I. Définition d’un SIA à haut risque
Le règlement UE 2024/1689 (AI Act ou RIA)1 classe les systèmes d’IA en fonction des risques qu’ils présentent. Parmi ces systèmes, le RIA définit les SIA à haut risque (Art 6) comme pouvant porter atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes.
1. Quels systèmes d’IA sont-ils considérés à haut risque ?
Un SIA est considéré comme tel si :
- Il est un composant de sécurité d’un produit réglementé par l’une des normes européennes listée à l’annexe I de l’IA Act ou constitue lui-même un tel produit (Art 6.1.a) ;
- Il est un composant de sécurité d’un produit soumis à une évaluation de conformité obligatoire par un tiers avant sa mise sur le marché. Cette exigence s’applique aux produits couverts par les réglementations européennes listées à l’Annexe I (Art 6.1.b) ;
- Il appartient à une catégorie listée à l’Annexe III du règlement ;
- Il est un système autonome (ni composant de sécurité ni produit en lui-même) présentant un risque élevé pour la santé, la sécurité ou les droits fondamentaux. Cette classification repose sur deux critères :
- La gravité et la probabilité du préjudice potentiel.
- Son utilisation dans des domaines sensibles définis par le règlement.
2. Exemples de SIA considérés comme à haut risque ?
L’annexe III du RIA liste les SIA à haut risque répertoriés dans différents domaines comme :
- La biométrie (Ex : SIA d’identification biométrique à distance)
- Les infrastructures critiques (Ex : SIA utilisé comme composant de sécurité dans la gestion et l’exploitation d’infrastructures numériques critiques)
- L’éducation et formation professionnelle (Ex : SIA utilisés pour évaluer les acquis d’apprentissage)
- L’emploi, la gestion de la main-d’œuvre et l’accès à l’emploi indépendant (ex : SIA utilisés pour le recrutement ou la sélection de personnes physiques) ;
- L’accès et droit aux services privés essentiels et aux services publics et prestations sociales essentiels (Ex : SIA pour évaluer l’éligibilité des personnes physiques aux prestations et services d’aide sociale essentiels) ;
- La répression (Ex : SIA pour évaluer la fiabilité des preuves au cours d’enquêtes ou de poursuites pénales) ;
- La migration, l’asile et la gestion des contrôles aux frontières (Ex : SIA pour évaluer un risque comme la migration irrégulière) ;
- L’administration de la justice et processus démocratiques (Ex : SIA pour la recherche et l’interprétation de faits ou de la loi).
II. Quelles sont les obligations liées aux SIA à haut risque ?
Le RIA impose un cadre pour assurer la conformité de ces SIA en distinguant deux types d’obligations : des obligations générales applicables à tous les SIA à haut risque (Art 8 à 15) et des obligations spécifiques selon le rôle des opérateurs impliqués (ex : fournisseurs, déployeurs, et autres).
Conformément aux normes du RGPD en matière d’IA, il est essentiel de maintenir une bonne gouvernance des données.
1. Obligations générales
Tous les SIA à haut risque doivent respecter les obligations suivantes :
- Gestion des risques (Art 9) : Mise en place d’un système d’évaluation et de gestion des risques tout au long du cycle de vie du système, similaire au PIA (Privacy Impact Assessment) du RGPD ;
- Contrôle de la qualité et gouvernance des données (Art 10) : Garantir que les données d’entraînement, de validation et de test répondent à des critères stricts de qualité et de gouvernance ;
- Documentation technique (Art 11) : Fournir une documentation complète et précise du SIA, conforme aux 23 exigences détaillées dans l’Annexe IV du règlement ;
- Journalisation des événements (Art 12) : Assurer une traçabilité en enregistrant tous les événements significatifs liés au fonctionnement du système ;
- Transparence envers les déployeurs (Art 13) : Informer clairement les déployeurs sur le fonctionnement, les risques et les limitations du système, via une notice d’information détaillée ;
- Contrôle humain (Art 14) : Garantir une interface homme-machine permettant une supervision et une intervention humaine ;
- Exactitude, robustesse et cybersécurité (Art 15) : Mettre en place des mesures pour assurer un niveau de performance fiable, éviter les exploitations de vulnérabilités etc.
2. Obligations spécifiques selon les opérateurs
Les fournisseurs, qu’il s’agisse d’organismes ou de personnes physiques, sont ceux qui développent un SIA ou modèle d’IA à usage général et le mettent sur le marché ou en services sous leur propre nom ou leur propre marque, que ce soit à titre onéreux ou gratuit (obligations Art 16 et suivants).
