Lernzettel: Régulation de l'IA par Risque

📋 Plan du Cours

1. Approche fondée sur le risque pour la régulation de l'IA
2. Classification des systèmes d'IA selon le niveau de risque
3. Exigences clés pour les systèmes d'IA à risque (conformité, qualité des données, supervision humaine)
4. Transparence, explicabilité, robustesse et cybersécurité des systèmes d'IA
5. Systèmes d'IA à risques spécifiques : notation sociale, manipulations comportementales, reconnaissance biométrique
6. Rôle du régulateur européen et sanctions associées
7. Modèles internationaux de régulation de l'IA : américain et chinois
8. Responsabilité civile et administrative liée à l'usage de l'IA

📖 1. Approche fondée sur le risque pour la régulation de l'IA

🔑 Notions clés & Définitions

• Logique : 5 plus un système est susceptible d’influencer des décisions, plus il doit être encadré avec une régulation qui propose une approche préventive : ● Conformité ● Qualité des données ● Supervision humaine ● Transparence et explicabilité ● Robustesse et cybersécu
• Médical : Secteur dans lequel les systèmes d’IA doivent respecter des obligations spécifiques, notamment la validation par un professionnel de santé, même si les diagnostics automatisés peuvent surpasser la performance humaine, garantissant ainsi responsabilité et transparence.
• Approche fondée sur le risque : Adopter une approche fondée sur le risque A comme idée de proposer une graduation des oblig suivant le niveau de risque que présente chaque système d’IA.
• L’explicabilité : Doit être compréhensible par les utilisateurs.
• Évolutivité : = la classification proposée peut être révisée au fil du temps en fonction des évolutions techno.

📝 Points essentiels

• Le règlement européen sur l’IA adopte une approche fondée sur le risque, graduant les règles selon l’intensité du risque pour équilibrer protection des droits fondamentaux et innovation.
• La neutralité technologique signifie que la responsabilité juridique incombe aux concepteurs et utilisateurs, la machine IA ne pouvant être tenue responsable juridiquement.
• La proportionnalité impose que la régulation soit adaptée au niveau de risque du système d’IA, notamment en matière d’explicabilité et de surveillance.
• La contextualité implique qu’une même technologie peut changer de catégorie de risque selon son usage, comme la reconnaissance faciale dans un téléphone versus dans l’espace public.
• Chapitre 1. Les objectifs fondamentaux du règlement IA 5 objectifs : ● Harmoniser le marché intérieur ● Protéger les droits fondamentaux ● Adopter une approche fondée sur le risque ● Promotion d’une IA éthique, fiable et explicable ● Encourager l’innovation et soutenir les entreprises I. L’harmonisation du marché intérieur 2 règles communes pour tous les E membres ce qui était pas le cas avant car chaque E membres pouvaient envisager ses propres règles. Conséquences : risque de concurrence entre les diff normes nationales et les entreprises. Le règlement propose un cadre unique pour garantir une sécu juri et une prévisibilité du droit. Désormais mêmes règles sur les 27 E. Conçu comme un instrument de régularisation. Une seule certification euro lui ouvre accès à tout le marché euro II. Protéger les droits fondamentaux Pour protéger le controle massif des données et capacité à influencer les décisions. Il faut protéger les valeurs essentielles. Protection de la vie privée (collecte des données perso). Problème géopol entre les USA et l’EU sur la protection des droits 3 fondamentaux liée aux données collectées par les IA. Les data center sont des cibles importantes. Il faut aussi protéger la dignité humaine. L’IA permet de dénigrer, manipuler, créer… c/ la dignité. Égalité de traitement avec les algorithmes Choix de l’EU contraire au modèle américain et chinois qui sont accès sur

💡 À retenir

Le règlement européen sur l’IA adopte une approche fondée sur le risque, graduant les règles selon l’intensité du risque pour équilibrer protection des droits fondamentaux et innovation.

📖 2. Classification des systèmes d'IA selon le niveau de risque

🔑 Notions clés & Définitions

• Systèmes à risque inacceptable : Les usages de l’IA qui sont considérés comme incompatibles avec les valeurs euro.

📝 Points essentiels

• La classification des systèmes d’IA selon le risque distingue plusieurs niveaux pour protéger les droits fondamentaux et la société européenne.
• Les systèmes à risque inacceptable sont proscrits car incompatibles avec les valeurs de l’UE.
• Les systèmes à haut risque doivent respecter des obligations strictes, notamment en matière de sécurité, transparence, supervision humaine, et explicabilité.

