Impression personnalisée

Sélectionnez les paragraphes que vous désirez imprimer

IA Act : ses fondements et son articulation avec le RGPD

Face à l'essor de l'intelligence artificielle, une réglementation européenne était nécessaire, afin d'encourager le développement, la mise sur le marché et l'utilisation des systèmes d'IA tout en garantissant la protection de la santé, de la sécurité et des droits fondamentaux des personnes. En quelques mots, il s'agit de promouvoir une IA axée sur l’humain et digne de confiance. C'est chose faite avec l'IA Act, entré en vigueur le 1er août 2024.

Par ailleurs, en raison des nombreuses interrogations que l'IA Act suscite, la CNIL a publié une série de questions-réponses afin, d'une part, d'en présenter la quintessence et, d'autre part, d'apporter des précisions sur son articulation avec le RGPD.

Voici ses principales dispositions et les précisions de la CNIL (Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle ; CNIL, « Entrée en vigueur du règlement européen sur l’IA : les premières questions-réponses de la CNIL », 12 juillet 2024).

L'IA Act doit permettre de promouvoir l’adoption d’une IA axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux.

Il est entré en vigueur le 1er août 2024 et sera applicable à partir du 2 août 2026. Toutefois, certaines dispositions seront applicables dès 2025 et d'autres ne s’appliqueront qu'à compter de 2027.

L'IA Act classe les systèmes d'IA selon leur niveau de risque. Quatre niveaux de risque sont définis : risque inacceptable, haut risque, risque spécifique en matière de transparence et risque minimal.

L'IA Act encadre aussi une nouvelle catégorie de modèles dits à usage général.

Le RGPD s’applique aux données personnelles traitées pour ou par les systèmes d’IA, y compris lorsqu’ils sont soumis aux exigences de l'IA Act.

L'IA Act ne remplace pas les exigences du RGPD, il les complète et prend le relais du RGPD sur certains points bien définis.

L'IA Act et le RGPD prévoient tous deux des obligations de transparence et de documentation, qui sont complémentaires.

Objectifs de l'IA Act

L’objectif du règlement (UE) 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, dit « règlement sur l’intelligence artificielle/RIA » ou « IA Act », est d’améliorer le fonctionnement du marché intérieur et de promouvoir l’adoption d’une intelligence artificielle (IA) axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l'Union européenne/UE (démocratie, état de droit, protection de l’environnement...), contre les effets néfastes des systèmes d’IA dans l’UE, et en soutenant l’innovation (règlt (UE) 2024/1689, art. 1er).

L'IA Act établit :

-des règles harmonisées concernant la mise sur le marché, la mise en service et l’utilisation de systèmes d’IA dans l’UE (chapitre I) ;

-l’interdiction de certaines pratiques en matière d’IA (chapitre II) ;

-des exigences spécifiques applicables aux systèmes d’IA à haut risque et des obligations imposées aux opérateurs de ces systèmes (chapitre III) ;

-des règles harmonisées en matière de transparence applicables à certains systèmes d’IA (chapitre IV) ;

-des règles harmonisées pour la mise sur le marché de modèles d’IA à usage général (chapitre V) ;

-des règles relatives au suivi et à la surveillance du marché, à la gouvernance et à l’application des règles (chapitres VII à XIII) ;

-des mesures visant à soutenir l’innovation, en mettant particulièrement l’accent sur les PME, y compris les jeunes pousses (chapitre VI).

Entrée en vigueur et application de l'IA Act

Publié au JOUE le 12 juillet 2024, le RIA est entré en vigueur 20 jours après, soit le 1er août 2024 (règlt (UE) 2024/1689, art. 113). L’entrée en application se fera, ensuite, par échelons :

-2 février 2025 : application des dispositions relatives aux pratiques interdites en matière d'IA (risque inacceptable) ;

-2 août 2025 : application des dispositions relatives aux modèles d’IA à usage général ;

-2 août 2026 : application de toutes les dispositions du RIA, en particulier celles relatives aux systèmes d'IA à haut risque de l'annexe III (systèmes d'IA dans les domaines de la biométrie, des infrastructures critiques, de l'éducation, de l'emploi, de l'accès aux services publics essentiels, de l'application de la loi, de l'immigration et de l'administration de la justice), et mise en œuvre par les autorités des États membres d’au moins un « bac à sable réglementaire » (voir précision ci-après) ;

-2 août 2027 : application des règles relatives aux systèmes d'IA à haut risque de l'annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l'aviation civile, véhicules agricoles...).

L’entrée en application s’appuiera sur des « normes harmonisées » au niveau européen, qui doivent définir précisément les exigences applicables aux systèmes d’IA concernés. Dix normes sont actuellement en cours de rédaction. La CNIL participe activement à leur élaboration depuis janvier 2024.

Champ d'application de l'IA Act

Le tableau ci-après présente les acteurs, domaines et systèmes d'IA auxquels l'IA Act s'applique et ceux qui n'y sont pas soumis.