Exemples d’obligations du fournisseur :
- Apposition d’un marquage CE (Art 16.h) et établissement d’une déclaration de conformité (Art 18.1.e) ;
- Conservation des documents techniques et les preuves de conformité pendant 10 ans (Art 18) ;
- Conservation des journaux générés automatiquement pendant au moins six mois (Art 19) ;
- Prise des mesures correctives en cas de non-conformité avec leurs obligations (Art 20).
Les déployeurs sont ceux qui utilisent un SIA sous leur propre autorité, sauf dans le cadre d’un usage personnel non professionnel (Obligations Art 26 et 27) :
- Utilisation conforme du SIA aux instructions du fournisseur (Art 26.1) ;
- Mise en place d’un contrôle humain sur le SIA (Art 26.2) ;
- Obligation de notifier tout incident grave au fournisseur, puis à l’importateur ou le distributeur, ainsi qu’aux autorités de surveillance concernée (Art 26.5) ;
- Réalisation d’une analyse d’impact sur l’utilisation du SIA (Art 27).
III. Quelles sanctions en cas de non-conformité ?
Éviter des sanctions lourdes implique une connaissance précise du cadre légal de l’IA.
Les sanctions pour non-conformité aux obligations du RIA (article 99) sont principalement financières et entreront en application le 2 août 2025 (Art 113.b). Ces sanctions varient selon la gravité de l’infraction :
1️. Utilisation d’un système d’IA interdit :
Amende pouvant atteindre 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial (Art 99.3).
2. Non-respect des obligations relatives aux opérateurs ou organismes notifiés :
Amende pouvant aller jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial, selon le montant le plus élevé (Art 99.4).
3. Fourniture d’informations inexactes, trompeuses aux autorités nationales :
Amende pouvant aller jusqu’à 7,5 millions d’euros ou 1% du chiffre d’affaires annuel mondial (Art 99.5).
4. Critères d’évaluation des sanctions (Art 99.7)
Le montant des amendes dépend de plusieurs facteurs, notamment :
- Nature, durée, conséquences de la violation, nombre de personnes affectées (gravité et impact de l’infraction) ;
- Amendes précédentes pour la même violation ou des infractions similaires (historique des sanctions) ;
- Chiffre d’affaires, part de marché, capacité financière (taille et influence de l’opérateur) ;
- Bénéfices obtenus ou pertes évitées grâce à la violation (facteurs aggravants ou atténuants) ;
- Efforts déployés pour corriger la situation (coopération avec les autorités) ;
- Mesures techniques et organisationnelles mises en place (niveau de responsabilité) ;
- Déclaration volontaire de l’opérateur ou détection par une autorité (mode de découverte de l’infraction) ;
- Violation commise délibérément ou par négligence (intention) ;
- Actions entreprises pour réduire les dommages (mesures correctives).
5. Cas particulier des PME et startups
Pour les petites entreprises et jeunes pousses, le règlement prévoit une clause de proportionnalité, afin que les amendes restent adaptées à leur situation financière (montant le moins élevé sera appliqué en cas d’infraction) (Art 99.6).
6. Sanctions non financières
Les autorités peuvent également exiger :
- Le retrait du marché du SIA non conforme (Art 83.2)
- Le rappel des produits déjà mis en circulation (Art 83.2)
7. D’autres sanctions à prévoir ?
Les SIA étant susceptibles de traiter des données à caractère personnel, cela entraîne une imbrication/superposition entre l’IA Act et le RGPD2. À ce titre, il est important de souligner que d’autres sanctions issues d’autres réglementations européennes peuvent s’appliquer. La CNIL3, dans le cadre de la mise en oeuvre RGPD, a précisé que des mises en demeure pouvaient être prononcées, enjoignant notamment la mise en conformité du traitement ou sa limitation, qu’elle soit temporaire ou définitive (éventuellement sous astreinte). Par ailleurs, des amendes administratives pouvant atteindre 20 millions d’euros ou 4% du chiffre d’affaires annuel mondial pourront aussi être fixées.
IV. Comment concevoir un SIA à haut risque conforme au cadre réglementaire ?
Le cycle de vie d’un système d’intelligence artificielle à haut risque implique un encadrement rigoureux dès sa conception. Le Chapitre III de l’IA Act impose des exigences aux fournisseurs et développeurs pour assurer la conformité de ces systèmes avant leur mise sur le marché.
Une attention particulière doit être portée aux systèmes d’intelligence artificielle émotionnelle qui analysent les émotions humaines via des signaux physiologiques. Malgré leurs applications en marketing, éducation et RH, ils posent des risques éthiques, notamment en recrutement, où des biais peuvent entraîner des discriminations. L’IA Act encadre strictement leur usage, surtout dans les domaines sensibles comme l’emploi et l’éducation (Annexe III).