💡 À retenir

La classification des systèmes d’IA selon le risque distingue plusieurs niveaux pour protéger les droits fondamentaux et la société européenne.

📖 3. Exigences clés pour les systèmes d'IA à risque (conformité, qualité des données, supervision humaine)

🔑 Notions clés & Définitions

• Évaluation de la conformité : L’évaluation de la conformité La machine IA doit être conforme aux droits fondamentaux de l’UE.

📝 Points essentiels

• Les systèmes d'IA à haut risque doivent faire l'objet d'une évaluation de conformité garantissant le respect des droits fondamentaux européens.
• La qualité des données utilisées par les systèmes d'IA doit être représentative, pertinente et non biaisée pour éviter discriminations et biais.
• Une supervision humaine est obligatoire pour les systèmes à haut risque afin de prévenir les erreurs, garantir la responsabilité et préserver la déontologie des concepteurs.
• Les obligations incluent également la transparence, l'explicabilité, la robustesse et la cybersécurité, mais ces notions sont traitées dans une autre section.
• L'évaluation de conformité est une procédure obligatoire pour les systèmes d'IA à haut risque afin de vérifier leur respect des exigences réglementaires et des droits fondamentaux.
• Chapitre 6. L’implication du règlement sur l’IA pour les acteurs éco et sociétaux I. Le constat d’une transformation systémique Le règlement ne se contente pas de fixer des règles techniques, il propose un environnement juridique destiné à redéfinir les apports entre les entr, la consommation et entre les citoyens et les pouvoirs publics. Volonté d’instaurer un climat de confiance et favoriser une innovation resp = ordre de PGD. Coûts de conformité élevés. Régulation qui vise à renforcer la protection des consommateurs et des citoyens. II. Le coût de la régulation Tous les opérateurs du secteur vont devoir financer leur conformité. Cette règlementation a un coût financier qui a vocation à être supportée par les opérateurs. Ex : financer toute la doc technique (cabinets de conseil et d’expertise), effort sur la qualité des données notamment les moyens de lutte contre/ les biais et discriminations, justifier de la robustesse du système sur le terrain de la cybersécurité, supervision humaine (responsabilité de l’opérateur). => Suppose de nouvelles professions (juristes, auditeurs, chercheurs…) La contrepartie en Europe c’est des avantages concurrentiels : ● Garantie d’accès au marché intérieur ● Avantage concurrentiel fondé sur la confiance ● Réduction des risques juridiques et réputationnels avant la mise sur le marché => Idée que les entr adoptent une logique de compliance =
• Les obligations pour les systèmes à haut risque Ens des systèmes qui peuvent avoir un impact important sur les droits fondamentaux : sécurité et liberté des indiv.

💡 À retenir

Les exigences fondamentales encadrant les systèmes d'IA à haut risque visent à assurer leur fiabilité, la protection des droits fondamentaux européens, et la responsabilité humaine dans leur fonctionnement.

📖 4. Transparence, explicabilité, robustesse et cybersécurité des systèmes d'IA

🔑 Notions clés & Définitions

• Les pouvoirs publics : Régulation et contrôle Vise principalement le marché public et les administrations.

