L’AI Act européen est-il prêt pour les agents IA ?

The EU AI Act vs Agentic AI Risks

12 février 2025 · 6 min de lecture

L’AI Act européen, présenté comme le premier cadre réglementaire complet au monde pour l’IA, vise à traiter les risques liés aux systèmes d’IA, y compris les agents IA. Cependant, plusieurs écarts apparaissent face aux risques émergents des systèmes agentiques :

  1. Prise de décision autonome : l’AI Act ne couvre pas pleinement les risques liés au caractère autonome des agents IA. Il se concentre sur les systèmes à haut risque, sans traiter spécifiquement la complexité décisionnelle des agents autonomes [1][6].

  2. Exposition et exfiltration de données : les agents IA peuvent accéder à de grands volumes de données, augmentant le risque de fuite. L’AI Act n’aborde pas suffisamment ces risques spécifiques [2].

  3. Consommation de ressources : les agents IA peuvent consommer fortement les ressources système et provoquer des effets de type déni de service. Ce risque n’est pas explicitement couvert [2].

  4. Détournement d’agents : la prise de contrôle d’agents IA par des acteurs non autorisés constitue un risque significatif insuffisamment adressé [2].

  5. Risques supply chain : l’usage de bibliothèques tierces ou de code externe dans les agents IA introduit des risques de chaîne d’approvisionnement insuffisamment couverts [2].

  6. Divergence secteur public / privé : l’AI Act applique parfois des règles différentes selon le type d’acteur, alors que l’asymétrie de pouvoir créée par l’IA peut être comparable [4].

  7. Exigence d’intentionnalité : certaines interdictions exigent l’intention, ce qui peut laisser des angles morts face aux effets nocifs non intentionnels [4].

  8. Portée limitée de la vulnérabilité : le focus sur l’âge et les handicaps physiques/mentaux peut insuffisamment couvrir d’autres facteurs protégés par le droit européen de l’égalité [4].

  9. Classification des risques incohérente : l’approche par niveaux de risque place parfois des systèmes similaires dans des catégories différentes sans justification claire [4].

  10. Manque de cohérence avec le droit européen existant : des incohérences avec le RGPD et ePrivacy peuvent créer de la confusion réglementaire [4][5].

  11. Régulation limitée des agents pleinement autonomes : il manque une régulation spécifique pour les agents totalement autonomes dotés d’une personnalité juridique [8].

  12. Décision éthique : l’AI Act n’apporte pas de lignes directrices complètes pour garantir des décisions alignées sur les valeurs humaines et sociétales [6].

Pour combler ces lacunes, les décideurs pourraient faire évoluer l’AI Act pour mieux couvrir les défis propres aux agents IA : autonomie, potentiel d’abus et impacts sociétaux plus larges [6].

Sources :
[1] https://www.ibm.com/think/topics/eu-ai-act
[2] https://www.computerweekly.com/opinion/Gartner-Mitigating-security-threats-in-AI-agents
[3] https://www.ceps.eu/ceps-publications/the-ai-act-and-emerging-eu-digital-acquis/
[4] https://www.europarl.europa.eu/RegData/etudes/STUD/2022/729507/EPRS_STU(2022)729507_EN.pdf
[5] https://digital-strategy.ec.europa.eu/en/policies/regulatory-framework-ai
[6] https://www.weforum.org/stories/2024/12/ai-agents-risks-artificial-intelligence/
[7] https://www.edf-feph.org/publications/eus-ai-act-fails-to-set-gold-standard-for-human-rights/
[8] https://www.linkedin.com/pulse/regulatory-gap-materializes-eus-proposed-ai-act-fully-igor-barshteyn
[9] https://artificialintelligenceact.eu/high-level-summary/
[10] https://www.lumenova.ai/blog/ai-agents-potential-risks/