La loi européenne sur l'IA s'applique-t-elle aux entreprises britanniques ?
Oui, la loi européenne sur l'IA s'applique aux entreprises britanniques qui mettent des systèmes d'IA sur le marché de l'UE ou dont les résultats sont utilisés dans l'UE, quel que soit leur lieu d'établissement. Cette portée extraterritoriale est similaire à celle du RGPD. Les entreprises britanniques qui servent des clients de l'UE doivent se conformer aux obligations de la loi européenne sur l'IA, en plus de toute réglementation britannique sectorielle spécifique en matière d'IA.
En bref, le Brexit n'exempte pas les organisations britanniques de la loi européenne sur l'IA. Si votre produit d'IA est utilisé, commercialisé ou génère des données utilisées dans l'un des 27 États membres de l'UE, vous êtes concerné. La question pratique n'est pas… que vous êtes concerné, mais qui Des obligations s'appliquent et il convient de préciser comment prouver leur conformité.
Pour une analyse complète de la loi elle-même, consultez notre Centre de conformité à la loi européenne sur l'IACette page porte spécifiquement sur l'applicabilité au Royaume-Uni, les obligations et la manière dont cela se fait. ISO 42001 offre aux organisations britanniques une voie structurée vers la conformité.
Quand la loi européenne sur l'IA s'appliquera-t-elle au-delà de l'UE ?
L’article 2 de la loi européenne sur l’IA en définit le champ d’application, et les critères d’application extraterritoriale sont larges. Une entreprise britannique est soumise à cette loi si l’une des conditions suivantes est remplie :
- Vous êtes un fournisseur qui met sur le marché de l'UE un système d'IAQue vous soyez établi ou non dans l'UE, si votre produit d'IA ou votre modèle d'IA à usage général (IAUG) est mis en service ou accessible aux utilisateurs dans l'UE, vous êtes concerné.
- Vous êtes un déployeur établi dans l'UEou un déployeur situé hors de l'UE dont le système d'IA est utilisé dans l'UE.
- Vous êtes importateur ou distributeur Mettre sur le marché de l'UE un système d'IA tiers depuis le Royaume-Uni.
- Vous êtes un fabricant de produits Mettre un système d'IA sur le marché de l'UE avec votre produit sous votre propre nom ou marque.
- Vous êtes un représentant autorisé d'un fournisseur non-UE, établi dans l'UE.
L’expression clé est « résultats utilisés dans l’Union ». Une entreprise SaaS britannique dont la fonctionnalité d’IA est utilisée par un client de l’UE, ou dont le modèle produit des recommandations utilisées par une entreprise de l’UE, est concernée même sans aucune entité, serveur ou employé de l’UE.
Comment la portée extraterritoriale se compare-t-elle au RGPD ?
Les équipes britanniques déjà familiarisées avec la portée extraterritoriale du RGPD retrouveront ce schéma familier. Alors que le RGPD s'applique aux responsables du traitement non européens qui proposent des biens ou des services à des personnes concernées par le RGPD ou qui surveillent leur comportement, la loi européenne sur l'IA s'applique aux fournisseurs et aux déployeurs non européens dont les systèmes ou les résultats d'IA sont utilisés sur le marché de l'UE. La leçon pratique est la même : le lieu d'établissement ne définit pas le champ d'application. Ce qui compte, c'est la destination de vos utilisateurs et de vos résultats.
Quelles sont les règles spécifiques du Royaume-Uni en matière d'IA ?
Le Royaume-Uni a délibérément opté pour une approche différente. Plutôt qu'une loi unique et horizontale sur l'IA, le Livre blanc 2023 du gouvernement britannique, intitulé « Une approche pro-innovation de la réglementation de l'IA », a défini un cadre sectoriel fondé sur des principes. Cette approche repose sur cinq principes transversaux :
- Sûreté, sécurité et robustesse
- Transparence et explicabilité appropriées
- Équité
- Responsabilité et gouvernance
- Contestabilité et recours
Ces principes sont mis en œuvre par les autorités de régulation britanniques existantes (ICO, FCA, Ofcom, CMA, MHRA et autres) dans le cadre de leurs compétences actuelles, plutôt que par une nouvelle autorité statutaire dédiée à l'IA. Le Royaume-Uni a également créé l'Institut de sécurité de l'IA (devenu depuis l'Institut de sûreté de l'IA) afin d'évaluer les modèles émergents et a annoncé une législation ciblée pour les modèles les plus performants, tout en conservant un cadre général fondé sur des principes.
