Tout ce qu'il faut savoir sur la loi sur l'IA, pour les petites et moyennes entreprises (PME) dans l'UE et au-delà.
La loi sur l'IA met particulièrement l'accent sur les petites et moyennes entreprises (PME). Ce groupe de parties prenantes est mentionné 38 fois dans la loi, contre 7 fois pour l'"industrie" et 11 fois pour la "société civile". Plus important encore, la loi européenne sur l'IA contient une série de mesures spécifiquement conçues pour soutenir et simplifier la mise en conformité des PME avec les règles de sécurité des produits de la loi sur l'IA.
Résumé rapide des dispositions adaptées aux PME
- Bacs à sable réglementaires : cadres permettant de tester les produits et services d'IA en dehors des structures réglementaires normales, avec des exemptions de frais administratifs. Les essais peuvent également être facilités dans des conditions réelles. Les PME bénéficieront d'un accès prioritaire et gratuit aux bacs à sable et les procédures seront simples et claires.
- Réduction des coûts et des frais de mise en conformité : les frais d'évaluation seront proportionnels à la taille des PME et la Commission évaluera régulièrement les coûts de mise en conformité et s'efforcera de les réduire.
- Normalisation et gouvernance : la Commission et les États membres facilitent la participation des PME à la normalisation et au forum consultatif sur l'IA.
- Documentation simplifiée et formation : la Commission élaborera des formulaires de documentation technique simplifiés pour les PME, qui seront acceptés par les autorités nationales pour les évaluations de conformité, et proposera des activités de formation adaptées aux PME pour les aider à se mettre en conformité.
- Communication spécialisée : conseils et réponses aux questions par le biais de canaux spécialisés pour aider les PME à se conformer à la loi sur l'IA.
- Proportionnalité : les obligations imposées à aux fournisseurs de modèles d'IA à usage général doivent être adaptées et proportionnées au type de fournisseur de modèles. Par exemple, le code de bonnes pratiques prévoit des indicateurs clés de performance distincts pour les PME.
Nous développons chacune de ces dispositions dans les sections ci-dessous.
La catégorie des "PME" dans la législation européenne
En vertu de la législation européenne, les PME constituent une catégorie générale d'entreprises composée de trois sous-catégories. Les entreprises moyennes emploient moins de 250 personnes et ont un chiffre d'affaires annuel inférieur à 50 millions d'euros et/ou un bilan annuel n'excédant pas 43 millions d'euros. Les petites entreprises emploient moins de 50 personnes et ont un chiffre d'affaires annuel et/ou un bilan inférieur à 10 millions d'euros. Les micro-entreprises emploient moins de 10 personnes et ont un chiffre d'affaires annuel et/ou un solde inférieur à 2 millions d'euros. Il convient de noter que la loi sur l'IA mentionne explicitement les start-ups comme faisant partie des PME tout au long de la loi, même s'il n'existe actuellement aucune définition distincte ou unique d'une start-up en vertu de la législation de l'UE.
Les dispositions de la loi sur l'IA adaptées aux PME
Bacs à sable réglementaires
Tous les États membres adopteront au moins un bac à sable réglementaire national. Les bacs à sable réglementaires sont utilisés pour tester des produits, des technologies et des services innovants pendant une durée limitée, sous contrôle réglementaire, en dehors des structures réglementaires normales. Le concept est utilisé dans une série de secteurs, notamment la fintech, les transports, l'énergie, les télécommunications et la santé, dans de nombreuses juridictions différentes, dont le Royaume-Uni, le Japon et Singapour. En ce qui concerne la loi sur l'IA, un bac à sable réglementaire est un cadre qui permet aux fournisseurs de systèmes d'IA de développer, former, valider et tester légalement de nouveaux systèmes d'IA en suivant un plan de bac à sable convenu entre le fournisseur et l'autorité de surveillance. Ces bacs à sable peuvent être physiques, numériques ou hybrides. Les essais en conditions réelles peuvent également être facilités par le cadre des bacs à sable réglementaires pour l'IA. Les bacs à sable sont conçus pour soutenir l'innovation en permettant un environnement d'expérimentation contrôlé pour démontrer la conformité, en augmentant la sécurité juridique pour les innovateurs et les autorités, et en supprimant les obstacles à l'accès aux marchés pour les PME.
