Proposée en avril 2021, la réglementation européenne sur l’Intelligence Artificielle (AI Act) devrait être adoptée d’ici la fin de l’année 2023 pour une entrée en vigueur dès 2026. L’examen du texte en trilogue entre la Commission Européenne, le Parlement Européen et le Conseil de l’Union Européenne a débuté le 14 juin 2023. L’engagement de l’Europe à promouvoir l’IA tout en traitant les risques associés à certaines de ses utilisations figurait déjà au livre blanc sur l’Intelligence Artificielle publié en 2020 par la Commission, laquelle a défini juridiquement le système d'IA comme « un logiciel qui est développé au moyen d’une ou plusieurs des techniques et approches énumérées à l’annexe I et qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que des contenus, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels il interagit ».
Le texte propose 4 niveaux de risques : inacceptable, élevé, faible et minimal. En premier lieu, le risque inacceptable détaille des pratiques interdites, considérées comme une menace évidente : il s'agit par exemple de techniques subliminales manipulatrices et nuisibles, de notation sociale par ou pour des autorités publiques ou encore d'utilisation de systèmes d’identification biométrique à distance en temps réel, tels que des caméras à reconnaissance faciale directement connectées à des bases de données (sauf exceptions exhaustives pour cette dernière catégorie). En second lieu, le risque élevé concerne les systèmes d’IA réglementés à haut risque et impose des règles de transparence, de traçabilité et de robustesse lorsqu’un préjudice pour la sécurité ou pour les droits des personnes est possible. Il s'agit cette fois de systèmes en lien avec la gestion des ressources humaines, l'accès aux services essentiels (crédits bancaires, services publics, prestations sociales, justice…) ou encore la gestion des migrations et contrôles aux frontières. En troisième lieu, le système d'IA risque faible induit l’obligation de transparence de la part du fournisseur, par exemple en cas d’utilisation d’un Chatbot, d’un système de reconnaissance des émotions, de catégorisation biométrique, ou de systèmes qui génèrent et manipulent des images, des contenus audios ou vidéos. Enfin, le système d'IA a risque minimal quant à lui, ne fait pas l’objet d’encadrement spécifique et concerne toutes les utilisations qui ne présentent pas de risque pour les citoyens comme les filtres anti-spam.
La proposition exige que les États membres désignent une ou plusieurs autorités compétentes, y compris une autorité de surveillance nationale, chargées de superviser l'application et la mise en œuvre du règlement. Elle établit un Comité européen de l'intelligence artificielle (composé de représentants des États membres et de la Commission) au niveau de l'UE. En France, l’auto-saisine de la Commission Nationale de l’Informatique et des Libertés (CNIL) en la matière a été officialisée le 24 janvier 2023 avec la création d’un service de l’intelligence artificielle (SIA). Côté sanctions : en cas de manquement, le texte prévoit des amendes administratives allant jusqu’à 30 millions d’euros ou 6% du chiffre d’affaires annuel mondial, qui rappellent celles instaurées par le Règlement Général sur la Protection des Données (RGPD)