Comment rester aux commandes de votre Intelligence Artificielle, sécuriser votre investissement, sans dérives budgétaires ni risque de contentieux ou de crise réputationnelle.
Discrimination, désinformation, atteintes à la vie privée, biais algorithmiques, manipulation des comportements, surveillance de masse, cyberattaques, atteintes à la sécurité des systèmes d’information, risques socioéconomiques et environnementaux : tels sont les risques majeurs liés à l’intelligence artificielle répertoriés par le Massachussetts Institute of Technology dans son AI Risk Repository.
Entrée en vigueur du Règlement IA européen
Face à ces enjeux, le législateur européen a été le premier à instaurer les garanties d’une IA éthique et respectueuse des droits fondamentaux. Le Règlement IA (ou AI Act), entré en vigueur le 1er août 2024, pose un cadre de responsabilité afin de renforcer la confiance sur le marché européen.
A chaque stade de la conception, du développement, du déploiement ou de l’utilisation d’un Système d’Intelligence Artificielle (Système d’IA), il vous faut anticiper les nouvelles contraintes règlementaires du Règlement IA (ci-après « RIA ») et intégrer les contraintes législatives et contractuelles applicables à votre projet.
Ce type d’approche vous permettra d’appréhender au mieux l’environnement juridique global dans lequel s’inscrit le projet IA, pour rester aux commandes de votre IA, sans dérives budgétaires ni risques de non-conformité, de contentieux ou de crise réputationnelle.
Approche et enjeux du Règlement IA
Instaurant une approche par le risque, le Règlement IA vise à interdire les Intelligences Artificielles manipulatrices ou présentant un risque majeur pour les individus et tend à rendre les interactions homme-machine transparentes.
Le RIA introduit également une réglementation de produits, qui va du marquage à l’interdiction de commercialiser.
Le non-respect des prescriptions du RIA peut entraîner l’application de sanctions financières :
- concernant les systèmes à haut risque les amendes peuvent atteindre 35 millions d’euros ou 7% du chiffre d’affaires annuel mondial de l’entreprise, selon le montant le plus élevé,
- le non-respect d’autres obligations prévues par le RIA peut entraîner des amendes allant jusqu’à 15 millions d’euros ou 3% du chiffre d’affaires annuel mondial, selon le montant le plus élevé,
- en outre, la communication d’informations inexactes ou trompeuses aux autorités compétentes est passible d’amendes pouvant aller jusqu’à 7,5 millions d’euros ou à 1 % du chiffre d’affaires annuel mondial de l’entreprise. Dans certains cas, les décisions concernant les sanctions peuvent être publiées.
Les autorités peuvent également interdire temporairement ou définitivement la mise sur le marché de systèmes d’IA non conformes.
Enfin, en cas de préjudice causé par un système d’IA non conforme, l’entreprise peut être également condamnée au versement d’une indemnisation aux victimes.
Quelles sont les entreprises visées par le RIA ?
Un système d’IA est défini comme un système “conçu pour fonctionner avec différents niveaux d’autonomie et qui peut faire preuve d’adaptabilité après son déploiement, et qui, (…) déduit, à partir des données qu’il reçoit, comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions” (Article 3.1 du RIA).
Le RIA s’impose à toutes les entreprises qui souhaitent développer et/ou commercialiser un tel Système intelligent (SIA) :
- en visant le marché européen (que le siège social de l’entreprise soit dans l’UE or hors UE).
- les fournisseurs situés dans un pays tiers, dès lors que le résultat issu du SIA est utilisé dans l’UE
- le RIA s’applique aux SIA déjà existants dans l’entreprise à la date d’entrée en vigueur du RIA.
Quel calendrier d’entrée en vigueur ?
Le RIA, adopté le 21 mai 2024, entré en vigueur le 1er août 2024, fait l’objet d’une application progressive à compter de cette date :
- 6 mois pour les SIA interdits à risques inacceptables (au 01/02/2025)
- 12 mois pour les modèles d’IA à usage général (01/08/2025)
- 24 mois ou 36 mois selon les SIA à haut risque (01/08/2026)
Quelle classification des systèmes d’IA ?
Le RIA introduit une classification des systèmes d’IA selon le niveau de risque qu’ils engendrent, du niveau 1 à 4, avec des obligations de conformité différentes, voire leur interdiction de mise sur le marché.
Niveau 4 : Risque inacceptable
Le niveau 4 vise les SIA mettant en œuvre des techniques manipulatrices, exploitant des vulnérabilités humaines, ou employant des systèmes de notation sociale.
Les pratiques ou finalités suivantes sont notamment interdites, sauf rares exceptions :
- recours à des techniques subliminales ou à des techniques délibérément manipulatrices ou trompeuses;
- exploitation des vulnérabilités (âge, handicap) d’une personne/ d’un groupe de personnes pour altérer substantiellement son/leur comportement ;
- utilisation de systèmes biométriques de catégorisation en fonction d’attributs ou de caractéristiques sensibles;
- évaluation ou classement via la notation sociale, conduisant à un traitement préjudiciable, défavorable, injustifié ou disproportionné ;
- utilisation de systèmes d’identification biométrique à distance en temps réel dans des espaces accessibles au public ;
- création de bases de données de reconnaissance faciale par le moissonnage non ciblé ;
- déduction des émotions, sur le lieu de travail et dans les établissements d’enseignement.
