IA Act et personnes publiques

Premier texte fixant un cadre réglementaire relatif à l’intelligence artificielle, le règlement de l’Union Européenne (UE) du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle, aussi appelé « IA Act », vise à encadrer le développement de l’IA de façon uniforme sans obérer les perspectives de croissance et d’innovation dont elle est porteuse.

L’objectif est d’offrir des systèmes d’IA « sûrs, transparents, traçables, non-discriminatoires et respectueux de l’environnement ».‍

Les personnes publiques (collectivités territoriales notamment), au même titre que les entreprises, sont concernées par ces dispositions dont l’entrée en application sera graduelle jusqu’en août 2027.‍

Les personnes publiques sont amenées à utiliser ces systèmes d’IA mais également à les développer pour la satisfaction de leurs besoins et ceux des usagers du service public.

Qu’est-ce que l’intelligence artificielle ?

Le Parlement européen définit l’intelligence artificielle comme un outil de reproduction des comportements liés aux humains, tels que le raisonnement, la planification et la créativité.

C’est avec l’émergence de l’IA générative, une IA capable de créer des contenus (données, images, textes, vidéos, sons) de manière autonome en réponse à des requêtes d’origine humaine (des « prompts »), qu’il est apparu indispensable d’encadrer ses usages au regard des problématiques qu’elle peut poser en matière notamment de respect des droits d’auteur ou du droit au respect de la vie privée.

L’exemple le plus connu de cette catégorie d’IA est ChatGPT de l’entreprise américaine OpenAI, désormais concurrencée par son homologue chinois Deepseek.

L’IA Act propose, en son article 3, une définition du système d’IA, qui reprend celle de l’OCDE, lequel désigne un « système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels ».

Sur la base de cette définition, l’IA Act vise à encadrer de façon générale toutes les formes d’intelligence artificielle.

 Un régime d’obligations fondé sur une approche par les risques

Aux termes de cette approche générale, l’IA Act appréhende les différents systèmes d’IA selon le risque qu’ils présentent.

Afin de déterminer le régime applicable à un système d’IA qu’on entend développer ou utiliser, il importe d’identifier en amont quel risque celui-ci présente pour en déduire les obligations dont on est débiteur.

4 catégories de risque sont identifiées par ce règlement :

• Les systèmes d’IA à risque inacceptable : ils sont interdits. L’article 5 de ce règlement précise que cette catégorie vise notamment les systèmes de manipulation des comportements humains, d’exploitation des personnes vulnérables, d’établissement de score social ou encore d’extraction d’images à partir de vidéosurveillance ou d’internet pour alimenter des bases de données de reconnaissance faciale ;
• Les systèmes d’IA à haut risque : les obligations sont renforcées, impliquant notamment la mise en œuvre d’un système de gestion des risques. Les domaines concernés sont recensés à l’annexe III du règlement, au sein duquel on peut par exemple trouver le traitement de données biométriques, les infrastructures critiques (réseaux routiers et d’énergie) ou encore la gestion de l’emploi.
• Les systèmes d’IA avec un risque spécifique en matière de transparence : ils nécessitent d’informer l’utilisateur qu’il interagit avec une machine.
• Les systèmes d’IA à risque minime : utilisables sous la seule condition de respecter la législation en vigueur.

Toutefois, il convient de préciser que l’IA Act et donc ces 4 régimes, ne s’appliquent qu’aux seuls domaines qui relèvent du champ d’application du droit de l’Union Européenne (précisés par le Traité sur le Fonctionnement de l’Union Européenne).

Sont également expressément exclus de ces règles les systèmes d’IA à des fins militaires, de défense et de sécurité nationale, à des fins de recherche et de développement scientifique ; ou encore à usage strictement personnel et non-professionnel (article 2).

Quels régimes de sanction ?

Les États membres de l’UE doivent désigner au plus tard le 2 août 2025 les autorités nationales qui seront chargées de veiller au respect de l’IA Act avec, le cas échéant, un pouvoir de sanction.

Les sanctions que ce règlement institue sont particulièrement sévères puisque les amendes prononcées peuvent atteindre la somme de 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial de l’entreprise lorsque la violation implique des systèmes d’IA interdits.

En cas de violations d’autres obligations, les amendes sont plafonnées à 15 millions d’euros ou 3 % du chiffre d’affaires.

Des injonctions ou avertissements peuvent également être prononcés.

Il est enfin prévu la mise en place d’un système de plainte individuelle auprès de l’autorité compétente.

Quel calendrier d’application à l’IA Act ?

Entrée en vigueur le 1^er août 2024, l’IA Act doit progressivement entrer en application selon les étapes suivantes :

• 2 février 2025 : interdiction des systèmes d’IA au risque inacceptable ;

• 2 août 2025 : application des règles pour les systèmes d’IA à usage général ; nomination des autorités nationales compétentes par les États membres ;

• 2 août 2026 : application de la quasi-totalité des règles de l’IA Act, en particulier celles relatives aux systèmes d’IA à haut risque listés à l’annexe III de ce règlement ;

• 2 août 2027 : application totale des règles de l’IA Act, avec entrée en application de celles relatives aux systèmes d’IA à haut risque listés à l’annexe I de ce règlement.

Les personnes publiques sont-elles concernées ?

