Accueil > Avis d'Expert > Le monde face à l'Intelligence Artificielle...

Crédit Photo Pexels - EKATERINA BOLOVTSOVA

Quelles sont les mesures à prendre pour anticiper l'entrée en vigueur de l'AI Act d'ici 2026 au sein de votre entreprise ? L'AI Act s'adresse à toutes les organisations, qu'il s'agisse d'entreprises, d'organisations gouvernementales ou d'associations, qui utilisent des systèmes d'intelligence artificielle (IA).

Ce règlement se concentre sur deux catégories d'organisations : les fournisseurs et les utilisateurs finaux (déployeurs). Les fournisseurs sont ceux qui développent ou font développer des systèmes d'IA, tandis que les utilisateurs finaux (déployeurs) sont ceux qui utilisent ces systèmes d'IA. Il est important de noter que le règlement ne couvre pas les utilisations à des fins personnelles et non professionnelles. En résumé, dès lors qu'une IA a un impact sur une personne se trouvant dans l'Union européenne, l'AI Act s'applique, ce qui implique une portée extraterritoriale de la réglementation.

Quelles démarches les entreprises peuvent-elles entreprendre dès aujourd'hui pour se préparer à l'application de l'AI Act lorsque celle-ci entrera en vigueur ?

Le premier enjeu concerne la cartographie des systèmes d'intelligence artificielle (IA). Il est essentiel de commencer dès à présent à identifier les systèmes d'IA utilisés au sein de l'entreprise, en cours de développement ou prévus pour l'avenir. Le règlement définit clairement ce qu'est une IA, mettant l'accent sur les notions d'automatisation et d'autonomie plutôt que sur l'apprentissage. Une première étape complexe consistera donc à déterminer dans l'éventail des applications de l'entreprise ce qui relève d'une IA selon les critères de l'AI Act. Bien que le règlement n'impose pas explicitement la création d'un registre similaire à celui du RGPD pour les données personnelles, il est recommandé de commencer à dresser cette cartographie des systèmes d'IA dès maintenant afin de garantir la conformité.

Le deuxième aspect crucial est la mise en place d'une gouvernance appropriée. Qui sera chargé, au sein de l'entreprise, de gérer la conformité à l'AI Act et de veiller à son maintien ? En comparaison avec le RGPD, qui faisait suite à la Loi informatique et libertés en vigueur depuis près de 40 ans et disposait déjà de rôles définis, l'AI Act ne bénéficie pas d'un tel historique. La question se pose alors de savoir s'il faut étendre les rôles existants, comme le DPO (Délégué à la Protection des Données) ou le Directeur des Risques, ou s'il convient de créer de nouvelles fonctions, telles que celle d'un "Responsable de l'Éthique de l'IA," par exemple. Il est primordial de commencer à réfléchir dès à présent à cette question de gouvernance, en envisageant la manière de structurer les rôles et les responsabilités, afin de simplifier la phase de conformité face à un ensemble considérable d'exigences. L'optimisation sera essentielle compte tenu de la complexité de la tâche à accomplir.

Quelles obligations s'imposent aux systèmes d'intelligence artificielle considérés comme présentant un haut niveau de risque selon l'AI Act ?

Un ensemble complet d'exigences doit être respecté, notamment :

Mise en place d'un système de gestion des risques : Il est nécessaire d'établir un système de gestion des risques pour évaluer et gérer les risques associés à l'IA.
Qualité des données : Les données utilisées par l'IA doivent être de haute qualité et fiables pour garantir des résultats précis et éviter les biais.
Gouvernance des données : Une gouvernance efficace des données est essentielle pour gérer la collecte, le stockage, et l'utilisation des données de manière responsable.
Documentation technique détaillée : Une documentation technique complète et précise sur le fonctionnement de l'IA doit être fournie.
Fonctionnalités de journalisation (log) : Les systèmes d'IA doivent avoir des fonctionnalités de journalisation pour enregistrer les activités et les décisions prises par l'IA.
Interprétabilité de l'IA : L'IA doit être conçue de manière à être interprétable, c'est-à-dire que ses décisions et son fonctionnement doivent être compréhensibles.
Fourniture d'informations aux parties prenantes : Les déployeurs, les utilisateurs et les personnes concernées doivent recevoir des informations adéquates sur le fonctionnement et les limitations de l'IA.
Contrôle humain : Il doit être possible d'intervenir manuellement en cas de problème ou si l'IA produit des résultats inappropriés.
Exactitude et robustesse de l'IA : Les systèmes d'IA doivent être précis et résistants aux attaques pour garantir leur fiabilité.
Réduction des biais de l'IA : Des mesures doivent être prises pour analyser et réduire les biais potentiels de l'IA.

