Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées sur l’intelligence artificielle et modifiant les règlements (CE) n° 300/2008, (UE) n° 167/2013, (UE) n° Les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 , plus connues sous le nom de loi sur l’intelligence artificielle, ont apporté de nouveaux défis dans le domaine du développement de l’intelligence artificielle, mais aussi dans le domaine de la protection des données personnelles.
Le règlement sur l’intelligence artificielle est entré en vigueur le 1er août 2024 et les dispositions introductives et finales prévoient l’application progressive des différents articles. Conformément à l’article 113 du Règlement sur l’intelligence artificielle, chapitres I et II. Elles sont entrées en vigueur le 2 février 2025.
Le règlement IA établit des règles harmonisées sur la mise sur le marché, la mise en service et l’utilisation de l’intelligence artificielle conformément au nouveau cadre législatif et exige une surveillance du marché au sens du règlement (UE) 2019/10202.
Comme indiqué à l’article 1(1) du règlement sur l’IA, le règlement vise à améliorer le fonctionnement du marché intérieur et à soutenir l’innovation, tout en promouvant l’application d’une IA centrée sur l’humain et digne de confiance et en garantissant la santé, la sécurité et un niveau élevé de protection des droits fondamentaux tels que consacrés par la Charte des droits fondamentaux de l’Union européenne (ci-après dénommée la « Charte »), y compris en ce qui concerne les droits fondamentaux à la vie privée et à la protection des données à caractère personnel (articles 7 et 8 de la Charte).
L’article 3(1) du Règlement sur l’intelligence artificielle définit un système d’intelligence artificielle comme « un système machine conçu pour fonctionner avec des niveaux d’autonomie variables et qui, une fois déployé, peut démontrer une adaptabilité et qui, à des fins explicites ou implicites, déduit des entrées qu’il reçoit comment générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent avoir un impact sur les environnements physiques ou virtuels. »
Cette définition englobe sept éléments principaux : (1) un système basé sur une machine ; (2) qui est conçu pour fonctionner avec différents niveaux d’autonomie ; (3) qui peut démontrer une adaptabilité après la mise en œuvre ; (4) et qui, à des fins explicites ou implicites ; (5) déduit, en fonction des données d’entrée qu’il reçoit, comment générer des sorties (6) telles que des prédictions, du contenu, des recommandations ou des décisions (7) qui peuvent avoir un impact sur les environnements physiques ou virtuels.
La définition d’un système d’IA adopte une perspective de cycle de vie qui englobe deux phases principales : la phase de pré-implémentation ou de « construction » du système et la phase de post-implémentation ou d’« utilisation » du système. Les sept éléments énumérés dans cette définition ne doivent pas nécessairement être présents en permanence durant les deux phases de ce cycle de vie. Au contraire, la définition reconnaît que certains éléments peuvent apparaître dans une phase mais ne pas exister dans les deux phases. Cette approche de définition des systèmes d’IA reflète la complexité et la diversité de ces systèmes, garantissant que la définition est alignée sur les objectifs du règlement sur l’IA en s’adaptant à un large éventail de systèmes d’IA.
Le règlement sur l’IA et le règlement général sur la protection des données doivent être considérés comme des instruments complémentaires, ou des instruments qui se complètent. Il est important de souligner que la législation de l’UE sur la protection des données s’applique pleinement au traitement des données personnelles impliquées dans le cycle de vie des systèmes d’IA, comme indiqué explicitement à l’article 2(7) du règlement sur l’IA (voir également les considérants 9 et 10).
Le règlement général sur la protection des données et le règlement sur l’intelligence artificielle sont des normes juridiques étroitement liées, le respect du règlement général sur la protection des données étant une condition préalable fondamentale au développement d’une intelligence artificielle éthique, légale et anthropocentrique, conforme aux droits fondamentaux, aux principes démocratiques et à l’État de droit.
Ces réglementations ne constituent pas un obstacle à l’innovation, mais fournissent plutôt un cadre réglementaire qui permet le développement de l’intelligence artificielle d’une manière qui maximise les avantages sociaux, tout en minimisant les risques.