Pour les organisations britanniques, cela crée une réalité à double facette :
- Activité réservée au Royaume-Uni: les attentes des organismes de réglementation sectoriels, la législation en vigueur (protection des données, égalité, consommateurs, sécurité des produits, services financiers) et les principes transversaux.
- activité du marché de l'UE: le régime complet de niveaux de risque de la loi européenne sur l'IA, en plus des obligations britanniques.
An programme de gouvernance de l'IA Une approche qui ne prend en compte que les attentes du Royaume-Uni est insuffisante pour toute entreprise ayant des activités au sein de l'UE. De même, un projet de loi européen sur l'IA qui ignore les attentes du régulateur britannique passe à côté d'une grande partie des enjeux pour une organisation dont le siège social est au Royaume-Uni. ISO 42001 vs loi européenne sur l'IA Cette comparaison explique comment un système de gestion unique peut satisfaire aux deux exigences.
Quelles entreprises britanniques doivent se conformer à la loi européenne sur l'IA ?
Toutes les entreprises britanniques ne sont pas automatiquement concernées. La loi s'applique à des rôles spécifiques tout au long de la chaîne de valeur de l'IA. Les organisations britanniques doivent se soumettre au test suivant.
| Rôle en vertu de la loi européenne sur l'IA | Exemple typique d'entreprise britannique | Dans le champ d'application si… |
|---|---|---|
| Provider | Entreprise britannique de produits SaaS ou d'IA vendant à des clients de l'UE | Vous développez un système d'IA ou un modèle GPAI et le mettez sur le marché de l'UE, ou le mettez en service dans l'UE, sous votre propre nom ou marque. |
| Déployeur | Une entreprise britannique utilise un système d'IA dont les résultats ont un impact sur les utilisateurs de l'UE | Vous utilisez un système d'IA sous votre autorité et les résultats sont utilisés dans l'UE (par exemple, pour la sélection de candidats à un emploi dans l'UE ou le traitement des demandes de clients de l'UE). |
| Importateur | Un revendeur britannique importe dans l'UE un produit d'IA non européen | Vous mettez sur le marché de l'UE un système d'IA provenant d'un fournisseur non membre de l'UE. |
| Distributeurs | Un partenaire britannique met à disposition un système d'IA dans la chaîne d'approvisionnement de l'UE | Vous mettez un système d'IA à disposition sur le marché de l'UE sans en modifier les propriétés. |
| Fabricant de produit | Un fabricant britannique intègre l'IA dans un produit réglementé (dispositif médical, composant automobile) | Vous mettez le produit sur le marché de l'UE sous votre nom, grâce au système d'IA. |
| Représentant autorisé | Entité établie dans l'UE agissant pour le compte d'un fournisseur britannique | Vous êtes officiellement nommé par un fournisseur britannique de systèmes d'IA à haut risque ou de modèles GPAI. |
Une entreprise britannique peut cumuler plusieurs rôles. Une scale-up britannique qui conçoit son propre modèle, l'intègre à un produit et le revend également. IA tierce L'entreprise sera à la fois fournisseur, déployeur et potentiellement distributeur. Chaque rôle implique des obligations spécifiques ; c'est pourquoi une définition claire du périmètre est la première étape essentielle.
Tout ce dont vous avez besoin pour ISO 42001
Contenu structuré, risques cartographiés et flux de travail intégrés pour vous aider à gouverner l'IA de manière responsable et en toute confiance.
