La loi européenne sur l'IA atteint la dernière étape de son long et sinueux parcours, de la proposition législative à la loi applicable. L'attente a été longue. La loi est entrée en vigueur le 1er août 2024, avec une mise en œuvre progressive entraînant de nombreuses échéances au cours des mois et des années suivantes. À moins d'un événement largement médiatisé Proposition de bus numérique Si le texte est bientôt approuvé par le Parlement européen, une échéance cruciale sera fixée au 2 août 2026.

Les entreprises britanniques développant ou utilisant des systèmes à haut risque dans la région ont jusqu'à cette date pour mettre en place une gouvernance de l'IA efficace. Les autorités de réglementation exigeront des preuves de contrôle, et non de simples déclarations de conformité. Pour certaines organisations, cela pourrait nécessiter un changement culturel important. Toutefois, des normes de bonnes pratiques pragmatiques comme l'ISO 42001 peuvent les y aider.

L'histoire jusqu'ici

Depuis son adoption, plusieurs dispositions de la loi sont entrées en vigueur. Notamment, en février 2025, de nouvelles exigences en matière de compétences numériques pour le personnel ont été mises en place, des structures de gouvernance telles que le Bureau et le Conseil de l'IA ont été lancées, et les systèmes d'IA présentant des « risques inacceptables » ont été interdits. Cependant, dans le cadre de l'approche fondée sur les risques de la loi, il ne s'agit là que de la partie la plus simple. Les systèmes présentant des risques inacceptables étant interdits, et aucune nouvelle réglementation n'étant prévue pour ceux jugés comme présentant un risque minimal ou nul (par exemple, les filtres anti-spam), l'attention se porte désormais sur les systèmes à « risque limité » et à « risque élevé ».

Les technologies jugées à risque limité (comme les chatbots et certains générateurs de deepfakes) devront « veiller à ce que les humains soient informés lorsque cela est nécessaire pour préserver la confiance », selon le Commission européenneMais c’est dans les systèmes à haut risque que résident les plus grands défis en matière de conformité.

Sous le microscope de la conformité

Comme nous l'avons expliqué précédemmentLes systèmes à haut risque sont ceux utilisés dans des domaines tels que l'identification biométrique, les secteurs critiques comme la santé, l'éducation et l'emploi (où les décisions de l'IA peuvent avoir un impact sur la vie des gens) et les infrastructures essentielles (par exemple, les réseaux énergétiques et les systèmes de transport). Parmi les cas d'utilisation cités par la commission figurent la correction d'examens, la chirurgie robotique, le tri des CV, l'évaluation du crédit et les logiciels utilisés pour la délivrance des visas et la préparation des décisions de justice.

Ces produits seront soumis à des obligations strictes avant de pouvoir être mis sur le marché, à savoir :

  • Évaluation et atténuation continues des risques
  • Des ensembles de données de haute qualité pour entraîner et tester l'IA
  • Journalisation détaillée des activités et documentation
  • Des informations claires doivent être fournies au déployeur (organisations utilisant les modèles).
  • Une surveillance humaine appropriée
  • Des niveaux élevés de « robustesse, de sécurité et de précision »

Ces obligations sont quelque peu complexifiées par les exigences différentes imposées aux fournisseurs (développeurs de modèles), aux déployeurs (utilisateurs), aux importateurs et aux distributeurs. Sur le papier, ces exigences semblent claires. Cependant, un déployeur sera considéré comme un fournisseur s'il modifie ou change substantiellement la finalité prévue d'un système. Qui plus est, une organisation peut cumuler plusieurs rôles. Prenons l'exemple d'une entreprise SaaS qui utilise un modèle de base tiers, l'adapte, puis le déploie auprès de clients situés dans plusieurs juridictions.

Commencer par la visibilité

Tout cela rend la gouvernance de l'IA incontournable. Mais quelles sont les bonnes pratiques à adopter sur ce marché en constante évolution ? Pour Chris Jones, directeur général de PSE Consulting, la visibilité doit être la priorité absolue.

« De nombreuses entreprises utilisent déjà l’IA de manière ponctuelle et décentralisée au sein de leurs différentes fonctions, mais rares sont celles qui disposent d’un inventaire précis de son utilisation, des décisions qu’elle influence et de son niveau de risque », explique-t-il à IO (anciennement ISMS.online). « Il convient de commencer par une analyse structurée des cas d’usage de l’IA, de la responsabilité des risques associés et de la manière dont ces risques sont liés aux obligations existantes en vertu de cadres réglementaires tels que le RGPD et la norme NIS2. »

C’est là que la conformité peut se compliquer, en raison du chevauchement des obligations de chacun, explique Nick Reed, directeur de la stratégie chez Bizzdesign.

