Ce que la loi européenne sur l’IA signifie pour votre entreprise
Table des matières:
Le mois dernier, l'Union européenne a adopté une réglementation historique sur l'intelligence artificielle. entrer dans les livres de droit. La loi européenne sur l’IA, adoptée à une écrasante majorité par le Parlement européen par 523 voix contre 46, définit une série de niveaux de risque, d’obligations et d’exigences pour les entreprises développant, déployant et utilisant des solutions ou des modèles d’IA.
Bien qu’il s’agisse d’une loi européenne, les entreprises technologiques britanniques souhaitant proposer leurs services et modèles d’IA sur le marché de l’UE devront s’y conformer sous peine de lourdes amendes. Cela nécessitera une compréhension concrète du fonctionnement de la version finale de la loi et une refonte complète des programmes de conformité des entreprises.
Principaux changements dans la loi européenne sur l’IA
L’un des changements les plus importants apportés à la version finale de la loi européenne sur l’IA est « une approche plus basée sur les risques » pour réglementer la technologie, selon Jake Moore, conseiller mondial en cybersécurité chez le fabricant d’antivirus ESET.
Moore explique à ISMS.online que les règles seront différentes pour les applications d'IA à faible risque et à haut risque, les plus strictes s'appliquant à « celles qui présentent un plus grand potentiel de préjudice ». Des exemples de ces derniers seraient les dispositifs médicaux alimentés par l’IA et les technologies de police automatisées.
Il ajoute que la loi obligera également les entreprises à faire preuve de transparence sur leur utilisation de l’IA, à interdire les applications d’IA dangereuses telles que la police prédictive et à examiner les modèles d’IA génératifs comme ChatGPT 4 et Google Gemini.
"C'est le premier signe de la prise de conscience qu'une IA de taille unique ne convient pas à tous", poursuit Moore.
Leonie Power, associée et spécialiste de l'IA au sein du cabinet d'avocats Fieldfisher, affirme que les principaux changements incluent une définition de l'IA similaire à celle adoptée par l'Organisation de coopération et de développement économiques (OCDE), en plus de dispositions dédiées aux deepfakes et aux applications à usage général. Modèles d'IA.
Paolo Sbuttoni, associé du cabinet d'avocats Foot Anstey, souligne que bon nombre de ces changements ont été décrits dans un projet de loi divulgué sur lequel les législateurs européens se sont provisoirement mis d'accord en décembre dernier. Il comprend une définition finale du système d’IA, des exigences relatives à une évaluation d’impact sur les droits fondamentaux, des limites à l’identification biométrique en temps réel et des règles pour les systèmes d’IA à usage général, dit-il.
"Les colégislateurs ont apporté quelques modifications techniques à la loi en janvier 2024 pour aligner le texte des considérants sur les articles convenus lors des négociations de décembre, mais il n'y a eu aucun changement substantiel par rapport au projet de décembre 2023", a-t-il déclaré à l'ISMS. .en ligne.
L'impact sur les organisations britanniques
La Grande-Bretagne a peut-être quitté l'Union européenne et a développé sa propre approche à réglementer la technologie de l'IA, mais cela ne signifie pas que la loi européenne sur l'IA n'aura pas d'impact sur les entreprises britanniques. Selon Sbuttoni de Foot Anstey, toute entreprise basée au Royaume-Uni souhaitant vendre ou installer des services d'IA dans l'UE doit suivre les règles.
Cependant, en vertu de l'article 28, ces obligations varieront en fonction des modifications apportées par les déployeurs, distributeurs ou importateurs basés dans l'UE de services d'IA développés ou proposés par des entreprises britanniques, précise-t-il. Ces groupes sont plus largement connus sous le nom d’« utilisateurs en aval », tandis que les fournisseurs de services d’IA sont des entités « en amont ».
