L’essor de l’intelligence artificielle ouvre de nouvelles perspectives mais soulève également des préoccupations quant aux risques potentiels associés à son utilisation. Le cadre juridique sur l’IA, une première mondiale, vise à répondre à ces défis en fournissant des directives claires aux développeurs et aux utilisateurs tout en favorisant l’innovation et en réduisant les charges administratives pour les entreprises, en particulier les PME.
L’objectif fondamental de cette législation est de promouvoir une IA digne de confiance qui respecte les droits fondamentaux, la sécurité et les principes éthiques, tout en atténuant les risques associés aux modèles d’IA puissants. Cette réglementation s’inscrit dans un ensemble de mesures plus large visant à soutenir le développement responsable de l’IA en Europe et à stimuler l’adoption, l’investissement et l’innovation dans ce domaine à travers l’UE.
Toutefois, alors que de nombreux systèmes d’IA offrent des avantages considérables, certains présentent des risques potentiels, notamment en termes de transparence et de responsabilité des décisions prises par ces systèmes.
Cette législation vise à combler ces lacunes en abordant spécifiquement les risques associés aux applications d’IA et en établissant des règles claires pour les applications à haut risque.
Les règles proposées par la Commission européenne s’attaquent aux risques spécifiques posés par les applications d’IA en interdisant les pratiques présentant des risques inacceptables et en fixant des exigences claires pour les systèmes d’IA destinés aux applications à haut risque.
Elles imposent également des obligations spécifiques aux déployeurs et aux fournisseurs d’applications d’IA à haut risque, tout en exigeant une évaluation de la conformité avant la mise en service ou la mise sur le marché de ces systèmes.
Enfin, la mise en place d’une structure de gouvernance aux niveaux européen et national garantira une application cohérente et efficace de ces règles dans toute l’UE, renforçant ainsi la confiance dans l’IA et assurant sa contribution positive à la société.
Si les paramètres de la mise en œuvre de ce texte demeurent toujours flous, il ressort d’ores et déjà un certain nombre de point cruciaux auxquels les opérateurs privés et publiques devront se conformer.
1. La détermination des produits ou services concernés.
La Commission européenne a défini le terme de "système d’intelligence artificielle" comme un logiciel développé à partir de techniques spécifiques pouvant générer des résultats influençant les environnements avec lesquels il interagit. Cette définition englobe un large éventail de technologies, notamment les systèmes auto-apprenants ou "machine learning", les systèmes logiques préétablis et les systèmes statistiques.
Il est essentiel pour les entreprises de dresser une liste exhaustive des produits ou services basés sur des systèmes d’IA, qu’ils soient destinés à un usage interne ou externe, et ce dès le stade de la mise sur le marché ou de la mise en service. Cette liste doit inclure tous les produits et services qui utilisent des fonctionnalités d’IA pour générer du contenu, des prédictions, des recommandations ou des décisions.
Pour déterminer quels produits ou services sont concernés par le règlement sur l’IA, les entreprises doivent adopter une approche proactive et exhaustive.
Voici quelques conseils pratiques pour les aider dans cette démarche :
a. Effectuer un inventaire : Les organismes devront commencer par recenser tous les produits et services proposés par au sein de leur structure qui impliquent l’utilisation de l’IA, qu’il s’agisse de logiciels, d’applications, de plateformes en ligne ou de dispositifs connectés.
b. Analyser les fonctionnalités d’IA : Les entreprises devront également identifier les fonctionnalités spécifiques des produits ou services qui relèvent de l’IA, telles que la génération de recommandations personnalisées, la prédiction de tendances ou la prise de décisions automatisée.
c. Consulter les experts : Si nécessaire, il s’agira pour les entreprises de faire appel à des experts en IA ou à des consultants juridiques spécialisés dans ce domaine pour vous aider à évaluer la conformité de vos produits ou services avec le règlement sur l’IA.
d. Mettre à jour régulièrement : Les entreprises devront enfin s’assurer de maintenir leur liste de produits et services à jour à mesure que l’entreprise développe de nouveaux produits ou services basés sur l’IA ou que le paysage réglementaire évolue.
En adoptant une approche proactive et en prenant les mesures nécessaires pour déterminer quels produits ou services sont concernés par le règlement sur l’IA, les entreprises peuvent se positionner pour une mise en conformité réussie et éviter les risques de non-respect des réglementations en vigueur.
