Comprendre la Classification des Risques de l’EU AI Act : Un Guide Pédagogique
L’Union européenne a franchi une étape historique avec l’adoption du Règlement (UE) 2024/1689, ou EU AI Act. Ce texte ne se contente pas de réguler une technologie ; il instaure un cadre de confiance fondé sur une approche proportionnée au risque. La philosophie est claire : plus le risque d’atteinte aux droits ou à la sécurité est élevé, plus les exigences de conformité s’intensifient.
Au cœur de ce dispositif, il convient de distinguer deux concepts fondamentaux définis par le législateur :
« Un système d’IA est un système basé sur une machine conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après son déploiement. Pour des objectifs explicites ou implicites, il déduit, à partir des entrées qu’il reçoit, comment générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels. »
Le règlement encadre également les modèles d’IA à usage général (GPAI), socles technologiques capables de réaliser une vaste gamme de tâches. Une attention particulière est portée aux modèles présentant un risque systémique, identifiés par des capacités d’impact élevé, notamment lorsque la puissance de calcul utilisée pour leur entraînement dépasse le seuil de 10^25 FLOPs.
Cette classification détermine le régime juridique applicable, allant de l’interdiction totale à une liberté d’innovation quasi totale.
Catégorie 1 : Le Risque Inacceptable (Les Interdictions)
Certains usages de l’IA sont jugés incompatibles avec les valeurs de l’Union et les droits fondamentaux. Ces systèmes sont strictement interdits car ils portent une atteinte disproportionnée à la dignité humaine et aux libertés civiles.
Voici les 8 pratiques prohibées (applicables dès février 2025) :
- Manipulation subliminale : Systèmes altérant le comportement d’une personne à son insu pour provoquer un préjudice. Pédagogie : Protège la liberté cognitive et l’autonomie de la volonté.
- Exploitation des vulnérabilités : Ciblage lié à l’âge, au handicap ou à la situation socio-économique. Pédagogie : Préserve la dignité humaine des groupes les plus fragiles.
- Notation sociale (Social Scoring) : Évaluation des citoyens par les autorités publiques ou des entités privées basée sur le comportement social, menant à des traitements défavorables. Pédagogie : Prévient toute forme de contrôle social et garantit l’égalité de traitement.
- Police prédictive individuelle : Évaluation du risque criminel basée uniquement sur le profilage ou des traits de personnalité. Pédagogie : Protège le droit à la présomption d’innocence.
- Collecte sauvage d’images faciales : Scraping non ciblé d’internet ou de vidéosurveillance pour créer des bases de données. Pédagogie : Défend le droit à la vie privée et à la protection des données biométriques.
- Reconnaissance des émotions au travail ou à l’école : Systèmes détectant l’état émotionnel dans des contextes de subordination. Pédagogie : Assure le respect de l’intimité psychique sur le lieu de travail et d’étude.
- Catégorisation biométrique sensible : Classification selon la race, les opinions politiques, la religion ou l’orientation sexuelle. Pédagogie : Lutte contre la discrimination systémique.
- Identification biométrique en temps réel : Surveillance dans l’espace public (hors exceptions judiciaires graves). Pédagogie : Protège la liberté de mouvement et de réunion.
Si une technologie n’est pas interdite mais présente des risques substantiels pour la sécurité ou les droits, elle est régulée sous le régime du risque élevé.
Catégorie 2 : Le Risque Élevé (La Surveillance Stricte)
Les systèmes à Haut Risque sont autorisés mais font l’objet d’un encadrement rigoureux. Ils concernent des domaines où un dysfonctionnement pourrait avoir des conséquences irréversibles pour l’individu ou la société.
| Domaine d’application | Exemple concret (Annex III) | Risque potentiel pour l’individu |
| Infrastructures critiques | Gestion des réseaux électriques , d’eau ou de transport. | Risque de catastrophes environnementales ou de pertes humaines massives. |
| Éducation | Systèmes de notation automatisée ou tri des admissions | Risque d’exclusion académique injustifiée ou de discrimination. |
| Emploi et RH | Algorithmes de recrutement ou d’évaluation des performances. | Atteinte aux moyens de subsistance et discrimination à l’embauche. |
| Services essentiels | Évaluation de l’éligibilité au crédit ou aux aides publiques | Privation d’accès à des ressources financières ou sociales vitales. |
| Justice et Police | Évaluation de la fiabilité des preuves ou aide au prononcé des peines. | Atteinte au droit à un procès équitable et aux libertés civiles. |
| Migration et Frontières | Examen des demandes d’asile, de visa ou de permis de séjour. | Risque de refoulement injustifié et violation des droits de l’homme. |
Exigences de conformité pour les fournisseurs
Pour être mis sur le marché, ces systèmes doivent satisfaire à cinq obligations majeures :
- Système de gestion des risques : Processus continu sur tout le cycle de vie pour identifier et atténuer les risques.
