L’avenir, c’est maintenant : préparez votre entreprise à la loi européenne sur l’IA

La loi révolutionnaire de l’Union européenne sur l’IA, approuvé par les législateurs mercredi, devrait faire du bloc un leader mondial en matière de gouvernance de l’IA. La législation, qui a reçu un soutien massif des députés européens, vise à sauvegarder les droits fondamentaux, la démocratie, l’État de droit et la durabilité environnementale tout en favorisant l’innovation en réglementant les systèmes d’IA en fonction de leurs risques et impacts potentiels.

Les implications sont importantes pour les entreprises opérant au sein de l’UE ou s’engageant avec des clients et partenaires basés dans l’UE. Un alignement proactif sur les dispositions de la loi sur l'IA peut conduire à un avantage concurrentiel en matière de confiance, de transparence et d'innovation responsable, tandis que le non-respect risque d'amendes, d'atteinte à la réputation et d'opportunités perdues.

Alors, comment les entreprises peuvent-elles se préparer à naviguer avec succès dans ce nouveau paysage de l’IA ? Nous examinons les dispositions essentielles de la loi sur l'IA, son impact potentiel sur diverses fonctions commerciales et les mesures pratiques que vous pouvez prendre pour garantir la conformité et tirer parti des avantages de ce nouveau paradigme de l'IA.

Comprendre la loi européenne sur l’IA

La loi de l'UE sur l'IA est un cadre réglementaire novateur qui vise à garantir que les technologies d'IA sont développées et utilisées en toute sécurité, de manière transparente et d'une manière qui respecte les droits et libertés des citoyens de l'UE. 

• Son poids record  but est de créer un ensemble harmonisé de règles pour l’IA dans les États membres de l’UE, en mettant l’accent sur la protection des droits fondamentaux et de la sécurité. 
• Les portée La loi est large et couvre un large éventail d’applications de l’IA, des chatbots aux algorithmes complexes d’apprentissage automatique. 
• Son poids record  objectifs principaux comprennent la promotion de l’innovation en matière d’IA au sein de l’UE, la garantie de la sécurité des systèmes d’IA et de la protection des droits fondamentaux, ainsi que l’instauration d’une clarté juridique pour les entreprises et les développeurs.

Classification des systèmes d'IA

La loi introduit un Approche fondée sur le risque à la réglementation de l’IA, en catégorisant les systèmes d’IA en fonction du niveau de risque qu’ils représentent pour la société :

Risque inacceptable:

Les systèmes d'IA qui manipulent le comportement humain pour contourner le libre arbitre des utilisateurs ou les systèmes qui permettent aux gouvernements d'évaluer les réseaux sociaux sont interdits. Les exemples comprennent: 

• Manipulation cognitivo-comportementale de personnes ou de groupes vulnérables spécifiques
• Score social : classer les personnes en fonction de leur comportement, de leur statut socio-économique ou de leurs caractéristiques personnelles
• Identification biométrique et catégorisation des personnes
• Systèmes d'identification biométrique en temps réel et à distance, tels que la reconnaissance faciale

Risque élevé:

Ces systèmes seront évalués avant leur mise sur le marché et tout au long de leur cycle de vie. Les citoyens auront le droit de déposer des plaintes concernant les systèmes d’IA auprès des autorités nationales désignées. Les exemples comprennent: 

• Des infrastructures critiques telles que les transports, le réseau électrique et l'eau, qui pourraient mettre en danger la vie et la santé des citoyens.
• Formation éducative ou professionnelle pouvant déterminer l'accès à l'éducation et le parcours professionnel de la vie d'une personne (par exemple la notation des examens)
• Composants de sécurité des produits, par exemple, application de l'IA en chirurgie assistée par robot
• Emploi, gestion des travailleurs et accès au travail indépendant (par exemple logiciel de tri de CV pour les procédures de recrutement)
• Des services privés et publics essentiels tels que la notation de crédit qui pourraient priver les citoyens de la possibilité d'obtenir un prêt
• Application de la loi susceptible d'interférer avec les droits fondamentaux des personnes, comme l'évaluation de la fiabilité des preuves
• Gestion des migrations, de l'asile et des contrôles aux frontières (par exemple, examen automatisé des demandes de visa)
• Administration de la justice et processus démocratiques, tels que les solutions d'IA pour rechercher des décisions de justice

