Après plus de trois ans de gestation législative, le règlement européen sur l’intelligence artificielle a enfin été publié dans le Journal officiel. Ce dernier est directement applicable à tous les États membres de l’UE, sans nécessiter une transposition dans le droit national. Un régime transitoire est prévu pour certains acteurs et exigences.

Le règlement représente le premier cadre règlementaire qui s’applique de manière générale aux systèmes d’intelligence artificielle (SIA), dont la définition est présentée ci-dessous. Cette règlementation marque un tournant majeur, également pour les prestataires suisses de services financiers. D’une part, le règlement a une portée extraterritoriale, et d’autre part, il pourrait servir de source d’inspiration au-delà des frontières de l’Union européenne. Bien qu’il soit encore trop tôt pour déterminer si le règlement deviendra un nouveau ‘standard international’ (comme l’a été le RGPD), il est vraisemblable qu’il aura un impact en Suisse.

Le règlement adopte une approche fondée sur les risques s’appliquant tant aux SIA qu’aux modèles d’IA à usage général (GPAIM).

Il divise ainsi les SIA en quatre catégories, respectivement (i) les SIA présentant un risque inacceptable (art. 5), (ii) les SIA présentant un risque élevé (art. 6), (iii) les SIA présentant un risque limité (art. 50) et (iv) les SIA présentant un risque minime.

Pour la première catégorie, le règlement interdit des pratiques d’IA comme les systèmes de ‘crédit social’ (soit, en résumé, l’évaluation de personnes physiques pendant une certaine période sur la base de leur comportement social ou de leurs caractéristiques personnelles connues, déduites ou prévues) ou de surveillance biométrique en temps réel.

La deuxième catégorie vise, en particulier, les SIA utilisés pour évaluer la solvabilité des personnes physiques (credit scoring, cf. cdbf.ch/1316/ en lien avec le RGPD). Pour ces systèmes, les fournisseurs et les déployeurs doivent respecter des exigences techniques et organisationnelles étendues (la définition des termes de fournisseur et déployeur est abordée ci-après). Chaque SIA présentant un risque élevé doit être conforme aux exigences imposées par le règlement avant sa mise en service sur le marché européen. Ces exigences doivent être respectées non seulement lors de la procédure d’autorisation devant l’autorité nationale compétente, mais également tout au long du cycle de vie du SIA.

La troisième catégorie englobe les SIA qui ne sont ni interdits, ni présentant un risque élevé selon le règlement, mais auxquels certaines obligations de transparence s’appliquent.

Finalement, la dernière catégorie vise des applications d’IA utilisées dans les jeux vidéos ou les filtres antispam et pour lesquelles le règlement ne prévoit pas d’exigence règlementaire particulière.

En présence d’un GPAIM, il convient d’examiner si le modèle présente un risque systémique pouvant avoir un impact important sur le marché européen en raison de sa portée, ou d’effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sécurité publique, les droits fondamentaux ou la société dans son ensemble, pouvant se propager à l’échelle de la chaîne de valeur (art. 51).

A. Champ d’application matériel

Comme cela a été mentionné, le règlement s’applique aux SIA et aux GPAIM. L’ajout du GPAIM en cours d’adoption du règlement génère des défis pratiques pour la coordination des règles applicables aux SIA et aux GPAIM. Dans ce contexte, se posera aussi la question de savoir si les GPAIM sont une sous-catégorie des SIA, dans quel cas, le fournisseur devra évaluer si son modèle présente un risque inacceptable, élevé ou limité.

Le règlement définit un SIA comme « un système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (art. 3 ch. 1). Il ressort de cette définition que les SIA génèrent des résultats pouvant influencer les environnements physiques ou virtuels. En outre, ils doivent posséder un certain degré d’autonomie ainsi qu’une capacité d’adaptation. Ces éléments permettent d’exclure de la définition des systèmes basés sur une pure logique « if-then » au profit de ceux qui cherchent à déceler, dans l’entrée (input), un schéma (pattern) qui peut être comparé à ceux qui figurent dans un ensemble de données d’entraînement (training data set).

