La loi européenne sur l’IA a été approuvée à l’unanimité par les États membres et sera pleinement applicable dans deux ans. Cette législation révolutionnaire est la première au monde à établir des règles pour l’intelligence artificielle et son utilisation, tout comme le GDPR a mis la barre pour la réglementation sur la confidentialité des données.
Toute entreprise utilisant l’IA au sein de l’Union européenne sera concernée par la loi européenne sur l’IA. Et comme pour le GDPR, les sanctions en cas de non-conformité sont sévères. Les plus mauvais élèves s’exposent à des amendes pouvant aller jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial. L’objectif global de la loi européenne sur l’IA est d’imposer des normes éthiques et un contrôle humain sur l’utilisation de l’IA afin de protéger les citoyens des dangers potentiels. Certes, l’IA peut résoudre de nombreux problèmes avec peu de risques. Toutefois, certaines applications de l’IA sont susceptibles de porter gravement atteinte aux droits de l’homme et à la société dans son ensemble, et c’est sur ce point que se concentrent les nouvelles règles.
De nombreuses organisations ont déjà pris des mesures pour garantir une utilisation responsable et peuvent n’avoir besoin que de changements relativement mineurs pour se mettre en conformité. Toutefois, si vous n’avez pas pris en compte les risques liés à l’IA ou si vous n’avez pas élaboré de plan concernant l’utilisation de l’IA, vous devrez évaluer votre position et déterminer ce qui est nécessaire pour vous mettre en conformité. AI
Le risque et sa signification
La loi européenne sur l’IA interdit purement et simplement certaines utilisations de l’IA. Et lorsqu’elle est autorisée, l’utilisation doit être responsable, ouverte et transparente. Les règles classent les risques liés à l’IA en fonction de leur potentiel de nuisance. Il existe quatre catégories principales :
Risques interdits. Il s’agit de la catégorie la plus sévère. Les systèmes d’IA qui représentent une menace évidente pour la sécurité, les droits de l’homme fondamentaux ou les moyens de subsistance d’une personne sont inacceptables. Vous ne pouvez pas utiliser les données biométriques, par exemple, pour connaître la race, l’orientation sexuelle, les croyances ou l’appartenance syndicale d’une personne. Il n’est pas possible de créer une base de données en récupérant des images faciales sur l’internet ou sur les systèmes de vidéosurveillance. La notation sociale est également interdite.
- Que faire ? Déterminez si vous utilisez l’IA de manière interdite.
- Délai : Vous disposez d’un délai de six mois à compter de l’entrée en vigueur de la loi pour vous mettre en conformité.
Risque élevé. Cette catégorie est très réglementée et comprend les systèmes d’IA utilisés dans les infrastructures critiques qui pourraient mettre en danger la santé des citoyens (comme les transports publics), les composants de sécurité des produits (comme la chirurgie assistée par l’IA), la formation éducative qui pourrait déterminer le cours de la vie d’une personne (comme la notation des tests), l’emploi (comme la sélection des CV) et les services essentiels (comme la notation des prêts).
- Que faire ? Ces systèmes doivent répondre à des exigences strictes avant de pouvoir être commercialisés. Ils doivent disposer de processus définis pour évaluer et atténuer les risques, pour la gouvernance des données et la formation, et pour documenter la conformité. Les systèmes doivent également faire l’objet d’une surveillance humaine appropriée et d’une cybersécurité solide.
- Délai : Vous disposez d’un délai de 24 mois après l’entrée en vigueur de la loi pour vous mettre en conformité.
Un regard pratique sur les systèmes d’IA à haut risque
Si vous développez ce que le règlement considère comme un système d’IA à haut risque, vous devez suivre des étapes spécifiques pour obtenir l’approbation avant de pouvoir mettre la technologie sur le marché.
- Évaluer le système pour s’assurer qu’il est conforme aux exigences de l’IA et en informer l’organe directeur approprié.
- Enregistrez le système d’IA dans une base de données de l’UE.
- Signer une déclaration de conformité et identifier le système comme étant approuvé.
Une fois le système mis sur le marché, vous devez signaler les incidents graves et les dysfonctionnements éventuels et assurer une surveillance humaine. Les autorités maintiendront la surveillance du marché.
Risque limité. Cette catégorie est peu réglementée et se réfère principalement aux risques associés à un manque de transparence dans l’utilisation de l’IA. Les personnes doivent être informées, par exemple, lorsque l’IA est utilisée pour alimenter les chatbots, afin qu’elles puissent décider de poursuivre ou d’interrompre l’interaction. Les organisations doivent également identifier le contenu généré par l’IA comme tel. Cet étiquetage s’applique au texte, ainsi qu’au contenu audio et vidéo.
