L’intelligence artificielle (IA) générative est en plein essor et est de plus en plus utilisée dans le milieu professionnel. Les grands modèles de language (LLM), tels que ChatGPT, offrent en effet des opportunités considérables aux entreprises. 

Cependant, leur usage soulève des questions réglementaires cruciales. L’IA Act vient compléter le Règlement Général sur la Protection des Données (RGPD) pour encadrer ces technologies. Focus sur ce que doivent savoir les PME avant d’adopter ces outils. 

Pourquoi l’IA Act est-il important pour l’usage des LLM comme ChatGPT ? 

L’IA Act est une législation ambitieuse visant à établir le premier cadre juridique sur l’intelligence artificielle au sein de l’Union européenne. Adoptée définitivement par le Parlement européen en mars 2024, l’IA Act a pour but d’assurer le respect des droits fondamentaux des citoyens de l’UE en garantissant une utilisation éthique et responsable de l’IA. Ses obligations entreront progressivement en vigueur dès cette année jusqu’en 2027. Concernant les IA génératives, telles que les LLM, des obligations supplémentaires ont par ailleurs été élaborées par ce texte. 

Mais que sont les LLM ? Les LLM sont une catégorie d’IA générative. Entraînés à partir d’une grande quantité de données, ils sont conçus pour comprendre et générer du contenu. Popularisés par l’avènement de ChatGPT, ils permettent d’accomplir une multitude de tâches (traduction automatique, assistants personnels, assistants juridiques etc.). 

La majorité des entreprises n’ont pas vocation à développer des IA, mais à les utiliser. Elles doivent donc comprendre comment ces outils s’intègrent dans un cadre juridique en pleine évolution et s’assurer qu’elles respectent les obligations en matière de transparence, de sécurité, d’éthique ou encore de protection de la vie privée. 

LLM et RGPD : où en étions-nous avant l’IA Act ?

Avant l’IA Act, le RGPD était le principal cadre réglementaire en matière de protection des données au sein de l’UE. Ce réglement vise à établir des règles harmonisées dans l’UE concernant les traitements de données personnelles. A ce titre, il établit plusieurs principes clés (licéité et finalité des traitements, pertinence et proportionnalité, durée limitée de conservation des données etc.) et consacre des droits des personnes sur leurs données. 

Toutefois, même après l’adoption du RGPD, les Systèmes d’Intelligence Artificielle (SIA) soulevaient de nombreuses difficultés : 

• Difficultés concernant le consentement : les modèles de langage étant entraînés sur de vastes ensembles de données, il était souvent impossible de garantir que les personnes concernées avaient donné leur consentement pour l’utilisation de leurs données.
  
• Manque de transparence : les modèles d’IA fonctionnent comme des « boîtes noires », ce qui rend difficile leur explicabilité. Or, si le RGPD pose des obligations de transparence, celles-ci ne concernaient par précisément les modèles d’IA et ces dispositions se montraient donc incomplètes face au fonctionnement particulier des SIA.
  
• Absence d’un cadre spécifique pour la responsabilité des entreprises utilisant un LLM : une entreprise utilisant un LLM devait s’assurer que son usage était conforme au RGPD, mais les responsabilités restaient floues en cas de biais, d’erreurs ou de dommages causés par les modèles d’IA. Aucune obligation spécifique de supervision humaine ou d’évaluation des risques n’était prévue pour les entreprises utilisant des systèmes d’IA.

C’est notamment à ces différentes questions que l’IA Act tente de répondre. 

Il est toutefois à noter que le RGPD continue de s’appliquer, même sur les SIA. En effet, le RGPD ne fait pas explicitement référence à des applications technologiques spécifiques et encadre tout type de traitement de données personnelles. Il s’applique chaque fois qu’un traitement de données à caractère personnel est mis en œuvre, au moyen de l’IA ou non. Il s’applique ainsi bien si les SIA traitent des données personnelles. L’AIA pose en fait des obligations supplémentaires en ce qui concerne les SIA. Ainsi, si un SIA permet de traiter des données personnelles, il faudra veiller à ce qu’il respecte à la fois l’AIA et le RGPD. 

Ce que l’IA Act change concrètement

L’IA Act établit une classification des IA et instaure des obligations à la charge des fournisseurs et des utilisateurs selon le niveau de risque des systèmes d’intelligence artificielle (SIA)  : 

• SIA interdits : ils présentent un niveau de risque inacceptable pour la santé, sécurité ou les droits fondamentaux des personnes. Cela concerne par exemple la notation sociale. Depuis le 2 février 2025, ces SIA sont interdits au sein de l’UE. C’est la première obligation de l’AIA à entrer en vigueur. 
  
• SIA à haut risque : ils ne sont pas interdits mais ils sont soumis à de nombreuses obligations. Cette catégorie concerne notamment les SIA utilisés dans la gestion et l’exploitation des infrastructures critiques, l’éducation et la formation professionnelle, l’emploi, la gestion des travailleurs et l’accès au travail indépendant etc.
  
• SIA à risque modéré : ils sont notamment soumis à des obligations de transparence.  Cette catégorie inclut notamment les chatbots. 
  
• SIA à risque faible : ils peuvent être développés et utilisés à condition de respecter la législation actuelle. La grande majorité des systèmes d’IA actuellement utilisés dans l’UE appartiennent à cette catégorie. Cela fait référence notamment : aux jeux vidéos compatibles avec l’IA et aux filtres anti-spam. 