Champ d'application de l'IA Act (règlt (UE) 2024/1689, art. 2)

Application de l'IA Act

Non-application de l'IA Act

Fournisseurs établis ou situés dans l’UE ou dans un pays tiers qui mettent sur le marché ou mettent en service des systèmes d’IA ou qui mettent sur le marché des modèles d’IA à usage général dans l’UE

Domaines qui ne relèvent pas du champ d’application du droit de l’UE

Déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans l’UE

Systèmes d’IA si et dans la mesure où ils sont mis sur le marché, mis en service ou utilisés avec ou sans modifications exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités

Fournisseurs et déployeurs de systèmes d’IA qui ont leur lieu d’établissement ou sont situés dans un pays tiers, lorsque les sorties produites par le système d’IA sont utilisées dans l’UE

Systèmes d’IA qui ne sont pas mis sur le marché ou mis en service dans l’UE, lorsque les sorties sont utilisées dans l’UE exclusivement à des fins militaires, de défense ou de sécurité nationale, quel que soit le type d’entité exerçant ces activités

Importateurs et distributeurs de systèmes d’IA

Autorités publiques d’un pays tiers et organisations internationales relevant du champ d’application de l'IA Act (voir ci-contre), lorsqu'elles utilisent des systèmes d’IA dans le cadre de la coopération internationale ou d’accords internationaux de coopération des services répressifs et judiciaires avec l’UE ou avec un ou plusieurs États membres, à condition que ce pays tiers ou cette organisation internationale fournisse des garanties adéquates en ce qui concerne la protection des droits fondamentaux et des libertés des personnes

Fabricants de produits qui mettent sur le marché ou mettent en service un système d’IA en même temps que leur produit et sous leur propre nom ou leur propre marque

Systèmes ou modèles d’IA spécifiquement développés et mis en service uniquement à des fins de recherche et développement scientifiques, et leurs sorties

Mandataires des fournisseurs qui ne sont pas établis dans l’UE

Activités de recherche, d’essai et de développement relatives aux systèmes ou modèles d’IA avant leur mise sur le marché ou leur mise en service (1)

Personnes concernées qui sont situées dans l’UE

Déployeurs personnes physiques utilisant des systèmes d’IA dans le cadre d’une activité strictement personnelle à caractère non professionnel

Systèmes d’IA publiés dans le cadre de licences libres et ouvertes, sauf s’ils sont mis sur le marché ou mis en service en tant que systèmes d’IA à haut risque ou en tant que systèmes d’IA qui relèvent de l’article 5 (pratiques interdites en matière d'IA) ou de l’article 50 (systèmes d'IA soumis à des obligations de transparence)

(1) Les essais en conditions réelles ne sont pas couverts par cette exclusion.

En ce qui concerne les systèmes d’IA classés à haut risque (règlt 2024/1689, art. 6, § 1), liés aux produits couverts par la législation d’harmonisation de l’UE (règlt précité, annexe I, section B), seuls les articles 6, paragraphe 1, 102 à 109 et 112 s’appliquent. L’article 57 relatif aux « bacs à sable réglementaires » de l'IA (voir ci-après) ne s’applique que dans la mesure où les exigences applicables aux systèmes d’IA à haut risque ont été intégrées dans ladite législation d’harmonisation de l’UE.

Un bac à sable réglementaire de l’IA est un cadre contrôlé mis en place par une autorité compétente qui offre aux fournisseurs (potentiels) de systèmes d’IA la possibilité de développer, d’entraîner, de valider et de tester, lorsqu’il y a lieu en conditions réelles, un système d’IA innovant (règlt 2024/1689, art. 3, 55).

Par ailleurs, l'IA Act :

-n’affecte pas l’application des dispositions relatives à la responsabilité des prestataires intermédiaires énoncées au chapitre II du règlement (UE) 2022/2065 relatif à un marché unique des services numériques ;

-n’a pas d’incidence sur les dispositions européennes en matière de protection des données à caractère personnel (RGPD en particulier), sauf dans la mesure où cela est strictement nécessaire aux fins de la détection et de la correction des biais en ce qui concerne les systèmes d’IA à haut risque, ou en vue du développement de certains systèmes d’IA dans l’intérêt public, sous certaines conditions dans les deux cas (règlt 2024/1689, art. 10, § 5 et art. 59) ;

-s’entend sans préjudice des règles établies par d’autres actes juridiques de l’UE relatifs à la protection des consommateurs et à la sécurité des produits ;

-n’empêche pas l’UE ou les États membres de maintenir ou d’introduire des dispositions législatives, réglementaires ou administratives plus favorables aux travailleurs quant à la protection de leurs droits en ce qui concerne l’utilisation de systèmes d’IA par les employeurs, ou d’encourager ou de permettre l’application de conventions collectives plus favorables aux travailleurs.

Classement des systèmes d'IA selon les risques

Afin de définir des règles contraignantes pour les systèmes d'IA, l'IA Act propose une approche fondée sur les risques et classe ces systèmes en fonction des risques qu'ils peuvent générer, selon les 4 niveaux suivants :

-risque inacceptable : le RIA interdit un ensemble limité de pratiques contraires aux valeurs de l'UE et aux droits fondamentaux (par exemple, la notation sociale, l’exploitation de la vulnérabilité des personnes, le recours à des techniques subliminales...) (règlt 2024/1689, chapitre II, art. 5) ;

-haut risque : sont concernés les systèmes d'IA qui peuvent porter atteinte à la sécurité des personnes ou à leurs droits fondamentaux, ce qui justifie que leur développement soit soumis à des exigences renforcées (évaluations de conformité, documentation technique, mécanismes de gestion des risques). Ces systèmes sont listés dans l’annexe I pour les systèmes intégrés dans des produits qui font déjà l’objet d’une surveillance de marché (dispositifs médicaux, jouets, véhicules, etc.) et dans l’annexe III pour les systèmes utilisés dans huit domaines spécifiques. Sont, par exemple, des systèmes d’IA à haut risque les systèmes biométriques, les systèmes utilisés dans le recrutement, ou pour des usages répressifs (règlt 2024/1689, chapitre III, art. 6 à 49) ;

-risque spécifique en matière de transparence : le RIA soumet des systèmes d'IA à des obligations de transparence spécifiques, notamment en cas de risque manifeste de manipulation (par exemple, le recours à des chatbots ou à la génération de contenu artificiel) (règlt 2024/1689, chapitre IV, art. 50) ;

-risque minimal : pour tous les autres systèmes d'IA, le RIA ne prévoit pas d’obligation spécifique. Il s’agit de la très grande majorité des systèmes d’IA actuellement utilisés dans l'UE (règlt 2024/1689, chapitre V, art. 51 à 56).