La détermination des produits ou services concernés par le règlement sur l’IA est la première étape cruciale dans le processus de mise en conformité. En comprenant pleinement les exigences du règlement et en prenant les mesures appropriées pour identifier et évaluer les produits ou services concernés, les entreprises peuvent se conformer efficacement à la législation et contribuer à garantir une utilisation éthique et responsable de l’intelligence artificielle dans l’Union européenne.
2. La détermination du rôle des différents acteurs de l’IA.
Le règlement sur l’IA définit différents acteurs, également appelés "opérateurs", qui jouent des rôles spécifiques dans la mise sur le marché et l’utilisation des systèmes d’IA. Ces acteurs comprennent le fournisseur, l’importateur, le distributeur et l’utilisateur.
Le fournisseur d’intelligence artificielle est au cœur de la réglementation. Il s’agit de toute personne physique ou morale, agence ou autre organisme qui développe ou possède un système d’IA en vue de sa mise sur le marché ou de sa mise en service, que ce soit sous son propre nom ou sa propre marque, à titre onéreux ou gratuit. La responsabilité du fournisseur s’étend également à toute modification substantielle apportée au système d’IA, même si elle est effectuée par un tiers.
L’importateur est désigné comme toute personne établie dans l’UE qui met sur le marché un système d’IA portant le nom ou la marque d’une personne établie en dehors de l’UE. Le distributeur, quant à lui, est une personne physique ou morale qui met à disposition un système d’IA dans la chaîne d’approvisionnement, sans en modifier les propriétés.
Enfin, l’utilisateur est la personne physique ou morale, autorité publique, agence ou autre organisme qui utilise un système d’IA, à l’exclusion de toute utilisation à des fins personnelles.
Il est crucial pour les entreprises de déterminer le rôle joué par chaque acteur dans la chaîne d’approvisionnement des systèmes d’IA. Cette étape permet d’initier une réflexion sur les mécanismes de responsabilité et de garantie entre les différents acteurs impliqués. Par exemple, un fournisseur d’IA ayant apposé sa marque sur des systèmes importés peut négocier des mécanismes de recours et de garantie avec les fabricants, afin de prévoir des mesures en cas de dommages causés par les systèmes d’IA à leurs utilisateurs.
Pour déterminer le rôle endossé par chaque acteur dans la chaîne d’approvisionnement des systèmes d’IA, les entreprises peuvent suivre ces conseils pratiques :
a. Effectuer une analyse approfondie de chaque système d’IA identifié lors de l’étape précédente, en identifiant le rôle spécifique de chaque acteur impliqué.
b. Initier une réflexion sur les mécanismes de responsabilité et de garantie entre les différents acteurs, en tenant compte des obligations et des responsabilités définies par le règlement sur l’IA.
c. Engager des discussions et des négociations avec les fournisseurs, importateurs et distributeurs afin de mettre en place des mesures appropriées pour garantir la conformité et la sécurité des systèmes d’IA.
3. Classification des produits et des services en fonction du niveau de risques qu’ils représentent.
La Commission européenne distingue trois catégories d’intelligence artificielle en fonction des risques associés à leur utilisation : les IA à risques inacceptables, les IA à haut risque et les IA à risques acceptables. Une dernière catégorie concerne les systèmes d’IA faisant l’objet d’une réglementation spécifique.
a. Les IA à risques inacceptables : Les IA à risques inacceptables sont celles dont l’utilisation est considérée contraire aux valeurs de l’Union européenne et qui présentent des risques graves pour les droits fondamentaux des individus.
Par exemple, les pratiques interdites incluent l’utilisation de techniques subliminales pour altérer le comportement des individus de manière préjudiciable, l’exploitation de la vulnérabilité due à l’âge ou au handicap, la mise en œuvre d’une logique de notation sociale, ou encore l’identification biométrique à distance en temps réel à des fins répressives.
La mise sur le marché de ces IA peut entraîner des amendes administratives importantes, pouvant atteindre 30 millions d’euros ou 6 % du chiffre d’affaires annuel mondial total d’une entreprise.
