Publication de deux séries de lignes directrices en lien avec le Règlement IA

Le 4 et 6 février 2025, la Commission Européenne a publié deux séries de lignes directrices en lien avec le règlement 2024/1689 du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle (« Règlement IA »)^[1] :

• les lignes directrices de la Commission Européenne sur la définition des systèmes d’intelligence artificielle au sens du Règlement IA (les « Lignes Directrices Systèmes d’IA»)^[2] (1.) ;
• les lignes directrices de la Commission Européenne sur les pratiques interdites en matière d’IA (les « Lignes Directrices Pratiques Interdites»)^[3] (2.).

Ces deux publications n’ont pas de portée contraignante, l’interprétation du Règlement IA étant formellement réservée à la Cour de justice de l’Union Européenne^[4]. Cependant, elles fournissent des indications importantes qui seront prises en compte lors de la mise en œuvre du Règlement IA par les autorités nationales.

Au jour de la rédaction de cet article, les Lignes Directrices Systèmes d’IA et les Lignes Directrices Pratiques Interdites , préparées en application de l’article 96 du Règlement IA, ont été approuvées par la Commission européenne mais n’ont pas encore été formellement adoptées.

1. Les lignes directrices systèmes d’IA

Les Lignes Directrices Systèmes d’IA visent à aider les fournisseurs et autres parties concernées à déterminer si une solution constitue un système d’IA, tel que défini dans le Règlement IA (un « Système d’IA »)^[5]. Elles apportent ainsi une clarification sur les paramètres à prendre en compte pour déterminer le périmètre d’application du Règlement IA.

Les Lignes Directrices Systèmes d’IA définissent et précisent les sept critères devant être pris en compte pour caractériser un Système d’IA :

1. un système automatisé (machine-based) ;
2. un système conçu pour fonctionner de manière autonome ;
3. un système qui peut (sans obligation) faire preuve d’une capacité d’adaptation après son déploiement ;
4. un système qui a des objectifs explicites ou implicites ;
5. un système qui déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties ;
6. un système qui génère des prédictions, du contenu, des recommandations ou des décisions ;
7. un système qui peut influencer des environnements physiques ou virtuels.

L’appréciation du cumul de ces critères présente plusieurs subtilités.

• Le cycle de vie d’un Système d’IA comprenant la phase de pré-déploiement (construction) puis de post-déploiement (utilisation) du système^[6], la Commission Européenne indique qu’un système pourra être qualifié de Système d’IA même lorsque les sept éléments mentionnés ci-dessus ne sont pas présents de manière continue au long de son cycle de vie^[7].
• La Commission Européenne insiste sur le besoin d’une analyse in concreto, au cas par cas, en fonction des caractéristiques précises d’une solution donnée^[8].
• Il ressort également des Lignes Directrices Systèmes d’IA que les sept critères ne se valent pas. Si un Système d’IA peut ainsi être qualifié en l’absence de toute capacité d’adaptation (critère n°3) ; la capacité de déduction (critère n°5) est, elle, une « condition clé indispensable qui distingue les Systèmes d’IA» des autres systèmes^[9].

Les Lignes Directrices Systèmes d’IA fournissent également des indices sur les systèmes qui pourraient ne pas être qualifiés de Systèmes d’IA, du fait de leur capacité limitée d’inférence^[10]. Il s’agit notamment des systèmes utilisés pour améliorer les méthodes d’optimisation mathématiques, dont les systèmes de régression linéaire ou logistique^[11]. La précision avait vocation à répondre favorablement à certaines demandes, portées notamment par l’industrie financière, dont les acteurs utilisent particulièrement ces systèmes, notamment en matière assurantielle. Néanmoins, d’aucuns s’interrogent sur la portée exacte à donner à cette exclusion compte tenu de la rédaction des Lignes Directrices Systèmes d’IA, ce qui interroge sur le confort effectif apporté par ces dernières à cet égard.

Les Lignes Directrices Systèmes d’IA apportent des précisions bienvenues sur l’appréciation des critères de qualification des Systèmes d’IA. Elles laissent cependant subsister des interrogations sur l’interprétation de certains de ces critères, notamment la capacité d’inférence. Dans ce contexte, il est essentiel que les acteurs anticipent ces enjeux de qualification et, le cas échéant, nouent avec les autorités européennes et nationales un échange constructif pour définir des réponses concrètes aux questions soulevées par ce nouveau règlement.

2. Les lignes directrices pratiques interdites

Les dispositions de l’article 5 du Règlement IA, interdisant certaines pratiques en matière d’IA, sont entrées en application ce 2 février 2025. Le non-respect de ces interdictions peut faire l’objet d’une amende administrative allant jusqu’à 35 millions d’euros ou, si l’auteur de l’infraction est une entreprise, jusqu’à 7 % de son chiffre d’affaires annuel mondial total réalisé au cours de l’exercice précédent, le montant le plus élevé étant retenu^[12]. Dans ce contexte, les précisions apportées par les Lignes Directrices Pratiques Interdites ce 4 février étaient particulièrement attendues.

