Accueil //AI Act : Tout savoir //Comment se mettre en conformité à l’AI Act ?

L’Intelligence Artificielle (IA) est en train de transformer notre société, notre économie et notre vie quotidienne à un rythme sans précédent. Face à cette évolution rapide, l’Union Européenne a adopté le 31 mai 2024, l’AI Act, un règlement européen visant à réguler l’utilisation de l’IA pour garantir qu’elle soit éthique, sûre et respectueuse des droits fondamentaux.

Par conséquent, toutes les organisations, qu’elles soient grandes ou petites, qui utilisent ou développent des systèmes d’IA en Europe, doivent se mettre en conformité à l’AI Act.

Générée à partir d’une intelligence artificielle

Pourquoi se mettre en conformité à l’AI Act ?

D’une part, cela assure que votre organisation respecte les normes légales et évite les sanctions potentielles (qui peuvent atteindre 7% du CA annuel mondial).

D’autre part, cela renforce la confiance des clients et des partenaires, et améliore la réputation de l’entreprise, notamment vis-à-vis d’un sujet disruptif tel que l’IA.

Enfin, une IA responsable et éthique est essentielle pour soutenir l’innovation durable et prévenir les abus potentiels.

Les étapes pour se mettre en conformité à l’AI Act

Si la démarche de conformité à une nouvelle norme peut s’avérer complexe, elle suit en général un schéma similaire : sensibiliser et former les équipes à la nouvelle règlementation et aux nouveaux principes (1), désigner un pilote en charge de mener les travaux (2), cartographier l’existant soumis à la nouvelle règlementation (3), processer les obligations de la nouvelle règlementation (4), appliquer les principes de fond (5).

 

 

Sensibiliser les équipes

La première étape vers la conformité à l’AI Act consiste à sensibiliser toutes les parties prenantes au sein de l’organisation. Les équipes doivent comprendre les implications de l’AI Act, ainsi que les risques et les opportunités liés à l’utilisation de l’IA de manière générale ainsi que les enjeux liés à d’autres règlementations (RGPD, droits d’auteur, etc.).

La sensibilisation peut prendre diverses formes :

  • De la sensibilisation générale pour tous les collaborateurs, ainsi que les nouveaux entrants. L’idéal étant un e-learning dédié
  • De la formation plus spécifique aux équipes les plus concernées telles que les équipes DSI/IT en charge du développement des sujets d’IA, ainsi que les équipes consommatrices d’outil d’IA (équipes communication et marketing, etc.).
  • De la communication interne régulière sur la base de politiques ou de chartes (pour les sujets de gouvernance), et via des canaux plus accessibles pour diffuser une « culture » de l’éthique de l’IA.
Découvrir le module e-learning AI Act

Désigner un pilote

La conformité à l’AI Act nécessite une gestion et une supervision cohérentes. Il est donc essentiel de désigner un pilote ou un responsable de la conformité dédié.

La fonction en charge doit avoir une connaissance approfondie de la règlementation, ainsi que des règlementations afférentes (RGPD, etc.), mais également une appétence pour les sujets liés aux technologies d’IA (ML, NLP, réseaux de neurones, etc.).

Elle doit par ailleurs connaitre et maitriser les principes fondamentaux (i.e. 7 principes pour une IA responsable, voire point 5) pour être en mesure de diffuser la culture éthique de l’IA au sein de l’organisation.

Le responsable de la conformité à l’AI Act devra disposer des ressources humaines (équipe dédiée, réseau interne de référents, …) et financières lui permettant de mener à bien sa mission.

Si l’AI Act, à contrario du RGPD, n’impose pas formellement la nomination d’une fonction dédiée – le Délégué à la Protection des Données (DPO) – les attendus (compétences, …), les besoins (ressources, réseau interne, …), ainsi que le sujet de fond peut vraisemblablement et légitimement amener le DPO à occuper cette fonction.

Cartographier ses Systèmes d’Intelligence Artificielle (ou SIA)

La plupart des organisations n’ayant pas attendu la règlementation pour concevoir ou utiliser des systèmes d’IA – les modèles d’IA générative notamment – la première étape de travail de fond consistera à cartographier l’existant, c’est-à-dire, recenser et qualifier les SIA déjà utilisés.

Cette étape est particulièrement importante à double titre : Premièrement, prendre conscience de l’étendue des travaux, ensuite, de qualifier les SIA pour leur appliquer le bon régime légal.