Le cas particulier des modèles d’IA à usage général

Le RIA encadre aussi une nouvelle catégorie de modèles dits à usage général, notamment dans le domaine de l’IA générative. Ces modèles se définissent par leur capacité à servir à un grand nombre de tâches (comme les grands modèles de langage, ou LLM), ce qui les rend difficiles à classer dans les catégories précédentes.

Pour cette catégorie, le RIA prévoit plusieurs niveaux d’obligation, allant de mesures de transparence et de documentation minimales (règlt (UE) 2024/1689, art. 53) à une évaluation approfondie et à la mise en place de mesures d’atténuation des risques systémiques que certains de ces modèles pourraient comporter, notamment en raison de leur puissance : risques d’accidents majeurs, d’utilisation à mauvais escient pour lancer des cyberattaques, propagation de biais préjudiciables (relatifs au genre, par exemple)... (règlt (UE) 2024/1689, considérant 110).

Le tableau ci-après synthétise les règles relatives à cette classification et présente, en fonction du risque, les exigences applicables et/ou les obligations incombant aux fournisseurs et déployeurs des systèmes/modèles d'IA.

Les règles applicables en fonction du niveau de risque en matière d'IA

Niveau de risque

Règles de classification

Exigences applicables et/ou obligations incombant aux fournisseurs et déployeurs

Pratiques inacceptables / interdites en matière d’IA

(règlt 2024/1689, chapitre II, art. 5)

Mise sur le marché, mise en service ou utilisation d’un système d’IA qui :

-a recours à des techniques subliminales ou délibérément manipulatrices ou trompeuses, portant considérablement atteinte à la capacité de la personne à prendre une décision éclairée ;

-exploite les éventuelles vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique spécifique d’une personne avec pour objectif ou effet d’altérer substantiellement le comportement de cette personne ;

-évalue ou classifie des personnes en fonction de leur comportement social ou de caractéristiques personnelles ;

-vise à évaluer ou à prédire le risque qu’une personne commette une infraction pénale, uniquement sur la base de son profilage ou de l’évaluation de ses traits de personnalité ou caractéristiques (1) ;

-crée ou développe des bases de données de reconnaissance faciale ;

-infère les émotions d’une personne sur le lieu de travail et dans les établissements d’enseignement, sauf pour des raisons médicales ou de sécurité ;

-catégorise individuellement les personnes sur la base de leurs données biométriques (2) ;

-est destiné à l'identification biométrique à distance en temps réel dans des espaces accessibles au public à des fins répressives, sauf si et dans la mesure où cette utilisation est strictement nécessaire pour la recherche ciblée de victimes d’enlèvement, de traite ou d'exploitation sexuelle, ainsi que de personnes disparues, pour la prévention d’une menace imminente pour la vie ou la sécurité physique des personnes ou d’une menace d’attaque terroriste ou pour la localisation ou l’identification d’une personne soupçonnée d’avoir commis une infraction pénale (3).

N/A

Systèmes d’IA à haut risque

(règlt 2024/1689, chapitre III, art. 6 à 49)

1. Systèmes d'IA mis sur le marché ou mis en service qui remplissent les deux conditions suivantes (règlt 2024/1689, art. 6, 1.) :

-le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation d’harmonisation de l’UE (qui font déjà l’objet d’une surveillance de marché) dont la liste figure à l’annexe I (dispositifs médicaux, jouets, véhicules, etc.), ou le système d’IA constitue lui-même un tel produit ;

-le produit dont le composant de sécurité est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de conformité par un tiers en vue de sa mise sur le marché ou de sa mise en service conformément à cette même législation.

2. Systèmes d’IA visés à l’annexe III, sauf s'ils ne présentent pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques, sous conditions et à documenter, mais toujours s'ils effectuent un profilage de personnes (règlt 2024/1689, art. 6, 2., 3. et 4.) (4).

Exigences applicables à ces systèmes (règlt 2024/1689, art. 9 à 15)

1. Un système de gestion des risques doit être établi, mis en œuvre, documenté et tenu à jour.

2. Les jeux de données d’entraînement, de validation et de test utilisés doivent satisfaire à certains critères de qualité (pertinence, disponibilité, adéquation, représentativité, exactitude, complétude, sécurisation et protection...).

3. La documentation technique relative à ces systèmes est établie avant qu'ils ne soient mis sur le marché ou mis en service et est tenue à jour.

4. Ces systèmes permettent, techniquement, l’enregistrement automatique des événements (journaux) tout au long de leur durée de vie pour une meilleure traçabilité.

5. Un type et un niveau adéquats de transparence sont garantis afin de veiller au respect des obligations pertinentes incombant au fournisseur et au déployeur (voir ci-après). Ces systèmes sont accompagnés d’une notice d’utilisation.

6. Un contrôle humain est effectué (proportionné aux risques, au niveau d’autonomie et au contexte d’utilisation du système) pendant leur période d’utilisation.

