compétitivité européenne, la Commission européenne estime que certaines obligations européennes sont devenues trop complexes ou trop lourdes, en particulier pour les PME et les entreprises technologiques.

L’AI Act est rapidement devenu l’un des symboles de ce débat : le secteur IT au sens large prend du retard par rapport aux concurrents Américains et Chinois.

De nombreuses entreprises et organisations sectorielles ont notamment critiqué le coût de mise en conformité, les obligations administratives, le manque de standards techniques finalisés, et le risque de chevauchement avec d’autres réglementations sectorielles déjà très strictes. Le problème est particulièrement visible dans des secteurs déjà fortement réglementés, comme les dispositifs médicaux (voir infra).

L’accord politique annoncé hier s’inscrit donc dans une logique de rationalisation.

Agenda : l’entrée en vigueur des règles applicables aux IA à haut risque est postposée

La modification la plus visible concerne le calendrier.

Dans le texte actuellement en vigueur, les obligations applicables aux systèmes d’IA à haut risque devaient commencer à s’appliquer à partir du 2 août 2026.

L’accord politique prévoit désormais un report :

  • au 2 décembre 2027 pour les systèmes d’IA à haut risque visés à l’annexe III de l’AI Act ;
  • au 2 août 2028 pour les systèmes d’IA utilisés comme composants de sécurité dans certains produits déjà couverts par une législation sectorielle européenne en matière de sécurité et de surveillance du marché.

Autrement dit, les entreprises concernées disposeraient de davantage de temps pour se préparer.

Selon les informations communiquées par les institutions européennes, ces nouvelles dates seraient fixes et ne dépendraient plus de la disponibilité des standards techniques ou des lignes directrices européennes. Le Parlement européen présente toutefois ce report comme destiné à laisser davantage de temps pour la mise en place des normes techniques et des mesures d’accompagnement nécessaires à l’application du règlement.

Les IA destinées à produire du contenu sexuel sont spécifiquement visées

Les négociateurs européens ont décidé d’ajouter à la liste des pratiques interdites certains systèmes d’IA destinés à générer :

  • des contenus sexuels ou intimes non consentis ;
  • ou des contenus relatifs à des abus sexuels sur enfants.

Cette modification vise notamment les phénomènes dits de « déshabillage » (« undressing apps »), les deepfakes sexuels et certains usages criminels de l’IA générative.

Moins de doublons pour les secteurs déjà réglementés

L’un des aspects les plus techniques, mais aussi les plus importants en pratique, concerne l’articulation entre l’AI Act et certaines réglementations sectorielles européennes.

L’accord semble vouloir éviter qu’une même entreprise doive satisfaire deux fois à des obligations très proches lorsque le produit développé est mixte sur le plan règlementaire.

Un compromis a ainsi été trouvé pour les secteurs déjà soumis à des réglementations européennes spécifiques, comme les dispositifs médicaux (voir infra), les machines, les jouets ou certains équipements industriels.

L’idée générale est la suivante : lorsque la législation sectorielle contient déjà des exigences comparables à celles de l’AI Act, les entreprises ne devraient plus devoir satisfaire simultanément aux deux ensembles d’obligations pour les mêmes aspects de sécurité et de conformité.

Ceux qui sont familiers du RGPD feront aussitôt le rapprochement avec l’article 95 qui suit une logique similaire : le lien entre le RGPD et la directive 2002/58/CE est posé, selon la même idée, sur la notion de « obligations spécifiques ayant le même objectif ».

Les exigences liées à l’IA ne disparaissent donc pas et l’accord compromis prévoit au contraire des garanties destinées à maintenir un niveau équivalent de protection en matière de santé et de sécurité.

L’idée est plutôt de ne pas bégayer : si une règlementation sectorielle (lex specialis) prescrit une obligation, on part de l’idée qu’une obligation qui poursuit le même objet dans l’IA act (lex generalis) est, du même coup, satisfaite.

En pratique, l’objectif paraît surtout être d’éviter les doubles procédures, les doubles documents et les doubles obligations administratives.

