Le RIA est né de la volonté de l'Union européenne (EU) de maintenir son rôle de leader dans l'innovation technologique tout en protégeant les citoyens. Inspiré du succès du RGPD, ce règlement se concentre sur :

Les principaux objectifs du RIA sont :

Sur le plan matériel, le règlement s'applique aux systèmes d'Intelligence Artificielle ainsi qu'aux modèles d'Intelligence Artificielle à usage général. Ces deux notions, définies à l'article 3, doivent être bien distinguées par le lecteur.

Il convient de noter que le règlement ne s'applique pas :

Par ailleurs, le règlement s'applique sans préjudice des autres textes européens dont notamment le règlement général sur la protection des données ou la directive NIS 2.

Sur le plan territorial, le champ d'application du RIA est particulièrement large. Il s'applique à tous les systèmes d'Intelligence Artificielle (SIA) introduits sur le marché de l'Union européenne, indépendamment du lieu d'établissement des opérateurs des systèmes d'IA.

Il s'appliquera également lorsque les données de sorties générées sur le système d'IA sont utilisées dans l'Union européenne.

Ce deuxième critère élargit considérablement le champ d'application du texte. En effet, même si le fournisseur ou le déployeur du système est situé hors UE, dès lors que les résultats générés par le système sont exploités sur le territoire de l'Union européenne, le règlement trouvera à s'appliquer.

Le RIA est un texte ayant vocation à être la réglementation générale. Ce texte conséquent comporte 180 considérants, 113 articles répartis dans 13 chapitres, 13 annexes, 68 définitions et 144 pages.

L'article 3 du RIA définit l'ensemble des termes employés dans le règlement.

Les définitions suivantes sont à connaître pour comprendre la logique et l'esprit de cette réglementation.

Le SIA est défini de la façon suivante : « Un système automatisé qui est conçu pour fonctionner à différents niveaux d'autonomie et peut faire preuve d'une capacité d'adaptation après son déploiement, et qui, pour des entrées qu'il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (Article 3 §1).

Plusieurs éléments essentiels sont à relever dans cette définition du SIA :

*Source : Glossaire de la CNIL

Il s'agit d'un type de système d'IA basé sur un modèle d'IA à usage général (ou LLM), pouvant répondre à divers usages, tant pour une utilisation directe que pour une intégration dans d'autres systèmes d'IA. Un bon exemple pourrait être l'outil Chat GPT.

Le modèle d'IA est la construction mathématique générant une déduction ou une prédiction à partir de données d'entrée. Le modèle est estimé à partir de données annotées lors de la phase d'apprentissage (ou d'entraînement) du système d'IA*. Il existe différents types de modèles d'IA comme les modèles de langage (permettent de prédire des mots), les modèles discriminatifs (permettent de prédire l'appartenance à une catégorie) ou encore les modèles génératifs (permettent de générer du contenu).

Il est important de comprendre que le modèle d'IA est une composante à part entière d'un système d'IA.

Il sera explicité ci-dessous que le règlement crée des obligations à respecter, d'une part pour les systèmes d'IA et d'autre part pour les modèles d'IA.

Il s'agit d'un modèle d'IA qui présente une généralité significative et qui est capable d'exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d'applications en aval. Parmi les LLM, on peut citer comme exemple GPT 4.0.

Donnée utilisée pour l'apprentissage automatique ou la prise de décision du système d'IA (en phase de production)*.

Valeur représentant tout ou partie de l'opération effectuée par le système d'IA à partir des données d'entrée*.

Champ d'étude de l'IA qui vise à donner aux machines la capacité d'« apprendre » à partir de données, via des modèles mathématiques*.

De manière schématique et simplifiée, le fonctionnement d'un système d'Intelligence Artificielle (qu'il soit à usage général ou non) pourrait être représenté de la façon suivante :

Le diagramme illustre l'architecture d'un système d'IA, divisée en deux phases principales : PHASE D'APPRENTISSAGE et PHASE DE PRODUCTION.

