IA Act et tourisme : tout ce que vous devez savoir

L’Intelligence artificielle, on en parle beaucoup, on découvre, on pratique. Du recul, on en prend un peu moins pour une technologie qui existe pourtant depuis les années 60. L’Intelligence artificielle, on en parle beaucoup, on découvre, on pratique. Du recul, on en prend un peu moins pour une technologie qui existe pourtant depuis les années 60. Comment l’appréhender ? Qu’est-ce qui se passe dans votre univers personnel et professionnel ? Quels sont nos droits et nos obligations ? A qui et à quoi profite-t-elle ? Cela passe notamment par comprendre le règlement européen de l’IA ACT.

On vous propose un décryptage avec Chloé Rezlan, avocate en droit du tourisme, droit des plateformes et des assurances, pour faire le point sur les systèmes et modèles d’intelligence artificielle, le degré de risque de ces systèmes, le rôle de déployeur et de fournisseur, les obligations et responsabilités de tous les acteurs de la chaîne. Merci à elle pour son intervention et ses ressources ;-). 

 

Quels sont les sujets encadrés par l’IA ACT ?

Il faut noter que les règlements sur les usages numériques sont assez récent et que l’IA Act est le premier règlement en la matière initié par l’UE (à noter que initié ne veut pas dire réservé car il s’applique à toute société qui dirige ces activités vers le consommateur européen, comme c’est le cas pour le RGPD).

Il a été pensé pour a un avoir un champ d’application relativement large et pour être en capacité d’évoluer dans le temps car ce sujet est exponentiel. A noter que cet IA Act, représente pas moins de 144 pages, 200 considérations, 113 articles, 5 annexes et pas plus de 68 définitions. Concernant les définitions, trois d’entre elles vont être essentielles pour bien comprendre de quoi traite ce règlement, à savoir :

Modèle d’IA à usage général :

« un modèle d’IA, y compris lorsque ce modèle d’IA est entraîné à l’aide d’un grand nombre de données utilisant l’auto-supervision à grande échelle, qui présente une généralité significative et est capable d’exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d’applications en aval, à l’exception des modèles d’IA utilisés pour des activités de recherche, de développement ou de prototypage avant leur mise sur le marché » (article 3.63)

-> ce sont donc les techniques qui permettent à des machines d’accomplir des tâches et de résoudre des problèmes et qui sont intégrés dans des SIA

Système d’intelligence artificielle (SIA) :

« système automatisé qui est conçu pour fonctionner à différents niveaux d’autonomie et peut faire preuve d’une capacité d’adaptation après son déploiement, et qui, pour des objectifs explicites ou implicites, déduit, à partir des entrées qu’il reçoit, la manière de générer des sorties telles que des prédictions, du contenu, des recommandations ou des décisions qui peuvent influencer les environnements physiques ou virtuels » (article 3.1).

-> ce sont donc des systèmes plus précis qui vont souvent intégrer des modèles pour exécuter des tâches spécifiques ou complexes. On y trouve le modèle, l’interface, l’infrastructure…

Système d’intelligence artificielle à usage général :

« système d’IA, fondé sur un modèle d’IA à usage général et qui a la capacité de répondre à diverses finalités, tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA » (article 3.68).

-> ce sont donc des systèmes encore plus larges permettant ainsi d’anticiper les réglementations précédentes. 

 

La mise en application de l’IA ACT passe par une classification des risques des SIA

Les mises en application du règlement passent par une catégorisation des risques des systèmes d’intelligence artificielle. Cette approche par le risque est assez nouvelle et implique qu’à chaque typologies de risque on va mettre des droits ou des obligations pour réguler tout en permettant l’innovation pour rester compétitif.

Ces 4 niveaux de risques concernent les systèmes d’intelligence artificielle et sont :

• Pratiques interdites : IA portant atteinte aux droits fondamentaux (ex : notation sociale des individus),
• SIA à haut risque : le système d’IA est destiné à être utilisé comme composant de sécurité d’un produit couvert par la législation d’harmonisation de l’Union, lorsqu’il constitue lui-même un tel produit ou lorsqu’il est soumis à une évaluation de conformité par un tiers en vue de la mise sur le marché ou de la mise en service ou encore lorsqu’il touche des domaines dits critiques comme la biométrie ou encore l’éducation (ex : les jouets sont réglementés depuis des années et si l’IA rentre dans un jouet, cela devient un produit à haut risque),
• SIA à risque limité : systèmes avec obligation de transparence (ex : chatbot interactif),
• SIA à risque minimal : usages courants ne nécessitant pas de mesures spécifiques.

Le secteur du tourisme figure plutôt dans les deux derniers. Mais certaines applications, comme la reconnaissance biométrique dans les hôtels ou les assistants virtuels, peuvent être encadrées.

Il y a aussi une classification pour les modèles d’IA à usage général, qui ont explosé ces derniers mois, et qui sont classés en 2 catégories :

• “Aucun risque”,
• “Risque systémique” (c’est-à-dire qu’il s’appuie sur une donnée colossale de données traitées).

 

Qui est concerné par l’IA ACT et quels sont les obligations ?