Quelles sont les principales obligations de la loi européenne sur l'IA pour les fournisseurs et les déployeurs britanniques ?
La loi européenne sur l'IA classe les systèmes d'IA selon leur niveau de risque : interdits, à haut risque, à risque limité et à risque minimal, un régime distinct étant prévu pour les modèles d'IA à usage général (IAUG). Les obligations sont proportionnelles au risque. Les obligations les plus lourdes incombent aux fournisseurs de systèmes d'IA à haut risque et aux fournisseurs de modèles IAUG présentant un risque systémique.
Obligations des prestataires
- Pratiques interdites (Article 5): aucun fournisseur britannique ne peut mettre sur le marché de l'UE ou mettre en service des systèmes d'IA utilisant des techniques interdites (par exemple, le prélèvement non ciblé d'images faciales pour constituer des bases de données de reconnaissance, la notation sociale, la reconnaissance de certaines émotions sur les lieux de travail et dans les écoles).
- Systèmes d'IA à haut risque (Chapitre III): établir et maintenir un système de gestion des risques tout au long du cycle de vie, assurer la gouvernance des données pour les ensembles de données d'entraînement, de validation et de test, produire la documentation technique, tenir des journaux automatiques, assurer une supervision humaine, atteindre une précision, une robustesse et une cybersécurité appropriées, enregistrer le système dans la base de données de l'UE, effectuer une évaluation de la conformité et apposer le marquage CE.
- Modèles GPAI: publier la documentation technique, publier un résumé suffisamment détaillé du contenu de la formation, mettre en œuvre une politique de droits d'auteur et, pour les modèles présentant un risque systémique, effectuer des évaluations de modèles, évaluer et atténuer les risques systémiques, suivre et signaler les incidents graves et assurer la protection de la cybersécurité.
- Transparence (Article 50): informer les utilisateurs lorsqu'ils interagissent avec un système d'IA, étiqueter les deepfakes et les contenus générés par l'IA, et signaler les textes générés par l'IA sur des sujets d'intérêt public.
Obligations des déployeurs
- Utilisez les systèmes d'IA à haut risque conformément à leurs instructions d'utilisation.
- Confier la supervision humaine à des personnes compétentes et formées
- S'assurer que les données saisies sont pertinentes et suffisamment représentatives de l'objectif visé
- Surveiller le fonctionnement du système d'IA et informer le fournisseur et l'autorité de surveillance du marché des incidents et dysfonctionnements graves.
- Conservez les journaux générés automatiquement pendant au moins six mois.
- Réaliser une évaluation d'impact sur les droits fondamentaux lorsque cela est nécessaire (certains acteurs du secteur public et des services essentiels).
- Informez les représentants des travailleurs et les travailleurs concernés avant de mettre en service un système d'IA à haut risque sur le lieu de travail.
Ces obligations s'intègrent parfaitement à un système de management de type ISO. Les contrôles prévus à l'annexe A de la norme ISO 42001 couvrent la gouvernance des données, les contrôles du cycle de vie, l'analyse d'impact, la supervision humaine, les relations avec les tiers et l'information des parties intéressées. C'est pourquoi de nombreuses organisations britanniques utilisent la norme ISO 42001 comme base de leur réponse à la loi européenne sur l'IA. Consultez notre document complet. Contrôles de l'Annexe A Référence pour plus de détails.
Quand la loi européenne sur l'IA entrera-t-elle en vigueur ?
La loi européenne sur l'IA est entrée en vigueur le 1er août 2024, mais ses obligations s'appliquent progressivement. Les organisations britanniques doivent se préparer en fonction des étapes suivantes.
