L'Intelligence Artificielle (IA) transforme les entreprises à un rythme sans précédent, mais elle entraîne aussi de nouvelles responsabilités. L'AI Act, la première législation mondiale dédiée à l'IA, adoptée par le Parlement européen le 12 juillet 2024, impose un cadre réglementaire garantissant que l’IA soit développée et utilisée de manière éthique et sécurisée. À l’instar du RGPD, qui a forcé les entreprises à repenser la gestion des données, l'AI Act impose des exigences strictes, notamment pour les systèmes d’IA à haut risque. Anticiper cette réglementation est essentiel non seulement pour éviter des sanctions, mais aussi pour bénéficier d’avantages compétitifs sur le marché européen.
L’un des défis majeurs de cette réglementation réside dans sa mise en œuvre progressive, avec des aspects encore en phase d’expérimentation. Comprendre en profondeur l’essence de l’AI Act est crucial pour l’appliquer de manière stratégique, sans freiner l’innovation, tout en assurant une conformité continue et une gestion optimale des risques.
Cet article propose une analyse complète de l’AI Act et des actions que les entreprises doivent entreprendre pour être conformes, tout en tirant parti des opportunités offertes par l’intelligence artificielle.
L'AI Act est une « réglementation produit », ce qui signifie qu’elle encadre les produits d'intelligence artificielle commercialisés sur le marché européen. Cette régulation suit une approche basée sur les risques, en classant les systèmes d'IA selon leur utilisation plutôt que la technologie sous-jacente. Autrement dit, ce n'est pas la technologie elle-même qui détermine l'autorisation ou l'interdiction d'une IA, mais son usage spécifique.
L’AI Act encadre l’utilisation des systèmes d'IA dans les produits et services proposés en Europe : il va de la simple information aux utilisateurs à l’interdiction totale de certains systèmes, en fonction des risques identifiés. Les activités de recherche non commerciales ne sont pas concernées, car l’AI Act se concentre sur les produits destinés à la commercialisation.
Comme le RGPD, l'AI Act a une portée extraterritoriale. Il s'applique à toutes les entreprises, qu'elles soient établies dans ou en dehors de l'UE, tant qu'elles commercialisent ou utilisent des systèmes d'IA au sein de l’UE. Par exemple, une entreprise américaine qui propose des modèles d'IA à des entreprises européennes devra se conformer à cette réglementation.
L'AI Act de l'UE et le Cloud Act américain entrent en conflit sur la protection des données, la souveraineté numérique et les obligations de conformité. Tandis que l'AI Act met l'accent sur la protection des droits fondamentaux et la transparence en imposant des exigences strictes de conformité aux entreprises opérant dans l'UE, le Cloud Act permet aux autorités américaines d'accéder aux données détenues par des entreprises américaines, quel que soit le lieu de stockage.
L'étendue extraterritoriale du Cloud Act peut être évitée en privilégiant des alternatives européennes aux solutions américaines. Les services cloud français, tels qu'OVHcloud, S3NS, Scaleway ou encore Clever Cloud, fournissent des solutions comparables en termes de coûts et de performances tout en étant alignés sur les exigences légales de l'Europe. Choisir ces hébergeurs aide à réduire les risques de conflits juridiques et à naviguer plus facilement entre les différentes obligations réglementaires, notamment pour les systèmes traitant des données privées, voire confidentielles.
Assurer la sécurité et le respect des droits fondamentaux : garantir que les systèmes d'IA commercialisés en Europe soient sûrs et alignés avec les droits fondamentaux et les valeurs de l'UE.
Offrir une sécurité juridique : créer un cadre juridique clair pour encourager les investissements et stimuler l'innovation dans le domaine de l'IA.
Renforcer la gouvernance et l'application des lois existantes : améliorer la mise en œuvre des législations sur les droits fondamentaux et les normes de sécurité pour les systèmes d'IA.
Développer un marché unique pour l'IA : favoriser la création d'un marché unique pour des applications d'IA fiables et conformes à la loi, tout en évitant la fragmentation du marché européen.
Ce niveau de risque concerne les systèmes d'IA impliquant la manipulation inconsciente des personnes, l'exploitation des vulnérabilités sociales, la notation sociale, l’inférence émotionnelle sur le lieu de travail ou à l'école, ainsi que la catégorisation biométrique fondée sur des caractéristiques sensibles comme l'origine ethnique ou la religion.
Exemple : imaginons qu'une ville mette en place un système de surveillance basé sur la reconnaissance faciale dans des lieux publics tels que les gares et les aéroports. Ce système utilise des caméras pour détecter des visages en temps réel. En cas de détection d'une personne recherchée par les forces de l'ordre, une alerte est envoyée aux agents de sécurité, leur permettant d'intervenir rapidement. Cela renforce la sécurité publique, mais soulève des préoccupations éthiques concernant la vie privée.
