L’AI Act étape par étape

Entré en vigueur au cours de l’été dernier, le règlement européen sur l’intelligence artificielle repose sur la notion de risques éthiques associés à son usage. Un non-sens économique pour certains. C’est pourtant une évolution prévisible du droit à utiliser ces technologies, à intégrer dès maintenant dans les projets de la DSI.

Avec des premières dispositions qui s’appliqueront dès ce mois de février, on peut dire que les régulateurs européens qui ont travaillé sur l’AI Act n’ont pas traîné en route. Son entrée en vigueur date en effet à peine de six mois, le 1^er août 2024.

Au cœur de l’été donc, et nul doute qu’un certain nombre de DSI, en apprenant la nouvelle, y ont vu un mauvais coup porté à leurs projets en matière d’intégration de ces technologies, au premier rang desquelles on trouve l’IA générative, surgie dans le paysage des entreprises il y a à peine deux ans. Mais comme le souligne Jeanne Heuré, directrice associée en charge des activités « digital trust » au niveau mondial chez Capgemini Invent, « ce n’est pas l’AI Act le problème… c’est l’intelligence artificielle ».

Pour rappel, le nouveau cadre réglementaire vise notamment à gérer les risques associés à l’IA, classés en quatre catégories (minime, limité, élevé ou inacceptable), plus une spéciale réservée pour l’IA à usage général, dont les outils d’IA générative. Parmi les risques dits inacceptables, que du bon sens et/ou du déjà connu avec, par exemple, la notation sociale. Cette classification concerne en premier lieu les entreprises fournissant des produits ou des services d’IA. Mais par extension, toutes celles qui utilisent ces produits sont également tenues a minima de s’assurer de leur conformité, et a maxima de maîtriser les conditions de leur utilisation.

Bpifrance a déjà publié une check-list des étapes (voir encadré) à envisager dans les DSI. Sa lecture n’est pas révolutionnaire, en ce sens qu’elle décrit une approche finalement assez classique de la mise en conformité des SI à la suite d’une nouvelle réglementation. Ici encore, c’est moins à propos de la compliance des futures applications que les questions vont se poser que concernant l’existant, en l’occurrence tout ce qui a pu être fait, sans véritable contrôle parfois, depuis deux ans notamment avec l’émergence de ChatGPT.

Comme pour le RGPD, avec lequel Bpifrance suggère d’ailleurs une proximité dans la manière de mettre en place la nouvelle réglementation, le problème pour les DSI va donc bien venir en grande partie de cette période échevelée que nous venons de vivre. Période pendant laquelle, malgré leurs inquiétudes sur les usages qui se développaient, personne n’a vraiment voulu les entendre à propos des risques qu’ils évoquaient. À plus forte raison quand ils se plaçaient sur le terrain de l’éthique ! C’est pourquoi l’étude publiée par BSI, une société de services en normalisation, certification, formation et contrôle de conformité, à la fin de l’été, qui révélait que « 97 % des chefs d’entreprise pensent que les directives internationales sont importantes pour un développement sûr, éthique et responsable de l’IA » a de quoi faire rire jaune ceux des DSI qui ont prêché dans le désert ces dernières années. Mais après tout, mieux vaut tard que jamais, et ce même s’il faut la menace de sanctions financières pour que s’ouvrent les yeux.

À LIRE AUSSI :

Data / IA

Un guide pour se conformer « by design » à l’AI Act

La rédaction

20 Jan

Les étapes de la conformité à l’AI Act en entreprises selon Bpifrance

Renforcer les pratiques de gouvernance de l’intelligence artificielle en commençant par nommer un responsable IA.

Cette personne, potentiellement déjà Déléguée à la Protection des Données (DPO), aura la charge de la conformité de l’entreprise à l’AI Act.

Elle sera habilitée à trancher en cas de litige. 

Réaliser une cartographie de ses systèmes d’IA, c’est-à-dire évaluer ses systèmes en vue de déterminer leur niveau de risque et leur conformité compte tenu du nouveau cadre législatif prévu par l’Union européenne.

Conduire régulièrement des tests sur ses systèmes et des audits afin de s’assurer d’une conformité continue.

Sensibiliser et former ses équipes aux normes prévues par l’AI Act, ses implications, et plus largement aux risques (biais, discrimination, etc.) et opportunités que présente l’utilisation de l’intelligence artificielle et ses répercussions sur d’autres réglementations déjà en vigueur (droits d’auteur, RGPD ou autre).

Interroger ses fournisseurs sur la composition de leurs produits.

Bpifrance conclut en espérant que les entreprises vont savoir « faire du règlement européen sur l’IA un avantage concurrentiel. » Exactement les mêmes vœux – pieux ? – que lors de la mise en place du RGPD.

Abonnez-vous à la newsletter hebdo d'IT for Business !

Rejoignez notre liste de diffusion pour recevoir toutes les semaines une sélection d'articles et quelques autres surprises préparées spécialement pour vous par notre rédaction.

ABONNEZ-VOUS !

Nous vous envoyons un e-mail de validation !