| Obligation au titre du règlement européen sur l'IA | Date effective | À qui cela s'applique | Implications pour le Royaume-Uni |
|---|---|---|---|
| Pratiques interdites (article 5) et obligations en matière d’alphabétisation en IA (article 4) | 2er Février 2025. | Tous les fournisseurs et déployeurs exposés à l'UE | Les fournisseurs britanniques doivent immédiatement supprimer les cas d'utilisation interdits de leurs produits destinés à l'UE et s'assurer que leur personnel possède les connaissances nécessaires en IA. |
| Obligations et règles de gouvernance du modèle d'IA à usage général (GPAI) | 2 Août 2025 | Fournisseurs de modèles GPAI mis sur le marché de l'UE | Les laboratoires d'IA britanniques et les fournisseurs de modèles de base doivent publier la documentation technique, les résumés des données d'entraînement et les politiques de droits d'auteur pour les modèles disponibles dans l'UE. |
| Obligations, sanctions et organismes notifiés relatifs aux systèmes d’IA à haut risque (systèmes de l’annexe III) | 2 Août 2026 | Fournisseurs et déployeurs de systèmes d'IA à haut risque | Les fournisseurs britanniques de systèmes à haut risque (recrutement, notation de crédit, services essentiels, soutien aux forces de l'ordre et systèmes similaires) doivent réaliser une évaluation de conformité avant de mettre leurs systèmes sur le marché de l'UE. |
| Demande complète, y compris l'IA à haut risque intégrée dans les produits réglementés (Annexe I) | 2 Août 2027 | Fournisseurs d'IA intégrée dans des produits couverts par la législation d'harmonisation de l'UE | Les fabricants britanniques de produits réglementés (dispositifs médicaux, machines, jouets, véhicules) comportant des composants d'IA doivent se conformer aux exigences de la loi européenne sur l'IA, en plus du marquage CE existant. |
Le calendrier est important pour la planification au Royaume-Uni. Les pratiques interdites et les formations à l'IA sont déjà en vigueur. Les obligations GPAI sont applicables aux fournisseurs de services financés par des fondations. Les obligations relatives aux produits à haut risque entreront en vigueur en août 2026, date butoir pour la plupart des produits d'IA commerciaux destinés aux clients de l'UE. Attendre 2027 n'est pas envisageable. Pour en savoir plus sur chaque phase, consultez notre guide. Tout ce que vous devez savoir sur la loi européenne sur l'IA.
Comment la norme ISO 42001 aide-t-elle les entreprises britanniques à se conformer à la loi européenne sur l'IA ?
La norme ISO/IEC 42001:2023 est la première norme internationale relative aux systèmes de management de l'IA. Elle est indépendante de toute juridiction, s'articule autour de 10 clauses d'exigences relatives au système de management, de 38 contrôles (Annexe A) répartis en 9 domaines de contrôle, de lignes directrices normatives pour la mise en œuvre (Annexe B) et d'une correspondance avec d'autres cadres réglementaires, notamment la loi européenne sur l'IA (Annexe D).
Pour les entreprises britanniques soumises aux exigences des autorités de régulation sectorielles britanniques et à la loi européenne sur l'IA, la norme ISO 42001 offre un cadre de contrôle unique qui satisfait aux deux. Le chevauchement est important :
- Politique et gouvernance de l'IALa norme ISO 42001, article 5.2 et annexe A.2, exige une politique, des rôles et des responsabilités documentés en matière d'IA. Ceci témoigne des attentes de responsabilité du Royaume-Uni et des exigences de gouvernance de la loi européenne sur l'IA.
- La gestion des risques: La clause 6.1.2 exige un Gestion des risques liés à l'IA Ce processus correspond directement au système de gestion des risques requis pour les systèmes à haut risque en vertu de l'article 9 de la loi européenne sur l'IA.
- évaluation de l'impact des systèmes d'IAL’article 6.1.4 et l’annexe A.5 exigent des analyses d’impact. Ces dispositions définissent le cadre des analyses d’impact sur les droits fondamentaux requises pour certains déployeurs.
- Gouvernance des donnéesL’annexe A.7 traite de l’acquisition, de la qualité, de la provenance et de la préparation des données. Elle est conforme aux exigences de gouvernance des données prévues à l’article 10 de la loi européenne sur l’intelligence artificielle.
