Avec l'entrée en vigueur du règlement européen sur l'intelligence artificielle (règlement IA) le 1er août 2024, les entreprises seront progressivement confrontées à de nouvelles exigences légales. Dès février 2025, les premières réglementations contraignantes entreront en vigueur, notamment en ce qui concerne les applications d'IA interdites. Les entreprises sont par ailleurs invitées à se pencher suffisamment tôt sur les conséquences de cette réglementation et à prendre les mesures de conformité nécessaires.
Systèmes d'IA interdits en vertu du règlement sur l'IA
À partir de février 2025, l'utilisation de certains systèmes d'IA sera expressément interdite dans l'UE. Cette réglementation se base sur les directives du règlement sur l'IA, qui vise à minimiser les risques potentiels pour les droits fondamentaux, la sécurité et la démocratie. Il s'agit notamment d'exclure les systèmes qui peuvent manipuler les personnes, les discriminer ou les surveiller en masse. Cette réglementation concerne en particulier les applications considérées comme présentant des risques particuliers. Il s'agit entre autres de
- Technologies d'IA manipulatrices :
les systèmes qui influencent inconsciemment le comportement ou la prise de décision des personnes, en particulier lorsque cela peut entraîner des dommages. - Systèmes de scoring social :
Évaluations basées sur l'IA de personnes physiques en fonction de leur comportement, de leur statut social ou de leurs caractéristiques personnelles, qui peuvent être potentiellement discriminatoires. - Surveillance de masse par reconnaissance biométrique :
L'utilisation de la reconnaissance faciale en temps réel dans l'espace public sera interdite, à quelques exceptions près, par exemple pour la prévention du terrorisme ou la lutte contre la grande criminalité. - Reconnaissance des émotions sur le lieu de travail ou dans les établissements d'enseignement :
Les systèmes d'IA qui analysent l'état émotionnel des travailleurs ou des élèves ne peuvent plus être utilisés. - La police prédictive sur une base purement statistique :
Les systèmes basés uniquement sur des calculs de probabilité pour prédire un comportement futur sont interdits.
Les entreprises qui utilisent déjà de tels systèmes ou qui participent au développement de telles technologies devront s'assurer, d'ici février 2025, qu'elles sont conformes aux nouvelles règles et, le cas échéant, mettre fin aux applications interdites.
Loi sur l'IA : les entreprises doivent agir
Outre le respect des interdictions qui entreront en vigueur en février 2025, les entreprises devraient réagir de manière proactive aux exigences à venir du règlement sur l'IA. Un exemple de stratégie de conformité réussie est la mise en œuvre d'un cadre de gouvernance interne de l'IA qui définit clairement les responsabilités, effectue des analyses de risques régulières et garantit que tous les systèmes d'IA utilisés sont conformes aux nouvelles exigences légales. Cela comprend notamment
- Un inventaire de toutes les applications d'IA utilisées dans l'entreprise, afin de détecter rapidement les éventuelles infractions.
- La vérification si les systèmes d'IA utilisés ou développés doivent être considérés comme des IA à haut risque. Ces systèmes seront soumis à des exigences étendues en matière de documentation et de conformité lors des phases ultérieures de mise en œuvre de la loi sur l'IA.
- adapter les politiques internes, notamment en matière de protection des données et d'éthique, afin d'être prêt à répondre aux futures exigences de transparence et de sécurité.
- Mise en place de structures de conformité internes pour surveiller et respecter les exigences réglementaires.
La mise en place de structures internes de conformité est un élément essentiel de la stratégie de l'entreprise afin de garantir le respect de toutes les exigences légales de la loi sur l'IA. Cela implique la mise en œuvre d'une approche structurée et systématique de la surveillance et du contrôle des applications d'IA. Les entreprises devraient désigner un service interne chargé de la conformité ou des personnes responsables de l'examen et de l'évaluation réguliers des systèmes d'IA déployés.
Il s'agit notamment de mettre en place des mécanismes d'analyse des risques permettant d'identifier et d'éviter à un stade précoce les violations potentielles. Les entreprises devraient également mettre en place des voies internes de signalement des préoccupations éthiques ou réglementaires, afin que les employés puissent signaler les problèmes éventuels de manière anonyme ou directement à un service de conformité.
Formation à l'IA obligatoire pour les employés
Un autre aspect important des politiques internes est la mise en œuvre de responsabilités et de processus clairs pour la gestion des applications d'IA. Cela peut inclure la nomination d'un responsable de l'IA qui s'assure que l'utilisation de l'IA est conforme aux exigences réglementaires.
En outre, les entreprises devraient organiser régulièrement des formations internes pour leurs collaborateurs, car l'acquisition de compétences en matière d'IA sera également obligatoire à partir de février 2025.
Concrètement, l'article 4 du règlement sur l'IA stipule que "les fournisseurs et les exploitants de systèmes d'IA prennent des mesures pour garantir, dans la mesure du possible, que leur personnel et les autres personnes intervenant en leur nom dans le fonctionnement et l'utilisation des systèmes d'IA possèdent un niveau suffisant de compétences en matière d'IA, compte tenu de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, ainsi que du contexte dans lequel les systèmes d'IA doivent être utilisés et des personnes ou groupes de personnes auprès desquels les systèmes d'IA doivent être utilisés".
Il faudrait donc également garantir la traçabilité et l'explicabilité des décisions prises par l'IA. Ainsi, les personnes concernées peuvent également comprendre comment et pourquoi une décision donnée a été prise.
Conseil de lecture : IA générative - le CEPD publie des orientations sur l'utilisation
Mesures concrètes pour la mise en œuvre du règlement sur les IC
Le règlement sur l'IA constitue un cadre réglementaire important pour l'utilisation de l'intelligence artificielle dans l'Union européenne. Ce sont surtout les petites et moyennes entreprises (PME) qui pourraient être confrontées à des défis, car elles ne disposent souvent pas des mêmes ressources que les grands groupes pour les mesures de conformité. Pour rester compétitives, les PME devraient donc opter rapidement pour des solutions rentables telles que des outils de conformité standardisés ou la collaboration avec des conseillers externes.
Les entreprises ont tout intérêt à se préparer suffisamment tôt aux obligations à venir afin de minimiser les risques et de se conformer à temps aux exigences légales. Une stratégie de conformité précoce peut non seulement minimiser les risques juridiques, mais aussi garantir des avantages concurrentiels et renforcer la confiance des clients et des partenaires. Voici des mesures concrètes.
- Formation du personnel : formations régulières sur les nouvelles exigences réglementaires et les directives éthiques.
- Audits et contrôles internes : Mise en place de mécanismes de contrôle pour assurer la conformité.
- Transparence et documentation : fournir des preuves des systèmes d'IA utilisés, de leurs processus décisionnels et des mesures de sécurité prises.
- Collaboration avec des experts externes : implication de conseillers juridiques et d'experts en protection des données pour minimiser les risques réglementaires.
- Mise à jour régulière de la stratégie en matière d'IA : adaptation à l'évolution des exigences réglementaires et des développements technologiques.
Vous voulez que votre entreprise soit prête pour le règlement sur l'IA ? Nous nous y attelons ensemble ! Nos experts se feront un plaisir de vous conseiller. Appelez-nous ou écrivez-nous :
Tél: +33 1 856 59880
Courrier électronique : paris@2b-advice.com
Source : Règlement 2024/1689 établissant des règles harmonisées en matière d'intelligence artificielle