Français English

<br /> <b>Warning</b>: Undefined variable $sitetitle in <b>/home/xb675064/monolith.law/public_html/wp-content/themes/monolith_fr/header.php</b> on line <b>103</b><br />

MONOLITH LAW OFFICE+81-3-6262-3248Jours ouvrables 10:00-18:00 JST[English Only]

MONOLITH LAW MAGAZINE

IT

HOME > LAW MAGAZINE > IT > La réglementation de l'IA dans l'UE et les mesures nécessaires pour les entreprises japonaises

La réglementation de l'IA dans l'UE et les mesures nécessaires pour les entreprises japonaises

IT

La réglementation de l'IA dans l'UE et les mesures nécessaires pour les entreprises japonaises

Le 12 juillet 2024 (Reiwa 6), le “Règlement sur l’IA (EU AI Act)” a été promulgué dans l’UE et est entré en vigueur le 1er août de la même année.
Cette loi régule l’utilisation et la fourniture de systèmes d’IA au sein de l’UE et, à partir de 2025, exigera également des entreprises japonaises qu’elles prennent certaines mesures.

Plus précisément, tout comme les opérateurs de sites de commerce électronique au Japon doivent se conformer au “Règlement général sur la protection des données (GDPR)” de l’UE, les entreprises japonaises fournissant des produits ou services liés à l’IA à des clients au sein de l’UE pourraient être soumises à l’application du Règlement sur l’IA de l’UE.

Ici, nous expliquerons les réponses réglementaires requises par les entreprises concernées, telles que la classification des risques des systèmes d’IA et l’évaluation de la conformité, suite à l’entrée en vigueur de cette loi.

Préambule : Différence entre “Règlement” et “Directive” dans le droit de l’UE

Avant d’expliquer la loi sur la régulation de l’IA elle-même, il est nécessaire de comprendre la différence entre “règlement” et “directive” dans le droit de l’UE.

Tout d’abord, un “règlement” est un acte législatif qui s’applique directement aux États membres, aux entreprises, etc., au sein de l’UE. Cela signifie qu’il a la priorité sur les lois nationales des États membres et qu’il est appliqué de manière uniforme dans toute l’UE. Ainsi, lorsque le règlement entre en vigueur, le même contenu réglementaire est appliqué dans tous les États membres.

En revanche, une “directive” est un acte législatif visant à harmoniser ou à coordonner le contenu réglementaire entre les États membres de l’UE. Cependant, une directive n’est pas directement applicable aux États membres ; chaque pays doit transposer le contenu de la directive dans sa propre législation nationale. En général, les États membres doivent adopter ou modifier leur législation nationale dans les trois ans suivant la publication de la directive dans le Journal officiel de l’UE.

Une caractéristique des “directives” est que lors de la transposition en droit national, une certaine marge de manœuvre est accordée à chaque État membre, ce qui peut entraîner des différences dans le contenu des lois nationales. En d’autres termes, il est nécessaire de noter que les lois basées sur les “directives” ne sont pas complètement unifiées au sein de l’UE et qu’il peut y avoir de légères différences entre les pays.

Sur la base de cette distinction, la loi sur la régulation de l’IA est établie en tant que “règlement”. Cela signifie que la loi sur la régulation de l’IA s’applique directement aux opérateurs économiques situés dans l’UE.

Article connexe : Incontournable pour les entreprises qui se développent en Europe : Explication des points clés du droit et du système juridique de l’UE[ja]

La régulation de l’IA et l’application extraterritoriale sous le droit japonais

Qu’est-ce que l’application extraterritoriale ?

L’application extraterritoriale désigne le fait qu’une loi établie dans un pays s’applique également aux actes réalisés en dehors de la juridiction souveraine de ce pays. L’admission de l’application extraterritoriale s’inscrit dans le contexte de la mondialisation économique et de l’internationalisation des activités d’entreprise, visant à réguler les activités économiques mondiales de manière équitable et appropriée.

Le Règlement Général sur la Protection des Données (RGPD) de l’Union européenne est un exemple qui a largement contribué à la reconnaissance de ce concept. Selon le RGPD, même les entreprises qui n’ont pas de base dans l’UE peuvent être soumises à cette réglementation (application extraterritoriale) si elles répondent aux critères suivants :

  • Fournir des services ou des produits aux personnes se trouvant dans l’UE
  • Traiter des données personnelles dans le but de surveiller le comportement des personnes se trouvant dans l’UE

Par exemple, un cas où une entreprise située hors de l’UE envoie des employés en déplacement dans l’UE et traite des informations personnelles liées à cette période a été explicitement exclu de l’application dans les lignes directrices de 2020, bien que l’application extraterritoriale ait été initialement débattue.

