Éthique
Régulation de l'IA
Cadre juridique et réglementaire de l'intelligence artificielle
La régulation de l'IA évolue rapidement pour encadrer les usages tout en permettant l'innovation. Tour d'horizon des principaux textes et leurs implications.
Panorama mondial
État des régulations
┌─────────────────────────────────────────────────────────────┐
│ RÉGULATION DE L'IA DANS LE MONDE │
├─────────────────────────────────────────────────────────────┤
│ │
│ UNION EUROPÉENNE │
│ ├── AI Act (2024) - Approche basée sur les risques │
│ ├── RGPD - Protection des données │
│ └── DSA/DMA - Services et marchés numériques │
│ │
│ ÉTATS-UNIS │
│ ├── Executive Order on AI (2023) │
│ ├── Approche sectorielle (santé, finance...) │
│ └── État par État (California AI Bill) │
│ │
│ CHINE │
│ ├── Règles sur les algorithmes de recommandation │
│ ├── Règles sur les deepfakes et contenus synthétiques │
│ └── Règles sur l'IA générative │
│ │
│ AUTRES │
│ ├── Royaume-Uni : approche pro-innovation │
│ ├── Canada : Loi sur l'IA en discussion │
│ └── Japon : lignes directrices volontaires │
│ │
└─────────────────────────────────────────────────────────────┘AI Act européen
Principe : approche par les risques
CLASSIFICATION DES SYSTÈMES D'IA :
┌─────────────────────────────────────────────────────────────┐
│ RISQUE INACCEPTABLE INTERDIT │
│ ───────────────────── │
│ • Manipulation subliminale │
│ • Exploitation des vulnérabilités │
│ • Scoring social par les gouvernements │
│ • Reconnaissance faciale en temps réel (sauf exceptions) │
├─────────────────────────────────────────────────────────────┤
│ HAUT RISQUE ENCADRÉ │
│ ─────────── │
│ • Recrutement et gestion RH │
│ • Éducation (notation, orientation) │
│ • Services essentiels (crédit, assurance) │
│ • Application de la loi │
│ • Migration et asile │
│ • Justice │
├─────────────────────────────────────────────────────────────┤
│ RISQUE LIMITÉ TRANSPARENCE │
│ ───────────── │
│ • Chatbots │
│ • Génération de contenu │
│ • Systèmes de reconnaissance d'émotions │
├─────────────────────────────────────────────────────────────┤
│ RISQUE MINIMAL LIBRE │
│ ────────────── │
│ • Filtres anti-spam │
│ • Jeux vidéo │
│ • Recommandations de contenu │
└─────────────────────────────────────────────────────────────┘Obligations pour les systèmes à haut risque
AVANT MISE SUR LE MARCHÉ :
□ Système de gestion des risques
□ Gouvernance des données (qualité, représentativité)
□ Documentation technique
□ Journalisation automatique (logs)
□ Transparence et information des utilisateurs
□ Supervision humaine
□ Précision, robustesse, cybersécurité
□ Marquage CE
EN CONTINU :
□ Surveillance post-commercialisation
□ Signalement des incidents graves
□ Mise à jour de la documentation
□ Audits et vérificationsObligations de transparence
Pour les systèmes à risque limité :
| Situation | Obligation |
|---|---|
| Chatbot | Informer que l'on parle à une IA |
| Deepfake | Étiqueter le contenu comme synthétique |
| Reconnaissance d'émotions | Informer les personnes concernées |
| Génération de texte | Signaler si destiné à informer sur des sujets d'intérêt public |
Sanctions
AMENDES AI ACT :
Violation des interdictions :
→ Jusqu'à 35M€ ou 7% du CA mondial
Non-conformité système haut risque :
→ Jusqu'à 15M€ ou 3% du CA mondial
Fausses déclarations :
→ Jusqu'à 7.5M€ ou 1.5% du CA mondial
Pour PME/startups :
→ Montants réduitsCalendrier d'application
2024 : Entrée en vigueur
└── Interdictions (6 mois)
2025 : Obligations de transparence
Gouvernance et structure de contrôle
2026 : Systèmes à haut risque
Pleine application
2027 : Tous les systèmes existants
doivent être conformesRGPD et IA
Principes applicables
LE RGPD S'APPLIQUE SI :
- L'IA traite des données personnelles
- Les données concernent des résidents UE
PRINCIPES CLÉS :
1. LICÉITÉ
Base légale nécessaire (consentement, intérêt légitime...)