Depuis le 25 mai 2018, le Règlement général sur la protection des données est pleinement en vigueur et s’applique au traitement des données personnelles effectué entièrement par des moyens automatisés ainsi qu’au traitement non automatisé des données personnelles qui font partie d’un système de stockage ou sont destinées à faire partie d’un système de stockage. Cependant, dans la pratique, on constate qu’un grand nombre d’organisations ignorent cette obligation et ses implications sur le développement et l’utilisation de l’intelligence artificielle. Nous soulignons que le règlement général sur la protection des données s’applique dans son intégralité au traitement automatisé des données personnelles, que les données personnelles soient stockées ou non.
L’Agence de protection des données personnelles, en tant qu’autorité de contrôle indépendante supervisant la mise en œuvre du règlement général sur la protection des données, souligne spécifiquement que tout traitement de données personnelles, y compris le traitement de données personnelles dans les systèmes d’intelligence artificielle, à toutes les étapes de développement, de test et d’utilisation de l’intelligence artificielle doit être conforme au règlement général sur la protection des données. Les organisations qui développent ou mettent en œuvre des systèmes d’intelligence artificielle qui traitent des données personnelles sont tenues de garantir la pleine conformité de ce traitement avec les dispositions pertinentes du règlement général sur la protection des données.
Compte tenu de la nature juridique et des effets considérables de ce règlement sur la protection des données personnelles et de la vie privée des personnes, nous attirons l’attention des acteurs qui développent ou permettent l’utilisation de systèmes d’intelligence artificielle sur l’obligation de respecter les dispositions du Règlement général sur la protection des données à toutes les étapes du cycle de vie de ces systèmes, lorsque des données personnelles sont traitées.
Nous soulignons particulièrement l’importance du respect des articles 5, 6, 9 et 32 du Règlement général sur la protection des données, selon lesquels il est essentiel de garantir qu’une base juridique appropriée soit identifiée pour tout traitement de données personnelles dans les systèmes d’intelligence artificielle et que des mesures de protection techniques et organisationnelles appropriées soient en place.
Le chapitre I comprend les articles 1 à 4, qui réglementent :
- l’objet du règlement sur l’intelligence artificielle, c’est-à-dire sa finalité,
- champ d’application, c’est-à-dire les entités qui sont tenues de satisfaire aux exigences du règlement,
- définitions,
- alphabétisation dans le domaine de l’intelligence artificielle.
Outre l’obligation de déterminer l’applicabilité du règlement sur l’intelligence artificielle aux activités commerciales, il est nécessaire de prendre des mesures pour assurer l’information et l’éducation sur les exigences réglementaires dans le domaine de l’intelligence artificielle.
Lors de la mise en œuvre d’activités d’éducation et de sensibilisation, il est nécessaire de prendre en compte l’expertise technique, l’expérience antérieure, le niveau d’éducation et le niveau de formation des participants, ainsi que le contexte spécifique de l’application des systèmes d’intelligence artificielle.
Chapitre II. définit les pratiques interdites dans le domaine de l’intelligence artificielle comme incluant, entre autres :
- Notation sociale
- Catégorisation biométrique
- Utilisation de techniques de manipulation et de tromperie
- Exploiter les faiblesses d’une personne ou d’un groupe particulier
- Évaluation de la commission d’une infraction pénale
- Créer/étendre une base de données de reconnaissance faciale
- Reconnaître les émotions sur le lieu de travail et dans l’éducation
Elle établit également des conditions strictes dans lesquelles les systèmes d’identification biométrique à distance en temps réel peuvent être utilisés dans les lieux publics.
Compte tenu du démarrage progressif de la mise en œuvre, les dates suivantes doivent être prises en compte :
- Le règlement sur l’intelligence artificielle s’applique à partir d’ août 2026 .
- Le Bureau de l’intelligence artificielle de la Commission européenne devrait publier un code de bonnes pratiques pour les modèles d’IA à usage général d’ici mai 2025 .
- Les dispositions suivantes entreront en vigueur à partir d’août 2025 :
- Chapitre III. Section 4 intitulée « Organismes notifiants et organismes notifiés » (articles 28 à 39)
- Chapitre V. « Modèles d’intelligence artificielle à usage général » (articles 51 à 56)
- Chapitre VII. « Gouvernement » (articles 64 à 70)
- Article 78. « Confidentialité »
- Chapitre XII. « Sanctions » (articles 99 à 100)
L’entrée en vigueur de l’article 6, paragraphe 1, « Règles relatives à la classification des systèmes d’IA comme à haut risque » et les obligations correspondantes du règlement s’appliqueront à compter du 2 août 2027.