Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024 et le projet de loi luxembourgeois 8476
 

Le règlement européen sur l’intelligence artificielle (AI Act – Règlement (UE) 2024/1689) est désormais adopté. Pour les entreprises, l’enjeu est très concret : identifier son rôle (fournisseur, déployeur, etc.), qualifier le niveau de risque et organiser la conformité en conséquence.
 

📌 Trois idées clés à retenir
 

• Rôle : qui êtes-vous dans la chaîne de valeur (fournisseur, déployeur, importateur, distributeur…) ?
• Risque : quel est le niveau de risque du système au regard de sa finalité et de son contexte d’utilisation ?
• Traçabilité : quelles mesures de gouvernance et de documentation mettre en place pour démontrer la conformité et maîtriser la responsabilité ?
   

Cette première note introductive, volontairement didactique, a pour but d’expliquer les grands principes du Règlement IA et les premières implications pratiques, avec un focus sur la mise en œuvre au Luxembourg.

 

1. GENÈSE - COMPRENDRE L’AI ACT : D’OÙ VIENT-IL ET À QUOI SERT-IL ?

L’AI Act est le nom usuel donné au Règlement (UE) 2024/1689 du Parlement européen et du Conseil du 13 juin 2024, établissant des règles harmonisées concernant l’intelligence artificielle et modifiant plusieurs règlements et directives existants (le Règlement IA).
 

Il s’agit d’un règlement européen, donc un acte juridique directement applicable dans l’ensemble des États membres de l’Union européenne, sans nécessité de transposition dans les droits nationaux. Les obligations qu’il prévoit s’imposent par conséquent directement aux acteurs concernés, sous réserve des mesures nationales d’exécution prévues par le texte, notamment en ce qui concerne les autorités compétentes, les mécanismes de contrôle et le régime des sanctions.
 

Le Règlement IA a pour objet d’encadrer le développement, la mise sur le marché et l’utilisation des systèmes d’intelligence artificielle, en fonction des risques que ces systèmes sont susceptibles de présenter. À cette fin, il ne procède pas de manière abstraite, mais retient une définition juridique propre de l’intelligence artificielle, qui conditionne l’ensemble de son champ d’application.

 

Ainsi, le Règlement IA définit un « système d’intelligence artificielle » comme « un système automatisé, qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».
 

Cette définition est volontairement large et technologiquement neutre. Elle ne vise pas une technologie spécifique, mais une fonction : la capacité d’un système à produire, de manière automatisée, des résultats ayant un impact sur son environnement. Il en résulte que de nombreux outils logiciels utilisés dans un cadre professionnel peuvent relever du Règlement IA, même lorsqu’ils ne sont pas présentés comme de l’« intelligence artificielle » au sens courant du terme.

 

2. POURQUOI LE REGLEMENT IA ?

L’adoption du Règlement IA s’inscrit dans un contexte de transformation profonde des usages numériques. Comme le rappellent les premiers considérants du Règlement IA, l’intelligence artificielle n’est plus une technologie expérimentale ou marginale. Elle est désormais intégrée dans de nombreux outils et processus qui influencent directement la vie économique, sociale et professionnelle.
 

Les systèmes d’intelligence artificielle sont aujourd’hui utilisés pour automatiser ou assister des décisions dans des domaines variés, tels que le recrutement et la gestion des ressources humaines, l’accès à des services essentiels, l’évaluation de situations individuelles ou encore l’aide à la décision dans des environnements sensibles. Ces usages peuvent produire des effets très concrets sur les personnes concernées, qu’il s’agisse de l’accès à un emploi, à un service, ou à un droit.
 

Le législateur européen ne nie toutefois pas les bénéfices importants liés au développement de l’intelligence artificielle. Le considérant 4 du Règlement IA souligne expressément que les systèmes d’intelligence artificielle peuvent apporter des avantages significatifs aux individus, aux entreprises et à la société dans son ensemble, notamment en améliorant l’efficacité des processus, la qualité des décisions et l’accès à certains services, tout en contribuant à des objectifs d’intérêt général tels que la santé, la sécurité ou la durabilité.
 

À cet égard, le Règlement IA précise que : « Les systèmes d’intelligence artificielle peuvent apporter des avantages importants aux individus, aux entreprises et à la société dans son ensemble, notamment en améliorant les prédictions, en optimisant les opérations et l’allocation des ressources, et en personnalisant les solutions numériques disponibles dans de nombreux secteurs économiques et sociaux. Ils peuvent également contribuer à des objectifs d’intérêt général, tels que l’amélioration des soins de santé, la prévention des maladies, l’amélioration de la sécurité et la promotion de la durabilité environnementale ».
 

Il ne faut toutefois pas occulter les risques spécifiques que certains usages de l’intelligence artificielle peuvent faire peser sur les droits fondamentaux et les valeurs de l’Union. Ces risques tiennent notamment à l’opacité de certaines décisions automatisées, à la difficulté de comprendre ou de contester les résultats produits par un système d’intelligence artificielle, aux biais susceptibles d’affecter les données ou les modèles, ainsi qu’aux enjeux de sécurité et de fiabilité des systèmes. Le considérant 5 du Règlement IA rappelle à cet égard que « [l]e préjudice causé peut être matériel ou immatériel, y compris physique, psychologique, sociétal ou économique ».

 

Avant l’adoption du Règlement IA, ces questions étaient appréhendées au moyen de règles générales issues du droit existant, telles que la protection des données, le droit de la consommation ou la sécurité des produits. Si ces cadres demeurent applicables, ils n’avaient pas été conçus pour répondre de manière spécifique aux caractéristiques propres de l’intelligence artificielle. Cette situation entraînait une forme d’incertitude, tant pour les personnes concernées que pour les entreprises, et faisait peser un risque de réponses divergentes au sein des États membres.
 

Face à ce constat, l’Union européenne a fait le choix d’intervenir à travers un cadre juridique spécifique, horizontal et harmonisé, directement applicable dans l’ensemble des États membres. Comme l’énonce le considérant 1 du Règlement IA, ce cadre vise à « améliorer le fonctionnement du marché intérieur », à promouvoir une intelligence artificielle digne de confiance et axée sur l’humain, et à garantir un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux, « consacrés dans la Charte des droits fondamentaux de l’Union européenne, y compris la démocratie, l’état de droit et la protection de l’environnement », tout en soutenant l’innovation.

 

C’est dans cette logique que le Règlement IA retient une approche fondée sur le risque, en distinguant les systèmes d’intelligence artificielle en fonction du niveau de risque qu’ils sont susceptibles de présenter et, partant, de l’impact qu’ils peuvent avoir sur la santé, la sécurité et les droits fondamentaux. Cette architecture, qui constitue le fil conducteur du Règlement IA, permet d’encadrer plus strictement les usages les plus sensibles, tout en maintenant un cadre plus léger pour les applications à faible risque.