Risque limité:

Autres systèmes d'IA qui présentent un risque minime ou nul pour les droits ou la sécurité des citoyens de l'UE. Les fournisseurs de ces services doivent s’assurer qu’ils sont conçus et développés pour garantir que les utilisateurs individuels sachent qu’ils interagissent avec un système d’IA. Les fournisseurs peuvent volontairement s'engager à respecter les codes de conduite élaborés par l'industrie, tels que la norme ISO/IEC 42001. Des exemples de systèmes d’IA à faible risque comprennent :

• Chatbots / Assistants Virtuels
•  Jeux vidéo basés sur l'IA 
• Filtres anti-spam 

Modèles d'IA à usage général:

En vertu de la loi, ceux-ci sont définis comme des modèles d’IA qui affichent une généralité significative, peuvent effectuer avec compétence un large éventail de tâches distinctes et peuvent être intégrés dans divers systèmes ou applications en aval. Voici quelques exemples :

• Services de reconnaissance d’images/parole
• Services de génération audio/vidéo 
• Systèmes de détection de modèles
• Services de traduction automatisée

Les exigences de conformité

Les exigences générales de conformité pour les systèmes d’IA en vertu de la loi comprennent :

• Évaluations d'impact sur les droits fondamentaux (FRIA) – avant leur déploiement, les systèmes d’IA doivent évaluer l’impact que ces systèmes peuvent produire sur les droits fondamentaux. Si une analyse d’impact sur la protection des données est requise, la FRIA doit être menée conjointement avec cette DPIA. 
• Évaluations de conformité (CA) -Les AC doivent être réalisées avant de mettre une IA sur le marché de l'UE ou lorsqu'un système d'IA à haut risque est substantiellement modifié. Les importateurs de systèmes d'IA devront également s'assurer que le fournisseur étranger a déjà effectué la procédure d'AC appropriée.
• Mettre en œuvre des systèmes de gestion des risques et de gestion de la qualité évaluer et atténuer en permanence les risques systémiques. Les exemples incluent ISO 9001.
• Transparence-Certains systèmes d’IA doivent par exemple être transparents là où il existe un risque évident de manipulation, comme via les chatbots. Les individus doivent être informés lorsqu’ils interagissent avec l’IA ; Le contenu de l’IA doit être étiqueté et détectable. 
• Contrôle continu - Les services d’IA doivent assurer des tests et une surveillance continus pour garantir l’exactitude, la robustesse et la cybersécurité. 

Pour les systèmes d’IA à haut risque, en plus de ce qui précède, les entreprises devront également garantir : 

• Qualité des données: Garantissez l’exactitude, la fiabilité et l’intégrité des données utilisées par les systèmes d’IA, en minimisant les erreurs et les biais qui pourraient conduire à des décisions erronées.
• Documentation et Traçabilité : Tenir des registres et une documentation complets sur les opérations du système d’IA, les processus décisionnels et les sources de données. Cela garantit la transparence et facilite l’audit, permettant la traçabilité des décisions d’IA jusqu’à leur origine.
• Surveillance humaine : Établir des mécanismes de surveillance humaine, permettant une intervention humaine dans les opérations du système d’IA. Cette protection garantit que les décisions de l'IA peuvent être examinées, interprétées et, si nécessaire, annulées par des opérateurs humains, conservant ainsi le contrôle humain sur les décisions critiques.