- Que faire ? Déterminez comment vous utilisez l’IA et quels contenus/interactions doivent être étiquetés.
- Quand : Vous disposez d’un délai de 36 mois après l’entrée en vigueur de la loi pour vous mettre en conformité.
Risque minime ou nul. Cette catégorie comprend l’utilisation générale de l’IA qui n’a pas de but prédéterminé. La majorité des systèmes d’IA actuels entrent dans cette catégorie.
- Que faire ? Bien que l’utilisation ne soit pas restreinte, la loi européenne sur l’IA exige l’auto-évaluation et l’atténuation des risques systémiques, la documentation technique, les instructions d’utilisation, le respect des droits d’auteur et la surveillance humaine des systèmes tels que les chatbots. Tous les fournisseurs de ces modèles doivent effectuer des tests contradictoires, signaler les incidents graves et veiller à ce que des mesures de cybersécurité adéquates soient mises en place. Les systèmes à risque minimal tels que les jeux et les filtres anti-spam peuvent être utilisés librement.
- Délai : Vous disposez d’un délai de 12 mois à compter de l’entrée en vigueur de la loi pour vous mettre en conformité.
Comment démarrer
À l’approche des échéances, prenez le temps de comprendre vos obligations légales et votre ligne de conduite.
1. Effectuez une analyse des lacunes pour déterminer les changements à apporter à vos structures de gouvernance des données, à vos politiques, à vos processus d’évaluation des risques, etc. afin de vous mettre en conformité et de fournir la documentation appropriée aux autorités de réglementation.
2. Opérationnaliser vos processus afin de mettre en place les étapes nécessaires et d’assurer l’alignement dans l’ensemble de l’organisation. Les exigences doivent être intégrées dans les flux de travail existants de l’entreprise en matière de conformité. Des contrôles périodiques doivent être effectués pour réévaluer les risques en cas de changement de catégorie.
3. Attribuez les responsabilités en matière d’évaluation des risques, de suivi, de mesures, de contrôle et de conformité au conseil d’administration, à la direction générale, aux cadres, etc. en fonction de votre culture et des pratiques existantes. Réfléchissez à la personne qui sera avertie en cas de problème.
4. Investissez dans la formation à l’IA en formant les employés à l’éthique de l’IA et aux spécificités de la loi européenne sur l’IA. Les scientifiques et les ingénieurs spécialisés dans les données auront probablement besoin d’une formation et d’un développement spécifiques pour leurs fonctions.
Le chemin à parcourir
L’intelligence artificielle – et l’IA générative en particulier – évolue à une vitesse fulgurante, et la loi européenne sur l’IA est conçue pour s’adapter aux changements technologiques à venir. Une constante cependant : les applications d’IA doivent rester dignes de confiance et les fournisseurs doivent continuer à évaluer et à atténuer les risques tout au long du cycle de vie de l’application.
Les conseils d’administration et la direction sont responsables en dernier ressort de la protection de l’organisation contre les risques, y compris les risques liés à la réglementation et à la réputation. Dans un monde parfait, ils considéreraient la loi européenne sur l’IA comme un point de départ pour renforcer la crédibilité de la marque. Dans la pratique, cependant, il peut être difficile d’atteindre cet idéal. Des priorités concurrentes et des ressources limitées peuvent limiter les actions à simplement faire ce qui est nécessaire pour cocher la case “conformité”.
Quelle que soit la voie choisie, les dirigeants doivent être impliqués dans l’évaluation des risques et la détermination de la marche à suivre, compte tenu de la sévérité des amendes en cas de non-conformité. Les outils technologiques peuvent vous aider en fournissant un moyen cohérent d’évaluer les risques, de contrôler les actions, de suivre les mesures et de collaborer entre les différentes fonctions. Mais cette loi n’est pas un règlement “prêt à l’emploi”. Le simple fait de fournir des informations incomplètes ou trompeuses peut entraîner une amende de 7 millions d’euros ou de 1 % du chiffre d’affaires annuel mondial.
L’IA offre des possibilités passionnantes, et les entreprises peuvent et doivent continuer à innover. La loi européenne sur l’IA garantit que les membres de la société – individuellement et collectivement – peuvent profiter des avantages des capacités actuelles et futures de l’IA sans craindre le côté obscur.
Pour en savoir plus sur l’efficacité de la conformité des entreprises, téléchargez notre ebook, Transforming Compliance from Check-the-Box to Champion, et découvrez la solution logicielle Compliance de Riskonnect.