Les systèmes d'IA de cette catégorie incluent principalement ceux déjà encadrés par des régulations européennes existantes (réglementation sur les dispositifs médicaux, directive Machines..) Toutefois, de nouvelles applications de l'IA sont également incluses, notamment dans les secteurs de l'éducation, de la formation professionnelle, de l'accès aux services privés essentiels (comme le crédit bancaire ou l'assurance), ainsi qu'aux prestations publiques essentielles telles que la santé, les appels d'urgence et le système judiciaire.
Exemple : une compagnie d'assurance développe une IA pour évaluer le profil de risque de ses clients en utilisant des données sensibles. Cela détermine les conditions et les primes, mais peut entraîner des biais discriminatoires.
Ce type de risque s’applique aux systèmes d'IA qui interagissent directement avec des individus, génèrent du contenu ou détectent des émotions. Dans ces cas, il est impératif que l'utilisateur soit informé qu'il interagit avec une IA.
Exemple : un chatbot déployé par une banque pour répondre aux questions des clients sur leurs comptes, cartes bancaires et prêts. Ce système d'IA est capable de détecter les émotions dans les messages des clients, comme le stress ou l'irritation, afin d'adapter ses réponses de manière plus empathique et apaiser les tensions Pour des raisons de transparence, la banque doit informer les utilisateurs qu'ils interagissent avec une IA, et non un conseiller humain, afin d'éviter toute confusion et maintenir la confiance.
Les développeurs doivent fournir un résumé précis des jeux de données utilisés pour entraîner l'IA, en garantissant le respect des droits d'auteur, accompagné d'une documentation technique.
Exemple : une entreprise développe une IA pour la reconnaissance vocale et utilise des extraits audio pour l'entraîner. Elle doit prouver que les fichiers audio sont légalement acquis, décrire leur provenance, et expliquer comment l'IA est entraînée, tout en respectant les droits d'auteur sur les contenus utilisés.
Pour les systèmes d'IA d’usage général nécessitant une puissance de calcul supérieure à 10^25 FLOPS, des exigences supplémentaires de transparence s’appliquent, incluant :
Des évaluations et tests antagonistes,
Des stratégies d'atténuation des risques,
La déclaration des incidents graves,
Des mesures de cybersécurité,
Une analyse de la consommation énergétique.
À titre d’information, un système capable de 10^25 FLOPS impliquerait un investissement total potentiel de plusieurs dizaines de milliards d’euros pour sa construction et des dépenses annuelles substantielles pour son exploitation.
Exemple : un hôpital utilisant un modèle d'IA nécessitant plus de 10^25 FLOPS pour analyser les dossiers médicaux de millions de patients risque de générer des diagnostics incorrects en raison de biais ou d'erreurs dans les données d'entraînement. Cela pourrait affecter la santé publique et propager des erreurs dans d'autres établissements de santé en Europe. Les fournisseurs de ce modèle seraient alors tenus d'informer la Commission européenne des risques, de réaliser des tests pour détecter les biais et de mettre en place des stratégies pour en limiter la propagation, afin de protéger la sécurité et les droits des patients.
Avec l’essor des régulations sur l'intelligence artificielle, une gouvernance rigoureuse est essentielle. Utilisez le règlement de l’UE comme socle pour optimiser les pratiques de gouvernance en vigueur.
Établissez un inventaire complet des systèmes d’IA, qu’ils soient déployés ou en développement, en identifiant si votre organisation agit en tant que fournisseur ou utilisateur. Évaluez le risque associé à chaque système et déterminez les obligations spécifiques.
Lors de l’évaluation des solutions d’IA, interrogez les fournisseurs sur leurs démarches de conformité avec l’AI Act. Mettez à jour vos critères d’acquisition de solutions d’IA pour intégrer explicitement les exigences de conformité dans les appels d'offres.
Organiser des sessions de formation ciblées pour toutes les équipes (techniques et non techniques), incluant les départements juridiques, de gestion des risques, des ressources humaines et opérationnelles. Ces formations doivent traiter des obligations réglementaires à chaque étape du cycle de vie de l’IA, telles que la qualité et la provenance des données, la gestion des biais et la documentation.
À l’instar des audits financiers, établissez une fonction d’audit indépendante pour examiner la conformité des pratiques liées à l’IA tout au long de son cycle de vie. Cela garantira une supervision rigoureuse des contrôles et de la gestion des risques.
Révisez vos cadres de gestion des risques pour y intégrer des éléments spécifiques à l'IA. Un cadre ajusté facilitera la conformité aux régulations actuelles, mais aussi futures.
Implémentez des pratiques robustes de gouvernance des données pour les ensembles utilisés dans les modèles d’IA, en veillant à leur documentation et leur conformité avec les législations telles que le RGPD.
Améliorez la transparence des systèmes d’IA, notamment des modèles génératifs, en développant des compétences en techniques d’IA explicable. Cela répondra aux attentes des régulateurs en matière d’interprétabilité.
Exploitez des outils d’IA pour automatiser les tâches de conformité, telles que la surveillance des obligations réglementaires et la gestion des processus internes. L’IA peut également aider à maintenir un inventaire des systèmes et à générer des documents nécessaires.