En outre, lorsque les autorités publiques déploient des systèmes d’IA, elles sont tenues de les enregistrer dans une base de données publique de l’UE afin de promouvoir la transparence et la responsabilité, sauf pour les utilisations liées à l’application de la loi ou à la migration.

Qu'en est-il du chat GPT ?

Les fournisseurs d’IA générative qui génèrent du contenu synthétique audio, image, vidéo ou texte doivent garantir que le contenu est marqué dans un format lisible par machine et détectable comme généré ou manipulé artificiellement.

Ils doivent également se conformer aux exigences de transparence et à la législation européenne sur le droit d’auteur. Certaines des obligations sont :

• Divulguer que l'IA a créé le contenu
• Concevoir le modèle pour l'empêcher de générer du contenu illégal
• Publier des résumés des données protégées par le droit d'auteur utilisées pour la formation

Amendes et exécution

L'Office de l'IA de la Commission européenne supervisera les systèmes d'IA dérivés de modèles d'IA à usage général par le même fournisseur, fonctionnant avec l'autorité de surveillance du marché. D’autres systèmes d’IA relèveront de la supervision des organismes nationaux de surveillance du marché.

Le Bureau de l’IA coordonnera la gouvernance et l’application des règles à l’échelle de l’UE pour l’IA à usage général, tandis que les États membres définiront les mesures d’application, y compris les sanctions et les mesures non monétaires. Bien que les individus puissent signaler les infractions aux autorités nationales, la loi ne permet pas de réclamations individuelles en dommages-intérêts. Il existe des sanctions pour : 

• Violations interdites de l'IA, jusqu'à 7% du chiffre d'affaires annuel mondial soit 35 millions d'euros. 
• La plupart des autres violations représentent jusqu'à 3 % du chiffre d'affaires annuel global, soit 15 millions d'euros. 
• Fourniture d'informations erronées aux autorités, jusqu'à 1% du chiffre d'affaires annuel global ou 7.5 millions d'euros. 

Le Conseil d'AI donnera des conseils sur la mise en œuvre de la loi, se coordonnera avec les autorités nationales et émettra des recommandations et des avis.

Délais de conformité

La loi sur l’IA devrait devenir loi d’ici juin de cette année, et ses dispositions commenceront à entrer en vigueur par étapes : 

• Six mois plus tard, les pays devront interdire les systèmes d’IA interdits
• Un an plus tard, les règles applicables aux systèmes d’IA à usage général commenceront à s’appliquer
• Deux ans plus tard, l’ensemble de la loi sur l’IA sera applicable. 

Impact sur les entreprises

La loi européenne sur l’IA aura des conséquences considérables dans tous les secteurs, de la technologie et de la santé à la finance et même aux fonctions commerciales individuelles cruciales pour vos opérations. Comprendre comment la loi affectera votre secteur d'activité et vos fonctions commerciales spécifiques vous permettra d'aligner de manière proactive vos pratiques d'IA sur les nouvelles exigences.

Considérations générales sur les opérations commerciales

• Développement produit: Vous devez intégrer les principes de « l’éthique dès la conception », en veillant à ce que les systèmes d’IA soient développés dès le départ dans un souci d’équité, de transparence et de responsabilité.
• Marketing et ventes: Soyez prêt à fournir à vos clients des informations détaillées sur vos offres d’IA, y compris leur classification des risques et leur conformité à la loi.
• Juridique et conformité : Travaillez en étroite collaboration avec votre équipe juridique pour interpréter les dispositions de la loi, évaluer les niveaux de risque de votre portefeuille d'IA et mettre en œuvre les garanties et la documentation nécessaires.
• RH et recrutement : Si vous utilisez l’IA pour l’embauche et l’évaluation des employés, assurez-vous que les systèmes sont audités pour déceler tout parti pris et autorisent la surveillance humaine et les appels.
• Service à la clientèle: Les chatbots et les assistants virtuels basés sur l’IA doivent être transparents quant à leur nature artificielle et offrir des options de remontée humaine.