📝 Points essentiels

• La transparence impose que les utilisateurs soient informés de l'utilisation d'un système d'IA et de ses capacités.
• L'explicabilité concerne la capacité à comprendre et expliquer les décisions prises par l'IA.
• La robustesse vise à garantir la fiabilité et la résistance des systèmes d'IA face aux erreurs ou attaques.
• La cybersécurité est essentielle pour protéger les systèmes d'IA contre les intrusions et manipulations malveillantes.
• Chapitre 6. L’implication du règlement sur l’IA pour les acteurs éco et sociétaux I. Le constat d’une transformation systémique Le règlement ne se contente pas de fixer des règles techniques, il propose un environnement juridique destiné à redéfinir les apports entre les entr, la consommation et entre les citoyens et les pouvoirs publics. Volonté d’instaurer un climat de confiance et favoriser une innovation resp = ordre de PGD. Coûts de conformité élevés. Régulation qui vise à renforcer la protection des consommateurs et des citoyens. II. Le coût de la régulation Tous les opérateurs du secteur vont devoir financer leur conformité. Cette règlementation a un coût financier qui a vocation à être supportée par les opérateurs. Ex : financer toute la doc technique (cabinets de conseil et d’expertise), effort sur la qualité des données notamment les moyens de lutte contre/ les biais et discriminations, justifier de la robustesse du système sur le terrain de la cybersécurité, supervision humaine (responsabilité de l’opérateur). => Suppose de nouvelles professions (juristes, auditeurs, chercheurs…) La contrepartie en Europe c’est des avantages concurrentiels : ● Garantie d’accès au marché intérieur ● Avantage concurrentiel fondé sur la confiance ● Réduction des risques juridiques et réputationnels avant la mise sur le marché => Idée que les entr adoptent une logique de compliance =
• Chapitre 1. Les objectifs fondamentaux du règlement IA 5 objectifs : ● Harmoniser le marché intérieur ● Protéger les droits fondamentaux ● Adopter une approche fondée sur le risque ● Promotion d’une IA éthique, fiable et explicable ● Encourager l’innovation et soutenir les entreprises I. L’harmonisation du marché intérieur 2 règles communes pour tous les E membres ce qui était pas le cas avant car chaque E membres pouvaient envisager ses propres règles. Conséquences : risque de concurrence entre les diff normes nationales et les entreprises. Le règlement propose un cadre unique pour garantir une sécu juri et une prévisibilité du droit. Désormais mêmes règles sur les 27 E. Conçu comme un instrument de régularisation. Une seule certification euro lui ouvre accès à tout le marché euro II. Protéger les droits fondamentaux Pour protéger le controle massif des données et capacité à influencer les décisions. Il faut protéger les valeurs essentielles. Protection de la vie privée (collecte des données perso). Problème géopol entre les USA et l’EU sur la protection des droits 3 fondamentaux liée aux données collectées par les IA. Les data center sont des cibles importantes. Il faut aussi protéger la dignité humaine. L’IA permet de dénigrer, manipuler, créer… c/ la dignité. Égalité de traitement avec les algorithmes Choix de l’EU contraire au modèle américain et chinois qui sont accès sur

💡 À retenir

Les garanties techniques et informationnelles, telles que la transparence et la robustesse, sont essentielles pour renforcer la confiance et la sécurité des systèmes d'IA.

📖 5. Systèmes d'IA à risques spécifiques : notation sociale, manipulations comportementales, reconnaissance biométrique

🔑 Notions clés & Définitions

• Notation sociale : La responsabilité administrative Lorsqu’il est q° de l’utilisation de l’IA de la puissance publique : interdiction générale
• Manipulations comportementales : Les manipulations comportementales Conçues pour exploiter les vulnérabilités psycho des indiv pour influencer leur comportement.

📝 Points essentiels

• La notation sociale attribue un score basé sur le comportement, pouvant conduire à l'exclusion ou discrimination, sans possibilité de contestation, et reste expérimentale.
• Les manipulations comportementales exploitant les vulnérabilités psychologiques via l'IA sont interdites lorsqu'elles utilisent des biais cognitifs ou psychologiques.
• La reconnaissance biométrique dans l'espace public est considérée comme à haut risque ou inacceptable, sauf si déployée par une puissance publique.
• Ces systèmes sont soumis à des interdictions spécifiques car incompatibles avec les valeurs fondamentales de l'UE, notamment la dignité humaine et les libertés.
• Les interdictions spécifiques Incompatible avec les valeurs des traités de l’UE.
• Les systèmes à risque inacceptable Tous les usages de l’IA qui sont considérés comme incompatibles avec les valeurs euro.

💡 À retenir

La notation sociale attribue un score basé sur le comportement, pouvant conduire à l'exclusion ou discrimination, sans possibilité de contestation, et reste expérimentale.