« Par exemple, un système d’IA traitant des données personnelles dans le contexte d’une infrastructure critique peut déclencher simultanément des obligations au titre du RGPD, de la NIS2 et de la loi sur l’IA. Lorsque les organisations traitent ces obligations comme des procédures de conformité distinctes, elles dupliquent leurs efforts et risquent de passer à côté des points communs qui permettraient une gestion de la conformité bien plus efficace », explique-t-il à IO.

« Pour y remédier, il est indispensable d'avoir une visibilité structurelle à l'échelle de l'entreprise. Les organisations ont besoin d'une vision cohérente de l'interaction entre l'IA, les activités commerciales, les données et les systèmes critiques, non seulement au sein de chaque contexte réglementaire, mais de manière transversale. L'architecture d'entreprise fournit ce modèle sémantique partagé, reliant les systèmes d'IA aux capacités, processus, données, tiers et obligations qu'ils impliquent, permettant ainsi une gouvernance coordonnée plutôt que des initiatives fragmentées et redondantes. »

La prochaine étape pour les organisations soumises à la réglementation consiste à comprendre leur position dans la chaîne d'approvisionnement de l'IA.

« Nombre d’organisations se considèrent comme de simples utilisatrices d’IA, mais en réalité, elles peuvent se retrouver à jouer le rôle d’intégrateurs ou de distributeurs une fois qu’elles personnalisent ou intègrent des modèles à leurs propres services », explique Jones de PSE Consulting. « Cela modifie leurs obligations et leur exposition aux risques ; il est donc essentiel de bien cerner ces rôles dès le début. »

Reed de Bizzdesign partage cet avis, affirmant que la visibilité redevient essentielle.

« Pour déterminer le rôle et évaluer l’exposition aux risques, les organisations doivent voir comment les systèmes d’IA s’intègrent à l’entreprise dans son ensemble : quelles capacités commerciales ils prennent en charge, quels processus ils permettent, quelles données ils consultent et quels fournisseurs les approvisionnent », explique-t-il.

« Sans cette vision d'ensemble, la classification des rôles risque de reposer sur des opinions plutôt que sur des faits. Le véritable test survient en cas de changement. Si un outil fournisseur est reclassé comme à haut risque ou retiré du marché, pouvez-vous répondre immédiatement à la question suivante : quels processus en dépendent ? Quelles données sont concernées ? Existe-t-il des alternatives ? ​​Et dans quelles délais pourriez-vous réagir ? »

Une approche mature avec la norme ISO 42001

Pour acquérir l'agilité nécessaire au maintien de leur conformité face aux évolutions réglementaires, aux reclassements de fournisseurs et aux réorientations stratégiques, les organisations doivent adopter une approche structurée et cohérente de la gouvernance, poursuit Reed. C'est là que la norme ISO 42001 peut s'avérer précieuse.

« Cette norme formalise les attentes en matière de gestion des risques, de documentation, de supervision et d’amélioration continue tout au long du cycle de vie de l’IA », explique-t-il. « Pour les organisations qui doivent se conformer à la loi européenne sur l’IA, au RGPD et à la directive NIS2, des référentiels comme l’ISO 42001 permettent de traduire les exigences réglementaires en processus reproductibles que les équipes de conformité et de gestion des risques peuvent mettre en œuvre avec assurance. »

Nik Kairinos, PDG et cofondateur de RAIDS AI, partage des raisons plus pragmatiques expliquant pourquoi la norme ISO 42001 peut être utile.

« L’UE a élaboré un projet de norme européenne répondant spécifiquement aux exigences de l’article 17 de la loi, qui impose des systèmes de gestion de la qualité (SGQ) aux fournisseurs d’IA à haut risque : prEN 18286 (Intelligence artificielle – Système de gestion de la qualité aux fins de la réglementation de la loi européenne sur l’IA), explique-t-il à IO.

« Les organisations déjà certifiées ISO 42001 bénéficient d'une longueur d'avance considérable en matière de conformité à la loi européenne sur l'IA, car cette certification constitue le fondement opérationnel de la norme prEN 18286. Grâce à la présomption de conformité, les organisations qui mettent en œuvre la norme prEN 18286 peuvent supposer qu'elles respectent les obligations de l'article 17 ; c'est donc sur ce point que les entreprises doivent se concentrer. »

L’objectif ne devrait pas être de repartir de zéro, mais plutôt d’étendre les modèles de contrôle et d’assurance existants et pertinents au domaine de l’IA, explique Jones de PSE Consulting.

« Les organisations qui s’adapteront le mieux seront celles qui considèrent l’IA fiable comme une discipline opérationnelle plutôt que comme une simple formalité de conformité », conclut-il. « Si vous savez où se trouve votre IA, qui en est le propriétaire et comment elle réagit en cas de problème, vous êtes déjà en grande partie en phase avec l’esprit de la réglementation. »

Avec des amendes potentielles pour non-conformité pouvant atteindre 15 millions d'euros (13 millions de livres sterling) ou 3 % du chiffre d'affaires annuel mondial, il n'y a pas de temps à perdre.