L’application extraterritoriale de la loi sur la régulation de l’IA

La loi sur la régulation de l’IA de l’UE admet également l’application extraterritoriale aux entreprises situées en dehors de l’UE. Les entreprises et activités suivantes sont concernées :

  • Fournisseurs (Providers) : ceux qui développent des systèmes d’IA ou des modèles GPAI, qui font développer et introduisent sur le marché des systèmes d’IA ou des modèles GPAI, ou qui mettent en service des systèmes d’IA sous leur propre nom ou marque
  • Utilisateurs (Users) : ceux qui utilisent des systèmes d’IA sous leur propre autorité (à l’exception de l’utilisation de systèmes d’IA à des fins personnelles et non professionnelles)
  • Importateurs (Importers) : les importateurs situés ou établis dans l’UE qui introduisent sur le marché de l’UE des systèmes d’IA portant le nom ou la marque de personnes physiques ou morales établies hors de l’UE
  • Distributeurs (Distributers) : les personnes physiques ou morales qui, autres que les fournisseurs ou les importateurs, font partie de la chaîne d’approvisionnement qui fournit des systèmes d’IA sur le marché de l’UE

Ainsi, même les entreprises situées en dehors de l’UE sont directement soumises à la loi sur la régulation de l’IA de l’UE lorsqu’elles fournissent, exploitent, importent ou utilisent des systèmes d’IA ou des modèles GPAI au sein de l’UE.

Caractéristiques de la réglementation de l’IA de l’UE : Approche basée sur le risque

Caractéristiques de la réglementation de l'IA de l'UE : Approche basée sur le risque

Qu’est-ce que l’approche basée sur le risque ?

La caractéristique principale de la loi européenne sur la régulation de l’IA est la “régulation adaptée au contenu et au degré de risque” (approche basée sur le risque).

L’approche basée sur le risque désigne une méthode qui ajuste l’intensité de la régulation en fonction du contenu et du degré des risques. Avec cette approche, la sévérité de la régulation appliquée à un système d’IA est déterminée en fonction de la gravité des risques potentiels que le système peut engendrer.

Plus concrètement, des régulations plus strictes sont appliquées aux systèmes d’IA présentant un risque élevé, tandis que des régulations relativement souples sont mises en place pour les systèmes à faible risque. Cela permet d’éviter une régulation excessive pour les systèmes à faible risque et, à l’inverse, d’assurer une surveillance et une gestion appropriées pour les systèmes à haut risque.

Systèmes d’IA présentant des risques inacceptables

Tout d’abord, les systèmes d’IA considérés comme présentant des risques inacceptables sont perçus comme une menace pour les personnes et sont, en principe, interdits.

Par exemple, les systèmes d’IA qui manipulent la cognition ou le comportement d’utilisateurs appartenant à des groupes vulnérables, tels que des jouets activés par la voix qui encouragent des comportements dangereux chez les enfants, entrent dans cette catégorie. De même, le social scoring, qui classe les individus en fonction de leur comportement, de leur statut socio-économique ou de leurs caractéristiques personnelles, est également interdit. En outre, les systèmes de reconnaissance biométrique en temps réel et à distance, qui identifient les individus à distance en comparant les données biométriques humaines à une base de données de référence, sont également principalement interdits.

Cependant, des exceptions permettant l’utilisation de ces systèmes sont prévues. Plus précisément, l’utilisation de systèmes de reconnaissance biométrique à distance en temps réel est autorisée uniquement dans le cas de certains événements graves limités. D’autre part, les systèmes de reconnaissance biométrique à distance postérieurs sont autorisés uniquement avec l’approbation d’un tribunal et dans le but de poursuivre des crimes graves.

En outre, parmi les cas exceptionnels où leur mise en œuvre est possible, on peut citer la recherche de personnes susceptibles d’être victimes de crimes, telles que des enfants disparus, la prévention de menaces concrètes et imminentes pour la vie ou la sécurité physique des humains, ou des attaques terroristes, ainsi que la détection et la localisation de criminels ou de suspects de crimes graves. Ces exceptions sont soumises à des restrictions strictes, notamment l’obligation d’obtenir une autorisation préalable du tribunal, exigeant une gestion prudente de l’utilisation des systèmes d’IA.

Les systèmes d’IA à haut risque sous le droit japonais

Les systèmes d’intelligence artificielle (IA) classés comme à haut risque sont ceux susceptibles d’avoir un impact négatif sur la sécurité ou les droits fondamentaux des personnes. Au Japon, leur utilisation est autorisée à condition de répondre à certaines exigences et obligations (évaluation de conformité).

