Pourquoi il est temps de commencer à planifier la loi européenne sur l'IA

Par Phil Muncaster • 26 septembre 2023

Peu de technologies ont autant le potentiel d’inquiéter les régulateurs et de ravir les entreprises que l’intelligence artificielle (IA). Cela existe depuis des années sous diverses formes. Mais les législateurs européens se sont sentis obligés d’intervenir alors que les algorithmes intelligents sont de plus en plus intégrés aux processus commerciaux et aux technologies destinées aux citoyens.

Le défi pour les entreprises développant de tels systèmes sera d’évaluer s’ils répondent aux critères stricts nécessaires pour arriver sur le marché au sein du bloc. Pour les entreprises britanniques en particulier, une décision devra être prise sur la manière de gérer les régimes réglementaires divergents.

Que contient la loi sur l'IA ?

Les gouvernements du monde entier s’intéressent de plus près à l’IA dans le but de minimiser les abus ou les utilisations abusives accidentelles. Le Le G7 en discute. La Maison Blanche tente d'établir des règles de base pour protéger les droits individuels et s'assurer développement et déploiement responsables. Mais c’est l’UE qui est la plus avancée en matière de législation pleinement élaborée. C'est propositions pour un nouveau « AI Act » ont été récemment approuvés par le Parlement européen.

La loi sur l’IA cherchera à adopter une approche basée sur les risques, en classant les modèles d’IA selon les risques « inacceptables », « élevés », « limités » et « minimes ».

Risque inacceptable signifie des systèmes qui menacent « la sécurité, les moyens de subsistance et les droits » des personnes. Ils incluent la technologie de reconnaissance faciale, la notation sociale du gouvernement et la police prédictive, et seront purement et simplement interdits.

Risque élevé les systèmes pourraient inclure l'IA utilisée dans des infrastructures critiques, ce qui pourrait mettre en danger la santé des citoyens, ou dans des établissements de formation éducative, où elle pourrait être utilisée pour réussir des examens. D'autres exemples sont :

Utilisation de l'IA sur le lieu de travail, comme le tri des CV.
Notation de crédit.
Vérification des documents au contrôle aux frontières.
La police évalue les preuves.

Les députés ont également classé les systèmes de recommandation sur les réseaux sociaux et l’IA utilisée pour influencer les électeurs lors des élections dans la catégorie à haut risque.

Risque limité fait référence aux systèmes d’IA dans lesquels les utilisateurs doivent être informés qu’ils interagissent avec une machine, comme un chatbot.

Risque minime/aucun les systèmes tels que les filtres anti-spam IA ou les jeux vidéo peuvent être utilisés librement sans restrictions. L’UE affirme que cette catégorie comprend la majorité des produits d’IA actuellement utilisés.

Quelles sont les obligations des entreprises conformes ?

Les développeurs (fournisseurs) d’IA potentiellement à haut risque doivent franchir plusieurs étapes avant que leurs produits ne soient autorisés sur le marché. Ceux-ci inclus:

Évaluations des risques et systèmes d’atténuation
Maintenir des ensembles de données de haute qualité pour minimiser les risques et la discrimination
Enregistrement de l'activité pour ajouter de la transparence aux résultats
Documentation détaillée du système et de son objectif à partager avec les autorités
Une information claire et « adéquate » pour les utilisateurs
Une surveillance humaine « appropriée » pour minimiser les risques
Des niveaux élevés de « robustesse, sécurité et précision ».

Une fois qu'un système est développé et a passé avec succès une évaluation de conformité, il sera enregistré dans une base de données de l'UE et recevra le marquage CE. Cependant, les entreprises utilisatrices de modèles d’IA doivent assurer une surveillance humaine continue, tandis que les fournisseurs ont l’obligation de surveiller les systèmes une fois sur le marché. Les deux parties prenantes doivent signaler les incidents graves et tout dysfonctionnement des modèles d’IA.

Quel sera l’impact de la loi sur les entreprises britanniques ?

La différence entre ce régime potentiel et celui du Royaume-Uni est frappante. D'après Selon Edward Machin, avocat principal au sein de l'équipe données, confidentialité et cybersécurité de Ropes & Gray, ce dernier est considéré comme plus axé sur l'innovation et favorable aux entreprises.

« Contrairement à l’UE, le gouvernement britannique n’envisage pas d’introduire une législation sur l’IA, ni de créer un nouveau régulateur de l’IA. Au lieu de cela, les agences existantes (par exemple, ICO, FCA) soutiendront le cadre et publieront des orientations spécifiques au secteur », a-t-il déclaré à ISMS.online.

« Bien que le Royaume-Uni soit quelque peu une exception dans son approche légère, le cadre est basé sur des principes – sécurité, transparence, équité, responsabilité et réparation – communs à la manière dont la plupart des législateurs envisagent actuellement la réglementation de l’IA. »

Cependant, il est peu probable que les entreprises britanniques ayant des activités dans l'UE soient en mesure de profiter de cette approche plus légère à moins qu'elles ne choisissent de soutenir les régimes de conformité divergents, ce qui entraînera des frais généraux supplémentaires.