Les documents issus de la participation à un bac à sable peuvent être utilisés pour démontrer la conformité à la loi sur l'IA. En outre, si les fournisseurs potentiels respectent le plan et les conditions du bac à sable et suivent de bonne foi les conseils de l'autorité nationale compétente, ils ne se verront pas infliger d'amendes administratives pour infraction à la loi. Il convient de noter que les fournisseurs des bacs à sable réglementaires en matière d'IA ne sont pas exonérés de toute responsabilité en cas de dommages causés à des tiers à la suite de l'expérimentation de systèmes d'IA dans un bac à sable.
Les PME auront un accès prioritaire aux bacs à sable. En outre, ces bacs à sable seront gratuits pour les PME et les procédures de candidature, de sélection, de participation et de sortie des bacs à sable seront simples, faciles à comprendre et communiquées de manière claire.
Exemples de bacs à sable : Plusieurs pays de l'UE ont déjà mis en place des bacs à sable pour l'IA, notamment le Luxembourg, l'Espagne et la Lituanie. Bien que ces bacs à sable n'en soient qu'à leurs débuts, les leçons tirées d'autres domaines indiquent certains des effets positifs potentiels des bacs à sable. Par exemple, les entreprises qui ont passé avec succès les tests du bac à sable de la FCA britannique ont reçu 6,6 fois plus d'investissements dans le domaine de la fintech. En outre, par rapport au délai d'autorisation standard du régulateur, le bac à sable de la FCA britannique a permis d'augmenter de 40 % la vitesse moyenne d'autorisation du marché.
Réduire les coûts et les frais de mise en conformité
La loi sur l'IA vise à limiter les coûts de mise en conformité pour les petits acteurs, par exemple en exigeant que les redevances nationales d' évaluation de la conformité tiennent compte des besoins des fournisseurs de PME et garantissent que ces redevances sont proportionnelles à la taille, à l'étendue du marché et à d'autres facteurs pertinents. La Commission européenne procédera également à des évaluations des coûts de mise en conformité pour les PME et collaborera avec les États membres pour réduire ces coûts. Par exemple, en ce qui concerne les coûts de traduction liés à la documentation obligatoire, les États membres devraient s'efforcer d'accepter la documentation et la communication dans des langues largement comprises par le plus grand nombre possible de déployeurs transfrontaliers.
En ce qui concerne les amendes, la loi fixe la limite supérieure des amendes sur la base du montant le plus élevé - un montant fixe ou un pourcentage fixe du chiffre d'affaires mondial total. Toutefois, dans le cas des PME, la limite supérieure est fixée en fonction du montant le plus bas.
Participation à la définition des normes et à la gouvernance
Les normes constituent un élément important de toute législation relative à la sécurité des produits dans l'UE, et la loi sur l'IA ne fait pas exception à la règle. Afin de garantir que les perspectives des PME soient dûment prises en compte dans le processus de normalisation, la Commission et les États membres doivent faciliter la participation des PME au processus d'élaboration des normes.
La loi sur l'IA garantit également la représentation des PME dans la mise en œuvre de la loi sur l'IA. Par exemple, les PME doivent être représentées au sein du forum consultatif, un organe qui conseille et fournit une expertise technique au Conseil européen de l'IA et à la Commission.
Documentation simplifiée et formation ciblée
Afin de simplifier la documentation technique des systèmes d'IA à haut risque pour les PME, la Commission élaborera des formulaires de documentation technique spéciaux et simplifiés pour les besoins des petites et microentreprises. Ces formulaires seront acceptés par les autorités nationales aux fins de l'évaluation de la conformité. En ce qui concerne les microentreprises, certains éléments des systèmes de gestion de la qualité pour les systèmes d'IA à haut risque peuvent être respectés de manière simplifiée. En outre, les États membres doivent organiser des activités de sensibilisation et de formation adaptées aux PME concernant l'application de la loi sur l'IA afin d'aider les PME à comprendre et à respecter la loi sur l'IA.
Communication dédiée aux PME
Les États membres mettent en place des canaux de communication dédiés aux PME et aux autres acteurs concernés, tels que les autorités publiques locales, afin de soutenir les PME tout au long de leur parcours de développement. Ce soutien consiste notamment à fournir des orientations et à répondre aux questions relatives à la mise en œuvre de la loi sur l'IA, en garantissant des synergies et une homogénéité dans les orientations données aux PME. Plusieurs États membres ont déjà mis en place des canaux d'information pertinents, par exemple le Service Desk autrichien pour l'IA.
