Mise en œuvre de la loi sur l'IA : Calendrier et prochaines étapes

Dans cet article, nous présentons les dates clés de la mise en œuvre de la loi sur l'IA. Nous dressons également la liste des actes de droit dérivé que la Commission pourrait ajouter pour compléter la loi sur l'IA, ainsi que des lignes directrices qu'elle pourrait publier pour soutenir les efforts de mise en conformité.

L'Association internationale des professionnels de la protection de la vie privée a produit une infographie reprenant ces informations.

Délais de mise en conformité

Au plus tard 6 mois après l'entrée en vigueur :

• Interdictions relatives aux risques inacceptables AI.(Article 85)

Au plus tard 9 mois après l'entrée en vigueur :

• Les codes de pratique pour l'IA à usage général (GPAI) doivent être finalisés.(Article 85)

Au plus tard 12 mois après l'entrée en vigueur :

• Les règles de l'AMPI s'appliquent.(Article 85)
• Nomination des autorités compétentes des États membres.(Article 59)
• Examen annuel par la Commission et modifications éventuelles des interdictions.(Article 84)

Au plus tard 18 mois après l'entrée en vigueur :

• La Commission publie des actes d'exécution créant un modèle de plan de surveillance post-commercialisation pour les fournisseurs d'IA à haut risque.(Article 6)

Au plus tard 24 mois après l'entrée en vigueur :

• Les obligations relatives aux systèmes d'IA à haut risque spécifiquement énumérés à l'annexe III, qui comprennent les systèmes d'IA dans les domaines de la biométrie, des infrastructures critiques, de l'éducation, de l'emploi, de l'accès aux services publics essentiels, de l'application de la loi, de l'immigration et de l'administration de la justice, s'appliquent désormais.(Article 83)
• Les États membres doivent avoir mis en œuvre des règles relatives aux sanctions, y compris les amendes administratives.(Article 53)
• Les autorités des États membres doivent avoir mis en place au moins un bac à sable réglementaire opérationnel en matière d'IA.(Article 53)
• Examen par la Commission de la liste des systèmes d'IA à haut risque et modification éventuelle de cette liste.(Article 84)

Au plus tard 36 mois après l'entrée en vigueur :

• Les obligations relatives aux systèmes d'IA à haut risque de l'annexe II s'appliquent.(Article 85)
• Obligations pour les systèmes d'IA à haut risque qui ne sont pas prescrits à l'annexe III mais qui sont destinés à être utilisés comme composants de sécurité d'un produit, ou l'IA est elle-même un produit, et le produit doit faire l'objet d'une évaluation de la conformité par un tiers en vertu de la législation européenne spécifique existante, par exemple les jouets, les équipements radio, les dispositifs médicaux de diagnostic in vitro, la sécurité de l'aviation civile et les véhicules agricoles.(Article 85)

D'ici à la fin de l'année 2030 :

• Des obligations entrent en vigueur pour certains systèmes d'IA qui sont des composantes des systèmes d'information à grande échelle établis par la législation de l'UE dans les domaines de la liberté, de la sécurité et de la justice, tels que le système d'information Schengen.(Article 83)

Droit dérivé

La Commission peut introduire des actes délégués sur :

• Définition d'un système d'IA.(Article 82 bis)
• Critères permettant d'exempter les systèmes d'IA des règles relatives aux risques élevés.(Article 6)
• Cas d'utilisation de l'IA à haut risque.(Article 7)
• Seuils permettant de classer les modèles d'IA à usage général comme systémiques.(Article 52 bis)
• Exigences en matière de documentation technique pour les systèmes d'IA à haut risque et les GPAI.(Article 11)
• Évaluations de la conformité.(Article 43)
• Déclaration de conformité de l'UE.(Article 48)

Le pouvoir de la Commission d'émettre des actes délégués a une durée initiale et prorogeable de cinq ans.(Article 73)

L'Office AI doit élaborer des codes de pratique couvrant, sans s'y limiter nécessairement, les obligations des fournisseurs de modèles d'IA à usage général. Les codes de pratique doivent être prêts au plus tard neuf mois après l'entrée en vigueur et doivent prévoir un délai d'au moins trois mois avant la prise d'effet.(Article 73)

La Commission peut introduire des actes d'exécution sur :

• Approbation des codes de pratique pour le GPAI et le filigrane génératif de l'IA.(Article 52 sexies)
• Mise en place du groupe scientifique d'experts indépendants.(Article 58 ter)
• Conditions d'évaluation de la conformité à l'AMPI par l'Office AI.(Article 68 undecies)
• Règles opérationnelles pour les bacs à sable réglementaires en matière d'IA.(Article 53)
• Informations contenues dans les plans d'essai en conditions réelles.(Article 54 bis)
• Spécifications communes (lorsque les normes ne couvrent pas les règles).(Article 41)

Lignes directrices de la Commission

La Commission peut fournir des conseils sur les points suivants

• Au plus tard 12 mois après l'entrée en vigueur : Rapport sur les incidents graves d'IA à haut risque.(Article 62)
• Au plus tard 18 mois après l'entrée en vigueur : Des orientations pratiques pour déterminer si un système d'IA présente un risque élevé, avec une liste d'exemples pratiques de cas d'utilisation à risque élevé et sans risque élevé.(Article 6)
• Sans calendrier précis, la Commission fournira des lignes directrices sur : (Article 82 bis)
  • L'application de la définition d'un système d'IA.
  • Exigences du fournisseur d'IA à haut risque.
  • Interdictions.
  • Modifications substantielles.
  • Transparence pour les utilisateurs finaux.
  • Informations détaillées sur la relation entre la loi sur l'IA et d'autres lois de l'UE.

La Commission fait rapport sur ses pouvoirs délégués au plus tard neuf mois et avant cinq ans après l'entrée en vigueur.(Article 84)