Points clés à retenir
- Le RIA instaure une responsabilité en chaîne, dans laquelle chaque acteur de l’IA est responsable de son rôle, de la conception au déploiement.
- Le règlement s’applique au-delà des frontières de l’Union européenne, dès lors qu’un système d’IA affecte le marché ou les citoyens européens.
- Un acteur peut devenir juridiquement responsable en tant que fournisseur s’il modifie un système d’IA ou en change l’usage.
- Le RIA impose une transparence renforcée entre les opérateurs, avec des obligations de documentation, de journalisation et de notification.
- Des sanctions financières très élevées sont prévues afin d’encadrer l’innovation et de protéger les droits fondamentaux.
Le RIA est-il un frein à l’innovation ? Sous cette question, se cache la problématique des conditions d’engagement de la responsabilité des acteurs de l’IA. Aussi, avant toute chose, gardons à l’esprit que les dépenses mondiales pour adopter de l’IA sont estimées à 307 milliards de dollars en 2025 pour un impact cumulé jusqu’à 19 000 milliards de dollars d’ici 2030, étant alors à l’origine de 3,5% du PIB mondial. Autrement dit, il s’agit d’un marché émergent qui devrait être incontournable dans les années à venir, et ce d’autant plus qu’il est directement lié à la fourniture de services numériques couverts notamment par le DMA et le DSA, eux-mêmes dans le collimateur par les fournisseurs de services technologiques via la nouvelle administration américaine.
Rappelons aussi que le rapport Draghi fait de la compétitivité dans le numérique [1] une des clés de l’avenir de l’UE. L’intelligence artificielle est donc au centre des enjeux économique et stratégiques de l’UE, comme celle des USA.
C’est dans ce contexte particulièrement tendu qu’intervient le RIA, qui doit permettre de gérer une technologie à deux visages, tel un Janus numérique. D’un côté, elle permet de créer plus vite, plus esthétique, plus précisément et, pour les codeurs, d’écrire rapidement des briques en quelques secondes. De l’autre côté, la capacité à créer de faux contenus, d’usurper des identités, de capter des données protégées (données personnelles comme œuvres artistiques) sans aucune contrepartie créent un risque majeur pour les droits des citoyens.
En s’appuyant ouvertement sur les travaux du GEHN IA [2], le RIA définit les principes qui encadrent toute exploitation de l’IA. Tel est l’objet de l’article 1 du Règlement dit RIA (ou IA Act) [3] qui stipule : « L’objectif du présent règlement est d’améliorer le fonctionnement du marché intérieur et de promouvoir l’adoption d’une intelligence artificielle (IA) axée sur l’humain et digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte, notamment la démocratie, l’état de droit et la protection de l’environnement, contre les effets néfastes des systèmes d’IA dans l’Union, et en soutenant l’innovation. »
Tout y est et toute la responsabilité des acteurs de l’IA découle de la volonté de trouver un équilibre entre innovation et protection. Ainsi, cet objectif se traduit dans le RIA par la définition d’une chaîne de production de contenus de l’IA, en déterminant les responsables (fournisseur, déployeur, importateur, mandataire), leurs obligations et les contenus qui peuvent être produits.
Pour répondre à cet objectif, le règlement s’appuie sur une gymnastique juridique bien connue du droit de l’UE, à savoir notamment une auto-évaluation des risques assortie de sanctions dissuasives… mais pas que : le RIA crée un principe de responsabilité en chaîne et de communication qui est directement associé aux sanctions : le RIA impose (in)directement des rapports contractuels entre les opérateurs, ce qui élargit nécessairement le champ de leur responsabilité.
Le décryptage de la responsabilité des opérateurs est réalisé via l’analyse du champ d’application particulièrement large du règlement et les fondements de la mise en œuvre de ladite responsabilité.
Un champ d’application multi dimensionnel : la création d’une chaîne de responsabilités
Tout comme son grand frère le RGPD, le RIA s’applique à tout personne située dans l’UE et à tout service fourni sur le territoire de l’UE [4], que l’opérateur soit installé au sein de l’UE ou non. En s’intéressant aux opérateurs hors UE, il est constaté une obligation de désigner un mandataire sur le territoire de l’UE, lequel se chargera de la communication avec les autorités locales et le Bureau de l’IA.
Mais le règlement ne s’arrête pas à ce niveau. En effet, cette logique d’extraterritorialité se poursuit dans les ramifications contractuelles des opérateurs. Ainsi, le RIA devra s’appliquer également aux IA qui ne sont pas « mis sur le marché, mis en service, ou utilisés dans l’Union » [5]. Pour se justifier, le RIA évoque l’exemple d’un opérateur confiant l’exécution d’une tâche à un tiers situé en dehors de l’UE.