En filigrane, nous y voyons la confirmation d’une critique récurrente : le règlement a définit trop largement les IA à haut risque, se fondant sur une approche craintive. En pratique, on doit trop souvent annoncer au développeur que son IA, quoique somme toute peu risquée concrètement, tombe formellement dans la catégorie à « haut risque », l’amenant à renoncer par manque de fonds, de temps ou de compétence. Poser le principe du non-doublon est une manière d’alléger la pression sans toucher aux définitions.

D’autres modifications plus ciblées

L’accord provisoire contient également plusieurs modifications plus techniques.

Il prévoit notamment :

  • le maintien de certaines obligations d’enregistrement dans la base de données européenne pour certains systèmes bénéficiant d’exemptions ;
  • un report de certaines obligations de transparence applicables aux contenus générés par IA ;
  • un élargissement limité des possibilités d’utiliser certaines données sensibles afin de détecter et corriger des biais algorithmiques ;
  • ainsi qu’une clarification des compétences respectives du Bureau européen de l’IA et des autorités nationales.

Certaines propositions initiales de simplification formulées par la Commission européenne semblent par ailleurs avoir été limitées ou encadrées par le Parlement européen et le Conseil.

L’exemple des dispositifs médicaux intégrant de l’IA

Le problème est particulièrement visible dans le secteur des dispositifs médicaux, et notamment des logiciels médicaux utilisant l’intelligence artificielle.

Prenons un exemple concret : un logiciel capable d’analyser des images médicales afin d’aider un médecin à détecter un cancer ou à proposer un diagnostic à partir des données de santé d’un patient. Ce logiciel, qui ne prend pas les images mais analyse des images existantes, peut déjà être considéré comme un dispositif médical au sens du règlement européen MDR (« Medical Devices Regulation »). On parle alors de « Software as a Medical Device ».

Mais ce même logiciel risque aussi être qualifié de système d’IA au sens de l’AI Act. Il tombera sans doute dans la catégorie des IA à haut risque en raison de son utilisation spécifique dans le secteur médical et la pose d’un diagnostic, et le MDR considère comme sensibles les logiciels qui servent à aider à des décisions diagnostiques ou thérapeutiques.

Le fabricant se retrouve alors face à une double réglementation.

  • D’un côté, le MDR impose déjà : une analyse des risques ; une documentation technique ; des exigences de sécurité et de performance ; des procédures d’évaluation de conformité ; un marquage CE ; et souvent l’intervention d’un organisme notifié.
  • De l’autre, l’AI Act prévoit lui aussi, pour les systèmes d’IA à haut risque : des mécanismes de gestion des risques ; des exigences de gouvernance des données ; une documentation technique ; des obligations de supervision humaine ; des procédures de conformité ; et, là aussi, un marquage CE.

Le problème ne concerne pas uniquement les logiciels. Certains dispositifs physiques intégrant de l’IA peuvent également être concernés : robots chirurgicaux ; appareils d’imagerie médicale ; systèmes d’échographie ; dispositifs de surveillance automatisée de patients ; etc.

L’idée générale de l’accord politique est la suivante : si la réglementation sectorielle contient déjà des garanties équivalentes en matière de sécurité, de contrôle ou de gestion des risques, il n’est pas nécessaire d’imposer une seconde couche au titre de l’AI Act.

Il faudra encore voir comment, en pratique, cela aidera les entreprises car l’objectif ne semble pas être de déréglementer l’IA médicale, mais plutôt éviter que les fabricants doivent remplir deux fois des obligations très proches pour un même produit.

Un accord politique, qui sera suivi d’un texte définitif

Il est important de rappeler que l’accord doit encore être approuvé formellement par le Parlement européen et le Conseil avant son adoption officielle. Même si l’issue politique paraît aujourd’hui relativement claire, le contenu précis des modifications pourrait encore évoluer, mais à la marge.

Droit & Technologies

Publié dans

Thèmes
Tags #####

Auteurs

Etienne Wery

 Suivez-moi sur LinkedIn

Lui écrire Ses 1368 contributions

Soyez le premier au courant !

Inscrivez-vous à notre lettre d’informations

close

En poursuivant votre navigation sur notre site, vous acceptez l’utilisation de cookies afin de nous permettre d’améliorer votre expérience utilisateur. En savoir plus

OK