Avec les modalités de mise en conformité encore en cours d'élaboration, il est crucial de se rapprocher du Bureau européen de l’IA pour clarifier les attentes et exigences en matière de régulation. Évitez les zones d'ombre pour anticiper les changements futurs.
Selon une étude de PwC, l'IA pourrait contribuer à une augmentation de 14 % du PIB mondial d'ici 2030, à condition que son développement soit rigoureusement encadré pour prévenir les dérives éthiques et sécuritaires. Dans ce contexte, l'AI Act joue un rôle clé en apportant un cadre de régulation solide. Un rapport de la Commission européenne estime que ce règlement pourrait permettre aux entreprises européennes d'économiser des milliards d’euros par an en évitant les coûts liés à la non-conformité.
En se conformant à ces régulations strictes, les entreprises ne se contentent pas de respecter les exigences légales ; elles transforment également ces obligations en avantage concurrentiel, dans un environnement où les enjeux éthiques et sécuritaires liés à l'IA prennent une importance croissante. Adopter une approche éthique de l'intelligence artificielle, axée sur la transparence, la sécurité et la protection des données, permet aux entreprises de renforcer leur réputation et leur fiabilité. L'AI Act invite les entreprises à aller au-delà des simples obligations techniques et juridiques, en réfléchissant à l'impact social de leurs technologies.
Le défi pour les entreprises est de concilier conformité réglementaire et innovation. L'AI Act, conçu pour encourager cette innovation, permet aux développeurs, notamment des PME et start-ups, de travailler en toute confiance. Comme l'affirme Guillaume Avrin, Coordonnateur national pour l'intelligence artificielle à la Direction Générale des Entreprises, "une réglementation bien conçue stimule l'innovation". En l'absence de cadre clair, les développeurs hésitent à utiliser l'IA par crainte de ne pas pouvoir prouver leur conformité en cas de problème.
Pour encourager l'innovation, l'AI Act met également en place des « bacs à sable réglementaires », des environnements de test supervisés où les entreprises peuvent développer et tester leurs modèles d'IA. Cette flexibilité, encadrée par les autorités compétentes, permet aux entreprises de mener des expérimentations sans être immédiatement soumises à toutes les exigences légales, offrant un espace d'innovation sécurisé.
Les sanctions prévues par l'AI Act peuvent atteindre entre 1 % et 7 % du chiffre d'affaires annuel mondial de l'entreprise, ou se situer dans une fourchette allant de 7,5 à 35 millions d'euros, en fonction de la gravité de la violation.
Le montant des amendes dépend de la nature de la non-conformité. Il peut s'agir du non-respect des interdictions sur certaines pratiques, de manquements aux exigences strictes applicables aux systèmes d'IA à haut risque, ou encore de l'absence de conformité aux obligations de transparence pour les systèmes à risques limités mais spécifiques. La catégorie de l'entreprise est également prise en compte dans la détermination des sanctions.
Pierre Jarrijon, responsable de l’accélération IA chez Bpifrance, résume bien l'impact de l'AI Act : « Ça va clarifier les choses, instaurer une règle du jeu. » Plus qu'un cadre, il envisage aussi une ouverture économique : « Chaque obligation de l’IA Act constituera un nouveau business. »
La France, forte de ses 600 start-ups IA, mise pleinement sur cette transformation avec des investissements conséquents. Le 21 mai dernier, jour de la validation de l’IA Act par le Conseil de l’Europe, le Président de la République a annoncé l’injection de 400 millions d’euros supplémentaires consacrés à la formation de spécialistes de l’IA, avec un objectif de 100 000 personnes par an formées dans le secteur, et la création d’un nouveau fonds d’investissement d’ici fin 2024. L’IA est une priorité stratégique du gouvernement, qui y consacre 2,5 milliards d’euros du programme France 2030.
Pour vous guider dans l'adaptation aux nouvelles exigences de l'AI Act, des agences spécialisées sont à votre disposition afin de vous aider à faire les choix les plus adaptés à votre stratégie d'entreprise. Elles peuvent également former rapidement vos équipes aux meilleures pratiques en matière d'intelligence artificielle. Les experts de BeTomorrow sont disponibles pour répondre à toutes vos questions et vous conseiller sur la stratégie à adopter afin d'optimiser l'intégration de l'IA dans votre organisation.
Site du Gouvernement : https://www.info.gouv.fr/actualite/quest-ce-que-lai-act#:~:text=L'AI
SIA Partners : https://www.sia-partners.com/fr/perspectives/artificial-intelligence-act-que-faut-il-savoir#que-comprend-le-artificial-intelligence-act
BPI France : https://bigmedia.bpifrance.fr/nos-actualites/ia-act-comment-se-conformer-a-la-nouvelle-loi-europeenne-sur-lia
Eu Artifical Intelligence Act : https://artificialintelligenceact.eu/high-level-summary/
LeMagIT : https://www.lemagit.fr/conseil/Comment-se-preparer-a-lEU-AI-Act
Merci d’avoir pris le temps de lire.