Se référant à l'article 3, point 23, Sbuttoni affirme que les régulateurs européens considéreront ces groupes comme des prestataires de services s'ils apportent des modifications substantielles aux systèmes fournis par les entreprises britanniques. Dans ce contenu, il affirme que l’entité britannique devrait fournir à l’utilisateur en aval de l’UE – désormais le fournisseur de services – des documents techniques, des informations sur les capacités, ainsi qu’un accès et une assistance techniques afin que l’autre partie puisse se conformer à la loi.
Satisfaire à ces obligations
Pour répondre à ces nouvelles exigences légales, les sociétés britanniques d’IA qui souhaitent opérer sur le marché de l’UE devront apporter une série de modifications à leurs programmes de conformité. Fieldfisher's Power recommande aux organisations de démarrer ce processus en examinant tous les systèmes d'IA développés, déployés ou planifiés et en déterminant l'impact que la loi européenne sur l'IA aura sur eux.
Elle conseille ensuite aux organisations de classer les modèles et systèmes d’IA en fonction de leur niveau de risque, tel qu’un risque élevé ou systématique, et de comprendre le rôle qu’ils jouent dans la chaîne d’approvisionnement de l’IA. La dernière étape consiste à mettre en œuvre un cadre de gouvernance de l’IA. Power affirme que les organisations peuvent pour ce faire tirer parti de cadres de risque et de gouvernance éprouvés, comme ceux utilisés pour la confidentialité des données.
« En particulier, considérez le chevauchement avec RGPD la conformité et la mesure dans laquelle l'organisation peut s'appuyer sur ces mesures de conformité pour répondre aux obligations de la loi européenne sur l'IA », a-t-elle déclaré à ISMS.online. "En adoptant l'approche ci-dessus, les organisations doivent garder à l'esprit les périodes de transition pour des exigences spécifiques, qui varient entre six et 36 mois."
Sbuttoni de Foot Anstey affirme que les organisations devraient concevoir des programmes de conformité autour des risques potentiels posés par leurs systèmes d'IA. Les quatre catégories de risques adoptées par la loi européenne sur l’IA sont : minime, limité, élevé et inacceptable.
« Les systèmes à risque faible/minimal seront soumis à des obligations limitées tandis que la loi impose un certain nombre d'exigences importantes aux exploitants de systèmes à haut risque. Il s’agit notamment de la gestion des risques, des évaluations de conformité et d’impact, de la qualité des données, de la transparence ou de la surveillance humaine », explique-t-il.
Le non-respect de ces réglementations pourrait entraîner un coût financier élevé. L'UE pourrait infliger des amendes aux entreprises allant jusqu'à 35 millions d'euros (30 millions de livres sterling) ou 7 % du chiffre d'affaires mondial de l'année précédente si elles se livrent à des pratiques interdites, 15 millions d'euros (13 millions de livres sterling) ou 3 % pour non-respect d'autres exigences réglementaires, et 7.5 millions d'euros. (6.4 millions de livres sterling) ou 1 % pour fourniture de fausses informations.
Comment ISO 42001 peut vous aider
Alors que les entreprises britanniques adaptent leurs programmes de conformité en fonction des exigences définies par la loi européenne sur l’IA, il pourrait également être judicieux de mettre en œuvre le Norme ISO 42001 pour les systèmes de gestion de l’IA.
Fieldfisher's Power affirme que tirer parti de cette norme industrielle permettrait aux entreprises de se conformer à la loi européenne sur l'IA en « créant une culture de transparence, de responsabilité et d'utilisation éthique de l'IA ».
Sbuttoni de Foot Anstey ajoute que les conseils techniques proposés par ISO 42001 aideront les entreprises à gérer les risques et les opportunités de l'IA.
« Même si cela ne garantit pas le respect de la loi, c’est une bonne mesure pour aider les entreprises utilisant l’IA à se conformer aux exigences industrielles ou légales », affirme-t-il.
Compte tenu de la taille du marché européen, de nombreuses entreprises britanniques espérant exploiter la puissance de l’IA dans leurs offres de produits se tourneront vers cette norme afin de rationaliser leur expansion internationale.