2. FINALITÉ
Usage limité à l'objectif déclaré
3. MINIMISATION
Collecter seulement le nécessaire
4. EXACTITUDE
Données à jour et correctes
5. LIMITATION DE CONSERVATION
Durée définie et justifiée
6. SÉCURITÉ
Mesures techniques appropriéesDroits des personnes
| Droit | Application à l'IA |
|---|---|
| Information | Expliquer le fonctionnement de l'IA |
| Accès | Fournir les données utilisées |
| Rectification | Corriger les données erronées |
| Effacement | Supprimer sur demande |
| Opposition | Refuser le traitement automatisé |
| Portabilité | Récupérer ses données |
Décisions automatisées (Art. 22)
ARTICLE 22 RGPD :
"La personne concernée a le droit de ne pas faire l'objet
d'une décision fondée exclusivement sur un traitement automatisé,
produisant des effets juridiques ou l'affectant de manière significative"
IMPLICATIONS :
✓ Droit à une intervention humaine
✓ Droit d'exprimer son point de vue
✓ Droit de contester la décision
✓ Droit d'obtenir une explication
EXCEPTIONS :
- Contrat
- Autorisation légale
- Consentement expliciteExplicabilité
# Obligation d'expliquer les décisions automatisées
explanation_requirements = {
"logique_sous_jacente": "Comment fonctionne l'algorithme",
"importance_consequences": "Impact sur la personne",
"criteres_utilises": "Quelles données influencent la décision",
"poids_relatif": "Importance de chaque critère"
}
# Attention : pas d'obligation de divulguer l'algorithme exact
# Mais explication "significative" requiseRégulations sectorielles
Santé
DISPOSITIFS MÉDICAUX (EU MDR) :
L'IA médicale est un dispositif médical si :
- Elle aide au diagnostic
- Elle propose des traitements
- Elle surveille des patients
Implications :
├── Certification CE obligatoire
├── Évaluation clinique
├── Surveillance post-commercialisation
└── Responsabilité du fabricantFinance
SERVICES FINANCIERS :
Régulations applicables :
├── Directive Crédit : scoring transparent
├── Solvabilité II : validation des modèles
├── MiFID II : trading algorithmique encadré
└── DORA : résilience opérationnelle
Exigences clés :
├── Explicabilité des décisions de crédit
├── Non-discrimination
├── Tests de robustesse
└── Intervention humaine possibleEmploi
RECRUTEMENT PAR IA :
France (Code du travail) :
- Information des candidats sur l'usage d'IA
- Résultat non-exclusivement automatisé
NYC Local Law 144 (2023) :
- Audit de biais obligatoire (annuel)
- Publication des résultats
- Notification aux candidats
Illinois AI Video Interview Act :
- Consentement pour analyse vidéo
- Explication de l'utilisation
- Droit à la suppressionPropriété intellectuelle
Données d'entraînement
QUESTIONS OUVERTES :
1. Utilisation de contenus protégés pour l'entraînement
→ Text and Data Mining (TDM) exception en UE
→ Fair use débattu aux USA
→ Procès en cours (Getty vs Stability AI, NYT vs OpenAI)
2. Consentement des créateurs
→ Opt-out possible (AI Act, EU)
→ Robots.txt pour exclure les crawlers
3. Compensation des auteurs
→ Pas de cadre établi
→ Négociations en coursContenus générés par IA
QUI DÉTIENT LES DROITS ?
Position actuelle (majoritaire) :
├── Pas de copyright pour œuvres purement IA
├── L'humain doit avoir un apport créatif significatif
└── Le prompt seul ne suffit pas
Implications :
├── Contenus IA = domaine public ?
├── Responsabilité en cas de contrefaçon ?
└── Traçabilité et attribution ?
