Loi européenne sur l'IA: Incertitude et freins à l'innovation pour les fournisseurs
À compter du 2 août 2025, les fournisseurs de modèles d’intelligence artificielle à usage général (GPAI) opérant au sein de l’Union européenne devront se conformer aux dispositions clés de la Loi européenne sur l’IA. Ces exigences incluent la tenue à jour de la documentation technique et des résumés des données d’entraînement.
La Loi européenne sur l’IA est conçue pour garantir l’utilisation sûre et éthique de l’IA à travers le bloc, adoptant une approche basée sur les risques qui catégorise les systèmes d’IA en fonction de leur impact potentiel sur les citoyens. Cependant, à mesure que la date limite approche, les fournisseurs d’IA et les experts juridiques expriment de sérieuses préoccupations quant au manque de clarté de la législation. Cette ambiguïté, selon eux, pourrait exposer les entreprises à des pénalités même lorsqu’elles ont l’intention de se conformer, et certaines exigences pourraient entraver l’innovation, en particulier pour les startups technologiques.
Oliver Howley, associé au département technologique du cabinet d’avocats Proskauer, souligne ces problèmes. « En théorie, le 2 août 2025 devrait être une étape importante pour une IA responsable », a-t-il déclaré. « En pratique, cela crée une incertitude significative et, dans certains cas, une réelle hésitation commerciale. »
Une législation peu claire crée des défis pour les fournisseurs d’IA
Les fournisseurs de modèles d’IA dans l’UE sont aux prises avec une législation qui « laisse trop de place à l’interprétation », note Howley. Bien que les principes sous-jacents puissent être réalisables, la rédaction de haut niveau introduit une véritable ambiguïté. Par exemple, la Loi définit les modèles GPAI comme ayant une « généralité significative » sans seuils précis, et exige des fournisseurs qu’ils publient des résumés « suffisamment détaillés » des données d’entraînement. Cette imprécision pose un dilemme : divulguer trop de détails pourrait risquer de révéler une propriété intellectuelle précieuse ou de déclencher des litiges de droits d’auteur.
Certaines exigences présentent également des normes irréalistes. Le Code de bonnes pratiques en matière d’IA, un cadre volontaire permettant aux entreprises de s’aligner sur la Loi, conseille aux fournisseurs de modèles GPAI de filtrer les sites web qui ont refusé l’extraction de données de leurs données d’entraînement. Howley décrit cela comme « une norme suffisamment difficile à appliquer à l’avenir, sans parler de manière rétroactive. »
De plus, la Loi manque de clarté sur qui porte le fardeau de la conformité. Howley s’interroge : « Si vous affinez un modèle open source pour une tâche spécifique, êtes-vous maintenant le ‘fournisseur’ ? Et si vous l’hébergez simplement ou l’intégrez dans un produit en aval ? Cela compte car cela affecte qui supporte le fardeau de la conformité. »
Bien que les fournisseurs de modèles GPAI open source soient exemptés de certaines obligations de transparence, cette exemption ne s’applique pas s’ils posent un « risque systémique ». Dans de tels cas, ils sont soumis à des exigences plus rigoureuses, y compris des tests de sécurité, du « red-teaming » (attaques simulées pour identifier les vulnérabilités) et une surveillance post-déploiement. Cependant, la nature de l’open source rend le suivi de toutes les applications en aval presque impossible, mais le fournisseur original pourrait toujours être tenu responsable des résultats nuisibles.
Exigences lourdes et impact sur l’innovation
Les inquiétudes grandissent quant au fait que les exigences de transparence pourraient exposer des secrets commerciaux et étouffer l’innovation en Europe. Alors que des acteurs majeurs comme OpenAI, Anthropic et Google se sont engagés à respecter le Code de bonnes pratiques volontaire, Google a exprimé ces préoccupations, et Meta a publiquement refusé de signer le Code en signe de protestation.
Howley observe que certaines entreprises retardent déjà le lancement de produits ou limitent l’accès au marché de l’UE, non pas en raison d’un désaccord avec les objectifs de la Loi, mais parce que la voie de la conformité est incertaine et que les coûts potentiels de non-conformité sont trop élevés. Les startups, manquant de soutien juridique interne pour une documentation exhaustive, sont particulièrement vulnérables.
« Pour les développeurs en phase initiale, le risque d’exposition juridique ou de retour en arrière de fonctionnalités peut suffire à détourner complètement les investissements de l’UE », prévient Howley. Il suggère que si les objectifs de la Loi sont louables, sa mise en œuvre pourrait par inadvertance ralentir l’innovation responsable qu’elle vise à favoriser. Cela a également des implications géopolitiques potentielles, car l’opposition de l’administration américaine à la réglementation de l’IA contraste avec la volonté de l’UE de superviser, ce qui pourrait tendre les relations commerciales si les fournisseurs basés aux États-Unis sont confrontés à des mesures d’application.