7. Ces systèmes doivent atteindre un niveau approprié d’exactitude, de robustesse et de cybersécurité, être résilients en cas de survenance d’erreurs, de défaillances ou d’incohérences et résister aux tentatives de tiers non autorisés visant à modifier leur utilisation, leurs sorties ou leur performance en exploitant leurs vulnérabilités.

Obligations incombant aux fournisseurs de ces systèmes (règlt 2024/1689, art. 16 à 21) (5)

1. Veiller à ce que leurs systèmes soient conformes aux exigences précitées.

2. Indiquer sur le système ou, lorsque cela n’est pas possible, sur son emballage ou dans la documentation l’accompagnant, selon le cas, leur nom, leur raison sociale ou la marque déposée, et l’adresse à laquelle ils peuvent être contactés, ainsi que le marquage CE afin d’indiquer la conformité avec l'IA Act (règlt 2024/1689, art. 48).

3. Mettre en place un système de gestion de la qualité.

4. Conserver la documentation pendant 10 ans.

5. Assurer la tenue des journaux générés automatiquement par leurs systèmes, lorsque ces journaux se trouvent sous leur contrôle.

6. Veiller à ce que leur système soit soumis à la procédure d’évaluation de la conformité applicable (règlt 2024/1689, art. 43), avant sa mise sur le marché ou sa mise en service.

7. Élaborer une déclaration UE de conformité aux exigences précitées (règlt 2024/1689, art. 47).

8. Respecter les obligations en matière d’enregistrement dans la base de données de l'UE (règlt 2024/1689, art. 49, §§ 1 et 71).

9. Prendre les mesures correctives nécessaires pour mettre le système en conformité, le retirer, le désactiver ou le rappeler, selon le cas, et fournir les informations aux personnes concernées.

10. À la demande motivée d’une autorité nationale compétente, prouver la conformité du système avec les exigences précitées.

11. Veiller à ce que le système soit conforme aux exigences en matière d’accessibilité conformément aux directives (UE) 2016/2102 et (UE) 2019/882.

Obligations incombant aux déployeurs de ces systèmes (règlt 2024/1689, art. 26 et 27) (6)

1. Prendre des mesures techniques et organisationnelles appropriées afin de garantir qu’ils utilisent ces systèmes conformément aux notices d’utilisation qui les accompagnent, sans préjudice de leurs autres obligations prévues par le droit de l’UE ou le droit national et de leur faculté d’organiser la mise en œuvre des mesures de contrôle humain indiquées par le fournisseur et en assurant la tenue des journaux générés automatiquement par ces systèmes.

2. Confier le contrôle humain à des personnes physiques disposant des compétences, de la formation, de l’autorité et du soutien nécessaires.

3. Pour autant qu'ils exercent un contrôle sur les données d’entrée, veiller à ce que ces dernières soient pertinentes et suffisamment représentatives au regard de la destination du système.

4. Surveiller le fonctionnement du système sur la base de la notice d’utilisation et, le cas échéant, informer les fournisseurs (règlt 2024/1689, art. 72).

5. S'ils sont employeurs, avant de mettre en service ou d’utiliser un système d’IA à haut risque sur le lieu de travail, informer les représentants des travailleurs et les travailleurs concernés qu’ils seront soumis à l’utilisation de ce système.

6. S'ils sont des autorités publiques ou des institutions, organes ou organismes de l’UE, respecter les obligations en matière d’enregistrement (règlt 2024/1689, art. 49).

7. Le cas échéant, utiliser les informations fournies en application de l’article 13 (notice d'utilisation) pour se conformer à leur obligation de procéder à une analyse d’impact relative à la protection des données (AIPD) (RGPD, art. 35).

8. S'ils sont visés à l’annexe III et prennent des décisions ou facilitent les prises de décision concernant des personnes physiques, informer lesdites personnes qu’elles sont soumises à l’utilisation du système d’IA à haut risque.

9. Coopérer avec les autorités compétentes concernées.

Avant le déploiement d’un système d’IA à haut risque visé à l'annexe III, à l’exception de ceux destinés à être utilisés dans des infrastructures critiques (annexe III, point 2), certains déployeurs (organismes de droit public, déployeurs de systèmes d’IA destinés à être utilisés pour évaluer la solvabilité des personnes, pour évaluer les risques et la tarification en matière d'assurance-vie et d'assurance maladie... [annexe III, points 5), b) et c)]) effectuent une analyse de l’impact sur les droits fondamentaux que l’utilisation de ce système peut produire.

Certains systèmes d’IA nécessitant une transparence accrue

(règlt 2024/1689, chapitre IV, art. 50)

Sont concernés :

-les systèmes d’IA destinés à interagir directement avec des personnes physiques ;

-les systèmes d’IA, y compris à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte ;

-les systèmes de reconnaissance des émotions ou de catégorisation biométrique ;

-les systèmes d’IA qui génèrent ou manipulent des images ou des contenus audio ou vidéo constituant un hypertrucage (deepfake en anglais) ou des textes publiés dans le but d’informer le public sur des questions d’intérêt public.

1. Les fournisseurs veillent à ce que les systèmes d’IA destinés à interagir directement avec des personnes physiques soient conçus et développés de manière à ce que ces personnes physiques soient informées qu’elles interagissent avec un système d’IA, sauf si cela ressort clairement du point de vue d’une personne physique normalement informée et raisonnablement attentive et avisée (7).