- Contrôles du cycle de vie de l'IAL’annexe A.6 traite des objectifs, de la conception, du développement, du déploiement, de l’exploitation et de la validation. Elle sous-tend les obligations relatives à la documentation technique, à la journalisation, à l’exactitude et à la robustesse énoncées aux articles 11 à 15.
- Transparence et informationL’annexe A.8 contient des informations destinées aux parties intéressées. Elle répond aux exigences de transparence des articles 13 et 50.
- Gestion des tiers et des fournisseursL’annexe A.10 traite des relations avec les fournisseurs. Elle est essentielle pour les déployeurs intégrant des systèmes d’IA tiers dans des services destinés au marché européen.
- surveillance humaine et utilisation responsable: L’annexe A.9 relative à l’utilisation des systèmes d’IA soutient les obligations de surveillance humaine prévues à l’article 14.
Certifié ISO 42001 Système de gestion de l'IA (AIMS) Ce document ne constitue pas, à lui seul, une évaluation de conformité à la réglementation européenne sur l'IA. Il fournit toutefois le système de gestion, les contrôles et les éléments de preuve sous-jacents qui rendent l'évaluation de conformité concrète et non purement théorique. Les organismes notifiés et les autorités de surveillance du marché de l'UE devraient considérer un système de management de l'IA conforme à la norme ISO 42001 comme une preuve solide de la maturité de la gouvernance de l'IA au sein de l'organisation.
Démarrez facilement avec une démonstration de produit personnelle
L'un de nos spécialistes de l'intégration vous guidera à travers notre plateforme pour vous aider à démarrer en toute confiance.
Comment ISMS.online cartographie la conformité en matière d'IA au Royaume-Uni et dans l'UE sur une seule plateforme
ISMS.en ligne offre aux organisations britanniques un espace de travail unique pour gérer la norme ISO 42001, se conformer aux obligations de la loi européenne sur l'IA et répondre aux exigences des autorités de réglementation britanniques, sans avoir à gérer trois programmes parallèles. Les principales fonctionnalités pour cette double approche, au Royaume-Uni et en Europe, sont les suivantes :
- AIMS préconfiguré. Un système de gestion de l'IA opérationnel, conforme aux 10 clauses de la norme ISO 42001 et prêt à être adapté à votre contexte britannique et européen dès le premier jour.
- Définition du périmètre en fonction des rôles. Identifiez vos rôles au titre de la loi européenne sur l'IA (fournisseur, déployeur, importateur, distributeur) pour chaque système d'IA, afin que les obligations soient attribuées à l'entité appropriée.
- Outils d'enregistrement des risques liés à l'IA et d'évaluation de l'impact. Des registres dédiés pour la clause 6.1.2 Risques liés à l'IA et la clause 6.1.4 Évaluation de l'impact du système d'IA, structurés pour prouver la gestion des risques de l'article 9 de la loi européenne sur l'IA et les évaluations d'impact sur les droits fondamentaux lorsque cela est requis.
- Ensembles de politiques alignés sur l'annexe A.2. Pré-rédigé Politique d'IA Des modèles avec contrôle de version, des flux d'approbation et des attestations d'utilisateurs permettent de démontrer que les politiques sont effectivement en vigueur.
- Générateur de déclaration d'applicabilité. Maintenir une déclaration d'applicabilité à jour pour l'ensemble des 38 contrôles de l'annexe A, avec des références croisées aux articles de la loi européenne sur l'IA et aux attentes du régulateur britannique.
- Gestion des audits. Planifier et exécuter des audits internes (clause 9.2) étiquetés selon la norme ISO 42001, la loi européenne sur l'IA et les principes britanniques, avec des conclusions liées à des actions correctives.
- Intégration multi-standards. Partagez les données relatives aux risques, aux preuves et aux politiques avec la norme ISO 27001 et d'autres normes que vous utilisez déjà, afin que la gouvernance de l'IA s'intègre à votre système de gestion existant et ne constitue pas un projet distinct.