Niveau 3 : Haut risque
Le niveau 3 inclut les SIA utilisés dans des contextes critiques, tels que les infrastructures publiques, les services financiers et la santé. Ces systèmes nécessitent des mesures de conformité strictes, y compris des évaluations régulières de sécurité et de transparence.
- Sont automatiquement classées comme à haut risque, les IA de certains domaines désignés, tels que :
– présentent un risque important pour la santé, la sécurité ou les droits des personnes.
– systèmes biométriques et fondés sur la biométrie avec catégorisation des personnes.
– gestion et exploitation des infrastructures critiques (trafic routier, ferroviaire, aérien, eau, gaz, électricité, internet)
– éducation et formation professionnelle
– emploi, gestion de la main-d’œuvre et accès à l’emploi indépendant
– accès et droit aux services privés essentiels, aux services publics et aux prestations sociales
- Les IA utilisées dans certains produits désignés sont également automatiquement classées comme à haut risque[3].
Il s’agit de : Machines, Jouets, Bateaux, Ascenseurs, systèmes de protection de l’atmosphère, explosifs, Équipements radio, Équipements sous pression, installations à câbles, Équipements de protection individuelle Appareils à gaz, Dispositifs médicaux et de diagnostic in vitro, Véhicules transport : Aviation, véhicules routiers, agricoles, marins, ferroviaire
Niveau 2 : Risque faible à modéré
Le niveau 2 recouvre les SIA interagissant avec les personnes physiques et n’étant ni à risque inacceptable, ni à haut risque.
Exemples :
- IA intégrées dans des chatbot ou des conversations téléphoniques de type numéro vert
- Caricatures à vocation artistique
Niveau 1 : Risque minimal ou absent
Le niveau 1 inclut les autres SIA n’entrant pas dans les niveaux 2, 3 et 4. Ces systèmes n’ont pas d’impact significatif sur les droits fondamentaux, la santé ou la sécurité des individus.
Exemples:
- Objet connecté (électroménager…) qui utiliserait un système d’intelligence artificielle
- logiciel anti-spam
- la majorité des jeux vidéo.
Quelles exigences de conformité pour les systèmes d’IA ?
IA à Haut Risque (niveau 3)
Le RIA impose :
- une évaluation des risques : les fournisseurs doivent effectuer une évaluation rigoureuse des risques pour identifier les dangers potentiels associés à l’utilisation de l’IA.
- transparence et documentation : les fournisseurs doivent fournir une documentation détaillée sur le fonctionnement de l’IA, les données utilisées pour son entraînement et les mesures prises pour minimiser les risques.
- supervision humaine : les SIA doivent être conçus de manière à permettre une supervision humaine appropriée, garantissant que l’IA ne prenne pas de décisions autonomes sans contrôle.
- cybersécurité : les fournisseurs doivent assurer la robustesse et la sécurité des SIA contre les cyberattaques et autres menaces.
IA de niveau 1,2 et 4
Des obligations de transparence, information et documentation s’imposent aux systèmes de niveau 1 et 2.
Les SIA de niveau 4 sont interdits.
Vigilance sur les données du projet IA
Selon que l’entreprise dispose pour la mise en œuvre de son projet IA de données métier de l’entreprise ou de données de tiers, les points de vigilance diffèrent.
Données métier de l’entreprise
Même si l’entreprise utilise ses propres données métier, la vigilance est de mise. En effet, il est rare que les données métier de l’entreprise soient neutres ou publiques.
Dès lors qu’elles sont couvertes par des Non Disclosure Agreements et/ ou des contrats qui incluent des clauses de confidentialité, ou encore qu’il s’agît de données personnelles, ces données sont confidentielles. Outre les dispositions contractuelles, elles sont protégées par les dispositions du code civil français sur la vie privée.
Les données personnelles sont non seulement confidentielles mais soumises à l’ensemble des obligations issues du RGPD.
Les données métier peuvent inclure des contenus protégés par des droits de propriété intellectuelle ou entrant dans le savoir faire de l’entreprise. Si tel est le cas, outre la Directive européenne du 8 juin 2016 sur la protection des savoir-faire et des informations commerciales non divulgués (secrets d’affaires), et la loi n° 2018-670 du 30 juillet 2018 relative à la protection du secret des affaires, ce type de données est protégé par contrat.
Données de tiers
Si votre système IA exploite des données de tiers, les contraintes juridiques sont alourdies.
Outre le Règlement IA, les systèmes d’IA doivent également respecter le Règlement Général sur la Protection des Données (RGPD), qui établit des normes strictes pour le traitement des données personnelles dans l’Union européenne. Nous reviendrons prochainement sur ce point plus en détail.
Conclusion
Il est crucial d’élaborer une stratégie de gouvernance solide pour vos projets IA afin d’anticiper les risques juridiques et réputationnels. Pour vous accompagner sur vos projets IA, AURELE IT bénéficie d’une expertise pointue qui allie une connaissance approfondie des exigences du RIA, une solide expérience des projets de transformation digitale et une expertise spécifique en matière de conformité et de data.