La Commission européenne a annoncé le 4 février 2025 Lignes directrices sur pratiques interdites de l’IA après le Loi sur l’intelligence artificielle publié :
- Communiqué de presse
- Lignes directrices (140 pages)
Ces interdictions sont en vigueur le 2 février 2025 (et les sanctions prendront effet le 2 août 2025)..
Les lignes directrices expliquent la notion de pratiques interdites et contiennent des exemples d’application. Elles se fondent sur le mandat confié à la Commission par l’article 96 de l’AIA, qui consiste à édicter des lignes directrices pour la mise en œuvre pratique (voir notre FAQ AI Act). Certaines pratiques sont interdites (Use Cases – la mise sur le marché, la mise en service ou l’utilisation de systèmes qui fait ou doit faire des choses interdites) dans les catégories :
- Manipulation
- Exploiter la faiblesse
- Scoring social
- Catégorisation biométrique
- Reconnaissance des émotions
- Police prédictive
- Scraping avec reconnaissance faciale
- Identification biométrique publique à distance et en temps réel
Les lignes directrices se concentrent sur l’interprétation de ces cas d’utilisation. Elles abordent également certaines notions connexes :
- le Mise sur le marché (art. 3(9) AI Act), qui comprend également la mise à disposition via une API ;
- le Mise en service (art. 3(11) AI Act), qui comprend la mise à disposition pour une première utilisation par un tiers, mais aussi la propre première utilisation (“in-house development and deployment”) ;
- le Utilisationnon défini dans l’AI Act ; toute utilisation après la mise sur le marché ou la mise en service. Dans le cadre des pratiques interdites, l’abus est également inclus, y compris l’abus non prévisible (donc pas seulement l’abus prévisible comme dans l’art. 3(12) et (13) AI Act) ;
- Fournisseurs d’accès – rien de nouveau ;
- DéployeurIl s’agit de l’organisme qui utilise le système d’information sur l’asile (AIS) (pas les collaborateurs, mais leur employeur), et ce “sous son autorité”. Cela signifie ce qui suit (cf. RosenthalIl convient de se référer ici à la pratique concernant le concept comparable de “responsable” ou de “contrôleur” dans la protection des données”) :
L’autorité sur un système d’IA doit être comprise comme le fait d’assumer responsabilité sur la décision de déployer le système et sur la manière de l’utiliser réellement.
Le fournisseur ne doit pas commercialiser ou mettre en service des AIS et des GPAI dont l’utilisation interdite est “reasonably likely”. Dans le cas d’une GPAI utilisée pour un chatbot, le fournisseur doit donc mettre en place des mesures de sécurité. De son côté, le déployeur ne doit pas utiliser l’AIS à des fins interdites. Les fournisseurs doivent en outre éviter une utilisation interdite par le Deployer exclure par contrat et – selon le cas – ils doivent également permettre le déploiement par le Deployer surveiller. S’ils ont connaissance d’une utilisation interdite, ils doivent en outre réagir.
La Commission aborde ensuite de manière succincte Exclusions d’application un pour
- le domaine de la sécurité nationale et de l’armée
- Entraide pénale et coopération judiciaire
- Recherche et développement
- activité exclusivement personnelle et
- FOSS.
D’autres thèmes sont également abordés, comme le Rapport de l’AI Act à d’autres actes législatifs et Mise en application des interdictions.