Les systèmes d’IA à haut risque se répartissent en deux grandes catégories. La première concerne les systèmes d’IA utilisés dans des produits relevant de la législation européenne sur la sécurité des produits, incluant, par exemple, les jouets, l’aviation, l’automobile, les dispositifs médicaux et les ascenseurs. La seconde catégorie comprend les systèmes d’IA qui doivent être enregistrés dans les bases de données de l’UE et qui sont spécifiques à certains domaines. Ces domaines incluent la gestion et l’exploitation d’infrastructures critiques, l’éducation et la formation professionnelle, l’emploi et la gestion des travailleurs, l’accès aux services publics essentiels et aux avantages, l’application de la loi, l’immigration et l’asile, la gestion des frontières, ainsi que l’assistance à l’interprétation et à l’application de la loi.

Au Japon, les systèmes d’IA à haut risque doivent être évalués avant leur mise sur le marché et tout au long de leur cycle de vie. De plus, le droit de déposer des plaintes concernant les systèmes d’IA auprès des autorités nationales désignées est reconnu.

En résumé, on peut dire que les machines et les véhicules qui sont essentiels à la sécurité de la vie et de la santé humaines sont des cibles potentielles pour l’IA à haut risque. Par exemple, l’IA pour la conduite autonome pourrait être concernée, ce qui signifie que les entreprises japonaises développant de l’IA pour la conduite autonome et cherchant à se déployer à l’international doivent examiner avec soin si elles répondent aux exigences des systèmes d’IA à haut risque et y répondre de manière appropriée.

Systèmes d’IA à risque limité sous le droit japonais

Concernant les systèmes d’IA à risque limité, des risques tels que la transparence, l’usurpation d’identité, la manipulation et la fraude sont envisagés. Plus précisément, cela inclut les chatbots, les deepfakes et l’IA générative, qui, selon le Parlement européen, représentent la majorité des systèmes d’IA actuellement utilisés. Par exemple, les systèmes de traduction automatique, les consoles de jeux, les robots exécutant des processus de fabrication répétitifs, et même des systèmes d’IA tels que la “machine d’Eurêka” sont inclus dans cette catégorie.

En ce qui concerne l’IA générative, bien qu’elle ne soit pas classée comme à haut risque, elle doit répondre à des exigences de transparence et se conformer à la législation européenne sur le droit d’auteur. Plus spécifiquement, les mesures suivantes sont nécessaires :

  • Déclarer clairement que le contenu a été généré par l’IA
  • Concevoir des modèles pour éviter la création de contenu illégal
  • Publier un résumé des données protégées par le droit d’auteur utilisées pour l’entraînement de l’IA

De plus, des modèles d’IA générale avancés et influents, tels que “GPT-4”, qui peuvent présenter des risques systémiques, doivent subir une évaluation approfondie. En cas d’incident grave, une obligation de rapport à la Commission européenne est imposée. En outre, pour le contenu généré ou modifié par l’IA (images, sons, vidéos, deepfakes, etc.), il doit être clairement indiqué qu’il a été produit par l’IA, afin que les utilisateurs puissent reconnaître ce contenu.

Systèmes d’IA à risque minimal sous le droit japonais

Enfin, concernant les systèmes d’intelligence artificielle à risque minimal, aucune réglementation spécifique n’est établie au Japon. Des exemples concrets incluent les filtres anti-spam ou les systèmes de recommandation. Dans cette catégorie, plutôt que des réglementations, c’est l’élaboration et le respect de codes de conduite qui sont encouragés.

Exigences et obligations relatives aux systèmes d’IA à haut risque sous le droit japonais

Exigences et obligations relatives aux systèmes d'IA à haut risque

Obligations des fournisseurs, utilisateurs, importateurs et distributeurs

Comme mentionné précédemment, les systèmes d’IA à haut risque sont soumis à une réglementation particulièrement stricte en raison de la gravité de leurs risques, et des obligations spécifiques sont imposées aux fournisseurs et utilisateurs.

Pour commencer, les fournisseurs, utilisateurs, importateurs et distributeurs doivent mettre en place un système de gestion des risques (Article 9). Cela implique la création et l’implémentation d’un système pour identifier et gérer adéquatement les risques inhérents aux systèmes d’IA à haut risque, ainsi que sa documentation et son maintien. En ce qui concerne la gouvernance des données (Article 10), l’utilisation de jeux de données d’apprentissage, de validation et de test qui répondent aux normes de qualité est requise. Cela est nécessaire car la qualité et la fiabilité des données doivent être rigoureusement gérées dès la phase de développement des systèmes d’IA.