- Gouvernance des données : Utilisation de jeux de données d’entraînement de haute qualité pour minimiser les biais.
- Documentation technique : Dossier complet prouvant la conformité (architecture, performance) avant la mise en service.
- Surveillance humaine : Conception permettant à un humain d’intervenir, d’ignorer ou d’arrêter le système à tout moment.
- Robustesse et Cybersécurité : Résilience face aux erreurs techniques et aux attaques malveillantes (data poisoning).
Pour les systèmes moins intrusifs, la priorité du législateur se déplace vers le devoir d’information de l’utilisateur.
Catégorie 3 : Le Risque Limité (La Transparence)
Ici, le risque n’est pas structurel mais informationnel : il s’agit d’éviter la manipulation ou la confusion entre l’humain et la machine.
- Chatbots : L’utilisateur doit être informé qu’il interagit avec une IA.
- Deepfakes : Les images, sons ou vidéos manipulés doivent être clairement étiquetés comme artificiels.
Point d’attention : Marquage et responsabilités Les fournisseurs de systèmes d’IA générant du contenu synthétique doivent intégrer des solutions de marquage (watermarking). Les déployeurs, quant à eux, ont l’obligation légale de veiller à ce que les deepfakes soient explicitement signalés au public.
La majorité des applications actuelles, ne présentant pas ces enjeux, relèvent de la catégorie minimale.
Catégorie 4 : Le Risque Minimal (La Liberté d’Innovation)
Cette catégorie regroupe la majeure partie des applications d’IA. Elles ne sont soumises à aucune obligation légale spécifique sous l’AI Act, favorisant ainsi un environnement propice à l’innovation.
- [x] Filtres anti-spam pour les courriels.
- [x] Intelligence artificielle dans les jeux vidéo.
- [x] Outils de gestion d’inventaire et de logistique simple.
- [x] Outils de retouche photographique domestique.
Bien que non contraignants, l’UE encourage les acteurs à adopter des codes de conduite volontaires basés sur l’éthique et la robustesse.
Le non-respect de ce cadre gradué expose les organisations à des sanctions financières proportionnelles à la gravité de la faute.
Synthèse des conséquences réglementaires et sanctions
Le barème des amendes est conçu pour être dissuasif, calculé sur le chiffre d’affaires (CA) mondial annuel.
| Type de violation | Amende maximale (% du CA ou montant fixe) | Exemple de faute |
| Pratiques d’IA interdites | Jusqu’à 7 % ou 35 M€ | Utilisation d’un système de notation sociale. |
| Non-conformité (Haut risque) | Jusqu’à 3 % ou 15 M€ | Absence de documentation technique ou de surveillance humaine. |
| Informations incorrectes | Jusqu’à 1 % ou 7,5 M€ | Fournir des données trompeuses aux autorités de contrôle. |
Exigence transversale : La Littératie en IA (Article 4) Plus qu’une simple recommandation, la littératie en IA devient une obligation légale dès février 2025. Les organisations doivent s’assurer que leur personnel possède les compétences nécessaires pour comprendre les risques et les implications éthiques. Cette acculturation est le prérequis indispensable à l’exercice effectif de la surveillance humaine.
Conclusion et vérification des acquis
L’EU AI Act ambitionne de faire de l’Europe le leader mondial de l’IA de confiance. En liant les obligations techniques aux droits fondamentaux, il transforme la conformité en un avantage compétitif axé sur la sécurité et l’éthique.
Questions de réflexion pour l’étudiant :
- Pourquoi un système de recrutement est-il classé « Haut Risque » plutôt que « Limité » ? (Pensez à l’impact sur le droit fondamental au travail).
- Quelle est l’importance de la puissance de calcul (10^25 FLOPs) dans la surveillance des modèles GPAI ?
- En quoi l’obligation de littératie en IA (Article 4) renforce-t-elle la sécurité des systèmes à haut risque ?
Foire aux questions (FAQ)
Retrouvez ici les réponses aux questions fréquemment posées sur Blog personnel : André RIHANI.
Qu'est-ce que Blog personnel : André RIHANI ?
C’est un blog personnel, dans lequel je publie des articles sur les sujets qui m’intéressent, les informations que je souhaite partager, rendre publiques, et facilement accessibles
Comment puis-je vous contacter ?
Indiquez vos coordonnées, horaires d’ouverture et les différents canaux de contact : téléphone, e-mail, formulaire en ligne, réseaux sociaux…
