Introduction
Dans un contexte où l'intelligence artificielle se déploie à une vitesse fulgurante, il devient essentiel pour les entreprises de bien se positionner vis-à-vis des régimes de responsabilités définis par le Règlement (UE) 2024/1689 (« Règlement IA »).
En effet, le régime qui vous est applicable dépend à la fois :
1️⃣ De votre rôle dans la chaîne d’approvisionnement de l’IA (fournisseur, déployeur, importateur, distributeur, etc.) - voir notre fiche n°1.
2️⃣ Du type d’IA exploité (modèle d’IA, système d’IA en fonction du risque, etc.).
Nous avons souhaité illustrer, de manière pratique, les différents types d'IA identifiés au sein du Règlement IA. Les exemples proposés au sein de cette fiche sont fournis à titre illustratif. Ils ne sauraient se substituer à une analyse approfondie et personnalisée de votre situation spécifique.
Modèle d'IA vs. Système d'IA
La distinction entre un modèle d’IA et un système d’IA est essentielle afin d’identifier le régime d’obligations qui vous incombera. Nous vous proposons ci-dessous quelques caractéristiques incontournables pour différencier ces deux notions.
Le modèle d'IA :
- Il s’agit d’un algorithme entraîné sur de vastes ensembles de données pour générer des résultats (texte, image, décision, etc.).
- Il constitue une brique technologique et n’est pas, en lui-même, un produit fini destiné aux utilisateurs finaux.
- Il peut être intégré dans plusieurs systèmes d’IA avec des usages variés
Exemples : GPT-4, Gemini, DALL-E.
Le système d'IA :
- Il s'agit d'une application concrète exploitant un ou plusieurs modèle(s) d’IA pour une finalité précise.
- Il peut être mis sur le marché ou utilisé dans un cadre défini (outil interne, service commercialisé, etc.).
- Il intègre souvent des interfaces, des règles métier et des fonctionnalités spécifiques à un domaine.
Exemples : ChatGPT, Alexa, Siri, Copilot, etc.
💡 En résumé, le modèle d’IA concerne plutôt la base algorithmique, tandis que le système d’IA concerne plutôt l’application prête à être exploitée par des utilisateurs.
Modèles d'IA à usage général
Qu’est-ce qu’un modèle d’IA à usage général (MIAUG) ? Il s’agit d’un modèle d’IA qui possède une généralité significative et est capable d'exécuter une large gamme de tâches distinctes. Ces modèles peuvent être intégrés dans diverses applications ou systèmes en aval, indépendamment de la manière dont ils sont mis sur le marché (définition donnée par l’art. 3.63 du Règlement IA).
Qu’est-ce qu’un risque systémique ? Ce risque désigne principalement les MIAUG possédant des capacités à fort impact, ayant une incidence significative sur le marché de l’Union en raison d’effets négatifs réels ou raisonnablement prévisibles sur divers secteurs critiques (santé publique, sûreté, sécurité publique, droits fondamentaux ou la société dans son ensemble), pouvant être propagé à grande échelle.
↳ La classification des modèles d’IA à usage général se fait lorsque le modèle d’IA remplit l’une des deux conditions prévues par l’article 51 du Règlement IA.
Illustrations :
MIAUG sans risque systémique :
- Modèle entraîné pour être intégré dans un assistant vocal utilisé pour des tâches quotidiennes.
- Modèle entraîné pour être utilisé comme un filtre anti-spam qui identifie et déplace les emails indésirables.
MIAUG avec risque systémique :
- Modèle entraîné pour la notation de crédit permettant d’évaluer la solvabilité des clients, influençant l’accès aux prêts.
- Modèle déployé pour la reconnaissance faciale en temps réel dans les espaces publics.
Systèmes d'IA à usage général
Un système d’IA sera considéré́ comme « à usage général » lorsqu’il est fondé sur un modèle d’IA à usage général, et qu’il a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA.
↳ Le système d’IA à usage général n’est pas une catégorie à part au sens du Règlement IA et sera encadré en fonction de son risque.
Illustrations :
- Les assistants vocaux intelligents, tels que Siri ou Alexa, sont généralement fondés sur des MIAUG, et sont capables de comprendre et de répondre à des commandes vocales, exécutant une variété de tâches, de la gestion de l’agenda à la commande de produits en ligne, par exemple.
- Les systèmes de recommandations polyvalents, tels que Google Recommendations AI, qui est une solution analysant les comportements des utilisateurs afin de fournir des recommandations personnalisées dans divers contextes (ex : e-commerce, streaming et médias, marketing digital, etc.).