L'AI Act impose une série d'obligations pour assurer la fiabilité, la transparence et la responsabilité des systèmes d'IA, y compris la possibilité d'intervention humaine en cas de besoin.

Avant de mettre un système d'intelligence artificielle à haut risque sur le marché, quelles étapes doivent être suivies ?

Avant de mettre un système d'intelligence artificielle à haut risque sur le marché, les fournisseurs doivent suivre plusieurs étapes. Tout d'abord, ils doivent certifier la conformité de leur système au règlement, soit en interne, soit en passant par un organisme certificateur externe. Ensuite, il est nécessaire de rédiger une déclaration de conformité et de déclarer le système d'IA dans une base de données gérée par la Commission européenne. De plus, les fournisseurs doivent mettre en place un suivi "post-marché" pour surveiller le fonctionnement de l'IA en exploitation, de manière similaire à la surveillance des médicaments. En cas d'incidents ou de problèmes, ils doivent les signaler aux autorités compétentes.

De leur côté, les fournisseurs doivent entreprendre plusieurs démarches avant de déployer une IA à haut risque. Ils doivent réaliser une analyse d'impact sur les droits fondamentaux avant de mettre en œuvre l'IA et, le cas échéant, consulter les Instances Représentatives du Personnel (IRP) avant son déploiement sur un lieu de travail. De plus, ils doivent veiller à ce que l'IA soit utilisée conformément aux instructions fournies, en ayant recours à du personnel compétent et formé. Ils doivent également surveiller le bon fonctionnement de l'IA, et en cas d'incident, informer les autorités compétentes ainsi que le fournisseur.

Il est intéressant de noter que l'AI Act prend déjà en compte le concept de "mauvaise utilisation raisonnablement prévisible", ce qui signifie qu'il anticipe que les fournisseurs peuvent concevoir une IA pour une tâche spécifique, mais que les déployeurs peuvent l'utiliser à d'autres fins qui ne sont pas adaptées. Cette approche se veut pragmatique.

Dans le secteur privé, la consultation des Instances Représentatives du Personnel (IRP) est requise pour le déploiement d'une IA à haut risque. Enfin, une analyse d'impact sur les droits fondamentaux doit être réalisée.

Il est important de souligner que l'AI Act impose un ensemble d'exigences bien plus complexes que le RGPD. Le défi réside dans le fait que certaines de ces exigences sont techniquement très complexes et que nous ne disposons pas encore des solutions nécessaires. Certains domaines relèvent davantage de la recherche que de méthodologies ou d'outils établis. De plus, le projet de règlement fait référence à des normes qui sont actuellement en cours de développement.

Quelles sont les obligations imposées aux systèmes d'intelligence artificielle à risque moindre en vertu de l'AI Act ?

Pour ces catégories de systèmes d'intelligence artificielle à risque moindre, l'objectif du législateur est la transparence. Par exemple, l'article 52 traite des IA destinées à interagir avec des personnes physiques. Le principe fondamental est que toute personne interagissant avec une IA doit être informée de manière claire qu'il s'agit d'une IA et non d'un être humain. Il est donc nécessaire de fournir des informations explicites à l'utilisateur ou à la personne concernée, notamment dans le cas des IA de type "deepfake" ou des systèmes d'IA chargés de l'analyse des émotions.