2. Les fournisseurs de systèmes d’IA, y compris à usage général, qui génèrent des contenus de synthèse de type audio, image, vidéo ou texte, veillent à ce que les sorties des systèmes d’IA soient marquées dans un format lisible par machine et identifiables comme ayant été générées ou manipulées par une IA. Les fournisseurs veillent à ce que leurs solutions techniques soient aussi efficaces, interopérables, solides et fiables que la technologie le permet (7) (8).

3. Les déployeurs d’un système de reconnaissance des émotions ou de catégorisation biométrique informent les personnes physiques qui y sont exposées du fonctionnement du système et traitent les données à caractère personnel conformément au RGPD, au règlement (UE) 2018/1725 et à la directive (UE) 2016/680, selon le cas (7).

4. Les déployeurs d’un système d’IA qui génère ou manipule des images ou des contenus audio ou vidéo constituant un hypertrucage ou des textes publiés dans le but d’informer le public sur des questions d’intérêt public indiquent que les contenus/textes ont été générés ou manipulés par une IA (7) (9).

Lorsque le contenu fait partie d’une œuvre d'art, cette obligation se limite à la divulgation de l’existence de tels contenus générés ou manipulés d’une manière appropriée qui n’entrave pas l’affichage ou la jouissance de l’œuvre.

Modèles d'IA à usage général

(règlt 2024/1689, chapitre V, art. 51 à 56)

Un modèle d’IA à usage général est classé comme modèle d’IA à usage général présentant un risque systémique s’il remplit l’une des conditions suivantes (règlt 2024/1689, art. 51) :

-il dispose de capacités à fort impact (quantité cumulée de calculs utilisée pour son entraînement mesurée en opérations en virgule flottante supérieure à 1025) évaluées sur la base de méthodologies et d’outils techniques appropriés, y compris des indicateurs et des critères de référence ;

-sur la base d’une décision de la Commission, d’office ou à la suite d’une alerte qualifiée du groupe scientifique (voir ci-après), il possède des capacités ou un impact équivalents à ceux énoncés ci-dessus, compte tenu des critères définis à l’annexe XIII.

Obligations incombant aux fournisseurs de modèles d’IA à usage général (règlt 2024/1689, art. 53) (10)

1. Élaborer et tenir à jour la documentation technique du modèle (annexe XI) aux fins de la fournir, sur demande, au Bureau de l’IA (voir ci-après) et aux autorités nationales compétentes (11).

2. Élaborer, tenir à jour et mettre à disposition des informations et de la documentation à l’intention des fournisseurs de systèmes d’IA qui envisagent d’intégrer le modèle d’IA à usage général dans leurs systèmes d’IA (11).

3. Mettre en place une politique visant à se conformer au droit de l’UE en matière de droits d’auteur et droits voisins.

4. Élaborer et mettre à la disposition du public un résumé suffisamment détaillé du contenu utilisé pour entraîner le modèle d’IA à usage général, conformément à un modèle fourni par le Bureau de l’IA.

5. Coopérer, en tant que de besoin, avec la Commission et les autorités nationales compétentes.

6. Lorsqu'elles seront publiées, respecter les normes européennes harmonisées pour démontrer le respect des obligations précitées (points 1 à 4). Dans l'attente, s’appuyer sur des codes de bonnes pratiques (règlt 2024/1689, art. 56).

Obligations incombant aux fournisseurs de modèles d’IA à usage général présentant un risque systémique (règlt 2024/1689, art. 55)

1. Outre les obligations précitées, effectuer une évaluation des modèles sur la base de protocoles et d’outils normalisés reflétant l’état de la technique, en vue d’identifier et d’atténuer les risques systémiques.

2. Évaluer et atténuer les risques systémiques éventuels au niveau de l’UE, y compris leurs origines, qui peuvent découler du développement, de la mise sur le marché ou de l’utilisation de ces modèles d’IA.

3. Suivre, documenter et communiquer sans retard injustifié au Bureau de l’IA et, le cas échéant, aux autorités nationales compétentes les informations pertinentes concernant les incidents graves ainsi que les éventuelles mesures correctives pour y remédier.

4. Garantir un niveau approprié de protection en matière de cybersécurité pour ces modèles d’IA et leur infrastructure physique.

(1) Cette interdiction ne s’applique pas aux systèmes d’IA utilisés pour étayer l’évaluation humaine de l’implication d’une personne dans une activité criminelle, qui est déjà fondée sur des faits objectifs et vérifiables, directement liés à une activité criminelle.

(2) Cette interdiction ne couvre pas l’étiquetage ou le filtrage d’ensembles de données biométriques acquis légalement, tels que des images, fondés sur des données biométriques ou la catégorisation de données biométriques dans le domaine répressif.

(3) Cette utilisation strictement nécessaire n’est autorisée que pour confirmer l’identité de la personne spécifiquement ciblée et si l’autorité répressive a réalisé une analyse d’impact sur les droits fondamentaux (règlt 2024/1689, art. 27) et a enregistré le système dans la base de données de l’UE (règlt 2024/1689, art. 49). Elle doit également respecter les garanties et conditions nécessaires et proportionnées en ce qui la concerne, conformément au droit national qui l’autorise.

(4) L'annexe III pourra être modifiée, sous conditions (règlt 2024/1689, art. 7).

(5) Les fournisseurs établis dans des pays tiers désignent, par mandat écrit, un mandataire établi dans l’UE (règlt 2024/1689, art. 22). Par ailleurs, s'appliquent des obligations spécifiques aux importateurs (règlt 2024/1689, art. 23) et aux distributeurs (règlt 2024/1689, art. 24) de systèmes d'IA, ainsi que des responsabilités tout au long de la chaîne de valeur de l’IA (règlt 2024/1689, art. 25).

