IA Act et systèmes d’IA à haut risque

Le règlement européen sur l’intelligence artificielle visant à réguler l’utilisation des systèmes d’IA en fonction des risques qu’ils présentent pour les individus et la société, distingue les pratiques interdites (article 5 du Règlement), les modèles d’IA « à usage général » (présentant ou non un risque systémique) et les règles applicables aux systèmes d’IA à haut risque qui nécessitent la plus grande vigilance, en raison de leur potentiel à affecter significativement la sécurité, les droits fondamentaux et d’autres aspects critiques de la vie humaine.

  1. Définition et classification des systèmes d’IA (SIA) à haut risque

Selon l’article 6 du Règlement, un système d’IA est classifié comme étant à haut risque s’il répond à l’un des critères suivants :

a) le SIA est destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation d’harmonisation de l’Union dont la liste figure à l’annexe I[1], ou le système d’IA constitue lui-même un tel produit;

b) le produit dont le composant de sécurité visé au point a) est le système d’IA, ou le système d’IA lui-même en tant que produit, est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service de ce produit conformément à la législation d’harmonisation de l’Union dont la liste figure à l’annexe I.

Le Considérant 50 précise : « En ce qui concerne les systèmes d’IA qui constituent des composants de sécurité de produits relevant de certaines législations d’harmonisation de l’Union dont la liste figure en annexe du présent règlement, ou qui sont eux-mêmes de tels produits, il convient de les classer comme étant à haut risque au titre du présent règlement si le produit concerné est soumis à la procédure d’évaluation de la conformité par un organisme tiers d’évaluation de la conformité conformément à la législation d’harmonisation de l’Union correspondante. Ces produits sont notamment les machines, les jouets, les ascenseurs, les appareils et les systèmes de protection destinés à être utilisés en atmosphères explosibles, les équipements radio, les équipements sous pression, les équipements pour bateaux de plaisance, les installations à câbles, les appareils brûlant des combustibles gazeux, les dispositifs médicaux, les dispositifs médicaux de diagnostic in vitro, l’automobile et l’aviation. »

c) les SIA visés à l’annexe III du Règlement : il s’agit des systèmes d’IA utilisés dans des domaines critiques tels que :

  • La biométrie : identification biométrique à distance, catégorisation biométrique en fonction d’attributs ou de caractéristiques sensibles et systèmes de reconnaissance des émotions. 

A noter : bien que les données biométriques constituent une catégorie particulière de données à caractère personnel et que les systèmes d’identification biométrique à distance soient classés comme étant à haut risque, les systèmes d’IA destinés à être utilisés à des fins de vérification biométrique, parmi lesquelles l’authentification (dont la seule finalité est de confirmer qu’une personne physique donnée est bien celle qu’elle prétend être et de confirmer l’identité d’une personne physique dans le seul but d’avoir accès à un service, de déverrouiller un dispositif ou de disposer d’un accès sécurisé à des locaux) ne sont pas considérés à haut risque.

  • La gestion des infrastructures critiques[2] : les systèmes d’IA destinés à être utilisés en tant que composants de sécurité dans la gestion et l’exploitation des infrastructures numériques critiques[3], du trafic routier et de l’approvisionnement en eau, gaz, électricité et chauffage (ex : systèmes de surveillance de la pression de l’eau ou les systèmes de commande des alarmes incendie dans les centres d’informatique en nuage).
  • L’éducation, la formation professionnelle, l’emploi.
  • L’accès aux services privés essentiels et services publics et prestations sociales essentielles.
  • L’application de la loi, la répression, la gestion des contrôles aux frontières et l’administration de la justice.

2. Dérogations et exclusions

Malgré leur inclusion dans l’Annexe III, certains systèmes d’IA peuvent ne pas être classés comme à haut risque « lorsqu’ils ne présentent pas de risque important de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques », s’ils se contentent :

  • D’exécuter d’une tâche procédurale étroite/restreinte (ex : transformer des données non structurées en données structurées, classer les documents entrants par catégories ou détecter les doublons parmi un grand nombre d’applications) ;
  • D’améliorer le résultat d’une activité humaine déjà réalisée (ex : systèmes d’IA destinés à améliorer la façon dont un document est rédigé, pour lui donner un ton professionnel ou un style académique ou pour l’adapter à un message de marque défini) ;
  • De détecter, après la réalisation d’une évaluation humaine, les constantes en matière de prise de décision ou les écarts par rapport aux constantes habituelles antérieures, sans chercher à remplacer ou influencer l’évaluation humaine (ex : un système d’IA qui, compte tenu de certaines constantes habituelles observées chez un enseignant au niveau de la notation serait utilisé pour vérifier a posteriori si l’enseignant s’est éventuellement écarté de ces constantes, de manière à signaler d’éventuelles incohérences ou anomalies) ;
  • D’effectuer « une tâche préparatoire à une évaluation pertinente aux fins des cas d’utilisation énumérés à l’annexe III » (ex : solutions intelligentes de traitement des fichiers, qui comprennent diverses fonctions telles que l’indexation, la recherche, le traitement de texte et le traitement de la parole ou le fait de relier des données à d’autres sources de données, ou aux systèmes d’IA utilisés pour la traduction de documents initiaux).

