Comment l’AI Act permet les tests en conditions réelles de systèmes d’IA innovants ?

Le règlement européen sur l’intelligence artificielle (« AI Act ») établit le premier cadre européen complet de bac à sable réglementaire afin de favoriser l’innovation, d’accélérer l’accès au marché pour les systèmes d’IA, d’améliorer la sécurité juridique et de contribuer à une « régulation fondée sur des données probantes ».

Définition et avantages

Qu’est-ce qu’un bac à sable réglementaire ? Les bacs à sable réglementaires permettent, sous supervision réglementaire stricte, de tester et d’ajuster, sur une base volontaire, dans un environnement réel et contrôlé, de nouvelles technologies qui ne sont pas encore disponibles sur le marché et pour lesquelles la classification des risques peut encore être incertaine. Ce cadre vise à accompagner et soutenir les innovateurs dans la mise en œuvre d’une conformité dès la conception, réduisant ainsi le risque d’abandon prématuré des produits ou services en raison des risques associés.

Avantages clés des bacs à sable réglementaires en matière d’IA. L’avantage décisif attendu est une amélioration de l’accès au capital et une accélération de l’accès au marché grâce à une sécurité juridique accrue résultant de ces bacs à sable. À cette fin, l’AI Act prévoit que les autorités compétentes fournissent des orientations juridiques et disposent de la faculté de ne pas engager de mesures coercitives. Si aucune dérogation ou exemption aux législations applicables n’est accordée, les autorités compétentes disposeront d’« une certaine flexibilité dans l’application des règles dans les limites de la loi et dans le cadre de leurs pouvoirs d’appréciation lorsqu’elles appliquent les exigences légales à un projet d’IA concret dans le bac à sable¹ ». Les jeunes entreprises auront un accès prioritaire à des conditions préférentielles pour bénéficier des bacs à sable réglementaires IA.

Gouvernance et supervision

Au moins un bac à sable réglementaire par État membre de l’UE.

D’ici au 2 août 2026, tous les États membres devront veiller à ce que leurs autorités nationales compétentes mettent en place au moins un espace d’expérimentation. Cette obligation pourra être satisfaite par la participation à des bacs à sable réglementaires déjà existants ou par la création conjointe d’un bac à sable avec une ou plusieurs autorités compétentes d’autres États membres. Une liste des bacs à sable prévus et existants sera publiée par l’AI Office.

Les autorités établissant ces bacs à sable fourniront, le cas échéant en coopération avec d’autres autorités concernées (par exemple, les autorités de protection des données), des orientations, une supervision et un accompagnement dans le cadre du bac à sable réglementaire IA, en vue d’identifier les risques, en particulier pour les droits fondamentaux, la santé et la sécurité, de tester les mesures d’atténuation et d’évaluer leur efficacité au regard des exigences du règlement IA et, le cas échéant, d’autres législations applicables. Elles auront le pouvoir de suspendre le processus de test ou la participation au bac à sable si aucune mesure d’atténuation efficace n’est possible, et devront en informer l’AI Office. Elles devront également s’assurer que les bacs à sable disposent de ressources suffisantes pour fonctionner, notamment en termes de financement et de personnel.

Un processus de test documenté pour accélérer l’évaluation de conformité

En tant qu’environnement contrôlé mis en place pour une durée limitée avant la mise sur le marché ou la mise en service de systèmes d’IA, les bacs à sable réglementaires sont encadrés par un « plan spécifique », convenu mutuellement par le fournisseur et l’autorité compétente. Lorsque le bac à sable prévoit des conditions de test en situation réelle supervisées, des conditions générales spécifiques doivent être établies, avec une attention particulière portée à la protection des droits fondamentaux, de la santé et de la sécurité. Le bac à sable peut donner lieu à une documentation confidentielle que les fournisseurs pourront utiliser pour démontrer leur conformité au règlement. Cela inclut une « preuve écrite » des activités menées avec succès et un « rapport de sortie » détaillant les activités menées dans le bac à sable ainsi que les résultats obtenus et les enseignements tirés. Cette documentation devra être prise en compte de manière favorable par les autorités de surveillance du marché afin d’accélérer les procédures d’évaluation de conformité.

Responsabilité et limitation des amendes administratives

Les fournisseurs participant à un bac à sable resteront responsables, conformément au droit applicable, des dommages causés à des tiers dans le cadre de l’expérimentation. Toutefois, si le participant respecte le plan spécifique et les conditions du bac à sable et suit de bonne foi les orientations de l’autorité compétente, aucune amende administrative ne pourra être imposée pour une éventuelle infraction au règlement IA. Par ailleurs, si d’autres autorités compétentes chargées d’autres législations participent activement à la supervision du système d’IA (par exemple, une autorité de protection des données) et fournissent des orientations en matière de conformité, aucune amende administrative ne pourra être imposée au titre de ces législations non plus.

Traitement ultérieur des données à caractère personnel

Le règlement IA prévoit une base juridique pour l’utilisation de données à caractère personnel collectées à d’autres fins pour le développement, dans l’intérêt public, de certains systèmes d’IA dans un nombre limité de domaines tels que la sécurité publique, la santé publique, la protection de l’environnement ou la durabilité énergétique. En outre, cette dérogation au principe de limitation des finalités, conformément au RGPD, est soumise à un ensemble important de conditions restrictives, portant par exemple sur la nécessité des données, la mise en œuvre d’un mécanisme de surveillance efficace permettant d’identifier les risques élevés pour les droits et libertés des personnes concernées, ainsi qu’un mécanisme de réponse permettant d’atténuer rapidement ces risques.

Tests hors bac à sable réglementaire

Le règlement IA prévoit un régime spécifique permettant de tester des systèmes d’IA à haut risque en conditions réelles, sans nécessairement intégrer un bac à sable réglementaire, sous réserve de garanties robustes, incluant notamment le consentement éclairé des personnes physiques participant au test. Ce consentement s’ajoute à celui requis du point de vue du RGPD. Afin de permettre la supervision des autorités compétentes, certaines exigences spécifiques devront être respectées, notamment l’obligation d’élaborer un plan de test en conditions réelles, d’enregistrer le test dans une base de données européenne dédiée et de garantir la réversibilité effective des décisions prises par le système d’IA.

Prochaines étapes

La Commission européenne adoptera des actes d’exécution précisant les modalités détaillées d’établissement, de développement, de mise en œuvre, de fonctionnement et de supervision des bacs à sable réglementaires IA. Ces futurs textes viendront notamment clarifier les critères d’éligibilité, la procédure de candidature, de sélection, de participation et de sortie des bacs à sable, ainsi que les droits et obligations des participants devant figurer dans les conditions applicables.

[1] Commission européenne, « Analyse d’impact du règlement sur l’intelligence artificielle », SWD (2021) 94 final, p. 60