L’IA générative n’a pas été classée à haut risque. Toutefois, des obligations spécifiques ont été conçues pour les IA à usage général (incluant aussi notamment les LLM) telles que : 

• l’établissement d’une documentation visant à démontrer que les algorithmes ont été conçus afin de minimiser tous les risques relatifs aux droits fondamentaux des citoyens, à l’état de droit, à la cybersécurité et à la protection de l’environnement. Cette documentation devra inclure les méthodes d’entrainement, les résultats des tests et l’évaluation des performances ainsi que des risques 
  
• les fournisseurs devront fournir aux intégrateurs des informations sur les capacités, les limites et les risques des modèles. 
  
• le respect des exigences en matière de transparence : mentionner que le contenu est généré par l’IA, aider également à distinguer les fausses images des vraies.  
  
• des garanties contre la génération de contenus illicites
  
• mise à disposition auprès du public d’un résumé détaillé des données protégées par le droit d’auteur ayant été utilisées pour entrainer les algorithmes

Le Bureau de l’IA a par ailleurs élaboré des codes de bonne conduite s’agissant les IA à usage général. 

Outre les IA à usage général, l’AI Act identifie des IA à usage général présentant un risque systémique. Ce sont par exemple des IA à usage général disposant de capacités de fort impact. Ces IA seront soumises non seulement aux obligations prévues pour les IA à usage général mais aussi à des obligations supplémentaires. 

Cet article pourrait vous intéresser : La CNIL publie son plan stratégique pour 2025 – 2028

Quelles sanctions en cas de non-conformité ? 

Comme le RGPD, l’IA Act prévoit des amendes significatives en cas de non-respect des obligations. Celles-ci peuvent s’élever, selon les violations, jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires pour une entreprise. 

Les entreprises peuvent être tenues responsables des biais ou erreurs générés par les modèles d’IA qu’elles utilisent si elles ne mettent pas en place des mécanismes de contrôle adéquats.

Ces nouvelles règles imposent donc aux PME d’adopter une approche plus rigoureuse dans leur usage des LLM afin d’éviter tout risque juridique ou réputationnel.

Quels impacts pour les entreprises qui utilisent ChatGPT et autres LLM ?

Pour les PME, ces nouvelles régulations impliquent plusieurs ajustements pour garantir la conformité de leurs usages de l’IA. 

Les entreprises devront s’assurer de la conformité des founisseurs de LLM. Elles devront vérifier que les modèles qu’elles exploitent respectent l’IA Act et le RGPD. Cela implique de choisir des solutions conformes aux réglementations européennes et d’exiger de la transparence de la part des fournisseurs (ex. OpenAI, Google, Microsoft). Le Comité européen de la protection des données a par ailleurs récemment pu rappeler que lorsqu’un modèle d’IA a été développé avec des données personnelles traitées illégalement, cela peut avoir une conséquence sur la licéité de son utilisation. Il faudra ainsi s’intéresser aux sources utilisées pour l’entraînement des modèles d’IA ou aux décisions dont a fait l’objet le fournisseur.

Il faudra par ailleurs mettre en place des politiques de transparence. Il s’agira d’informer clairement les clients et employés sur l’utilisation de l’IA dans leurs interactions, notamment en mentionnant explicitement lorsque du contenu généré par IA est utilisé.

Cela impliquera par ailleurs d’élaborer des obligations internes. Il faudra former les employés à l’usage de ces outils et adapter les politiques internes pour éviter tout risque juridique. Une charte interne d’utilisation des IA génératives pourra être mise en place pour encadrer leur usage.

Quelques exemples 

Concrètement, quelles mesures peuvent être mises en oeuvre ? 

• Relation client : Automatiser le support client avec une IA générative tout en assurant un contrôle humain sur les réponses données.
• Génération de contenu : Vérifier la fiabilité et la qualité des textes produits par IA avant toute diffusion publique.
• Analyse de données : Exploiter l’IA pour le traitement des informations tout en veillant à ne pas utiliser de données personnelles sans consentement explicite.

Cet article pourrait vous intéresser : Intelligence Artificielle (IA) et RGPD : Comment utiliser l’IA en toute conformité ?

Conclusion et recommandations 

L’IA Act marque une étape clé dans la régulation de l’IA et vient compléter le RGPD pour mieux encadrer l’usage des LLM. Les PME doivent anticiper ces nouvelles exigences en adaptant leurs pratiques et en veillant à une utilisation responsable de ces technologies. Pour cela, il est recommandé de :

1. Effectuer un audit de conformité des outils d’IA utilisés afin d’évaluer les risques et s’assurer du respect des obligations réglementaires.
2. Mettre en place des mesures de transparence vis-à-vis des clients et collaborateurs pour garantir un usage éthique et conforme de l’IA.
3. Former les équipes aux enjeux éthiques et réglementaires de l’IA pour minimiser les risques juridiques et opérationnels.
4. Travailler avec des fournisseurs respectant les normes européennes, notamment en ce qui concerne le traitement et la protection des données.
5. Assurer une veille juridique régulière pour s’adapter aux évolutions législatives et anticiper les nouvelles obligations à venir.

En adoptant une approche proactive et en respectant ces bonnes pratiques, les PME pourront exploiter les avantages de l’IA tout en restant en conformité avec les réglementations en vigueur. Cela renforcera également la confiance des clients et partenaires dans l’usage responsable des nouvelles technologies.