Il est donc essentiel de réaliser une analyse d’impact en amont pour évaluer les risques associés à un projet d’IA à risques inacceptables. Les entreprises doivent envisager des solutions alternatives pour rendre leurs projets plus éthiques et conformes aux exigences réglementaires.
b. Les IA à "haut risque" : Les IA à haut risque nécessitent une évaluation préalable de la conformité et le respect de certaines obligations avant d’être autorisées sur le marché européen. Elles sont principalement utilisées dans des secteurs tels que la médecine, la justice, le recrutement ou le crédit, et soulèvent des questions importantes quant au respect des droits fondamentaux.
Il est dès lors d’ores et déjà recommandé de réaliser une analyse approfondie de chaque système d’IA pour déterminer s’il appartient à la catégorie des IA à haut risque. Cette classification permettra d’anticiper les exigences en matière de mise en conformité.
c. Les IA à "risques acceptables" : Les IA à risques acceptables ne sont pas définies de manière spécifique dans le projet de règlement. Cependant, étant donné la large portée des IA à haut risque, il est conseillé de considérer par défaut tout système d’IA comme étant à haut risque, à moins qu’il ne soit prouvé qu’il représente un risque acceptable.
Les entreprises doivent donc anticiper l’évolution des fonctionnalités de leurs systèmes d’IA et envisager de les classer comme des IA à haut risque pour garantir leur conformité à long terme.
d. Les autres Systèmes d’IA réglementés : Certains systèmes d’IA font l’objet d’une réglementation spécifique en raison de leurs caractéristiques particulières, telles que l’interaction avec des personnes physiques ou la reconnaissance des émotions. Les entreprises doivent fournir aux utilisateurs une information claire sur ces systèmes, notamment sur leur fonctionnement et les risques potentiels associés.
Il est donc essentiel de fournir une information claire et compréhensible aux utilisateurs de ces IA pour garantir leur transparence et leur conformité réglementaire.
4. Une nécessaire mise en conformité préalable.
Le projet de règlement exige une mise en conformité des systèmes d’IA à haut risque avant leur mise sur le marché. Ces systèmes doivent répondre à un ensemble d’exigences visant à garantir une IA digne de confiance, notamment en ce qui concerne la gestion des données, la transparence, le contrôle humain, la robustesse et la sécurité.
En particulier, le titre IV du projet de règlement impose des obligations spécifiques aux systèmes d’IA présentant des risques de manipulation. Des obligations de transparence seront applicables aux systèmes qui interagissent avec les humains, détectent des émotions ou génèrent des contenus manipulés.
Pour les systèmes d’IA à haut risque, le fournisseur devra :
a. Évaluer la conformité : Le fournisseur doit démontrer que les systèmes d’IA à haut risque respectent les normes harmonisées ou les spécifications communes définies dans le règlement. Cela peut être réalisé par le biais d’une procédure d’évaluation interne ou en faisant appel à un organisme notifié.
b. Gérer les risques : Le fournisseur doit mettre en place des mesures de gestion des risques, y compris un système de surveillance post-commercialisation pour évaluer la performance continue du système d’IA et identifier tout risque potentiel.
c. Lutter contre les biais : Une politique de gouvernance des données doit être établie pour surveiller, détecter et corriger les biais dans les systèmes d’IA. Cela implique de sélectionner des jeux de données pertinents et représentatifs et d’adopter des mesures appropriées pour atténuer les risques de biais.
d. Rédiger une documentation technique : Le fournisseur doit conserver une documentation technique conforme aux exigences réglementaires, y compris des informations sur le fonctionnement du système d’IA et les mesures de sécurité mises en place.
e. Autres obligations : Le fournisseur doit assurer une journalisation des événements, informer les utilisateurs sur le fonctionnement du système, garantir une surveillance humaine appropriée et coopérer avec les autorités compétentes en cas d’incident grave.
La mise en conformité des systèmes d’IA nécessite une planification stratégique et une sensibilisation à l’éthique et aux bonnes pratiques dans toute l’organisation. Des audits réguliers, la mise en place de normes de sécurité et une vigilance constante sont essentiels pour garantir le déploiement réussi d’une IA digne de confiance.
Il est recommandé de commencer dès maintenant à rédiger une documentation détaillée sur le fonctionnement des systèmes d’IA, à tracer et à qualifier les données d’entraînement, à établir des politiques de correction des biais et de sécurité, et à prévoir des procédures de rappel des produits non conformes.