Changements opérationnels nécessaires

Les entreprises de tous les secteurs devront mettre en œuvre une variété de changements opérationnels pour se conformer à la loi de l’UE sur l’IA, notamment :

• Ajustement des modèles d'IA: Garantir que les algorithmes d’IA sont équitables, transparents et explicables peut nécessiter une refonte ou une mise à jour pour éliminer les biais et améliorer l’interprétabilité.
• Pratiques de traitement des données: Adopter des pratiques de gouvernance des données plus strictes, en mettant l’accent sur la qualité, la sécurité et la confidentialité des données. Cela inclut une source de données précise, un stockage sécurisé des données et une utilisation éthique des données.
• Mesures de transparence: Augmenter la transparence des systèmes d’IA, en particulier ceux qui interagissent directement avec les consommateurs. Les entreprises devront peut-être développer des mécanismes pour expliquer comment leurs systèmes d’IA prennent des décisions ou font des recommandations.

Considérations juridiques et éthiques

Le paysage juridique et éthique des entreprises évoluera également dans le cadre de la loi européenne sur l’IA, en mettant fortement l’accent sur :

• Responsabilité: Les entreprises sont tenues responsables des systèmes d’IA qu’elles déploient. Cela implique de garantir que les systèmes d’IA sont sûrs et non discriminatoires et qu’ils respectent le droit à la vie privée. Les entreprises devront peut-être établir des processus internes pour une surveillance continue de l’IA et un audit de conformité.
• Protection des droits fondamentaux: La loi renforce la protection des droits fondamentaux, notamment la vie privée, la non-discrimination et la liberté de manipulation. Cela nécessite un examen éthique approfondi des applications de l’IA pour garantir qu’elles ne violent pas ces droits.
• Utilisation éthique de l'IA: Au-delà de la conformité légale, il y a une tendance vers des considérations éthiques dans le développement et le déploiement de l’IA. Cela implique de garantir que les systèmes d’IA contribuent positivement à la société, n’exacerbent pas les inégalités sociales et sont conçus dans l’intérêt public.

Étapes pour préparer votre entreprise

Pour préparer efficacement votre entreprise à l'EU AI Act, rationalisez vos efforts en vous concentrant sur les étapes critiques et en tirant parti des cadres établis, tels que la norme ISO 42001, pour les systèmes de gestion de l'IA. Voici quelques premières étapes pratiques :

• Réaliser un audit IA : Faites le point sur tous vos systèmes d'IA, catégorisez-les par niveau de risque et identifiez les lacunes par rapport aux exigences de la loi.
• Impliquer les parties prenantes : Impliquer les principales parties prenantes des départements produits, juridiques, marketing, RH et autres départements concernés pour élaborer un plan d'action complet.
• Investissez dans une IA explicable : Privilégiez les solutions d’IA qui expliquent clairement leur processus de prise de décision, facilitant ainsi le respect des obligations de transparence.
• Renforcer la gouvernance des données : Examinez vos pratiques de collecte, de stockage et de traitement des données pour garantir le respect des normes de qualité des données et de confidentialité de la loi.
• Favoriser une culture d’IA responsable : Éduquez les employés sur le développement et l’utilisation éthiques de l’IA et encouragez le respect des principes de la loi.

Adopter le cadre de gouvernance ISO 42001

ISO/IEC 42001 est une norme internationale qui fournit un cadre pour établir, mettre en œuvre, maintenir et améliorer continuellement un système de gestion de l'intelligence artificielle au sein des organisations. Il aborde les défis de gestion uniques posés par les systèmes d’IA, notamment la transparence et l’explicabilité, afin de garantir leur utilisation et leur développement responsables.