Obligations proportionnelles pour les PME qui fournissent des modèles d'IA à usage général
Un autre aspect de la loi sur l'IA destiné à soutenir les PME est le principe de proportionnalité. Pour les fournisseurs de modèles d'IA à usage général, les obligations doivent être "adaptées et proportionnées au type de fournisseur de modèles". Les modèles d'IA à usage général présentent une grande généralité, sont capables d'exécuter avec compétence une série de tâches différentes et peuvent être intégrés dans une série de systèmes ou d'applications en aval(article 3, paragraphe 63, de la loi sur l'accès à l'information). La manière dont ces modèles sont mis sur le marché (poids libres, propriétaires, etc.) n'a pas d'incidence sur la catégorisation.
Un petit sous-ensemble des modèles d'IA à usage général les plus avancés sont les "modèles d'IA à usage général présentant un risque systémique". Il s'agit de modèles formés à l'aide d'énormes quantités de puissance de calcul (plus de 10^25 FLOP) avec des capacités à fort impact qui ont une incidence significative sur le marché de l'Union en raison de leur portée ou de leurs effets négatifs sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble(article 3(65) de la LAI). Selon Epoch, il n'y a que 15 modèles dans le monde qui dépassent le seuil de calcul de 10^25 FLOP en février 2025. Il s'agit de modèles tels que GPT-4o, Mistral Large 2, Aramco Metabrain AI, Doubao Pro et Gemini 1.0 Ultra. Parmi les petits modèles d'IA à usage général qui ne seraient probablement pas considérés comme présentant un risque systémique, on peut citer GPT 3.5, les modèles développés par Silo AI, Pharia-1-LLM-7B d'Aleph Alpha ou Deepseek-V3.
Les obligations des fournisseurs de modèles d'IA à usage général et de modèles d'IA à usage général présentant un risque systémique sont définies respectivement aux articles 53 et 55 de la loi sur l'IA et précisées dans le code de bonne pratique. Les fournisseurs de modèles d'IA à usage général sont soumis à certaines obligations de transparence. Les fournisseurs de modèles d'IA à usage général présentant un risque systémique ont des obligations supplémentaires en matière d'évaluation et de test des modèles, d'évaluation et d'atténuation des risques systémiques éventuels, de notification des incidents et de garantie d'un niveau adéquat de cybersécurité. Le code est actuellement en cours d'élaboration dans le cadre d'un vaste processus multipartite, de sorte que sa forme définitive n'a pas encore été déterminée. En vertu du principe de proportionnalité, le code devrait tenir compte de la taille du fournisseur de modèles d'IA à usage général. Cet aspect est reconnu, par exemple, dans le deuxième projet actuel comme l'un des sept principes de haut niveau, et se reflète dans des indicateurs clés de performance distincts pour les PME et les grandes entreprises.
Remarque importante : la distinction entre les modèles d'IA à usage général et les modèles d'IA à usage général présentant un risque systémique n'a pas d'importance pour la conformité des fournisseurs et des déployeurs en aval qui créent des applications ou intègrent d'une autre manière des modèles d'IA à usage général dans des systèmes d'IA. Seule compte l'utilisation prévue de leur système d'IA et la question de savoir si cette utilisation relève de l'une des catégories de risque prévues par la loi sur l'IA : systèmes interdits, systèmes à haut risque ou systèmes soumis à des obligations particulières en matière de transparence. Ce sera le cas de la grande majorité des PME de l'UE.
Tout dépend de la mise en œuvre
En fin de compte, les effets et la facilité de mise en conformité pour les PME dépendent autant de la mise en œuvre de la loi sur l'IA que du texte lui-même. Il existe différentes ressources qui peuvent aider les lecteurs à suivre la mise en œuvre de la loi, notamment :
- La compilation des documents d'orientation de la Commission européenne ;
- L'aperçu des plans nationaux de mise en œuvre;
- Le vérificateur de conformité à la loi sur l'IA, qui peut aider à entamer une réflexion initiale sur la conformité à la loi sur l'IA.