Ce dispositif, inspiré par la même logique que le RGPD, fait de la qualité (ou nationalité ?) des données traitées le fil conducteur de la responsabilité des intervenants sur celles-ci. L’objectif bien compris de protéger les données des européens implique que chaque maillon de la chaîne contrôle en profondeur ses partenaires ou sous-traitant. Et c’est ici que le mécanisme de responsabilité devient central. En effet, chaque opérateur doit mettre en œuvre des mesures visant à contrôler activement ses sous-traitants tiers, ce qui nécessite non seulement des révisions contractuelles et notamment des conditions d’audit, de communication des incidents mais aussi des conditions tarifaires applicables, car le service d’IA va ipso facto coûter plus cher à produire.
Concrètement, le RIA impose un nouveau rapport de force dans les relations commerciales quand ceux nés du RGPD commencent à peine à s’équilibrer et, qu’en parallèle, certaines entreprises devront également intégrer les problématiques DORA et/ou NIS 2 dans leurs négociations…
Toutefois, ce dispositif de contrôle n’est pas réservé à la relation opérateur intra UE – opérateur extra UE. Le même type de contrôle est attendu dans les relations entre opérateurs intra UE, soit entre le fournisseur (/fabricant ?), le mandataire le cas échéant, l’importateur le cas échéant, le distributeur le cas échéant et le déployeur.
Ce système de glissement de fonctions interpelle sur deux situations. D’une part, chaque intervenant sera considéré comme fournisseur – même s’il n’a pas conçu le SIA à haut risque – dans trois cas précis alternatifs/cumulatifs :
- la commercialisation en son nom propre du SIA à haut risque,
- la modification substantielle du SIA à haut risque en question
- et la modification de la destination du SIA qui n’était pas un SIA à haut risque et qui le devient [6].
Dans un tel cas, le fournisseur initial n’est plus considéré comme fournisseur mais il reste astreint à la coopération avec les autorités de régulation et à l’assistance et à la fourniture de la documentation auprès du néo fournisseur, sauf à démontrer que son IA n’était pas prévue pour être utilisée comme une IA à haut risque. En d’autres termes, il est prévu ab initio un mécanisme de substitution juridique dans le cas d’un accord commercial et/ou technique.
D’autre part, le rapport de responsabilité fournisseur / déployeur innerve la chaine de responsabilité. Outre l’exécution de ses propres obligations (Accontability [7] : documentation, sécurité, transparence, surveillance, journalisation le cas échéant) chaque fonction doit notifier l’autre partie et le régulateur – i.e. le bureau de l’IA – de toute altération du SIA et /ou de non-conformité du SIA aux dispositions du RIA. Dès lors, chaque fonction de la chaine et contrainte à des obligations de notification multiples en amont et en aval, comme autant de blocs de vérification assurant la fiabilité d’un message.
Le déclenchement de chaque notification emporte deux conséquences : la première étant une transparence totale tant avec l’autorité de contrôle que son partenaire sur le fonctionnement de l’IA, sa documentation, ses journaux et ses algorithmes. Cette transparence pose question sur la qualité de la confidentialité dans le cadre du savoir-faire, du secret de fabrique et du secret des affaires. La seconde est la question de l’articulation des responsabilités sur le fond comme sur la forme des notifications, entre les parties et, surtout, à l’égard des tiers, des utilisateurs et des personnes concernées (au sens du RGPD).
Il en résulte une formidable entreprise de surveillance mutuelle et collective, laquelle se veut au bénéfice du consommateur. De ce point de vue, on peut comprendre l’interprétation du vice-président des Etats-Unis, J.D. Vance, lorsqu’il qualifie ce règlement d’excessif voire d’encombrant pour l’innovation technologique, allant même jusqu’à qualifier la réglementation européenne de censure [8]. Toutefois, pour saisir l’entièreté de ce propos, nous devons bien saisir les modalités de mise en jeu de la responsabilité des acteurs.
L’interdiction des pratiques menaçant la vie en société
Comme rappelé en introduction, le RIA a pour objectif de préserver la sécurité des citoyens et d’assurer la confiance dans les outils d’IA. Sous ce prisme, il est mieux compris pourquoi le chapitre relatif à l’interdiction de certaines pratiques est entré en vigueur le 2 février 2025, soit avant tout autre dispositif et notamment le chapitre relatif aux pratiques autorisées.
Parmi les pratiques interdites, on retrouve très facilement celles qui présentent un danger pour la confiance dans les rapports humains et, oserons-nous, dans l’économie numérique, à savoir [9] :
- vicier le consentement d’autrui,
- réaliser certaines classifications de personnes,
- l’utilisation indue d’instrument biométrique,
- inférer les émotions d’une personne physique sur le lieu de travail et dans les établissements d’enseignement (sauf pour raison médicale ou de sécurité).