« Si le Royaume-Uni continue d’adopter une approche réglementaire plus légère que l’UE, les organisations britanniques soumises à la loi sur l’IA devront décider d’adopter ou non une approche unique, à l’échelle européenne, en matière de conformité », poursuit Machin.

« L’alternative consiste à avoir des processus séparés pour le Royaume-Uni et l’UE, ce qui, pour de nombreuses entreprises, sera coûteux, difficile à mettre en œuvre et probablement d’un bénéfice commercial limité. Si les entreprises peuvent clairement et facilement séparer certaines obligations de conformité par zone géographique, elles devraient bien entendu les prendre en compte tout en reconnaissant qu'en pratique, elles devront également respecter les normes européennes plus élevées dans d'autres cas.

À quoi faire attention

Bien entendu, les règles sont encore en évolution jusqu’à ce qu’elles soient finalisées. La Commission européenne, les États membres et les parlementaires se réuniront dans une série de réunions en « trilogue » pour étoffer les détails. Reste par exemple à voir comment les modèles d’IA génératifs seront traités. Tout ce que la commission a dit jusqu'à présent est qu’ils devront respecter les exigences de transparence et être empêchés de générer du « contenu illégal » et de violer le droit d’auteur. Des chercheurs de Stanford ont déjà affirmé que de nombreux modèles d'IA, y compris GPT-4, ne sont actuellement pas conformes à la loi sur l'IA.

Machin ajoute que les entreprises qui développent ou utilisent des modèles à haut risque doivent également surveiller de près ce qui se passera ensuite.

« Il y aura probablement des désaccords sur la façon dont les systèmes d'IA « à haut risque » sont définis, et les entreprises surveilleront de près l'évolution de cette situation, étant donné que les modèles et technologies fondamentaux qui ont un impact de plus en plus important sur la vie des gens (comme dans l'emploi et les services financiers) être pris par cette définition », affirme-t-il.

Jonathan Armstrong, associé chez Cordery, estime qu'il faudra au moins quatre mois avant que les entreprises obtiennent la clarté qu'elles recherchent.

« Le conseil que nous donnons actuellement à nos clients est de procéder à une évaluation formelle, mais cela ne doit pas nécessairement être trop onéreux. Nous avons par exemple aidé nos clients à adapter leur processus d'évaluation de l'impact de la protection des données. Il s’agit d’une bonne base car elle examine certaines des choses que la loi sur l’IA abordera, comme l’équité, la transparence, la sécurité et la réponse aux demandes », a-t-il déclaré à ISMS.online.

« Cela les aidera également à respecter les cinq principes de l’IA au Royaume-Uni [policy paper]. Je pense que ce n'est pas une charge supplémentaire trop lourde pour la plupart des organisations si elles le font GDPR c'est vrai, mais pour certains, c'est un gros si.

Phil Muncaster

Phil Muncaster est journaliste informatique depuis 20 ans. Il a débuté comme journaliste sur le titre informatique d'entreprise IT Week en 2005 et a progressé jusqu'au poste de rédacteur en chef avant de quitter pour poursuivre une carrière indépendante. Depuis lors, Phil a écrit pour des titres tels que The Register, où il a travaillé comme correspondant en Asie alors qu'il était basé à Hong Kong pendant plus de deux ans, MIT Technology Review, SC Magazine, Infosecurity Magazine et d'autres.

Lire la suite de Phil Muncaster

La cyber-sécurité 3er Février 2026.

La fraude signalée par le WEF est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n'est pas la seule.

Rapport du Forum économique mondial : La fraude est désormais la principale préoccupation des PDG en matière de cybersécurité, mais ce n’est pas la seule.

Cinq ans, c'est une éternité en cybersécurité. Pourtant, c'est la durée pendant laquelle le Forum économique mondial (WEF) interroge les PDG pour son rapport mondial sur la cybersécurité…

Phil Muncaster

La cyber-sécurité 27 Janvier 2026

L'importance de la protection de la vie privée : ce que les équipes de conformité peuvent attendre en 2026

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Le 28 janvier est la Journée mondiale de la protection des données – l’occasion de célébrer le droit à la confidentialité et à la protection des données que beaucoup d’entre nous tiennent aujourd’hui pour acquis.

Phil Muncaster

La cyber-sécurité 20 Janvier 2026

Combler le fossé de la gouvernance de l'IA avec le blog ISO 42001

Combler le fossé en matière de gouvernance de l'IA avec la norme ISO 42001

Le Royaume-Uni a un problème de gouvernance en matière d'IA. Cela n'aurait peut-être pas posé de problème il y a quelques années, lorsque les projets étaient menés de manière fragmentaire dans la plupart des organisations. Mais aujourd'hui…

Phil Muncaster