De plus, la création de documentation technique est obligatoire (Article 11). Cette documentation technique doit contenir les informations nécessaires pour prouver que les systèmes d’IA à haut risque sont conformes aux exigences réglementaires et doit être préparée de manière à pouvoir être fournie aux autorités compétentes des États membres ou aux organismes de certification tiers. Il est également nécessaire de concevoir et de développer une fonction de journalisation qui enregistre automatiquement les événements pendant le fonctionnement des systèmes d’IA (Article 12). En outre, les systèmes d’IA à haut risque doivent être enregistrés dans une base de données sous le contrôle de l’UE avant leur mise sur le marché, et les fournisseurs sont responsables de l’établissement, de la documentation et du maintien d’un système de gestion de la qualité.

Obligations des fournisseurs

Les fournisseurs ont l’obligation de conserver pendant 10 ans après la mise sur le marché ou le début de l’exploitation, la documentation technique, les documents relatifs au système de gestion de la qualité, les approbations ou décisions des organismes de certification tiers, ainsi que d’autres documents pertinents, et de les soumettre à la demande des autorités nationales compétentes. Ainsi, les fournisseurs ont la responsabilité de maintenir la qualité et la sécurité des systèmes d’IA sur le long terme et d’assurer la transparence.

Obligations des utilisateurs

D’autre part, des obligations spécifiques sont également imposées aux utilisateurs des systèmes d’IA à haut risque. Les utilisateurs doivent conserver les journaux générés automatiquement par les systèmes d’IA à haut risque pendant une période appropriée à l’objectif prévu de ces systèmes, sauf disposition spéciale du droit de l’UE ou du droit national des États membres. Plus précisément, une conservation d’au moins six mois est obligatoire.

En outre, lors de la mise en service ou de l’utilisation de systèmes d’IA à haut risque sur le lieu de travail, l’employeur, en tant qu’utilisateur, a l’obligation d’informer au préalable les représentants des employés et les employés affectés de l’utilisation de ces systèmes. Cette obligation est établie dans le but de protéger les droits des travailleurs et d’assurer la transparence.

Ainsi, des exigences et obligations strictes sont établies pour les fournisseurs et les utilisateurs de systèmes d’IA à haut risque. En particulier, lorsqu’il s’agit de technologies d’IA avancées telles que les dispositifs médicaux ou les systèmes de conduite autonome, il peut être nécessaire de réaliser des évaluations de conformité et des examens par des organismes de certification tiers, tout en tenant compte de la cohérence avec les cadres réglementaires existants. Par conséquent, les entreprises doivent agir avec prudence et planification.

Calendrier de mise en œuvre progressive de la loi sur la régulation de l’IA au Japon

Calendrier de mise en œuvre progressive de la loi sur la régulation de l'IA

La loi européenne sur la régulation de l’IA prévoit un calendrier de mise en œuvre progressive, de la promulgation à l’application. Cela exige des entreprises qu’elles se préparent et répondent à chaque étape.

Le 12 juillet 2024, la loi sur la régulation de l’IA a été publiée dans le journal officiel et est entrée en vigueur le 1er août de la même année. À ce stade, les entreprises doivent se contenter de vérifier et d’examiner le contenu de la régulation.

Le 2 février 2025, les dispositions relatives aux “dispositions générales” et aux “systèmes d’IA présentant des risques inacceptables” seront appliquées. Si une entreprise gère un système d’IA présentant des risques inacceptables, elle doit immédiatement cesser de le faire.

Ensuite, le 2 mai 2025, les normes de pratique (Codes of Practice) pour les fournisseurs de modèles d’IA générale (GPAI) seront publiées. Les entreprises devront agir conformément à ces normes de pratique.

Plus tard, le 2 août 2025, les dispositions relatives aux “modèles GPAI” et aux “sanctions” seront appliquées, et chaque État membre nommera ses autorités compétentes. À ce stade, les fournisseurs de modèles GPAI devront se conformer aux réglementations pertinentes.

Le 2 février 2026, des lignes directrices sur les méthodes de mise en œuvre des systèmes d’IA basées sur la loi sur la régulation de l’IA seront publiées. En même temps, une surveillance post-commercialisation des systèmes d’IA à haut risque sera obligatoire, et une structure de conformité correspondante sera requise.

De plus, le 2 août 2026, les dispositions relatives aux “systèmes d’IA à haut risque” énumérés dans l’annexe III seront appliquées. À ce moment-là, les États membres devront mettre en place des bac à sable réglementaires pour l’IA et la conformité aux réglementations des systèmes d’IA à haut risque concernés deviendra obligatoire.