Si un fournisseur d’un système d’IA visé à l’Annexe III considère qu’il entre dans le champ de l’une de ces exceptions, il doit documenter son évaluation avant que le système ne soit mis sur le marché ou mis en service.

Ces dérogations ne s’appliquent pas aux systèmes d’IA qui impliquent du profilage[4]

Au plus tard le 2 février 2026, la Commission fournira des lignes directrices assorties d’une liste exhaustive d’exemples pratiques de cas d’utilisation de systèmes d’IA qui sont à haut risque et de cas d’utilisation qui ne le sont pas.

3. Exigences principales pour les systèmes d’IA à haut risque (articles 8 à 21 du Règlement)                

Les systèmes d’IA à haut risque doivent respecter un ensemble de mesures strictes :

  • Gestion des risques : réalisation d’une analyse de l’impact sur les droits fondamentaux et mise en place d’un système de gestion des risques tout au long du cycle de vie du SIA à haut risque.
  • Gouvernance des données : les données utilisées pour l’entraînement, la validation et le test de l’IA doivent être pertinentes, représentatives, et aussi exemptes d’erreurs que possible.
  • Documentation technique : création d’une documentation complète pour prouver la conformité et fournir aux autorités les informations nécessaires à l’évaluation de cette conformité.
  • Enregistrement automatique : les systèmes d’IA à haut risque doivent être conçus pour enregistrer automatiquement les événements pertinents pour l’identification des risques au niveau national et les modifications substantielles tout au long du cycle de vie du système.
  • Transparence et instructions d’utilisation : les fournisseurs doivent procurer des instructions d’utilisation aux utilisateurs en aval pour leur permettre de comprendre le système, ses risques et de se conformer à la réglementation.
  • Surveillance humaine : les systèmes doivent être conçus pour permettre une surveillance humaine efficace et garantir que les décisions automatisées peuvent être contrôlées et corrigées si nécessaire.
  • Précision et cybersécurité : les systèmes doivent être suffisamment robustes et sécurisés pour résister aux risques de cybersécurité et fonctionner avec un niveau de précision adéquat.
  • Gestion de la qualité : mise en place d’un système de gestion de la qualité pour garantir la conformité.
  • Enregistrement et accessibilité des informations : les systèmes d’IA à haut risque doivent être enregistrés dans une base de données de l’UE, avec les informations détaillées rendues accessibles au public de manière aisée et lisibles par machine, sauf exceptions spécifiées pour certaines informations[5] restreintes aux autorités de surveillance, à moins que le fournisseur ou fournisseur potentiel ne donne son consentement pour que ces informations soient également accessibles au public (art. 71).

Conclusion

La classification des systèmes d’IA à haut risque selon l’IA Act est un élément clé pour garantir une utilisation éthique et sécurisée de l’intelligence artificielle dans des domaines où les conséquences peuvent être graves. Les exigences rigoureuses imposées aux fournisseurs visent à minimiser les risques et à protéger les droits fondamentaux des individus, tout en permettant l’innovation et le progrès dans l’application de ces technologies avancées.

Charlotte GALICHET


[1]L’Annexe I vise vingt Directives ou Règlements, notamment règlement (CE) no 300/2008 (1), règlement (UE) no 167/2013 (2), règlement (UE) no 168/2013 (3), directive 2014/90/UE (4), directive (UE) 2016/797 (5), règlement (UE) 2018/858 (6), règlement (UE) 2018/1139 (7) ou règlement (UE) 2019/2144 (8)

[2] Il s’agit des systèmes utilisés pour protéger directement l’intégrité physique des infrastructures critiques ou la santé et la sécurité des personnes et des biens, mais qui ne sont pas nécessaires au fonctionnement du système.

[3] Cf Directive (UE) 2022/2557, point 8 de l’Annexe.

[4] Les SIA effectuant du profilage sont ceux qui analysent automatiquement des données personnelles pour évaluer des aspects tels que les performances professionnelles, la santé, les préférences ou le comportement. Ces systèmes sont donc toujours considérés comme présentant un risque élevé.

[5] Cela concerne principalement les systèmes d’IA utilisés dans les domaines sensibles tels que les activités répressives, la migration, l’asile et la gestion des contrôles aux frontières.

Bookmark the permalink.

Laisser un commentaire