L’IA Act identifie 5 types d’acteurs concernés par ses dispositions :

• Le fournisseur (celui qui développe ou fait développer un système ou un modèle d’IA et le met sur le marché ou en service sous son propre nom ou sa propre marque) ;

• Le déployeur (celui qui utilise sous sa propre autorité un système d’IA) ;

• Le mandataire (celui qui est situé ou établi dans l’UE et qui a reçu et accepté un mandat écrit d’un fournisseur de système ou modèle d’IA pour s’acquitter en son nom des obligations et procédures prévues par l’IA Act) ;

• L’importateur (celui qui est situé ou établi dans l’UE et qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers à l’UE) ;

• Le distributeur (celui qui met à disposition sur le marché de l’UE un système d’IA).

Parce qu’une personne publique peut être amenée à développer un système d’IA ou à en utiliser un pour répondre à ses besoins, elle est susceptible d’être regardée comme un fournisseur ou un déployeur et devoir ainsi se conformer aux obligations prévues par l’IA Act, sous peine de sanction.

Des obligations préexistantes pour les personnes publiques

Au-delà de l’IA Act, les législations européenne et française rendent les personnes publiques débitrices de plusieurs obligations qui trouvent à s’appliquer lorsqu’elles sont amenées à développer ou utiliser un système d’IA.En tout premier lieu, l’article L. 300-2 du code des relations entre le public et l’administration prévoit que les codes sources des algorithmes constituent des documents administratifs communicables.

Au nom de la transparence, toute personne peut solliciter la communication du code source d’un algorithme que met en œuvre une personne publique, et le cas échéant, d’un système d’IA.

Ce droit trouve toutefois ses limites dans les droits et secrets que la loi protège : droits de propriété littéraire et artistique, sécurité publique, secret des affaires, etc. (Articles L. 311-4 et suivants du code des relations entre le public et l’administration.

En deuxième lieu, la loi du 7 octobre 2016 pour une République Numérique a institué à l’article L. 311-3-1 du code des relations entre le public et l’administration l’obligation pour les personnes publiques qui font usage d’un traitement algorithmique pour prendre des décisions individuelles d’en informer les intéressés.

Tout usager peut d’ailleurs solliciter de l’administration qu’elle lui communique les règles définissant le traitement algorithmique qu’elle utilise ainsi que ses caractéristiques principales.

‍L’article L. 312-1-1 de ce même code oblige les administrations comptant plus de 50 agents à publier les principes de fonctionnement des traitements algorithmiques qu’elles utilisent.

En troisième lieu, tout système de collecte et de traitement de données implique de se conformer au règlement général sur la protection des données du 27 avril 2016 (définir la finalité du traitement, s’assurer qu’il repose sur une base légale, fixer une durée de conservation des données, etc.).

Voir notre publication sur le sujet : RGPD, accompagné c’est moins compliqué‍

Sont reconnus aux usagers les droits d’information, d’accès, de rectification, d’effacement et de portabilité de leurs données personnelles. Par ailleurs, ils sont en droit de s’opposer à une prise de décision intégralement automatisée à toute demande qu’ils pourraient formuler.

D’autres obligations spécifiques sont susceptibles de s’appliquer selon la nature et le domaine du système d’IA développé ou utilisé.

Mais aussi des droits pour les personnes publiques

Les systèmes d’IA sont composés de plusieurs éléments dont des algorithmes, des logiciels et des données qu’il est important de protéger.

À ce titre, la qualité d’une mission de service public peut se trouver tributaire de la protection qu’a mise en œuvre la personne publique gestionnaire de son système d’IA.

Les logiciels sont considérés comme une œuvre de l’esprit par l’article L. 112-2 du code de la propriété intellectuelle. Ils sont ainsi protégés par les droits d’auteur (droits moraux et patrimoniaux).

En revanche, l’algorithme ne bénéficie pas d’une protection au titre des droits d’auteur.

Quant à la protection des données, elle différera selon la nature des données (œuvre de l’esprit, données personnelles, base de données).

En fonction des données utilisées par le système d’IA, il conviendra d’identifier leur nature afin de se référer au régime de protection applicable.

Enfin, lorsqu’il est susceptible d’application industrielle, présente un caractère nouveau et résulte d’une activité inventive, le système d’IA est éligible au brevet en vertu de l’article L. 611-10 du code de la propriété intellectuelle.‍

L’accompagnement par un avocat peut s’avérer essentiel pour accompagner une personne publique porteuse d’un projet en rapport avec l’IA.Nos principales missions consistent à :

• Identifier le risque associé au système d’IA qu’entend développer ou utiliser une personne publique ;
• Identifier les obligations générales qu’implique ce système d’IA ;
• Identifier les obligations spécifiques, propres au domaine d’application de ce système d’IA ;
• Accompagner la personne publique dans l’accomplissement de son projet (conseil sur le montage adapté, ingénierie contractuelle, obtention d’éventuelles autorisations nécessaires, assistance en cas de contentieux).

Coécrit avec Nicolas Machet & Laurent Bidault, Avocat Associé chez Novlaw Avocats, spécialisé en droit public, notamment en droit des contrats publics (marché public, concession) et en droit immobilier public (aménagement, urbanisme, construction). Il a également développé une expertise particulière en matière d’innovation appliquée au secteur public (achat innovant, R&D, BIM).

Cet article vous a plu ?