Les entreprises sont invitées à suivre les réglementations « en évolution rapide

Name: ISMS.online
Address: Nile House, Nile Street, Brighton, East Sussex, BN1 1HW, United Kingdom
Price range: ££

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

Par John Leyden • 22 Août 2024

L’intelligence artificielle (IA) transforme le secteur des technologies de l’information à un rythme vertigineux. L'IA a transformé les applications, notamment l'analyse des données, le service client et même le développement de logiciels. Les entreprises qui tardent à adopter l’IA risquent d’énormes désavantages concurrentiels. Mais les déploiements de technologies d’IA ne sont pas sans risques.

Par exemple, failles dans un système d'IA conçu pour lutter contre la fraude aux allocations de garde d'enfants a plongé les familles néerlandaises dans des difficultés financières. Amazon a dû supprimer un outil de recrutement basé sur l'IA qui montrait des préjugés à l'égard des candidates féminines.

L’utilisation de l’IA pour la collecte et l’analyse de données soulève également des problèmes de confidentialité et des risques de violations de données, en particulier dans les secteurs sensibles de l’économie. Par exemple, de nombreuses banques ont interdit à leur personnel d'utiliser des outils tels que ChatGPT et d'autres assistants virtuels IA en raison des craintes que la nature des requêtes puisse divulguer des informations sur des secrets d'affaires tels que des acquisitions ou des fusions planifiées.

Un rapport récent du Le Centre pour la résilience à long terme (CLTR) a appelé le Royaume-Uni à mettre en place un système pour enregistrer les abus ou les dysfonctionnements de l'IA. incidents. Le groupe de réflexion soutient que les problèmes liés à la technologie de l’IA doivent être traités de la même manière que la Direction des enquêtes sur les accidents aériens enquête sur les accidents d’avion.

Un système de rapport d'incidents pour les problèmes d'IA offre la possibilité de développer de meilleures pratiques dans des domaines tels que la gestion des risques, de tirer des leçons et d'élaborer des réglementations, selon le CLTR.

Progrès réglementaires

Alors que la réglementation est encore en train de rattraper son retard en matière d’utilisation de l’IA au sein des entreprises, une approche attentiste en matière de conformité est loin d’être judicieuse.

David Corlette, vice-président de la gestion des produits chez VIPRE Security Group, a déclaré à ISMS.online que la réglementation de l'IA évolue (presque) parallèlement à la technologie elle-même.

"Bien que nous n'ayons pas encore vu de cadre global pour l'IA, des progrès notables sont en cours", selon Corlette. « Il y a le NIST AI Risk Management Framework (AI RMF) et bien sûr la norme ISO 42001, qui propose une approche prometteuse de la gouvernance de l'IA. La norme ISO 42001 apportera un niveau de cohérence et de fiabilité au-delà des frontières.

Poser une fondation

Des cadres tels que ISO 42001 peut aider à établir des bases solides et à alléger la charge de mise en conformité au fur et à mesure que de nouvelles réglementations sont introduites.

La norme ISO 42001 décrit comment les entreprises peuvent établir un cadre pour établir et maintenir un système de gestion de l'intelligence artificielle au sein de leur organisation. La gestion des risques est l’une des composantes essentielles du cadre.

Selon Glenn Chisholm, co-fondateur et PDG d'Obsidian Security, « La norme ISO 42001 met l'accent sur la gestion des risques et peut être appliquée pour inclure les risques associés à l'IA, y compris les considérations éthiques, les évaluations des risques et d'impact, la confidentialité des données, les préjugés et l'amélioration continue. .»

Chisholm a ajouté : « Même si elle ne garantit pas automatiquement la conformité avec d'autres normes, la norme ISO 42001 partage de nombreux attributs avec des normes telles que l'EU AI Act, le NIST AI RMF et d'autres. »

Peter Wood, directeur technique chez Spectrum Search, a ajouté : « En adoptant la norme ISO 42001, les organisations peuvent simplifier la conformité aux réglementations à venir grâce à une approche proactive plutôt que réactive. Cela permet aux organisations de s’adapter sans effort aux paysages réglementaires changeants, minimisant ainsi les risques et les sanctions potentielles en cas de non-conformité.

Initiatives mondiales

Les normes internationales évoluent rapidement et plusieurs pays, comme les États-Unis, la Chine, l’Inde et l’Australie, sont tous en train d’établir leurs réglementations.

Selon Chisholm, « beaucoup de ces normes s’emprunteront probablement les unes aux autres, de sorte que l’avantage de s’aligner sur l’une se répercutera probablement sur l’autre. »

Les experts juridiques et de conformité affirment que le respect de la loi européenne sur l’IA récemment introduite devrait être une priorité pour les entreprises britanniques, étant donné qu’elles feront souvent des affaires avec l’UE.

« De nombreuses entreprises britanniques opèrent dans ou avec l’UE ; par conséquent, l’alignement sur la loi européenne sur l’IA garantit un accès continu à ce marché important », a déclaré Becky White, avocate principale en matière de protection des données et de confidentialité chez Harper James, à ISMS.online. "Le non-respect pourrait entraîner des barrières à l'entrée ou des sanctions, affectant les opérations commerciales et la compétitivité."

Le Loi de l'UE sur l'IA se concentre sur les applications et les ensembles de données à haut risque. Ses principes fondamentaux mettent l’accent sur la transparence et la responsabilité.

