Le Luxembourg a un rôle crucial à jouer dans l’adoption et la mise en œuvre de l’AI Act

L’AI Act, qui encadre les systèmes d’IA en Europe, a été adopté par les 27 Etats de l’Union européenne le 21 mai 2024. On se dirige à présent vers son applicabilité. Le calendrier est serré.

La CNPD et ICT Luxembourg en ordre de marche. Le 29 novembre 2024, le gouvernement luxembourgeois réuni en Conseil approuvait le projet de loi visant à mettre en œuvre certaines dispositions de l’AI Act.

La Commission Nationale pour la Protection des Données se verra attribuer plusieurs rôles : point de contact unique et coordination nationale des autorités compétentes, autorité de surveillance du marché par défaut (supervision des systèmes d’IA de l’annexe III du règlement et des systèmes d’IA qui ne relèvent pas de la compétence des autorités sectorielles) et autorité en charge des droits fondamentaux (avec l’ALIA et l’ITM). Elle aura également l’obligation de mettre en place un « sand box » règlementaire dans le cadre du règlement européen. 

De son côté, ICT Luxembourg s’est proposé de contribuer à cet effort en collaborant étroitement avec le gouvernement pour développer des initiatives nationales complétant et renforçant ce nouveau cadre européen. Ces initiatives pourraient inclure des programmes de formation et de sensibilisation pour les entreprises et les citoyens, ainsi que des mesures de soutien aux startups et aux chercheurs spécialisés dans l’IA. Objectif final : œuvrer ensemble pour que la régulation de l’IA soit juste, transparente et bénéfique pour l’ensemble de la société.

Classement des risques

Au niveau national, les États membres de l’UE doivent établir ou identifier les autorités compétentes au niveau étatique, chargées d’appliquer le texte européen sur leur territoire et veiller à ce que tous les systèmes d’IA respectent les normes et réglementations en vigueur.

Leurs missions incluent : la vérification des évaluations de conformité qui doivent être menées correctement et en temps voulu; la désignation des « organismes notifiés » (auditeurs tiers) autorisés à effectuer les évaluations de conformité tierces lorsque cela est nécessaire; la coordination au niveau national avec d’autres organismes de supervision (par exemple, dans les secteurs bancaire, assurance, santé et automobile) et au niveau européen avec le « bureau de l’IA ».

Pour rappel, l’AI Act classe les applications de l’IA en quatre niveaux de risque. Un : les systèmes d’IA à risque inacceptable tels que les systèmes de catégorisation biométriques basés sur des caractéristiques sensibles telles que l’opinion politique, les croyances religieuses, l’orientation sexuelle ou l’origine ethnique, sont interdits. Deux : les systèmes d’IA à risque élevé présentant des risques pour la santé, la sécurité et les droits fondamentaux des personnes. Trois : les systèmes d’IA à risque limité, tels que les chatbots, les systèmes de recommandations les deepfakes ou les catégorisations biométriques doivent être indiqués. Quatre : les systèmes d’IA à risque minimal, tels que les filtres anti-spam ou les systèmes de maintenance prédictive, qui n’ont pas d’obligations spécifiques.

Calendrier réglementaire

L’AI Act a été officiellement publié dans le Journal Officiel du 12 juillet 2024. Cependant, son applicabilité est structurée en plusieurs phases, comme indiqué dans l’article 113 du texte.

2 février 2025 : l’article 5 prendra effet, interdisant certaines pratiques d’IA, y compris mais sans s’y limiter, les techniques subliminales, l’exploitation des vulnérabilités et le scoring social. 2 août 2025 : à son premier anniversaire, les réglementations sur les modèles d’IA à usage général commenceront. Le Bureau de l’IA de l’UE, déjà établi, supervisera la gouvernance et les procédures réglementaires. Les codes de conformité seront disponibles d’ici au 1e mai 2025. Les sanctions pour non-conformité commenceront également à s’appliquer, bien que les amendes pour les fournisseurs d’IA à usage général seront retardées pour permettre un ajustement. 2 août 2026 : l’application générale de l’AI Act commencera.