- Les agents conversationnels, tels que ChatGPT, Gemini ou encore Copilot, qui offrent à leurs utilisateurs une large diversité de fonctionnalités, telles que la génération de texte en langage naturel utilisée pour la traduction, la rédaction, la conversation automatisée, la génération d’images ou de vidéos, la recherche en ligne, etc.
Systèmes d'IA à risque inacceptable
Les systèmes d’IA à risque inacceptable sont interdits au sein de l’Union européenne. Les critères sont définis par l’article 5 du Règlement IA et ont fait l’objet d’interprétations par la Commission européenne dans ses Lignes directrices publiées le 4 février 2025.
Illustrations :
- Notation sociale des citoyens : le gouvernement ne peut pas mettre en place un système ayant pour objet d’attribuer une « note » aux citoyens en fonction de leur comportement, et qui impacterait leur accès aux services publics ou à des opportunités économiques (ex: accès à l’emploi).
- Reconnaissance des émotions sur le lieu de travail : un employeur ne peut pas déployer un système qui aurait vocation à analyser les expressions faciales et/ou la tonalité de la voix des salariés pour analyser leur engagement, leur satisfaction ou encore leur productivité au travail.
- Identification biométrique en temps réel dans les espaces publics (sauf exceptions sécuritaires encadrées) : un stade de football ne pourrait pas utiliser un système de reconnaissance faciale permettant de filtrer les spectateurs et de refuser leur entrée dans le stade en fonction de critères non-transparents.
- Manipulation cognitive et exploitation des vulnérabilités : un site de suivi psychologique en ligne, s’adressant à des personnes considérées comme « vulnérables », ne pourrait pas déployer un chatbot intelligent destiné à manipuler leurs réponses pour promouvoir certains services payants.
Systèmes d'IA à haut risque
Un système d’IA sera considéré comme présentant un « haut risque » (ou risque élevé) lorsque son utilisation est susceptible d’avoir une incidence négative sur la sécurité des personnes ou sur leurs droits fondamentaux. Ils sont notamment listés en Annexe III du RIA.
Exemples d’activités et de secteurs particulièrement concernés (sensibles) :
- Les activités liées à la gestion de l’emploi et des salariés.
- Les activités judiciaires, ou liées à l’administration de la justice et du processus démocratique.
- Les activités liées à la gestion de l’asile, des migrations et du contrôle aux frontières.
- Les infrastructures critiques (ex : réseaux d’énergie ou de transport).
- Le secteur de l’éducation ou de la formation professionnelle.
- Les secteurs privés et publics essentiels.
Illustrations de systèmes d'IA qui pourraient être à "haut risque" :
- Système de diagnostic médical assisté par l’IA, utilisé pour assister les professionnels de santé.
- Système de recrutement automatisé, qui analyserait les candidatures et effectueraient une présélection des candidats pour certains postes.
- Système d’évaluation de la solvabilité dans le cadre de demandes de prêt adressées à des institutions financières.
- Système de reconnaissance faciale déployé dans des espaces publics pour prévenir la commission d’infractions.
Systèmes d'IA à risque faible ou limité
Un système d’IA sera considéré comme « à faible risque » lorsqu’il ne présente peu ou pas de risques pour les droits fondamentaux et la sécurité des individus. Ces systèmes sont soumis à un régime d’obligations largement simplifié au titre du Règlement IA.
Illustrations de systèmes d'IA à risque a priori limité :
- Les filtres anti-spam des messageries en ligne telles que Gmail ou Outlook, qui analysent automatiquement les courriels entrants pour bloquer ou déplacer ceux considérés comme indésirables. En règle générale, ces filtres comportent un risque faible pour les utilisateurs, même s'il peut y avoir des cas d'erreurs (par exemple : le blocage d'un email légitime).
- Les assistants vocaux personnels, comme Alexa, Siri ou Google Assistant, qui sont conçus pour accomplir des tâches limitées et peu critiques (comme afficher la météo, programmer des rappels, gérer la musique, etc.). En général, ces assistants ne sont pas en mesure de prendre des décisions stratégiques, et n'exposent pas les utilisateurs à des risques importants.
- Les systèmes d’IA intégrés dans les jeux vidéo, qui permettent notamment aux personnages non-joueurs (PNJ) d'interagir de manière plus réaliste avec les actions des joueurs. Ils contribuent à augmenter la difficulté des jeux et à adapter les scénarios en fonction des comportements des joueurs. Ces systèmes influencent uniquement l'expérience de jeu et ne posent pas de risque pour les droits fondamentaux ou la sécurité des joueurs.