La date limite du 2 août 2026 pour la mise en conformité obligatoire des IA à haut risque, prévue par la loi européenne sur l'IA, a été reportée. Les mesures récemment adoptées Omnibus numérique de l'UE Concernant l'IA, certaines exigences sont reportées au 2 décembre 2027, et d'autres au 2 août 2028.
La Commission européenne a annoncé que le nouveau calendrier de mise en œuvre des règles régissant les systèmes à haut risque « facilitera la mise en œuvre de la loi sur l'IA pour les entreprises européennes, tout en garantissant des avantages pour la société européenne, la sécurité et les droits fondamentaux ».
Quelles obligations ont changé dans le cadre du Digital Omnibus, lesquelles sont restées inchangées et comment les organisations peuvent-elles garantir leur conformité avant les nouvelles échéances ?
Qu’est-ce que change le Digital Omnibus ?
Le Digital Omnibus comprend des mesures de simplification ciblées de la loi européenne sur l'IA, notamment :
- Extension des simplifications réglementaires accordées aux PME aux TPE, notamment par la simplification de la documentation technique et un traitement particulier dans l'application des sanctions.
- Suppression de l'obligation d'établir un plan de surveillance post-commercialisation harmonisé
- Réduire les contraintes d'enregistrement pour les fournisseurs de systèmes d'IA utilisés dans des domaines à haut risque, mais pour lesquels le fournisseur a conclu qu'ils ne présentent pas de risque élevé car ils ne sont utilisés que pour des tâches spécifiques ou procédurales.
- Autoriser les fournisseurs et les déployeurs d'IA à traiter des catégories particulières de données personnelles afin de détecter et de corriger les biais algorithmiques.
- Un recours plus large aux bacs à sable réglementaires pour l'IA et aux tests en conditions réelles, et la facilitation d'un bac à sable réglementaire pour l'IA au niveau de l'UE que le Bureau de l'IA mettra en place à partir de 2028.
- Des modifications ciblées clarifiant l'interaction entre la loi européenne sur l'IA et les autres législations de l'UE et ajustant les procédures de la loi afin d'améliorer sa mise en œuvre et son fonctionnement globaux.
La Commission élabore également des orientations complémentaires afin de faciliter la mise en œuvre de la loi européenne sur l'IA, en fournissant des instructions claires et pratiques pour appliquer cette loi parallèlement aux autres textes législatifs de l'UE. Les nouvelles dates d'application seront liées aux échéances de mise en œuvre des obligations en fonction de la disponibilité de ces orientations.
Respect des obligations de transparence de la loi européenne sur l'IA
Un récemment publié Code de bonnes pratiques sur la transparence du contenu généré par l'IA Ce code aborde les points essentiels à prendre en compte par les fournisseurs et les déployeurs de systèmes d'IA générant du contenu relevant de l'article 50 de la loi, relatif aux obligations de transparence des fournisseurs et des déployeurs de certains systèmes d'IA. Il vise à aider les organisations à démontrer leur conformité, mais ne constitue pas en soi une preuve concluante de cette conformité.
Conformément aux nouvelles exigences, les fournisseurs de systèmes d'IA destinés à interagir directement avec les individus devront concevoir ces systèmes de manière à informer les utilisateurs qu'ils interagissent avec un système d'IA. Par exemple, un chatbot de support client devra être conçu pour indiquer aux utilisateurs qu'il s'agit d'un chatbot.
De plus, le Code de bonnes pratiques sur la transparence des contenus générés par l'IA détaille les exigences spécifiques applicables aux systèmes d'IA qui génèrent des textes, des images, des vidéos, des fichiers audio ou une combinaison de ces formats de manière synthétique. Les fournisseurs et les déployeurs de ces systèmes doivent utiliser des formats lisibles par machine pour indiquer que les contenus produits sont générés ou manipulés par l'IA. Des règles spécifiques encadrent l'étiquetage des deepfakes générés ou manipulés par l'IA et des textes publiés portant sur des sujets d'intérêt public.
