Elle sort d’une zone de turbulence. L’arrivée de l’AI Act est quasi rocambolesque.
"Jusqu’en décembre 2023, on n’était pas certain qu’un texte voit le jour. J’y croyais très peu", raconte Thomas. La première version date de 2021, à une époque où le sujet des modèles de fondation, base de l’IA générative, est considéré comme très prospectif (donc absent des discussions).
Pendant que l’Europe travaille sur le sujet, aux États-Unis, une poignée d’initiés révolutionne l’IA. Ils sont OpenAI, Google et Meta. Ils mettent au point l’IA générative conversationnelle. Face à ces lobbys américains, l’UE adapte le texte. Mais voilà que Mistral (FR) et son équivalent allemand arrivent sur le marché et freinent la démarche entamée.
Les élections européennes de juin 2024 approchent, marquant "la dernière échéance avant la disparition complète du texte". En effet, toute activité parlementaire aurait été stoppée, nécessitant un redémarrage à zéro. Le risque : perdre 5 ou 6 ans dans la production du texte.
L’AI Act voit finalement le jour en juin 2024.
AI Days 2024 (© French Tech Brest Bretagne Ouest) |
"L’AI Act est la première tentative mondiale de régulation des systèmes d’IA." Elle est adoptée stricto sensu par les pays de l’UE et s’applique aux produits.
Les produits d’IA (européens ou étrangers) à destination du marché ou à but de déploiement interne devront respecter l’AI Act sous peine de se voir refuser le marquage CE et donc l’accès au marché européen. "C’est la vraie dureté du texte : L’interdiction d’accès au marché et l’illégalité du déploiement en interne."
En France, les organismes sectoriels seront responsables de l’application de la réglementation (cybersécurité, santé, etc.). "Début 2025, on connaîtra le nom des organismes de régulation de l’AI Act."
Un peu à l’instar du RGPD, les institutions européennes espèrent un effet boule de neige. Grâce à ce pouvoir normatif par l’usage et l’obligation de marquage CE pour les produits extérieurs, l’AI Act pourrait devenir un standard mondial : un "Brussels Effect" souhaité.
généré par Adobe Firefly |
Les risques sont évalués en fonction des cas d’usage. "90 % des systèmes sont finalement écartés des exigences réglementaires. L’AI Act concerne une minorité d’usages."
Ceux impactant les droits fondamentaux, la santé et la sécurité sont ciblés, voire interdits. Par exemple, l’utilisation de l’IA pour la police prédictive, le scoring social, ou encore l’évaluation et le contrôle sur le lieu de travail ou d’enseignement est interdite. "C’est le seul aspect éthique du texte", précise Thomas.
Les usages à risque sont listés en détail et par secteur : des jouets à la maintenance des ascenseurs, des bateaux de plaisance à l’aviation civile, des véhicules agricoles à la protection en atmosphère explosive, etc.
Pour les systèmes les plus risqués,un niveau adéquat d’explicabilité devra être associé aux résultats générés par l’IA. "Il faut éviter l’effet boîte noire : ne pas accepter de prises de décision incompréhensibles pour l’humain. Ne pas laisser l’IA en roue libre."
L’opérateur du système (nommé déployeur dans l’AI Act) devra être en mesure de vérifier les résultats et être sensibilisé aux biais d’automatisation. "Afin d’éviter les dérives des IA et de maintenir leurs performances stables, un monitoring devra être effectué par le déployeur, avec une remontée des informations depuis le terrain vers le créateur du système."
"Agissez vite !", conseille Thomas. "Dans certains domaines sectoriels, la liste d’attente augmente. Déposer son dossier en 2025, c’est espérer passer en 2027 devant un organisme notifié."
Issu de la recherche (thèse de doctorat au LATIM), Thomas développe des systèmes d’IA appliqués au domaine médical. Ce data scientist souhaite mieux comprendre les systèmes d’IA et se spécialise dans les réponses techniques. Il propose aux entreprises des audits de maturité en IA et une expertise sur les réponses techniques à apporter à l’AIAct.