En effet, l’AI Act adopte une approche par les risques à 4 niveaux :

  • Les pratiques interdites : autrement dit, des SIA qui ne respectent pas les valeurs fondamentales de l’Union Européenne (contraires aux principes démocratiques par exemple) et qui sont purement interdites de conception ou d’utilisation ;
  • Les IA à Haut Risques, qui présentent un risque de préjudice pour la santé, la sécurité ou les droits fondamentaux des personnes physiques. Pour ces SIA, une liste importante d’obligations sera à respecter (voir point suivant) ;
  • Les modèles d’IA à usage général, autrement dit, les IA généralistes ayant la capacité d’exécuter de manière compétente un large éventail de tâches distinctes, comptant notamment les modèles d’IA utilisés le plus fréquemment par les organisations (GPT, Copilot, etc).
  • Les SIA agissant directement avec des personnes physiques et nécessitant surtout de respecter certaines règles quant à l’information des personnes.

La cartographie permettra donc de qualifier chaque système d’IA conçu ou déployé, de manière à appliquer le régime applicable en fonction des risques.

Processer sa conformité

Suite à la cartographie, les SIA identifiés devront être mis en conformité, notamment les SIA à Haut Risque (art. 6) qui nécessitent notamment de passer par :

  • une analyse de risque évaluant les préjudices potentiels pour la santé, la sécurité et les droits fondamentaux des personnes physiques, et permettant d’attribuer les mesures de sécurité nécessaires (art. 9) ;
  • établir une documentation technique recensant les informations processuel et technique du SIA (art. 11) ;
  • un ensemble de mesures concernant la gouvernance des données (art. 10), la transparence (art. 13), le contrôle humain (art. 14), la sécurité (art. 15), la journalisation (art. 19) ou encore le marquage CE et l’enregistrement de conformité auprès de l’UE (art. 48), et d’autres encore.

Au-delà des mesures propres aux SIA à Haut Risque, l’AI Act impose également de mettre en œuvre et déployer un système de gestion de la qualité (art. 17), c’est-à-dire, un ensemble documentaire composé de politiques, de procédure, et de documentation permettant de démontrer sa conformité aux obligations imposées par l’AI Act.

Les mesures prises ainsi que la documentation devront faire l’objet de contrôle régulier de la part d’organismes externes ou d’organes internes indépendant pour vérifier la conformité, et adresser d’éventuels écarts.

Appliquer les principes fondamentaux pour une IA Responsable

Au-delà des obligations processuelles, l’AI Act fait référence à des principes de fond, qui représente les valeurs fondamentales d’une IA dite « responsable ».

Ils représentent les valeurs sur lesquelles se reposent toutes les obligations de l’AI Act, et à suivre quotidiennement par les équipes en charge de la conformité, ainsi que les équipes opérationnelles travaillant autour de l’IA, et finalement, tous les collaborateurs de l’organisation.

Ces principes, aux nombres de 7, sont issues d’un rapport réalisé par le Groupe d’Experts de Haut Niveau sur l’Intelligence Artificielle (GEHN) en 2019.

  • Bien-être sociétal et environnemental : Protéger des dommages physiques, mentaux, ou environnementaux
  • Transparence et explicabilité : Permettre aux utilisateurs de comprendre leur fonctionnement et de contester leurs décisions
  • Protection de la vie privée et des données : Protéger la vie privée des individus et à garantir la sécurité et la confidentialité de leurs données
  • Robustesse technique et sécurité : Concevoir les SIA manière à ce qu’ils soient sûrs et sécurisés, et à minimiser les risques de défaillance ou de mauvaise utilisation
  • Responsabilité : Rendre les acteurs responsables de leurs actions et des produits de leurs systèmes.
  • Justice et équité : Empêcher les biais et la discrimination, promouvoir la justice et l’équité
  • Autonomie et contrôle humain : Respecter l’autonomie humaine, la dignité humaine et les droits fondamentaux

Conclusion

Se conformer à l’AI Act est une démarche complexe, mais essentielle pour garantir une utilisation éthique et responsable de l’IA.

En suivant ces étapes, les organisations peuvent non seulement éviter les sanctions, mais aussi renforcer la confiance et l’acceptation de leurs technologies d’IA par le public.

La mise en conformité à l’AI Act est une opportunité de montrer l’engagement de l’entreprise envers des pratiques éthiques et responsables dans l’utilisation de l’intelligence artificielle.

Découvrez le module AI Act de Data Legal Drive

Cartographie des systèmes d’IA, qualification d’IA, démarche « by Design »… découvrez toutes les fonctionnalités liées à l’AI Act !

Découvrir