18 septembre 2024
|

IA Act comment se mettre en conformité ?

Le 21 mai 2024, le Conseil de l'Europe a officiellement adopté le Règlement sur l'intelligence artificielle. Les entreprises doivent s'adapter pour s'assurer qu'elles sont en conformité. Ici, nous examinons ce que vous pouvez faire dès aujourd'hui pour avancer dans votre démarche de conformité. Artificial Intelligence Regulation. Businesses need to adapt to ensure that they are in compliance. Here we take a look at what you can do today on your compliance journey.

EU AI ACT explored

Introduction

Le 21 mai 2024, le Conseil européen a adopté officiellement le règlement sur l’intelligence artificielle est entrée en vigueur le 12 juillet 2024. L’objectif de ce règlement est de pouvoir encadrer les systèmes d’intelligence artificielle et de promouvoir l’utilisation de l’IA digne de confiance et centrée sur l’humain tout en assurant une protection élevée de la santé, de la sécurité et des droits fondamentaux. Comme le RGPD, l’IA Act va impacter drastiquement l’ensemble des entreprises.

Afin de pouvoir répondre à cet objectif, le règlement adopte une méthode de régulation de l’IA par les risques. Dans cette approche, il existe 4 niveaux de risque sur lesquels des obligations envers différents acteurs sont établies.

  • Le premier niveau de risque concerne les « risques inacceptables » où ces systèmes d’IA sont interdits. C’est le cas, par exemple, des systèmes de notation sociale ou d’IA manipulatrice employant des techniques subliminales.
  • La majeure partie du règlement porte sur les systèmes d’IA à haut risque. A titre d’exemple, la reconnaissance des émotions, les SIA de ressources humaines qui interviennent dans le processus de recrutement, le suivi des collaborateurs ou encore les IA pour l’octroi de crédit et l’évaluation de la solvabilité des personnes sont considérés comme des systèmes à haut risque.

Le règlement décline d’une part les règles de classifications des SIA à haut risque (article 6) et d’autre part les obligations incombant aux acteurs. Dans cette logique, que vous soyez fournisseur de ce système d’IA à haut risque (développeur) ou que vous soyez déployeur (utilisateur d’une solution développée par un tiers), vous devrez avoir une attitude très stricte tout au long du cycle de vie du système d’intelligence artificielle. Cela se matérialise en mettant en place un système de gestion des risques, tout en assurant notamment la gouvernance des données et en établissant une documentation technique.

Une autre partie traite des systèmes d’IA à risques limités, soumis à des obligations de transparences. En effet, dès lors qu’une IA que vous déployez est en interaction avec un utilisateur final, vous devez vous conformer aux bonnes exigences d’informations des personnes prévues dans le texte (ex : les chatbots).

Enfin, tous les autres SIA qui ne rentrent pas dans les catégories précédentes ne sont pas réglementés. Il est cependant possible de mettre en place des « bonnes pratiques », mais cela n’est pas contraignant.

En parallèle, tous les systèmes d’IA générative comme ChatGPT (capable de répondre à des besoins variés tant pour une utilisation directe que pour une intégration dans d’autres systèmes d’IA) sont soumis à d’autres exigences spécifiques.

La plupart des exigences doivent être remplies d’ici 2 ans par l’ensemble des entreprises, voici quelques conseils que nous vous donnons pour commencer à vous mettre en conformité :

  1. Acculturer vos équipes, notamment aux risques de l’IA et à ce nouveau cadre réglementaire
  2. Map out all your AI systems, including their purposes, risk levels, and your company’s role in relation to each system.
  3. Mettre en place une gouvernance au sein de votre entreprise pour piloter la cartographie et gérer les risques
  4. Préparer la mise en place de contrôles périodiques, pour vous assurer du bon respect des exigences de l’IA Act.