Le 1er août 2024, le règlement européen sur l'intelligence artificielle (AI Act) entrait en vigueur, imposant aux entreprises un cadre réglementaire strict sur l’usage de l’IA au sein de l’Union européenne. Sa première application est prévue le 2 février 2025. Cette nouvelle législation introduit notamment des règles sur la gestion des IA au sein des organisations, avec pour objectif de garantir une IA éthique et transparente.
D’ici le 2 août 2025, les organisations devront prouver leur conformité aux autorités et garantir une traçabilité rigoureuse de leurs systèmes d’IA. Pour de nombreuses grandes entreprises, ce délai est extrêmement court, et impose une question cruciale : comment concilier rapidement les exigences réglementaires sans ralentir sa stratégie de développement IA ?
Que dit le cadre légal ?
« Un robot ne peut porter atteinte à un être humain ni, en restant passif, permettre qu’un être humain soit exposé au danger. » Cette première des trois lois de la robotique, énoncée par Isaac Asimov dans Les Robots, résume l'un des principes fondateurs imaginés pour encadrer l'usage des IA. Bien que fictive, cette règle trouve un écho dans le cadre légal actuel, avec l’entrée en vigueur de l’AI Act.
Ce règlement vise à créer un environnement sûr et éthique pour le développement et l'utilisation de l'IA. Il propose une approche basée sur le risque, classifiant les systèmes d'IA en quatre niveaux et chacun soumis à des obligations spécifiques, avec des mesures adaptées à leur impact potentiel sur la société et les individus :
Les IA à risque inacceptable : Il s'agit des systèmes d'IA qui contreviennent aux valeurs fondamentales de l'Union européenne (UE). Parmi ces systèmes figurent ceux qui visent à manipuler les comportements humains ou à instaurer des systèmes de notation sociale, tels que le « crédit social ». Ces IA seront strictement interdites ;
Les IA à haut risque : Il s'agit des systèmes d'IA spécifiquement identifiés en annexes I et III de l’IA Act, car ils présentent un risque significatif pour la santé, la sécurité ou les droits fondamentaux des personnes. Ces systèmes seront soumis à des obligations strictes de conformité et d’encadrement légal. Les entreprises devront garantir que leurs systèmes d'IA à haut risque respectent des critères spécifiques de robustesse, d'exactitude et de sécurité. Ils devront être régulièrement audités pour assurer leur conformité continue, et des processus de gouvernance devront être établis pour gérer les risques associés à l'IA ;
Les IA générales à risque systémique : Il s'agit des systèmes d'IA présentant des risques susceptibles d'avoir des effets négatifs réels ou raisonnablement prévisibles sur la santé publique, la sûreté, la sécurité publique ou les droits fondamentaux. Ces systèmes sont soumis à des obligations spécifiques, notamment l’évaluation et l’atténuation des risques systémiques potentiels ;
Les autres IA générales : Il s'agit des systèmes d'IA qui peuvent être utilisés et adaptés à un large éventail d'applications pour lesquelles ils n'ont pas été conçus spécifiquement. Parmi ces applications, on trouve la détection de formes, la réponse à des questions, la traduction, etc. Ces systèmes sont soumis à des obligations générales de transparence.
Les autorités de surveillance auront le pouvoir d’auditer les systèmes d’IA et de sanctionner les entreprises non conformes, avec des amendes pouvant atteindre, selon le cas, jusqu’à 7 % du chiffre d’affaires mondial annuel (art.99 à 101 de l’AI Act). Dès lors, il est essentiel pour les entreprises de se saisir de la notion de risque dans le développement et le déploiement de leurs systèmes d’IA.
Comment se préparer à l'entrée en vigueur de ce texte ?
Les entreprises doivent rapidement cartographier leurs systèmes d’IA, instaurer une gouvernance efficace qui assure transparence et contrôle et ainsi se préparer à démontrer leur conformité d’ici août 2025.
"Beaucoup d’entreprises ne disposent pas encore de gouvernance centralisée capable d’avoir une vision exhaustive de l’ensemble des systèmes d’IA déployés, qu’ils soient développés en interne, achetés ou embarqués. Le temps est compté pour se préparer à cette échéance", explique Frédéric Brajon, Associé cofondateur de Saegus. "Mais c’est aussi une chance unique de structurer et sécuriser l’usage de l’IA de manière durable et responsable."
Plusieurs choses paraissent essentielles :
Sensibiliser les parties prenantes aux grands principes de cette règlementation. Direction des risques, DSI, Direction Métier lançant des initiatives d’IA… ;
Identifier les rôles clés dans l’entreprise qui auront la responsabilité de mettre en place et opérationnaliser la gouvernance de l’IA en conformité avec l’AI Act ;
Réaliser un audit permettant d’évaluer le niveau de risques des initiatives existantes et d’identifier les principales zones à risques de l’entreprise. Les domaines ou le lancement d’initiatives d’IA devra faire l’objet d’un processus de décision particulier.
Après avoir défini la gouvernance à mettre en place, 2025 sera l’année de l’opérationnalisation de cette gouvernance qui devra être 100% effective au premier trimestre 2026.
"Avec l’entrée en vigueur de l’AI Act, l’UE ambitionne de devenir un leader mondial dans le domaine de l’IA sûre et éthique. Cette réglementation, bien que contraignante, offre aux entreprises une opportunité unique de renforcer leur leadership en matière d’IA responsable et de gagner la confiance de leurs parties prenantes", ajoute Frédéric Brajon.
Vous souhaitez en savoir plus ?
Retrouvez-nous lors de notre conférence « Se préparer à l'AI Act : unir vos experts pour une gouvernance IA responsable et conforme aux exigences réglementaires », en collaboration avec le cabinet d’avocats Fidal, lors de l'événement Everyday AI, organisé par Dataiku, le 25 septembre prochain.
Article écrit en collaboration par Saegus et Fidal Avocats.