Enfin, le 2 août 2027, les dispositions relatives aux “systèmes d’IA à haut risque” énumérés dans l’annexe I seront appliquées. Cela rendra obligatoire la conformité aux réglementations pour les systèmes d’IA concernés énumérés dans l’annexe I.

Ainsi, la loi sur la régulation de l’IA sera mise en œuvre progressivement sur plusieurs années, avec des régulations appliquées séquentiellement en fonction de la gravité des risques. Les entreprises doivent comprendre précisément chaque période d’application et avancer dans la mise en conformité des systèmes d’IA concernés.

Article connexe : Quelle est la situation actuelle et les perspectives de la loi sur la régulation de l’IA dans l’UE ? Explications des impacts sur les entreprises japonaises[ja]

Présentation des mesures proposées par notre cabinet

Le cabinet d’avocats Monolith est un cabinet juridique doté d’une riche expérience dans les domaines de l’IT, et plus particulièrement d’Internet et du droit.

Le business de l’IA comporte de nombreux risques juridiques, et le soutien d’avocats compétents en matière d’IA est essentiel. Notre cabinet propose un support juridique avancé pour les affaires d’IA, y compris ChatGPT, grâce à une équipe composée d’avocats spécialisés en IA et d’ingénieurs. Nous offrons des services tels que la rédaction de contrats, l’examen de la légalité des modèles d’affaires, la protection des droits de propriété intellectuelle et la gestion de la confidentialité. Vous trouverez plus de détails dans l’article ci-dessous.

Domaines d’expertise du cabinet Monolith : Droit de l’IA (ChatGPT, etc.)[ja]

Managing Attorney: Toki Kawase

The Editor in Chief: Managing Attorney: Toki Kawase

An expert in IT-related legal affairs in Japan who established MONOLITH LAW OFFICE and serves as its managing attorney. Formerly an IT engineer, he has been involved in the management of IT companies. Served as legal counsel to more than 100 companies, ranging from top-tier organizations to seed-stage Startups.

Category: IT

Tag:

Related Articles

Qu'est-ce que les opérations de garde ? Explication de la réglementation à l'égard des fournisseurs d'échange de crypto-actifs

Qu'est-ce que les opérations de garde ? Explication de la réglementation à l'égard des fournisse.

IT

Qu'est-ce que la régulation de la loi japonaise de prévention du transfert des profits criminels dans les transactions non face à face, comme la réception de courrier ?

Qu'est-ce que la régulation de la loi japonaise de prévention du transfert des profits criminels.

IT

Les responsabilités légales des opérateurs de plateforme: Quels sont les cinq devoirs indiqués par la jurisprudence ?

Les responsabilités légales des opérateurs de plateforme: Quels sont les cinq devoirs indiqués p.

IT

Quelles sont les méthodes pour résilier un contrat dans le développement de systèmes ?

Quelles sont les méthodes pour résilier un contrat dans le développement de systèmes ?

IT

Un jugement d'indemnisation de 500 millions de yens... Quelle est la responsabilité légale des films rapides ? Un avocat explique la responsabilité pénale et civile

Un jugement d'indemnisation de 500 millions de yens... Quelle est la responsabilité légale des f.

IT

Comment un avocat explique la création des conditions d'utilisation des services Web et autres (Deuxième partie)

Comment un avocat explique la création des conditions d'utilisation des services Web et autres (.

IT

Qu'est-ce que la responsabilité de non-conformité dans les contrats de développement de systèmes et de logiciels ? Explication des points de révision

Qu'est-ce que la responsabilité de non-conformité dans les contrats de développement de systèmes.

IT

La génération de « voix » par IA constitue-t-elle une violation du droit d'auteur ? (#1 Édition développement et apprentissage)

La génération de « voix » par IA constitue-t-elle une violation du droit d'auteur ? (#1 Édition .

IT

Apprendre de la sanction administrative à FTX Japon: L'importance de la 'protection des utilisateurs' chez les opérateurs d'échange de crypto-actifs

Apprendre de la sanction administrative à FTX Japon: L'importance de la 'protection des utilisat.

IT


tag

Advertisement Review AI (ChatGPT and others) Contract Drafting and Review Cross-border Crypto Assets and Blockchains Cybercrime General Corporate ID of the Defamatory Statement Incorporation Internet IPO IPO in Japan IT Legal Support for VTuber Legal Support for YouTuber M&A M&A of SNS Accounts Mitigating Reputational Damage Personal Information Protection System Development Terms of Use

Weekly Popular Articles

Retourner En Haut