La définition des GPIAM est encore plus large que celle des SIA. Un modèle d’IA devient un GPIAM s’il « présente une généralité significative » et est « capable d’exécuter de manière compétente un large éventail de tâches distinctes » (art. 3 ch. 63). Ces précisions font implicitement référence à l’IA dite générale, par opposition à l’IA dite faible qui est limitée à l’exécution de tâches précises. Les GPIAMs sont réglementés de manière moins stricte que les SIA et font l’objet d’une section séparée du règlement, vu qu’ils n’y ont été intégrés qu’après le premier projet de la Commission européenne (cf. cdbf.ch/1181/). ChatGPT est un exemple de GPIAM.

B. Champ d’application personnel

Le champ d’application personnel du règlement repose sur une distinction entre ceux qui offrent des systèmes basés sur l’intelligence artificielle (fournisseurs, art. 3 ch. 3) et ceux qui les utilisent à des fins commerciales (déployeurs, art. 3 ch. 4) :

Le fournisseur est celui qui développe ou met à disposition sur le marché de l’UE un SIA, qu’il agisse sur une base rémunérée ou non. Un fournisseur doit être identifié clairement car il porte la responsabilité principale de la conformité. Le concept de fournisseur inclut les entreprises qui modifient substantiellement un SIA ou qui utilisent des SIA de manière non prévue, le transformant en SIA présentant un risque élevé.
Les déployeurs sont des utilisateurs commerciaux de SIA, qui opèrent ces systèmes sous leur propre autorité. L’on exclut ainsi l’utilisation à titre personnel dans un contexte non professionnel.

Le règlement prévoit également des obligations pour les importateurs et distributeurs, étant précisé que ces derniers peuvent également être qualifiés de fournisseur dans certains cas.

C. Champ d’application territorial

Le règlement a un large champ d’application territorial, couvrant non seulement les acteurs au sein de l’UE, mais aussi ceux en dehors si leurs SIA affectent des personnes dans l’UE ou si des résultats générés par des SIA localisés en dehors de l’UE sont utilisés dans l’UE (art. 2). L’objectif du législateur européen a été d’empêcher les contournements règlementaires par des activités hors UE qui auraient une influence sur le marché intérieur européen. Par conséquent, le règlement peut également s’appliquer de manière extraterritoriale.

Les entreprises suisses doivent prêter une attention particulière aux obligations de transparence et de conformité si leurs activités ou produits intégrant l’intelligence artificielle affectent des utilisateurs au sein de l’UE. Même sans être directement actives sur le marché de l’UE, ces entreprises pourraient se voir appliquer le règlement, par exemple si le résultat (output) de leurs SIA est utilisé intentionnellement dans l’UE.

D. Conclusion

Le règlement pose les bases d’un nouveau cadre règlementaire à explorer. Il est important pour les prestataires de services financiers suisses à plusieurs égards : (i) certains de ces prestataires disposent de présences au sein de l’UE auxquelles les nouvelles règles seront applicables, (ii) certaines dispositions du règlement ont une portée extraterritoriale et (iii) ce règlement constitue l’une des approches règlementaires dont le DETEC s’inspirera sans doute pour répondre au mandat conféré par le Conseil fédéral de présenter « les approches règlementaires possibles en matière d’intelligence artificielle » d’ici fin 2024. L’on relèvera aussi que l’intelligence artificielle a fait son apparition dans le « Monitorage des risques » 2023 de la FINMA.

Le règlement européen sur l’IA aura des implications importantes pour l’industrie financière. Le Centre de droit bancaire et financier publiera une série de commentaires à ce sujet. Par ailleurs, ce sujet fera l’objet d’une présentation dans le cadre de la Journée 2024 de droit bancaire et financier.