Exigences existantes pour les systèmes d'IA à haut risque
Les systèmes d'IA sont considérés comme présentant un risque élevé en vertu de la loi européenne sur l'IA s'ils constituent une menace importante pour la santé, la sécurité ou les droits fondamentaux, ou s'ils sont utilisés dans des domaines tels que la biométrie, l'éducation, l'emploi ou les infrastructures critiques.
Les systèmes classés comme à haut risque doivent se conformer à des exigences spécifiques :
Gestion des risques: Un système de gestion des risques continu doit être mis en place pour surveiller l'IA tout au long de son cycle de vie.
Gouvernance des données : Des pratiques de gouvernance des données doivent être adoptées afin de garantir que les données de formation, de validation et de test répondent à des critères de qualité spécifiques.
Documentation technique: Les fournisseurs de systèmes d'IA à haut risque doivent tenir à jour une documentation technique complète concernant le système, incluant les spécifications de conception, les capacités, les limitations et les efforts de conformité réglementaire.
Enregistrement : Les systèmes d'IA à haut risque doivent consigner automatiquement les événements afin de garantir la responsabilité et la traçabilité.
Surveillance humaine : Les systèmes d'IA à haut risque doivent être conçus de manière à permettre leur supervision humaine, minimisant ainsi les risques pour la santé, la sécurité et les droits fondamentaux. Les mesures de supervision humaine peuvent être intégrées au système par le fournisseur ou mises en œuvre par l'utilisateur.
Précision, robustesse et cybersécurité : Les systèmes d'IA à haut risque doivent être conçus et développés de manière à atteindre un niveau approprié de précision, de robustesse et de cybersécurité.
Évaluations de conformité : Les systèmes d'IA à haut risque doivent faire l'objet d'évaluations de conformité afin de garantir qu'ils respectent les normes juridiques, techniques et éthiques avant d'être mis sur le marché ou mis en service.
Enregistrement: Les fournisseurs de systèmes d'IA à haut risque doivent s'enregistrer, ainsi que leurs systèmes, dans une base de données centralisée de l'UE avant de mettre leurs systèmes sur le marché ou de les mettre en service.
Marquage CE: Les systèmes d'IA à haut risque doivent porter le marquage CE pour attester de leur conformité aux normes de sécurité de l'UE. Ce marquage doit être parfaitement visible. S'il est impossible de l'apposer physiquement sur le système, il doit figurer sur l'emballage ou dans la documentation.
Réussir la mise en conformité avec la loi européenne sur l'IA grâce à la norme ISO 42001
Pour les fournisseurs ou les déployeurs de systèmes d'IA à haut risque qui commencent tout juste à s'acquitter de leurs obligations en vertu de la loi, le nouveau calendrier offre un délai supplémentaire pour intégrer une approche intelligente et structurée de la gouvernance de l'IA.
Ici, ISO 42001 Elle fournit un cadre de bonnes pratiques. Nombre de ses exigences sont alignées sur celles de la réglementation européenne sur l'IA : classification des risques, mesures de transparence, structures de responsabilité et supervision humaine. Toutefois, la conformité à la norme ISO 42001 ne garantit pas la conformité à la réglementation européenne sur l'IA, et inversement.
La norme ISO 42001 propose une approche logique de la gouvernance de l'IA, permettant aux organisations de mettre en place un système de gestion de l'IA (SGIA) éthique et durable. En appliquant l'ISO 42001, les organisations peuvent garantir que les systèmes d'IA sont développés, mis en œuvre et utilisés en privilégiant la sécurité, la transparence et la responsabilité – des principes fondamentaux de la loi.
L'utilisation du cadre ISO 42001 et sa mise en correspondance avec les exigences de la loi européenne sur l'IA permettent aux fournisseurs et aux déployeurs de systèmes d'IA à haut risque d'intégrer une gouvernance robuste et de répondre de manière proactive aux exigences de la loi en dehors du champ d'application de l'ISO 42001, garantissant ainsi la conformité avant l'échéance de 2027.
Élargissez vos connaissances
Webinaire (anglais seulement): L’ISO 42001 en action : enseignements tirés de l’une des premières certifications ISO 42001 au monde