« La loi européenne sur l'IA est un bon point de départ, car ses principes fondamentaux de transparence, de sécurité et de gouvernance des données seront probablement fondamentaux pour toute réglementation sur l'IA dans n'importe quelle région », selon Corlette de VIPRE. "Cette législation est la première du genre et établit pratiquement le cadre d'une industrie émergente qui n'a pas de normes applicables préalables."

Corlette a conclu : « L’histoire suggère que les réglementations élaborées dans d’autres régions ressembleraient également beaucoup à cette législation européenne naissante. Un exemple est le RGPD de l’UE.»

Même si l’alignement sur la loi européenne sur l’IA garantit des opérations commerciales fluides au-delà des frontières et peut éviter d’éventuels conflits réglementaires, les entreprises britanniques devraient garder un œil attentif sur les évolutions réglementaires plus proches de chez elles.

Wood de Spectrum Search a conseillé de « couvrir les paris en observant attentivement les réglementations spécifiques au Royaume-Uni et en conservant la flexibilité nécessaire pour s'adapter aux exigences du Royaume-Uni et de l'UE ».

Les experts ont conseillé aux organisations britanniques de se positionner pour s'adapter rapidement si et lorsque des différences surviennent entre les régimes réglementaires des différentes régions.

Harper James' White a commenté : « La pleine conformité à plusieurs régimes réglementaires en même temps peut nécessiter beaucoup de ressources ; par conséquent, ce type de stratégie de « couverture » permet aux entreprises d'allouer efficacement leurs ressources, en équilibrant le respect de l'innovation et l'efficacité opérationnelle et, en conservant une certaine flexibilité, les entreprises peuvent pivoter et s'adapter aux changements dans les environnements réglementaires du Royaume-Uni et de l'UE, selon les besoins.

Confidentialité et gouvernance

Les problèmes de gouvernance et de confidentialité découlant de l’utilisation de l’IA en entreprise vont au-delà des questions de conformité et de réglementation.

"La formation des modèles et des bases de données Gen AI impliquera souvent le traitement de vastes ensembles de données contenant des quantités importantes de données personnelles, ce qui peut entraîner des risques importants en matière de confidentialité et de gouvernance pour les entreprises britanniques", a expliqué White de Harper James. « Ces informations peuvent parfois inclure des données sensibles ou de catégorie spéciale sur des individus, dont le traitement peut par inadvertance perpétuer, voire exacerber des préjugés, conduisant à des résultats injustes ou discriminatoires. L’utilisation abusive du contenu généré pourrait violer les droits à la vie privée.

Les biais algorithmiques, dans lesquels les systèmes d'IA peuvent involontairement faire écho aux biais existants présents dans les données de formation, peuvent être atténués par des audits réglementés et divers ensembles de données.

Selon White, les entreprises peuvent contribuer à atténuer ces risques en mettant en œuvre de solides pratiques de gouvernance des données et en se concentrant sur la manière dont leurs employés utilisent l’IA.

"Cela inclut l'utilisation de techniques d'anonymisation, l'établissement de contrôles d'accès stricts, la surveillance régulière des biais et la garantie que les données utilisées pour former les modèles d'IA sont exactes, complètes et représentatives", a conseillé White.

John Leyden

John Leyden écrit sur les réseaux informatiques et la cybersécurité depuis plus de 20 ans. Avant l'avènement d'Internet, il travaillait comme journaliste policier dans un journal local de Manchester. John est titulaire d'un diplôme en ingénierie électronique de la City, Université de Londres.

Lire la suite de John Leyden

La cyber-sécurité 20 Juin 2024

pourquoi les fournisseurs peuvent avoir du mal à maintenir la bannière « sécurisé dès la conception »

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

De nombreux fournisseurs de technologies ont adhéré à l'engagement « Secure by Design » soutenu par le gouvernement américain. Mais cet engagement marquera-t-il une rupture avec le passé ?

John Leyden

La cyber-sécurité 28 mai 2024

décoder les nouvelles directives du ncsc pour la bannière scada hébergée dans le cloud

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Les systèmes de technologie opérationnelle (OT) surveillent et contrôlent automatiquement les processus et les équipements qui exécutent tout, des centrales électriques aux hôpitaux intelligents...

John Leyden

La cyber-sécurité 9 Avril 2024

lois sur la confidentialité des entreprises

Comment rester conforme aux réglementations sur les données biométriques

La technologie de reconnaissance faciale basée sur l'IA est un outil de plus en plus populaire pour les organisations qui cherchent à rationaliser les contrôles d'accès et à améliorer la sécurité...

John Leyden

Les entreprises sont invitées à suivre les réglementations « en évolution rapide » sur l’IA

Progrès réglementaires

Poser une fondation

Initiatives mondiales

Confidentialité et gouvernance

John Leyden

Articles connexes

Pourquoi les organismes de réglementation et les investisseurs attendent des entreprises qu'elles prennent en compte un triple risque

700 Credit Breach : Les risques liés aux API mettent en lumière la gouvernance de la chaîne d’approvisionnement financière

L'importance de la protection de la vie privée : ce à quoi les équipes de conformité peuvent s'attendre en 2026

Lire la suite de John Leyden

Pourquoi les fournisseurs peuvent avoir du mal à maintenir la dynamique de la « sécurité dès la conception »

Décoder les nouvelles directives du NCSC pour les SCADA hébergés dans le cloud

Comment rester conforme aux réglementations sur les données biométriques