→ Évolution rapide du droit attendueResponsabilité
Qui est responsable ?
CHAÎNE DE RESPONSABILITÉ :
┌─────────────────┐
│ Développeur │ → Défaut de conception
└────────┬────────┘
↓
┌─────────────────┐
│ Fournisseur │ → Mise sur le marché
└────────┬────────┘
↓
┌─────────────────┐
│ Déployeur │ → Utilisation appropriée
└────────┬────────┘
↓
┌─────────────────┐
│ Utilisateur │ → Usage conforme
└─────────────────┘
AI Act : responsabilités différenciées selon le rôleDirective sur la responsabilité IA (proposition)
FACILITER L'INDEMNISATION :
Problème : Prouver la causalité IA → dommage est difficile
Solutions proposées :
├── Présomption de causalité si non-conformité
├── Accès aux preuves (logs, documentation)
├── Renversement de la charge de la preuve
└── Obligation d'assurance pour haut risqueConformité pratique
Checklist AI Act
ÉTAPE 1 : CLASSIFICATION
□ Identifier la catégorie de risque
□ Documenter le raisonnement
ÉTAPE 2 : SI HAUT RISQUE
□ Système de gestion des risques
□ Dataset : qualité et représentativité
□ Documentation technique
□ Logging automatique
□ Interface utilisateur claire
□ Précision et robustesse testées
□ Supervision humaine prévue
ÉTAPE 3 : TRANSPARENCE
□ Information sur la nature IA
□ Étiquetage des contenus synthétiques
ÉTAPE 4 : GOUVERNANCE
□ Désigner un responsable IA
□ Former les équipes
□ Processus d'audit interne
□ Procédure de signalementDocumentation requise
# Structure de documentation AI Act
documentation = {
"description_generale": {
"nom_systeme": "...",
"version": "...",
"finalite": "...",
"cas_usage": ["..."],
},
"architecture_technique": {
"type_modele": "...",
"donnees_entrainement": "...",
"metriques_performance": {...},
},
"gestion_risques": {
"risques_identifies": [...],
"mesures_attenuation": [...],
"risques_residuels": [...],
},
"gouvernance_donnees": {
"sources": [...],
"qualite": {...},
"biais_identifies": [...],
},
"supervision_humaine": {
"mecanismes": [...],
"procedures": [...],
},
"tests_validation": {
"resultats": {...},
"conditions_test": {...},
}
}Évolutions à suivre
Tendances
DIRECTIONS PROBABLES :
1. CONVERGENCE INTERNATIONALE
Inspiration mutuelle entre régulations
Accords de reconnaissance mutuelle
2. SPÉCIALISATION SECTORIELLE
Règles spécifiques santé, finance, emploi
Autorités sectorielles compétentes
3. IA GÉNÉRATIVE
Règles sur les deepfakes
Traçabilité du contenu (watermarking)
Droits d'auteur
4. SUSTAINABILITY
Reporting empreinte carbone
Labels verts pour l'IARessources
| Ressource | Description |
|---|---|
| AI Act | Texte et analyses |
| CNIL | Guides pratiques France |
| EDPB | Lignes directrices européennes |
| NIST AI RMF | Framework américain |
| ISO/IEC 42001 | Standard management IA |
Résumé
RÉGULATION DE L'IA :
EUROPE (AI Act) :
├── Approche par les risques (4 niveaux)
├── Interdictions : scoring social, manipulation...
├── Haut risque : obligations strictes
├── Transparence : chatbots, deepfakes
└── Sanctions jusqu'à 35M€ / 7% CA
RGPD :
├── S'applique si données personnelles
├── Explicabilité des décisions
├── Droit à l'intervention humaine
└── Droit de contestation
SECTORIEL :
├── Santé : dispositifs médicaux
├── Finance : scoring, trading
└── Emploi : recrutement
PROPRIÉTÉ INTELLECTUELLE :
├── Training data : zone grise
├── Outputs : pas de copyright pur IA
└── Évolution rapide
CONFORMITÉ :
├── Classifier le système
├── Documenter
├── Tester et auditer
└── Former les équipes