(6) Des obligations spécifiques s'appliquent aux déployeurs d’un système d’IA à haut risque pour l’identification biométrique à distance a posteriori, dans le cadre d’une enquête en vue de la recherche d’une personne soupçonnée d’avoir commis une infraction pénale ou condamnée pour avoir commis une telle infraction.

(7) Cette obligation ne s’applique pas aux systèmes d’IA dont la loi autorise l’utilisation à des fins de prévention ou de détection des infractions pénales, d’enquêtes ou de poursuites en la matière, sous réserve de garanties appropriées pour les droits et libertés des tiers.

(8) Cette obligation ne s’applique pas dans la mesure où les systèmes d’IA remplissent une fonction d’assistance pour la mise en forme standard ou ne modifient pas de manière substantielle les données d’entrée fournies par le déployeur ou leur sémantique.

(9) Pour les textes, cette obligation ne s’applique pas lorsque le contenu généré par l’IA a fait l’objet d’un processus d’examen humain ou de contrôle éditorial et lorsqu’une personne physique ou morale assume la responsabilité éditoriale de la publication du contenu.

(10) Avant de mettre un modèle d’IA à usage général sur le marché de l’UE, les fournisseurs établis dans des pays tiers désignent, par mandat écrit, un mandataire établi dans l’UE (règlt 2024/1689, art. 54).

(11) Ces obligations ne s’appliquent pas aux fournisseurs de modèles d’IA qui sont publiés dans le cadre d’une licence libre et ouverte permettant de consulter, d’utiliser, de modifier et de distribuer le modèle, et dont les paramètres sont rendus publics. Cette exception ne s’applique pas aux modèles d’IA à usage général présentant un risque systémique.

Cadre de gouvernance de l'IA

Au niveau européen

La coopération européenne, visant à permettre une application cohérente du RIA, est bâtie autour du Comité européen de l’IA (règlt (UE) 2024/1689, art. 65 et 66). Cet organe rassemble des représentants de chaque État membre ainsi que, à titre d’observateur, le Contrôleur européen de la protection des données (l’homologue de la CNIL auprès des institutions européennes). Le Bureau de l'IA (nouvellement créé) y participe, mais sans droit de vote.

Le Bureau de l'IA a pour mission de développer l’expertise et les capacités de l’UE dans le domaine de l’IA ainsi que de contribuer à la mise en œuvre de la législation de l’UE sur l’IA (règlt 2024/1689, art. 64).

Par ailleurs, le RIA introduit deux autres instances :

-un forum consultatif, pour fournir une expertise technique et conseiller le Comité IA et la Commission, ainsi que pour recueillir les contributions des parties concernées en vue de la mise en œuvre de l'IA Act, au niveau de l’UE et au niveau national (règlt 2024/1689, art. 67) ;

-un groupe scientifique d’experts indépendants, visant à intégrer la communauté scientifique et destiné à soutenir les activités de contrôle de l’application de l'IA Act (règlt 2024/1689, art. 68).

En outre, les modèles d’IA à usage général sont supervisés par le Bureau de l’IA, de même que les systèmes d’IA reposant sur ces modèles lorsque le système et le modèle sont créés par le même fournisseur. La compétence sera partagée entre le Bureau de l’IA et les autorités nationales de surveillance du marché pour les systèmes d’IA à usage général à haut risque.

Au niveau national

Le RIA prévoit la désignation d’une ou de plusieurs autorités compétentes pour endosser le rôle d’autorité de surveillance du marché. Il appartient à chaque État membre d’organiser la structure de gouvernance qui lui apparaît la plus à même de permettre une bonne application du RIA dans un délai d’un an. Si plusieurs autorités compétentes sont désignées au sein d’un même État membre, l’une d’entre elles doit endosser le rôle de point de contact national.

Le RIA ne se prononce pas sur la nature de cette ou de ces autorités, à l'exception :

-du Contrôleur européen de la protection des données, qui est expressément désigné comme autorité de surveillance pour les institutions, organismes ou organes de l’UE (à l’exception de la Cour de justice de l’Union européenne/CJUE agissant dans l’exercice de ses fonctions judiciaires) (règlt (UE) 2024/1689, art. 70 et 74, 9.) ;

-des autorités de protection des données qui sont mentionnées vis-à-vis du rôle de surveillance de marchés d’un grand nombre de systèmes d’IA à haut risque (règlt (UE) 2024/1689, art. 74) ;

-des autorités qui contrôlent les systèmes d’IA à haut risque déjà soumis à une réglementation sectorielle (listés à l’annexe I) : elles restent les mêmes qu'aujourd’hui (par exemple, l’Agence nationale de sécurité du médicament et des produits de santé (ANSM) pour les dispositifs médicaux).

RIA et RGPD

Le tableau ci-dessous présente les autorités/responsables compétents en matière d'IA et de protection des données.

Autorités/responsables compétents en matière d'IA et de protection des données

RIA

RGPD

Autorités en charge

Pour les systèmes d’IA : une ou plusieurs autorités compétentes en charge de la surveillance du marché et de la désignation des organismes notifiés (au choix des États membres)

Pour les modèles d’IA à usage général : Bureau de l’IA

Autorité de protection des données de chaque État membre

Coopération européenne

Comité européen de l’IA

Groupe de coopération administrative (ADCO)

Comité européen à la protection des données (CEPD)

Guichet unique (one stop shop), qui concerne uniquement les traitements transfrontaliers (RGPD, art. 23) et mécanisme de cohérence

Référent interne aux organismes

Pas de personne expressément identifiée

Délégué à la protection des données

Intégration du RIA par la CNIL

La CNIL est chargée de veiller au respect du RGPD, dont les principes généraux sont applicables à tous les systèmes informatiques. Il s’applique donc aussi aux données personnelles traitées pour ou par les systèmes d’IA, y compris lorsqu’ils sont soumis aux exigences du RIA.