L’article 5 du Règlement IA vise, au titre des pratiques interdites, la « mise sur le marché »^[13], la « mise en service »^[14] et plus largement l’utilisation de certains Systèmes d’IA dans l’Union Européenne. Cette notion d’utilisation doit s’entendre, selon les Lignes Directrices Pratiques Interdites, comme « l’utilisation ou le déploiement du système à tout moment de son cycle de vie après sa mise sur le marché ou sa mise en service »^[15].

La Commission Européenne a choisi d’orienter ses Lignes Directrices Pratiques Interdites vers les fournisseurs et les déployeurs^[16]. Le fournisseur est défini comme effectuant la mise sur le marché ou la mise en service d’un Système d’IA « sous sa propre autorité », tandis que le déployeur utilise un système d’IA « sous sa propre autorité ».

Pourtant, l’article 5 du Règlement IA ne vise explicitement ni les fournisseurs ni les distributeurs. Ainsi, ses dispositions pourraient être comprises comme s’appliquant plus largement à toute personne effectuant « la mise sur le marché » ou « la mise en service », sans égard au fait que cette personne agisse ou non sous sa propre autorité.

En plus de détailler la nature des huit séries de pratiques interdites par l’article 5 du Règlement IA (avec des exemples concrets de différents cas d’usage issus de multiples secteurs et industries), les Lignes Directrices Pratiques Interdites apportent certaines précisions pratiques particulièrement instructives. Elles disposent par exemple que les fournisseurs sont tenus de ne pas mettre sur le marché ou en service des Systèmes d’IA, notamment des Systèmes d’IA à usage général qui sont « raisonnablement susceptibles de se comporter ou d’être directement utilisés d’une manière interdite par l’article 5 du Règlement IA »^[17]. A cet égard, il est aussi attendu de leur part qu’ils prennent « des mesures efficaces et vérifiables pour mettre en place des garde-fous et prévenir et atténuer ces comportements préjudiciables et ces utilisations abusives, dans la mesure où ils sont raisonnablement prévisibles et où les mesures sont faisables et proportionnées »^[18].

Dans leurs relations contractuelles avec les déployeurs (notamment les conditions générales d’utilisation), il est attendu que les fournisseurs (i) excluent l’usage de leur Système d’IA aux fins de pratiques interdites et (ii) fournissent des informations appropriées sur l’utilisation de leur Système d’IA et sur la supervision humaine nécessaire^[19].

Les déployeurs sont quant à eux tenus de n’utiliser aucun Système d’IA d’une manière interdite par l’article 5 du Règlement IA, notamment de ne pas contourner les garde-fous mis en place par les fournisseurs du Système d’IA ^[20].

Les Lignes Directrices Pratiques Interdites apportent un éclairage opérationnel très utile pour permettre aux acteurs de mieux cerner les interdictions qu’ils sont tenus de respecter depuis février 2025. Si des interrogations persistent quant à l’impact des interdictions prévues par l’article 5 du Règlement IA, cette publication clarifie certaines attentes des institutions européennes en la matière. Reste à présent également à mieux comprendre l’interprétation qu’en feront les régulateurs français et européens.

***

Ces deux jeux de lignes directrices sont ainsi complémentaires. Ils apportent des précisions essentielles pour comprendre le périmètre d’application du règlement européen inédit sur l’intelligence artificielle et certaines pratiques qu’il interdit dorénavant. Les acteurs doivent les intégrer dans leurs démarches de mise en conformité avec le Règlement IA et, le cas échéant, identifier les éventuelles interrogations que ces lignes directrices laissent persister.

[1] Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle.
[2] Annex to the Communication to the Commission – Approval of the content of the draft Communication from the Commission – Commission Guidelines on the definition of an artificial intelligence system established by Regulation (EU) 2024/1689 (AI Act) – 06.02.2025 (accessible ici).
[3] Annex to the Communication to the Commission – Approval of the content of the draft Communication from the Commission – Commission Guidelines on prohibited artificial intelligence practices established by Regulation (EU) 2024/1689 (AI Act) – 04.02.2025 (accessible ici).
[4] Lignes Directrices Système IA, §7 ; Lignes Directrices Pratiques Interdites, §5.
[5] Au sens de l’art. 3(1)(f) du Règlement IA.
[6] Lignes Directrices Système IA, §10.
[7] Id.
[8] Lignes Directrices Système IA, §62.
[9] Lignes Directrices Système IA, §27.
[10] Lignes Directrices Système IA, §41 : « Some systems have the capacity to infer in a narrow manner but may nevertheless fall outside of the scope of the AI system definition because of their limited capacity to analyse patterns and adjust autonomously their output.. »
[11] Lignes Directrices Système IA, §42-45. Les Lignes Directrices Systèmes d’IA notent que ces systèmes de régression linéaire ou statistique ont certes une capacité d’inférence, mais qui ne dépasse pas le traitement de données basique (« while those models have the capacity to infer, they do not transcend ‘basic data processing’. »)
[12] Règlement IA, art. 99(3).
[13] Au sens de Règlement IA, art. 3.9 et 3.10.
[14] Au sens de Règlement IA, art. 3.11.
[15] Lignes Directrices Pratiques Interdites, §14.
[16] Tels que ces termes sont définis par le Règlement IA, art. 3(3) et 3(4).
[17] Lignes Directrices Pratiques Interdites, §40.
[18] Id.
[19] Id.
[20] Id.