PHASE D'APPRENTISSAGE :

PHASE DE PRODUCTION :

Le Règlement sur l'Intelligence Artificielle (RIA) encadre plusieurs catégories d'acteurs et prévoit une mise en application progressive dans le temps.

Pour bien comprendre ses effets concrets, il faut distinguer les différents opérateurs concernés, puis saisir les grandes étapes de son calendrier d'application.

Le règlement identifie six statuts distincts. Parmi eux figurent notamment les fournisseurs, les déployeurs, les importateurs et les distributeurs. Ces opérateurs jouent un rôle central dans la mise sur le marché, la distribution et l'utilisation des systèmes d'Intelligence Artificielle au sein de l'Union européenne.

Le RIA vise également les fabricants de produits qui incorporent un système d'IA ainsi que les mandataires des fournisseurs situés hors de l'Union européenne.

L'ensemble de ces acteurs est regroupé sous le terme d'opérateur dans le règlement.

Le fournisseur est la personne physique ou morale qui développe, ou fait développer, un système d'IA ou un modèle d'IA à usage général, puis le met sur le marché ou le met en service sous son propre nom ou sa propre marque, à titre gratuit ou onéreux.

Le déployeur est la personne physique ou morale, y compris une autorité publique, une agence ou tout organisme, qui utilise sous sa propre autorité un système d'IA. Il s'agit par exemple de l'entreprise qui décide d'utiliser un SIA pour ses propres activités.

Ces acteurs interviennent dans la chaîne d'approvisionnement des systèmes d'IA, en assurant leur mise à disposition sur le marché européen.

L'importateur est la personne physique ou morale située dans l'Union européenne qui met sur le marché un système d'IA portant le nom ou la marque d'une personne établie dans un pays tiers.

Le distributeur est, quant à lui, la personne physique ou morale faisant partie de la chaîne d'approvisionnement, autre que le fournisseur ou l'importateur, qui met un système d'IA à disposition sur le marché de l'Union européenne.

Bien que ce terme ne soit pas défini spécifiquement dans le RIA, il est soumis au même régime que celui des fournisseurs.

Ces statuts peuvent être cumulatifs et/ou interchangeables. Ainsi, le statut d'importateur et de distributeur peut se cumuler (cf. Considérant 83 du RIA), et un importateur, distributeur ou déployeur peut également avoir le statut de fournisseur s'il remplit les trois critères cumulatifs énoncés à l'article 25 du règlement.

Enfin, le RIA mentionne un dernier acteur : la personne concernée.

Non définie dans le règlement, cette notion est proche de celle du RGPD. Il s'agit de la personne physique qui est l'objet des décisions du SIA et qui peut subir un préjudice ou une atteinte à ses droits fondamentaux.

Le RIA n'entre pas en vigueur de manière uniforme : ses obligations s'appliquent progressivement, selon les dispositions concernées.

Cette montée en puissance vise à laisser aux acteurs le temps de s'adapter, tout en assurant une application rapide des règles jugées prioritaires.

Le RIA repose sur une classification des systèmes d'IA selon leur niveau de risque. Quatre niveaux de risque sont instaurés.

Il s'agit de SIA mettant en œuvre des pratiques interdites, contraires aux valeurs de l'Union européenne et aux droits fondamentaux.

La liste précise de ces systèmes interdits est prévue à l'article 5 du RIA. Font partie de cette catégorie les systèmes d'IA tels que la notation sociale, la prédiction des infractions pénales futures, l'exploitation des vulnérabilités des personnes physiques avec pour objet ou effet d'altérer le comportement des personnes ou du groupe visé.

Leur développement, leur mise sur le marché et leur utilisation sont formellement prohibés.