Focus limité sur les biais et le contenu nuisible
Malgré d’importantes exigences de transparence, la Loi ne prévoit pas de seuils obligatoires pour la précision, la fiabilité ou l’impact réel. Howley souligne que même les modèles à risque systémique ne sont pas réglementés en fonction de leurs résultats réels, mais plutôt de la robustesse de leur documentation. « Un modèle pourrait satisfaire à toutes les exigences techniques… et pourtant produire du contenu nuisible ou biaisé », déclare-t-il.
Dispositions clés en vigueur au 2 août 2025
À compter du 2 août 2025, les fournisseurs de modèles GPAI doivent se conformer à des règles spécifiques dans cinq domaines clés :
Organismes notifiés : Les fournisseurs de modèles GPAI à haut risque doivent se préparer à interagir avec des « organismes notifiés » pour les évaluations de conformité. Les systèmes d’IA à haut risque sont ceux qui présentent une menace significative pour la santé, la sécurité ou les droits fondamentaux. Cela inclut l’IA utilisée comme composants de sécurité dans des produits réglementés par l’UE ou déployée dans des contextes sensibles tels que l’identification biométrique, les infrastructures critiques, l’éducation, l’emploi et l’application de la loi.
Modèles GPAI : Tous les fournisseurs de modèles GPAI doivent maintenir une documentation technique, un résumé des données d’entraînement, une politique de conformité aux droits d’auteur, des directives pour les déployeurs en aval et des mesures de transparence décrivant les capacités, les limitations et l’utilisation prévue. Les modèles GPAI présentant un « risque systémique » – définis comme dépassant 10^25 opérations en virgule flottante (FLOPs) pendant l’entraînement et désignés comme tels par l’Office européen de l’IA (par exemple, ChatGPT d’OpenAI, Llama de Meta, Gemini de Google) – sont soumis à des obligations plus strictes. Celles-ci incluent des évaluations de modèles, des rapports d’incidents, des stratégies d’atténuation des risques, des mesures de cybersécurité, la divulgation de la consommation d’énergie et une surveillance post-commercialisation.
Gouvernance : Cette section définit la structure réglementaire et d’application aux niveaux de l’UE et nationaux. Les fournisseurs de modèles GPAI doivent coopérer avec des organismes tels que l’Office européen de l’IA et les autorités nationales pour assurer la conformité, répondre aux demandes de surveillance et participer à la surveillance des risques et à la notification des incidents.
Confidentialité : Les demandes de données des autorités auprès des fournisseurs de modèles GPAI doivent être légalement justifiées, traitées en toute sécurité et soumises à des protections de confidentialité, en particulier pour la propriété intellectuelle, les secrets commerciaux et le code source.
Sanctions : Le non-respect peut entraîner des amendes substantielles. Les violations des pratiques d’IA interdites (par exemple, manipulation du comportement humain, notation sociale, identification biométrique publique en temps réel) peuvent entraîner des pénalités allant jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel total mondial, le montant le plus élevé étant retenu. D’autres infractions, telles que celles liées à la transparence ou à la gestion des risques, peuvent entraîner des amendes allant jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires. La fourniture d’informations trompeuses ou incomplètes aux autorités peut entraîner des amendes allant jusqu’à 7,5 millions d’euros ou 1 % du chiffre d’affaires. Pour les PME et les startups, le montant fixe ou le pourcentage le plus bas s’applique. Les pénalités tiennent compte de la gravité, de l’impact, de la coopération et de l’intention de la violation.
Il est important de noter que si ces obligations commencent le 2 août 2025, un délai de grâce d’un an s’applique, ce qui signifie que les pénalités pour non-conformité ne seront pas appliquées avant le 2 août 2026.
Mise en œuvre progressive de la Loi européenne sur l’IA
La Loi européenne sur l’IA a été publiée le 12 juillet 2024 et est entrée en vigueur le 1er août 2024, mais ses dispositions sont appliquées par phases :
2 février 2025 : Certains systèmes d’IA jugés présenter un risque inacceptable (par exemple, la notation sociale, la surveillance biométrique en temps réel en public) ont été interdits. Les entreprises doivent également s’assurer que leur personnel possède un niveau suffisant de littératie en IA.
2 août 2026 : Les pouvoirs d’application commencent officiellement. Les modèles GPAI mis sur le marché après le 2 août 2025 doivent être conformes. Les règles pour certains systèmes d’IA à haut risque répertoriés s’appliquent également à ceux mis sur le marché après cette date, ou à ceux qui ont été substantiellement modifiés depuis.
2 août 2027 : Les modèles GPAI mis sur le marché avant le 2 août 2025 doivent atteindre une conformité totale. Les systèmes à haut risque utilisés comme composants de sécurité dans des produits réglementés par l’UE doivent également se conformer à des obligations plus strictes.
2 août 2030 : Les systèmes d’IA utilisés par les organisations du secteur public relevant de la catégorie à haut risque doivent être entièrement conformes.
31 décembre 2030 : Les systèmes d’IA qui sont des composants de systèmes informatiques de l’UE à grande échelle spécifiques, mis sur le marché avant le 2 août 2027, doivent être mis en conformité.
Malgré les appels de géants technologiques comme Apple, Google et Meta à reporter la mise en œuvre de la Loi d’au moins deux ans, l’UE a rejeté cette demande.