5. Une nécessaire définition des obligations des utilisateurs.
Le projet de Règlement met en lumière les obligations spécifiques qui incombent aux utilisateurs professionnels de systèmes d’IA.
Ces obligations sont énoncées dans une annexe dédiée et comprennent plusieurs points clés :
a. Conformité aux Instructions d’Utilisation : Les utilisateurs sont tenus de respecter scrupuleusement les instructions d’utilisation fournies par les fournisseurs ou les distributeurs de systèmes d’IA. Cela inclut notamment les procédures de mise en service, d’utilisation et de maintenance des systèmes
b. Suspension d’Utilisation en Cas de Doute : En cas de doute sur la conformité d’un système d’IA, les utilisateurs ont l’obligation de suspendre immédiatement son utilisation et d’en informer les autorités compétentes. Cette mesure vise à prévenir les risques potentiels pour les droits fondamentaux et la sécurité des individus.
c. Conservation des Journaux : Les utilisateurs sont tenus de conserver les journaux générés automatiquement par les systèmes d’IA, notamment en ce qui concerne les décisions prises par ces systèmes. Cette traçabilité est essentielle pour garantir la transparence et la responsabilité dans l’utilisation de l’IA.
d. Contrôle sur les Données d’Entrée : Lorsqu’ils exercent un contrôle sur les données d’entrée du système, les utilisateurs doivent s’assurer de la pertinence et de la fiabilité de ces données. Cela implique de mettre en place des procédures de validation et de vérification des données afin de minimiser les risques de biais ou d’erreurs dans les résultats générés par le système.
Pour se conformer aux obligations définies par le nouveau règlement sur l’IA, il est donc d’ores et déjà recommandé aux fournisseurs et distributeurs de systèmes d’IA de fournir une documentation détaillée et des guides d’utilisation clairs à destination des utilisateurs professionnels.
Ces documents doivent non seulement faciliter l’utilisation des systèmes d’IA, mais aussi sensibiliser les utilisateurs aux risques potentiels associés à ces technologies et aux mesures à prendre pour les atténuer. En responsabilisant les utilisateurs et en leur fournissant les outils nécessaires pour une utilisation éthique et responsable de l’IA, les fournisseurs peuvent contribuer à promouvoir la confiance dans ces technologies et à minimiser les risques pour les individus et les organisations.
6. L’encadrement des relations entre toutes les parties prenantes.
Chaque opérateur impliqué dans le développement, la mise sur le marché et l’utilisation d’un système d’IA a des rôles et des responsabilités spécifiques définis par le nouveau règlement. En outre, les risques associés à chaque étape du processus doivent être identifiés et pris en compte lors de l’encadrement des relations contractuelles entre les parties prenantes.
a. Définition des rôles et responsabilités : Il est essentiel pour les opérateurs de clarifier les rôles et responsabilités de chacun tout au long du cycle de vie du système d’IA. Cela inclut l’identification des fournisseurs, des utilisateurs, des importateurs, des distributeurs et autres acteurs impliqués, ainsi que la répartition appropriée des obligations et des responsabilités entre eux.
b. Encadrement contractuel : Les opérateurs peuvent encadrer contractuellement leurs relations en établissant des accords détaillés qui définissent clairement les obligations et les responsabilités de chaque partie. Les clauses contractuelles relatives à la responsabilité et aux recours en garantie doivent être rédigées avec soin pour garantir une répartition équitable des risques entre les opérateurs, en tenant compte de leur degré d’implication dans le système d’IA.
c. Juste répartition des risques : L’objectif principal de l’encadrement contractuel des relations entre les opérateurs est de parvenir à une répartition équitable des risques. Cela implique d’identifier les risques potentiels associés à chaque étape du cycle de vie du système d’IA et de déterminer les mesures appropriées pour les atténuer ou les gérer. Les clauses contractuelles doivent refléter cette répartition des risques de manière juste et équilibrée.
Alors que le projet de règlement sur l’IA ACT continue de progresser à travers le processus législatif, il est essentiel que les opérateurs de systèmes d’IA prennent des mesures proactives pour se préparer à la conformité. En anticipant les adaptations possibles, en réfléchissant sur la conformité, en concevant des procédures internes et en investissant dans la formation du personnel, les entreprises et les administrations publiques peuvent se positionner pour réussir dans un environnement réglementaire en évolution constante.