Aspects critiques de la norme ISO 42001 :

• Gestion des risques: It fournit un cadre pour identifier, évaluer et gérer les risques tout au long du cycle de vie des systèmes d'IA, de la conception et du développement au déploiement et au démantèlement.
• Considérations éthiques: La norme souligne l’importance des considérations éthiques dans l’utilisation de l’IA, notamment la transparence et la responsabilité, et veille à ce que les systèmes d’IA ne renforcent pas les préjugés existants ou n’en créent pas de nouveaux.
• Protection des données: Étant donné que les systèmes d’IA traitent souvent de grandes quantités de données personnelles et sensibles, la norme ISO 42001 décrit les pratiques en matière de protection des données et de confidentialité, en s’alignant sur les réglementations mondiales en matière de protection des données telles que le RGPD.
• Mesures de sécurité de l'IA : Il détaille les mesures de sécurité spécifiques pour les systèmes d'IA, notamment la sécurisation des algorithmes d'IA contre la falsification, la garantie de l'intégrité des entrées de données et la protection de la confidentialité des données.
• Réponse à l'incident: La norme comprend des lignes directrices pour développer un plan de réponse aux incidents adapté aux défis uniques posés par les technologies d'IA, garantissant que les organisations peuvent répondre efficacement aux incidents de sécurité impliquant les systèmes d'IA.

Les avantages de l'adoption de la norme ISO 42001 

1. Confiance améliorée : En adhérant à une norme mondialement reconnue, les organisations peuvent instaurer la confiance avec leurs clients, partenaires et régulateurs en démontrant leur engagement en faveur d’une utilisation sécurisée et éthique de l’IA.
2. Risques réduits : La mise en œuvre du cadre de gestion des risques ISO 42001 aide les organisations à identifier et à atténuer de manière proactive les vulnérabilités de sécurité potentielles dans les systèmes d'IA, réduisant ainsi le risque de failles de sécurité et de fuites de données.
3. Conformité réglementaire: À mesure que les réglementations autour de l’IA et de la protection des données évoluent, la norme ISO 42001 peut servir de ligne directrice aux organisations pour garantir la conformité aux exigences légales actuelles et futures.
4. Avantage concurrentiel: Les entreprises qui donnent la priorité à la sécurité de l’IA peuvent se différencier sur le marché et attirer des clients et des partenaires soucieux de leur sécurité.
5. Gouvernance de l’IA améliorée : La norme encourage une approche holistique de la gouvernance de l'IA, intégrant les considérations de sécurité, d'éthique et de protection des données dans la stratégie d'IA de l'organisation.

L'adoption de la norme ISO 42001 comme base de vos efforts de gouvernance et de conformité en matière d'IA peut rationaliser le processus de préparation, garantissant une approche structurée pour répondre aux exigences de la loi européenne sur l'IA tout en favorisant des pratiques éthiques en matière d'IA.

Commencer votre parcours vers une utilisation conforme de l’IA

La loi européenne sur l’IA constitue un moment charnière dans la réglementation de l’IA, et les entreprises doivent agir dès maintenant pour éviter les risques de non-conformité et saisir les opportunités. Abordez la loi comme un catalyseur de changement positif, en alignant vos pratiques d'IA sur les principes de transparence, de responsabilité et d'utilisation éthique pour affiner les processus, stimuler l'innovation et faire de votre entreprise un leader de l'IA responsable.

Tirez parti des conseils fournis par ISO 42001, la norme internationale pour les systèmes de gestion de l'IA, pour structurer votre approche et garantir une couverture complète des domaines critiques tels que la gouvernance, la gestion des risques et l'amélioration continue.

En vous préparant de manière proactive à la loi européenne sur l’IA, vous pouvez atténuer les risques et positionner votre entreprise comme leader de l’innovation responsable en matière d’IA.

Ressources additionnelles

Pour vous aider davantage à vous familiariser avec la loi européenne sur l’IA, envisagez d’explorer ces ressources :

• Documentation officielle de l'UE sur la loi sur l'IA
• Informations détaillées sur la norme ISO 42001
• Réservez une démo avec notre équipe pour voir comment nous avons déjà aidé des organisations à atteindre la conformité ISO 42001.