La CNIL prévoit de s’appuyer sur ces exigences pour guider et accompagner les acteurs dans le respect du RIA, mais également du RGPD, en proposant une vision intégrée des règles applicables.

Toutefois, le RIA explicite aussi certaines pratiques interdites, dont certaines ont déjà pu être sanctionnées par les autorités de protection des données.

La CNIL a, ainsi, eu l’occasion de sanctionner la pratique relative à la création ou au développement de bases de données de reconnaissance faciale.

En tout état de cause, la CNIL reste pleinement compétente pour appliquer le RGPD, par exemple aux fournisseurs de modèles ou systèmes d’IA à usage général dont l’établissement principal est en France, en particulier lorsqu’ils ne font pas l’objet d’exigences de fond au titre du RIA.

Depuis un an, la CNIL a lancé un plan d’action (notamment, la publication et la mise en consultation de fiches pratiques) pour sécuriser les entreprises innovant en matière d’IA dans leur application du RGPD et pour promouvoir une IA respectueuse des droits des personnes sur leurs données.

Comment s’articulent le RGPD et le RIA ?

S'agissant de l'articulation entre les exigences du RGPD et celles de l'IA Act, voici les questions auxquelles la CNIL a répondu.

Le RIA remplace-t-il les exigences du RGPD ?

Non. Le RIA a pour but de les compléter en posant les conditions requises pour développer et déployer des systèmes d’IA de confiance. Concrètement, le RGPD s’applique à tous les traitements de données personnelles, c’est-à-dire à la fois :

-lors de la phase de développement d’un système d’IA : un fournisseur de système ou de modèle d’IA au sens du RIA sera le plus souvent considéré comme responsable du traitement au titre du RGPD ;

-et lors de la phase d’utilisation (ou de déploiement) d’un système d’IA : un déployeur ou utilisateur de système d’IA au sens du RIA qui traite des données personnelles en sera le plus souvent responsable au titre du RGPD.

En revanche, le RIA fixe des exigences spécifiques dont le respect peut contribuer largement au respect des exigences du RGPD (voir ci-après).

RIA / RGPD : comment savoir quel(s) règlement(s) s’applique(nt) à mon cas ?

Les 4 situations possibles

Puisque le RIA s’applique exclusivement aux systèmes et modèles d’IA et que le RGPD s’applique à tout traitement de données personnelles, quatre situations sont possibles.

Le RIA s’applique seul.

Tel sera le cas du fournisseur d’un système d’IA à haut risque qui ne nécessite pas de données personnelles, ni pour son développement ni dans son déploiement.

Un système d’IA appliqué à un système de gestion d’une centrale électrique.

Le RGPD s’applique seul.

Tel sera le cas du traitement de données personnelles servant à développer ou utiliser un système d’IA n’étant pas soumis au RIA.

Un système d’IA utilisé pour attribuer des centres d’intérêt à des fins publicitaires.

Les deux règlements s’appliquent.

Tel sera le cas lorsqu’un système d’IA à haut risque nécessite des données personnelles pour son développement ou dans son déploiement.

Un système d’IA utilisé pour le tri automatique de CV.

Aucun des deux règlements ne s’applique.

Tel sera le cas d’un système d’IA à risque minimal ne mettant pas en œuvre de traitement de données personnelles.

Un système d’IA utilisé pour de la simulation dans un jeu vidéo.

Application du RGPD en fonction du niveau de risque du système d'IA

Le tableau ci-après synthétise quand s'applique le RGPD, en fonction du niveau de risque du système d'IA.

Application du RGPD en fonction du niveau de risque du système d'IA

Règles applicables du RIA

Application du RGPD

Pratiques d’IA interdites

Systématiquement, toutes les pratiques interdites supposant le traitement de données personnelles

Modèle d’IA à usage général (y compris à risque systémique)

Quasi-systématiquement, les modèles d’IA à usage général se fondant le plus souvent sur l’utilisation de données personnelles pour leur entraînement

Systèmes d'IA à haut risque

Dans de très nombreux cas (avec des exceptions notables comme pour les systèmes d’IA des infrastructures critiques, des véhicules agricoles, des ascenseurs...)

Systèmes d’IA à risque spécifique en matière de transparence

Dans certains cas, en particulier les systèmes destinés à interagir directement avec des personnes physiques

Comment le RIA impacte-t-il le RGPD ?

Le RIA et le RGPD ne réglementent pas les mêmes objets et ne demandent pas la même approche. Cependant, la conformité au premier facilite, voire prépare, celle au second : par exemple, la conformité du système d’IA au RGPD est incluse dans la déclaration UE de conformité exigée par le RIA (règlt (UE) 2024/1689, annexe V).