Prévu à l'article 6, il s'agit des systèmes d'IA susceptibles de porter atteinte à la santé, à la sécurité et aux droits fondamentaux des individus, comme les systèmes d'IA utilisés dans le recrutement.

Ces systèmes doivent faire l'objet d'une évaluation de conformité, d'une documentation technique détaillée et d'une transparence stricte.

La liste de ces systèmes à risque élevé figure à l'article 6 et dans les annexes I et III du RIA.

Définis à l'article 50, ces systèmes d'IA, comme les chatbots et les deepfakes, doivent respecter des obligations de transparence et informer les utilisateurs qu'ils interagissent avec une IA.

Ces modèles d'IA à usage général, tels que GPT-4 ou Sonnet 4.6, sont entraînés sur un vaste ensemble de données capables d'exécuter un large éventail de tâches.

Le Règlement sur l'Intelligence Artificielle (RIA) attribue des obligations spécifiques à ces modèles en distinguant :

La distinction entre ces deux modèles d'IA à usage général est opérée par l'article 53 du RIA qui pose des critères tels que la puissance de calcul du modèle (mesurée en opérations en virgule flottante par seconde, ou FLOPS, dépassant le seuil de , appelé yottaFLOPS), son caractère open source, et d'autres critères définis dans l'annexe XIII.

Le Règlement sur l'Intelligence Artificielle (RIA) organise les obligations applicables aux systèmes d'IA en fonction de leur niveau de risque. Cette logique repose sur un principe simple : plus le risque est élevé, plus les exigences sont nombreuses et strictes.

Pour les systèmes d'IA à haut risque, le RIA prévoit d'abord des obligations générales, communes à tous les opérateurs concernés. Elles figurent principalement aux articles 8 à 15 du RIA.

Cet article impose de mettre en place un système de gestion des risques sur l'ensemble du cycle de vie du système d'IA. Il s'agit, en pratique, de l'équivalent du PIA (Privacy Impact Assessment) du RGPD, adapté aux risques propres à l'IA.

Les données utilisées pour entraîner, valider et tester le système doivent respecter des exigences strictes de qualité et de gouvernance. L'objectif est de garantir la fiabilité du système et de limiter les biais ou erreurs liés aux jeux de données.

L'article 11 exige une documentation technique complète et précise sur le système d'IA. L'annexe IV du RIA précise les 23 mentions obligatoires qui doivent y figurer.

Le RIA impose de journaliser tous les événements pertinents liés à l'utilisation du système, afin d'assurer la traçabilité et de faciliter l'analyse en cas d'incident ou de dysfonctionnement.

Des mesures de transparence doivent permettre d'informer clairement les déployeurs sur le fonctionnement du système, ses limites et les risques associés à son usage.

Le système doit être conçu de manière à permettre une supervision humaine effective. Une interface homme-machine doit notamment offrir la possibilité d'intervenir, de corriger ou d'arrêter le système si nécessaire.

Le système doit présenter un niveau approprié d'exactitude, de robustesse et de cybersécurité, afin d'éviter toute exploitation de vulnérabilité ou toute altération de son fonctionnement ou de ses données de sortie.

En complément des obligations générales, le RIA prévoit des obligations propres à chaque catégorie d'acteur impliqué dans le cycle de vie du système.

Pour le fournisseur, les obligations spécifiques sont détaillées aux articles 16 et suivants : déclaration UE, marquage CE, enregistrement du SIA dans une base de données de l'Union européenne, et autres formalités associées.

Pour le déployeur, les articles 26 et 27 précisent les principales exigences : utilisation du SIA conformément à la notice, mise en œuvre d'un contrôle humain, notification des incidents, et réalisation d'une analyse d'impact lorsque celle-ci est requise.

À l'autre extrémité du spectre, les systèmes d'IA à risque limité sont soumis à un régime plus souple. Le RIA ne leur impose pas les mêmes obligations lourdes que pour les systèmes à haut risque, mais prévoit principalement des exigences de transparence ciblées.