Dès qu’une organisation déploie ou utilise une intelligence artificielle en Europe, elle entre potentiellement dans le champ du règlement IA ACT. Comme c’est le cas pour le RGPD, d’ailleurs. Les principaux acteurs impactés sont ainsi :

• Fournisseur : « une personne physique ou morale, une autorité publique, une agence ou tout autre organisme qui développe ou fait développer un système d’IA ou un modèle d’IA à usage général et le met sur le marché ou met le système d’IA en service sous son propre nom ou sa propre marque, à titre onéreux ou gratuit »
• Fournisseur en aval : « un fournisseur d’un système d’IA, y compris d’un système d’IA à usage général, qui intègre un modèle d’IA, que le modèle d’IA soit fourni par lui-même ou non, et verticalement intégré ou fourni par une autre entité sur la base de relations contractuelles »
• Importateur : « une personne physique ou morale située ou établie dans l’Union qui met sur le marché un système d’IA qui porte le nom ou la marque d’une personne physique ou morale établie dans un pays tiers »
• Distributeur : « une personne physique ou morale faisant partie de la chaîne d’approvisionnement, autre que le fournisseur ou l’importateur, qui met un système d’IA à disposition sur le marché de l’Union »
• Déployeur : « une personne physique ou morale, une autorité publique, une agence ou un autre organisme utilisant sous sa propre autorité un système d’IA sauf lorsque ce système est utilisé dans le cadre d’une activité personnelle à caractère non professionnel »

A noter que, les offices de tourisme et organismes touristiques sont principalement des déployeurs et parfois fournisseurs mais à la marge car demande d’énormes moyens. Ils doivent donc s’assurer du rôle qu’ils jouent et que les outils IA utilisés respectent la réglementation.

Aujourd’hui on est encore sur des balbutiements et le calendrier de mise en application du règlement est progressif. Si le règlement a été adopté en 2024, en 2025 on va voir une entrée en vigueur progressive des obligations et en 2026 on va avoir un application complète et des contrôles renforcés. Ainsi, cela nous permet dès maintenant d’anticiper cette mise en conformité.

Les question que doivent se poser ces acteurs pour connaître les obligations :

• Est-ce qu’on parle bien d’intelligence artificielle ?
• A quoi j’ai à faire entre modèle ia ou système ia ?
• 1i-je développé ou fait développer le modèle ou système d’intelligence artificielle ? suis-je fournisseur ou déployeur ?
• Quel est le degré de risque ?

Voici les obligations du fournisseur de modèle d’IA à usage général :

• que le fournisseur dispose d’une documentation technique,
• montrer la mise en place d’une politique sur les droits d’auteur/droits voisins,
• pouvoir fournir un résumé détailler du contenu utilisé.

Voici les obligations du fournisseur de modèle d’IA à usage général avec risques systémiques :

• les obligations du niveau précédent avec en plus :
• disposer d’une procédure d’évaluation du modèle,
• travailler sur l’atténuation des risques,
• disposer d’une procédure de signalement des incidents graves,
• niveau approprié de protection cybersécurité à mettre en place.

 

Cas d’usages quand les organismes de tourisme utilisent l’intelligence artificielle

L’agent conversationnel

Cela devient de plus en plus commun dans le secteur du tourisme. On est sur l’intégration d’un modèle d’IA à usage dans une interface propre à l’opérateur qui est souvent développé par des sociétés spécialisées. Ici, le mot d’ordre va être d’être transparent et d’informer qu’il s’agit d’une IA puis pour connaître la suite de ces obligations il va falloir raisonner de la manière suivante :

• Savoir si on on parle bien d’intelligence artificielle au sens du règlement européen IA Act ? quel système d’IA j’utilise ?
• Savoir si j’ai développé ou fait développer le système d’intelligence artificielle ? Ce qui va me donner mon rôle
• Savoir si il s’agit d’une IA à haut risque.

La génération de contenus

Un second usage, de plus en plus répandu même si en réalité, souvent, ces campagnes marketing sont un mélange entre usage avec l’IA et idées créatives et artistiques. Donc cela mêle aussi propriété intellectuelle et droits d’auteurs qu’il va falloir respecter mais aussi respecter cette logique de transparence qui doit s’adapter à la façon de faire.  Attention, sur ce point, l’IA ACT ne remplace pas les autres réglementations et s’ajoutent les cadres existants comme celui de la RGPD avec la protection des données des utilisateurs, le consentement, la minimisation des données, la durée de traitement…

 

A retenir :

• L’IA ACT est la première réglementation européenne encadrant l’intelligence artificielle et s’applique à toutes les entreprises ciblant des consommateurs européens, même hors UE (comme le RGPD)
• L’IA ACT dispose d’un champ d’application large et évolutif, il distingue les modèles et des systèmes d’usages et en classifie les risques en différentes catégories
• Les organismes de tourisme sont concernés par ces risques et obligations, souvent en posture de déployeurs, comme pour des agents conversationnels ou de la génération de contenu.
• L’IA ACT vient en complètement d’autres réglementations existantes (RGPD, droits d’auteur, données…)

 

Aller plus loin

Vous souhaitez approfondir l’IA, sa réglementation et son application ?

👉 Wébinaire complémentaires :

• Episode 2 IA et données : le 18 février 2025 à 12H00
• Episode 3 IA et droits d’auteur : le 11 mars 2025 à 12H00 
• Episode 4 IA et droit du travail : le 25 mars 2025 à 12H00 

👉 Formations :

• Sensibilisation à l’IA
• Intégrer l’IA dans sa structure
• Créer du contenu IA responsable
• Optimiser son SEO avec l’IA

👉 Ressources complémentaires :

• • Article – Comprendre les enjeux et limites de l’IA dans le secteur touristique
  • Article – L’IA quoi de neuf 1 an plus tard – Etourisme.info
  • Article – IA et base de données – Etourisme.info
  • Guide – Eclairage sur les IA et leurs usages utiles et responsables – Antic Pays Basque
  • Replay du webinaire sur l’IA Act
  • Newsletter IA Tech Travel & Café