Par ailleurs, le RIA résout également quelques tensions entre certaines exigences du RGPD et les siennes. Pour cela, il prolonge et prend le relais du RGPD sur certains points bien définis. Ainsi, il :

-remplace certaines règles du RGPD pour le recours, par les services répressifs, à l'identification biométrique à distance en temps réel dans des espaces accessibles au public qu’il rend très exceptionnellement possible à certaines conditions (règlt (UE) 2024/1689, art. 5) ;

-permet exceptionnellement de traiter des données sensibles (RGPD, art. 9) pour détecter et corriger les biais potentiels susceptibles de porter préjudice, si cela est strictement nécessaire et sous réserve de garanties appropriées (règlt (UE) 2024/1689, art. 10) ;

-permet la réutilisation de données personnelles, notamment de données sensibles, dans le cadre des « bacs à sable réglementaires » qu’il instaure. Ces bacs à sable (voir ci-avant) sont placés sous la supervision d’une autorité dédiée qui doit préalablement consulter la CNIL et vérifier le respect d’un certain nombre d’exigences (règlt (UE) 2024/1689, art. 59).

Transparence et documentation : comment articuler ces exigences du RIA avec celles du RGPD ?

Le RIA et le RGPD abordent le principe de transparence et les obligations de documentation de manière complémentaire.

Les mesures de transparence

Le RGPD prévoit des obligations de transparence, qui consistent essentiellement à informer les personnes dont les données sont traitées de la manière dont elles sont traitées (pourquoi, par qui, comment, combien de temps...). Cela concerne aussi bien les traitements de données consistant à développer un système d’IA que l’utilisation d’un système d’IA sur ou par un individu (qui donnerait ainsi lieu à un traitement de données personnelles).

Le RIA prévoit des mesures de transparence très similaires, par exemple sur les données ayant servi à entraîner des modèles d’IA à usage général (dont la liste doit être rendue publiquement accessible en vertu de son article 53) ou sur les systèmes ayant vocation à interagir avec des individus (règlt (UE) 2024/1689, art. 50).

Les exigences de documentation

Le RIA prévoit la fourniture de documentations et informations techniques par les fournisseurs de systèmes d’IA à haut risque (règlt (UE) 2024/1689, art. 11 et 13) ou de modèles d’IA à usage général (règlt (UE) 2024/1689, art. 53) à leurs déployeurs et utilisateurs. Ces documentations détaillent, notamment, les procédures de test et d’évaluation de conformité menées. Le RIA prévoit également que certains déployeurs de systèmes d’IA à haut risque conduisent une analyse d’impact sur les droits fondamentaux.

L’obligation de mener une analyse d’impact sur la protection des données (AIPD), prévue par le RGPD, complète parfaitement ces exigences du RIA. En effet, l’AIPD sera présumée requise de la part du fournisseur et du déployeur de systèmes d’IA à haut risque, mais elle pourra surtout utilement se nourrir des documentations exigées par le RIA (règlt (UE) 2024/1689, art. 26).

Le RIA prévoit, d’ailleurs, que le déployeur puisse s’appuyer sur l’AIPD déjà réalisée par le fournisseur pour mener son analyse d’impact sur les droits fondamentaux (règlt (UE) 2024/1689, art. 27). L’objectif commun est de permettre de prendre toutes les mesures nécessaires pour limiter les risques pour la santé, la sécurité et les droits fondamentaux des personnes susceptibles d’être affectées par le système d’IA, ces analyses pouvant même être rassemblées sous la forme d’un document unique pour éviter un formalisme trop contraignant.

Il ne s’agit ici que d’exemples de mesures complémentaires entre les deux textes, mais la CNIL participe activement aux travaux du Comité européen de protection des données (CEPD) sur l’articulation entre les règles applicables à la protection des données personnelles et le RIA, actuellement en cours.

Pour résumer : quelles différences entre les exigences du RIA et le RGPD ?

Le RIA et le RGPD présentent de fortes similarités et une complémentarité, mais leurs objets et approches diffèrent. Le tableau ci-après synthétise les différences entre les exigences du RIA et celles du RGPD.

Tableau récapitulatif des spécificités du RIA et du RGPD

RIA

RGPD

Champ d'application

Le développement, la mise sur le marché ou le déploiement de systèmes et modèles d’IA

Tout traitement de données personnelles indépendamment des dispositifs techniques utilisés (dont les données d’entraînement, et les traitements réalisés au moyen d’un système d’IA)

Acteurs visés

Principalement les fournisseurs et déployeurs de systèmes d’IA (dans une moindre mesure les importateurs, distributeurs et mandataires)

Responsables de traitements et sous-traitants (dont les fournisseurs et déployeurs soumis au RIA)

Approche

Approche par les risques pour la santé, la sécurité ou les droits fondamentaux, notamment à travers la sécurité des produits et la surveillance du marché

Approche fondée sur l’application de grands principes, l’évaluation des risques et la responsabilisation (accountability)

Modalité principale de l’évaluation de la conformité (non exhaustif)

Évaluation de conformité interne ou par un tiers, notamment au moyen d’un système de gestion des risques et au regard de normes harmonisées

Principe de responsabilité (documentation interne) et outils de la conformité (certification, code de conduite)

Principales sanctions applicables

Retrait du marché ou rappel de produits

Amendes administratives pouvant aller jusqu’à 35 M€ ou 7 % du chiffre d’affaires annuel mondial

Mise en demeure (pouvant enjoindre de mettre le traitement en conformité, de le limiter temporairement ou définitivement, y compris sous astreinte)

Amendes administratives pouvant aller jusqu’à 20 M€ ou 4 % du chiffre d’affaires annuel mondial

Parution: 01/2025
Droits de reproduction et de diffusion réservés © Groupe Revue Fiduciaire 2026. Usage strictement personnel. L'utilisateur du site reconnaît avoir pris connaissance de la licence de droits d'usage, en accepter et en respecter les dispositions.