Le résultat est que lorsqu'un client de l'UE vous demande comment vous traitez les articles 9, 10 ou 14, ou lorsqu'un organisme de réglementation britannique vous demande comment vous prouvez l'équité, la responsabilité et le contrôle humain, la réponse est une analyse approfondie unique sur une seule plateforme, et non un exercice de collecte de preuves à travers cinq outils. Consultez notre guide de mise en œuvre pour le parcours d'adoption de bout en bout.
Pourquoi choisir ISMS.online pour la conformité à la loi européenne sur l'IA ?
ISMS.en ligne Cette solution a été conçue pour offrir aux organisations britanniques une approche pratique de la loi européenne sur l'IA, basée sur la norme ISO 42001, sans qu'elles aient à jongler avec des feuilles de calcul et des outils GRC génériques. Voici ce qu'elle propose :
- Un système AIMS fonctionnel dès le premier jour. Cadre préconfiguré couvrant l'ensemble des 10 clauses et 38 Contrôles de l'Annexe A, votre équipe commence donc à adapter le produit plutôt qu'à le concevoir à partir de zéro.
- Définition claire du rôle de l'UE. Identifier le statut de fournisseur, de déployeur, d'importateur et de distributeur pour chaque système d'IA, afin que les obligations liées à la loi européenne sur l'IA soient correctement attribuées dès le départ.
- Outils d'évaluation des risques et des impacts spécifiques à l'IA. Des registres dédiés à l'évaluation des risques liés à l'IA et à l'impact des systèmes d'IA, avec des systèmes de notation, des plans de traitement et des cycles de révision alignés sur les exigences de la norme ISO 42001 et de la loi européenne sur l'IA.
- Bibliothèque de politiques avec suivi des adoptions. Des politiques d'IA pré-rédigées avec des flux d'approbation, des attestations d'utilisateurs et des rapports d'adoption en temps réel, de sorte que la politique soit effectivement en vigueur pour les régulateurs britanniques et les autorités de surveillance du marché de l'UE.
- Données partagées multi-normes. Une seule plateforme pour les normes ISO 42001, ISO 27001 et plus encore, avec des risques, des contrôles et des preuves partagés, vous permettant ainsi d'éviter les efforts redondants pour les organisations utilisant plusieurs systèmes de gestion.
- Méthode de résultats assurés. Une approche de mise en œuvre éprouvée qui a aidé des centaines d'organisations à obtenir leur certification dès la première fois, grâce à un accompagnement à l'intégration et à l'adoption, ainsi qu'à une assistance humaine en direct.
- Assistance basée au Royaume-Uni. Une équipe britannique qui comprend à la fois les attentes des régulateurs du secteur britannique et les obligations du marché de l'UE, avec une assistance en direct lorsque les questions de cadrage deviennent difficiles.
Prêts à voir la plateforme en action ? Demander demo.
FAQ
La loi européenne sur l'IA s'applique-t-elle aux entreprises britanniques qui n'ont pas de bureau dans l'UE ?
Oui, si le système d'IA est commercialisé dans l'UE, mis en service dans l'UE ou si ses résultats sont utilisés dans l'UE. Une entreprise SaaS britannique sans entité, personnel ni serveurs dans l'UE est également concernée si des clients européens utilisent la fonctionnalité d'IA ou ses résultats. Le critère déterminant est le lieu de déploiement du système d'IA ou de ses résultats, et non le lieu d'enregistrement de l'entreprise.
Existe-t-il un équivalent britannique de la loi européenne sur l'IA ?
Il ne s'agit pas d'une loi unique et horizontale. Le Royaume-Uni a adopté une approche favorable à l'innovation, fondée sur des principes et pilotée par les secteurs, avec des principes transversaux (sécurité, transparence, équité, responsabilité, concurrence) mis en œuvre par les autorités de régulation existantes. Le gouvernement a annoncé une législation ciblée pour les modèles les plus performants. Pour l'instant, les obligations britanniques en matière d'IA relèvent de la législation existante (protection des données, égalité, sécurité des produits, services financiers) et des recommandations des autorités de régulation, plutôt que d'une loi dédiée à l'IA.