📖 6. Rôle du régulateur européen et sanctions associées

🔑 Notions clés & Définitions

📝 Points essentiels

• Le régulateur européen harmonise les normes pour éviter une application théorique et garantir la conformité sur tout le marché intérieur.
• Les opérateurs doivent financer les coûts de conformité, incluant la documentation technique, la qualité des données et la robustesse des systèmes.
• Des sanctions financières sont prévues en cas de non-respect des obligations, afin d'assurer la dissuasion et la protection des droits.
• Chapitre 6. L’implication du règlement sur l’IA pour les acteurs éco et sociétaux I. Le constat d’une transformation systémique Le règlement ne se contente pas de fixer des règles techniques, il propose un environnement juridique destiné à redéfinir les apports entre les entr, la consommation et entre les citoyens et les pouvoirs publics. Volonté d’instaurer un climat de confiance et favoriser une innovation resp = ordre de PGD. Coûts de conformité élevés. Régulation qui vise à renforcer la protection des consommateurs et des citoyens. II. Le coût de la régulation Tous les opérateurs du secteur vont devoir financer leur conformité. Cette règlementation a un coût financier qui a vocation à être supportée par les opérateurs. Ex : financer toute la doc technique (cabinets de conseil et d’expertise), effort sur la qualité des données notamment les moyens de lutte contre/ les biais et discriminations, justifier de la robustesse du système sur le terrain de la cybersécurité, supervision humaine (responsabilité de l’opérateur). => Suppose de nouvelles professions (juristes, auditeurs, chercheurs…) La contrepartie en Europe c’est des avantages concurrentiels : ● Garantie d’accès au marché intérieur ● Avantage concurrentiel fondé sur la confiance ● Réduction des risques juridiques et réputationnels avant la mise sur le marché => Idée que les entr adoptent une logique de compliance =
• Les 2 entités garantissent l’effectivité et la bonne application de l’acte par les entr. De plus, harmoniser les normes à l’échelle des marchés de l’UE afin d’éviter que l’IA act ne reste que théorique et garantir l’effectivité. Le régulateur a crée un cadre normatif mais il en faut garantir l’effectivité. Structure euro créée par le IA act : double niveau et 8 double objectif : ● Instance communautaire ● Combiner les diff autorités des E membres II. Les autorités nationales Obligation faite à chaque E membre de l’UE est de désigner une instance compétente qui sera chargée de l’application et de la surveillance sur le territoire. 4 grandes missions : ● Controler la conformité des systèmes mis sur le marché : pas seulement une vigilance administrative mais aussi problème de confidentialité. Risque de perdre des avantages concurrentiels en dévoilant le fonctionnement de l’innovation. ● Les autorités nationales ont reçu le pouvoir de faire des audits et des inscriptions auprès des opérateurs d’IA. Devient de plus en plus intrusif : source de tensions extrêmes entre les opérateurs et la surveillance. ● Sanctions en cas de violation des oblig du règlement (pas du soft law). Du pt de vue américain, cette idée de sanction est considérée comme une sanction extraterritoriale car les sièges ne sont pas en Europe. Risque de retrait des marchés européens. ● Accompagner les acteurs éco en

💡 À retenir

Le régulateur européen harmonise les normes pour éviter une application théorique et garantir la conformité sur tout le marché intérieur.

📖 7. Modèles internationaux de régulation de l'IA : américain et chinois

🔑 Notions clés & Définitions

• Modèles sont : Aujourd’hui compliqué car les derniers modèles sont des modèles horizontaux.
• Modèle américain : Une approche de régulation de l'intelligence artificielle caractérisée par une flexibilité et une absence de cadre fédéral centralisé, reposant sur une régulation sectorielle avec des standards distincts, notamment dans la gestion des données sensibles comme en santé.

📝 Points essentiels

• Le modèle américain privilégie une régulation sectorielle, sans cadre fédéral centralisé, avec des standards différents de ceux européens, notamment pour la gestion des données sensibles.
• Le modèle chinois est plus autoritaire, avec un contrôle étatique fort sur les technologies d'IA et leur usage.
• Les différences entre les modèles américain et chinois influencent la compétitivité et les stratégies des entreprises dans le domaine de l'IA.
• Chapitre 1. Les objectifs fondamentaux du règlement IA 5 objectifs : ● Harmoniser le marché intérieur ● Protéger les droits fondamentaux ● Adopter une approche fondée sur le risque ● Promotion d’une IA éthique, fiable et explicable ● Encourager l’innovation et soutenir les entreprises I. L’harmonisation du marché intérieur 2 règles communes pour tous les E membres ce qui était pas le cas avant car chaque E membres pouvaient envisager ses propres règles. Conséquences : risque de concurrence entre les diff normes nationales et les entreprises. Le règlement propose un cadre unique pour garantir une sécu juri et une prévisibilité du droit. Désormais mêmes règles sur les 27 E. Conçu comme un instrument de régularisation. Une seule certification euro lui ouvre accès à tout le marché euro II. Protéger les droits fondamentaux Pour protéger le controle massif des données et capacité à influencer les décisions. Il faut protéger les valeurs essentielles. Protection de la vie privée (collecte des données perso). Problème géopol entre les USA et l’EU sur la protection des droits 3 fondamentaux liée aux données collectées par les IA. Les data center sont des cibles importantes. Il faut aussi protéger la dignité humaine. L’IA permet de dénigrer, manipuler, créer… c/ la dignité. Égalité de traitement avec les algorithmes Choix de l’EU contraire au modèle américain et chinois qui sont accès sur
• Les 3 ont pour vocation à se cumuler pour former une IA super performante sans aide de l’homme (ex : humanoïde) II - Gouvernance mondiale de l’IA Est ce qu’il existe un cadre de régulation plus adapté que la réglementation des continents ? L’IA est transnationale par sa nature, les modèles sont d’une manière systématique entrainé par des données collectées à l’échelle mondiale. Les applications de l’IA a vocation à s’appliquer au delà du régulateur. Idée d’une « LEX INTERNET » renvoie au droit des marchands en droit romain. Lorsqu’on fait l’usage d’internet, la technologie est supérieur à la logique de 13 souveraineté des États. Une « LEX IA » fait de plusieurs de normes souples, on retrouve des standards internationaux qui seront le faits d’instances politique => G7, Nation unies dans des documents non contraignant et des instances privée => les normes ISO travail sur l’élaboration de normes sur IA. Le pari fait est le même qu’en matière de réglementation des données personnels. Des entreprises chinois ont adopté des pratiques de RGPD pour accédé aux marches européens. Ainsi, IA Act doit produire une effet comparable. L’UE a un encadrement des activités du numérique qui permet à ce règlement de bénéficier d’un cadre qui est précis pour les activités du numérique => 2 règlements communautaires (DSA et DMA) qui vise à traiter des applications dans le champ s du numérique de la