Un SIA à haut risque doit être conçu dès l’origine pour respecter les principes de sécurité, d’éthique et de transparence. Cela repose notamment sur des méthodes de by design, similaires aux concepts du privacy by design du RGPD. Les fournisseurs doivent ainsi :
- Évaluer les risques en amont : L’IA Act impose un cadre de gestion des risques couvrant l’ensemble du cycle de vie d’un système, du développement à l’exploitation (Art. 9). Un SIA doit être testé dans des scénarios variés pour identifier ses vulnérabilités potentielles et limiter tout effet de bord dangereux. Par exemple, un algorithme de recrutement doit éviter toute discrimination involontaire due à un biais algorithmique.
- Garantir la qualité des données : L’article 10 impose que les bases de données utilisées pour entraîner un SIA respectent des normes strictes. Un modèle d’IA prédisant l’attrition des employés devra ainsi être entraîné sur des jeux de données équilibrés, sous peine d’amplifier des biais systémiques.
- Intégrer un contrôle humain suffisant : L’article 14 impose un niveau de supervision humaine permettant d’éviter des décisions automatisées nuisibles. Par exemple, un système d’évaluation des risques en matière de prêts bancaires devra prévoir un processus de validation humaine avant tout refus automatique.
- Assurer la robustesse et la cybersécurité : L’article 15 impose de sécuriser les SIA contre les attaques adversariales et de garantir leur fiabilité. Une IA médicale évaluant les résultats d’IRM devra démontrer une précision et une fiabilité constantes dans des environnements variés. Par ailleurs, il est crucial de prévoir des mécanismes efficaces de gestion de crise cyber pour répondre rapidement aux éventuelles menaces ou attaques ciblant ces systèmes.
Tout SIA à haut risque doit être soumis à une procédure d’évaluation de conformité avant sa mise sur le marché, impliquant la constitution d’un dossier technique complet (Art. 11), la mise en place d’un système de gestion de la qualité (Art. 17) et, dans certains cas, la certification par un organisme tiers.
V. Quel impact pour les entreprises et les fournisseurs de SIA à haut risque ?
L’IA Act ne concerne pas uniquement les géants technologiques. Toute entreprise développant, commercialisant ou utilisant un système d’IA entrant dans la catégorie des systèmes à haut risque doit adapter ses pratiques.
1. Adaptation des entreprises aux nouvelles exigences
Les acteurs économiques doivent se préparer à un nouveau cadre réglementaire exigeant qui affecte non seulement les développeurs, mais aussi les entreprises déployant ces technologies dans leur activité.
Par exemple, une banque utilisant une IA pour accorder des prêts devra justifier l’équité et la transparence de son algorithme auprès des autorités de contrôle. Un hôpital souhaitant intégrer une IA d’aide au diagnostic devra prouver que son système répond aux standards de robustesse et de fiabilité fixés par le règlement.
Les entreprises doivent ainsi mettre en place des équipes dédiées pour assurer leur conformité, notamment dans les secteurs où l’IA est intégrée dans des processus critiques : finance, santé, transport, sécurité, etc.
2. Le rôle accru des fournisseurs de SIA
Les fournisseurs d’IA ont désormais un rôle central, car ils doivent s’assurer que leurs systèmes respectent les exigences de transparence, de sécurité et de conformité avant leur mise sur le marché. L’article 16 du règlement leur impose notamment de :
- Maintenir un système de gestion de la qualité (Art. 17) garantissant la traçabilité et l’auditabilité du système.
- Fournir une documentation technique complète aux utilisateurs et aux autorités de contrôle.
- Mettre en place un suivi continu du système d’IA pour garantir qu’il reste conforme et qu’aucun risque imprévu n’émerge après son déploiement.
Les entreprises européennes qui utilisent des solutions d’IA développées par des fournisseurs non européens devront également s’assurer que ces systèmes sont conformes au cadre réglementaire européen, sous peine de sanctions.
Aumans Avocats : spécialistes en IT/Data, protection des données et externalisation de DPO
En tant que cabinet d’avocats spécialisé IT / Data et protection des données, nous sommesà votre disposition pour vous accompagner dans tous vos projets. Que vous soyez unestartup, une PME ou un groupe de sociétés, notre expertise vous permettra de naviguersereinement dans le paysage complexe de la réglementation et de la conformité. N’hésitezpas à nous contacter pour bénéficier de conseils personnalisés, vous accompagner dans votre mise en conformité RGPD et sécuriser votre avenir numérique.