Quand les entreprises britanniques doivent-elles se conformer à la loi européenne sur l'IA ?
Les obligations s'appliquent progressivement. Les pratiques interdites et les exigences en matière de connaissances en IA sont applicables depuis le 2 février 2025. Les obligations relatives aux modèles d'IA à usage général s'appliquent à compter du 2 août 2025. Les obligations relatives aux systèmes d'IA à haut risque s'appliquent à compter du 2 août 2026. L'application complète, y compris l'IA intégrée aux produits réglementés, s'applique à compter du 2 août 2027. Les entreprises britanniques doivent considérer août 2026 comme la date limite opérationnelle pour la plupart des produits d'IA commerciaux destinés aux clients de l'UE.
La certification ISO 42001 signifie-t-elle que nous sommes conformes à la loi européenne sur l'IA ?
Pas automatiquement. La certification ISO 42001 atteste de la maturité de votre système de gestion de l'IA, couvrant la gouvernance, les risques, le cycle de vie, les données, la transparence et la supervision. Elle constitue une preuve solide de la gouvernance de l'IA au sein de votre organisation et est étroitement alignée sur la réglementation européenne relative à l'IA. Toutefois, cette dernière exige des évaluations de conformité et des enregistrements spécifiques au niveau des produits pour les systèmes à haut risque qui s'ajoutent au système de gestion. Un système de gestion de l'IA certifié ISO 42001 rend ces évaluations de conformité concrètes et non plus de simples aspirations.
Les entreprises britanniques qui déploient des outils d'IA tiers sont-elles concernées par la loi européenne sur l'IA ?
Oui, si les résultats du système d'IA sont utilisés dans l'UE. Une entreprise britannique qui utilise un outil d'IA tiers pour sélectionner des candidats à l'emploi de l'UE, recommander des produits aux consommateurs de l'UE ou traiter les demandes de clients de l'UE est considérée comme un déployeur au sens de la loi. Les obligations du déployeur sont moins contraignantes que celles du fournisseur, mais comprennent néanmoins le respect des instructions d'utilisation, la supervision humaine, le suivi du fonctionnement, la conservation des journaux et, dans certains cas, la réalisation d'une analyse d'impact sur les droits fondamentaux.
Quelles sont les sanctions encourues par les entreprises britanniques qui enfreignent la loi européenne sur l'IA ?
Les sanctions sont progressives et importantes. Les infractions liées aux pratiques d'IA interdites peuvent entraîner des amendes allant jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires annuel mondial, le montant le plus élevé étant retenu. Le non-respect de la plupart des autres obligations (exigences relatives aux systèmes à haut risque, transparence, etc.) peut entraîner des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel mondial. La communication d'informations inexactes ou trompeuses aux autorités peut entraîner des amendes allant jusqu'à 7.5 millions d'euros ou 1 % du chiffre d'affaires annuel mondial. Les PME et les start-ups sont soumises au montant le plus faible. L'immatriculation au Royaume-Uni n'exonère pas une entreprise de ces sanctions lorsque la loi s'applique.
Comment une entreprise britannique doit-elle commencer à se préparer à la conformité avec la loi européenne sur l'IA ?
Commencez par un exercice de cadrage : listez tous les systèmes d’IA que vous développez, déployez, importez ou distribuez, et identifiez ceux qui présentent un risque pour l’UE. Pour chacun, déterminez votre rôle (fournisseur, déployeur, importateur, distributeur) et le niveau de risque (interdit, à haut risque, limité, minimal ou GPAI). Adoptez ensuite un système de management de l’IA conforme à la norme ISO 42001 comme cadre de référence, afin que la gouvernance, les risques, les données, le cycle de vie, la transparence et la supervision soient gérés au sein d’un même système. ISMS.en ligne vous fournit un système AIMS préconfiguré, les registres et les politiques dont vous avez besoin, et un chemin vers la certification ISO 42001 qui sert également de preuve de conformité à la loi européenne sur l'IA.