💡 À retenir

La régulation de l'intelligence artificielle varie significativement selon les pays, avec des modèles américains flexibles et sectoriels et un modèle chinois autoritaire, ce qui a des implications majeures sur la compétitivité internationale et les stratégies des entreprises.

📖 8. Responsabilité civile et administrative liée à l'usage de l'IA

🔑 Notions clés & Définitions

• L’utilisateur : Personne physique ou morale qui exploite une intelligence artificielle dans un but déterminé et qui peut être tenue responsable de son usage.
• Absence de personnalité juridique de l'IA : Situation juridique dans laquelle une intelligence artificielle ne dispose pas de droits ni d'obligations en tant que sujet de droit, ce qui exclut sa capacité à être directement responsable d'un dommage.
• Chaîne d'approvisionnement des données : Ensemble des acteurs et des processus impliqués dans la collecte, le traitement et la fourniture des données nécessaires à l'entraînement et au fonctionnement d'une intelligence artificielle.
• Entre l’usage : Vise à expliquer l’articulation entre l’usage de l’IA et les droits fondamentaux.

📝 Points essentiels

• L'IA n'a pas de personnalité juridique, donc elle ne peut être responsable directement d'un dommage, la responsabilité incombe aux personnes physiques ou morales impliquées.
• La complexité de la chaîne d'approvisionnement des données rend difficile l'identification précise du responsable en cas de dommage.
• La responsabilité civile et administrative vise à garantir réparation et prévention des risques liés à l'usage de l'IA, en impliquant notamment l'utilisateur ou le concepteur.
• Une chose peut être immatérielle mais la détermination de l’instrument du dommage n’est pas facile en matière d’IA.

💡 À retenir

Cerner les enjeux et limites de la responsabilité juridique est crucial dans un contexte où l'IA reste un outil sans personnalité juridique propre.

📊 Tableaux de Synthèse

Classification des systèmes d'IA selon le risque

⚠️ Pièges & Confusions Fréquentes

1. Confusion entre responsabilité de l'IA et responsabilité des utilisateurs ou concepteurs.
2. Mélanger les obligations techniques et éthiques dans la régulation.
3. Confondre transparence et explicabilité, qui sont liées mais distinctes.
4. Ignorer la distinction entre risques légaux et risques techniques.
5. Sous-estimer l'impact des modèles internationaux de régulation.
6. Confondre responsabilité civile et responsabilité administrative.
7. Omettre la distinction entre régulation sectorielle et régulation globale.

✅ Checklist Examen

1. Vérifier la classification du système d'IA selon le risque.
2. S'assurer de la conformité aux obligations de transparence.
3. Vérifier la qualité et la représentativité des données.
4. Confirmer la présence d'une supervision humaine.
5. Vérifier la robustesse et la cybersécurité du système.
6. Contrôler le respect des interdictions spécifiques (notation sociale, manipulation, biométrie).
7. Vérifier la conformité aux exigences du régulateur européen.
8. S'assurer de la responsabilité des acteurs impliqués.
9. Vérifier la mise en place de sanctions en cas de non-conformité.
10. Vérifier la compréhension des enjeux de responsabilité juridique.