Il en ressort que toute pratique visant à tromper ou ayant pour effet de classer et/ou de surveiller les individus selon leur implication sociale, prétendue ou réputée est strictement interdite.
Au regard de la charte des droits fondamentaux [10], ces interdictions ne sont ni surprenantes ni infamantes car elles visent à préserver un espace de liberté et de confiance entre les citoyens entre eux mais également entre les citoyens et leurs États. Il s’agit donc très logiquement de protéger les citoyens européens contre la prédation de leurs données et de corrompre la confiance qu’ils peuvent avoir dans le marché.
Pour la commission d’un tel acte, la sanction relative à la mise en œuvre d’un traitement prohibé est une amende pouvant aller jusqu’à 35 Millions d’euros ou 7% du chiffre d’affaires annuel mondial calculé sur l’année n-1 [11]. Soit, au rapport du chiffres d’affaires de Google (au hasard) en 2024 qui est de 348,16 milliards [12], une amende possible 24,3712 milliards.
Concernant l’accountability, on remarquera que les non-conformités aux mécanismes d’encadrement sont quant à elles sanctionnées par une amende allant jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial calculé sur l’année n-1. Enfin, la fourniture d’informations inexactes aux autorités nationales dans le cadre des notifications et des enquêtes est punie par une amende allant jusqu’à 7,5 millions d’euros d’amende ou 1% du chiffre d’affaires annuel mondial calculé sur l’année n-1.
Dès lors, s’il est vrai que tout projet d’IA devra effectivement passer par un tamis juridique et technique particulièrement contraignant, la remarque américaine prend peut-être son véritable sens au regard des sanctions proposées par le RIA.
Et encore, il ne s’agit ici que de l’engagement de la responsabilité des entreprises par les autorités de régulation. Rien ne dit que de talentueux juristes ne pourront pas négocier des pénalités, des sorties anticipées, et tout un arsenal d’audits et de vérification permanente des processus employés par les différents opérateurs afin de couvrir leur responsabilité erga omnes autant qu’inter partes.
De ce point de vue, le RIA pourra peut-être être un succès là où le RGPD a échoué, c’est-à-dire forcer les positions hégémoniques mais non conformes dans le secteur du logiciel à se mettre au niveau.
Est-ce à dire qu’il s’agit d’une règlementation excessive ? D’aucuns répondraient à cette remarque par une célèbre citation de Rabelais : « Sapience n’entre point en âme malivole, et science sans conscience n’est que ruine de l’âme » [13]. D’autres, plus pragmatiques, répondraient que dans un déficit de ressources internes à l’échelle de la demande, le meilleur moyen de contrôler la ressource extérieure est de la forcer à se conformer à des exigences de transparence.
Références
[1] The Future of European Competitiveness – A Competitiveness Strategy for Europe” – publié le 9 septembre 2024
[2] Lignes directrices d’avril 2019 du Groupe d’expert de haut niveau sur l’intelligence artificielle
[3] RÈGLEMENT (UE) 2024/1689 DU PARLEMENT EUROPÉEN ET DU CONSEIL du 13 juin 2024 établissant des règles harmonisées concernant l’intelligence artificielle et modifiant les règlements (CE) no300/2008, (UE) no167/2013, (UE) no168/2013, (UE) 2018/858, (UE) 2018/1139 et (UE) 2019/2144 et les directives 2014/90/UE, (UE) 2016/797 et (UE) 2020/1828 (règlement sur l’intelligence artificielle)
[4] Article 2 alinéa 1 du RIA
[5] Considérant 22 du RIA
[6] Article 25 du RIA
[7] Nous empruntons ici la terminologie du RGPD pour désigner les obligations de conformité interne.
[8] https://www.lemonde.fr/economie/article/2025/02/11/au-sommet-de-paris-la-charge-des-etats-unis-contre-la-censure-de-l-ia_6542711_3234.html
[9] Article 5 du RIA
[10] Charte des droits fondamentaux de l’Union européenne du 7 décembre 2000
[11] Article 99 du RIA
[12] https://www.statista.com/statistics/267606/quarterly-revenue-of-google/#:~:text=The%20company%20amounted%20to%20an,Google%20sites%20and%20its%20network.
[13] François Rabelais, Pantagruel, 1532
Clause de non-responsabilité
Les opinions, présentations, chiffres et estimations présentés sur le site Web, y compris dans le blog, sont uniquement destinés à des fins d’information et ne doivent pas être considérés comme des conseils juridiques. Pour obtenir un avis juridique, vous devez contacter un professionnel du droit dans votre juridiction.
L’utilisation du contenu de ce site Web, y compris du blog, à des fins commerciales, y compris la revente, est interdite, sauf autorisation préalable de Evidency. La demande d’autorisation doit préciser le but et l’étendue de la reproduction. À des fins non commerciales, tout le matériel
