En présence de directeurs juridiques, d’acheteurs IT et d’intervenants du secteur de l’IA, Guillaume Geudin, directeur du Pôle Performance Achats de Elée (Software Asset Management), ma consœur Olivia Flipo et moi-même sommes intervenus le 13 juin 2024 pour partager les bonnes pratiques à implémenter afin d’assurer la conformité des projets IA et de protéger les intérêts de l’entreprise qui les met en œuvre.
Les bonnes pratiques pour assurer la conformité de vos projets IA
Alors que le Règlement IA (AI ACT ou RIA) a été adopté le 21 mai dernier, il faut garder à l’esprit que les projets IA devront non seulement s’y conformer mais encore respecter d’autres règlementations applicables qui s’additionnent à ce cadre règlementaire : protection des données personnelles, respect des droits de PI, confidentialité des données et le cas échéant responsabilité des produits défectueux.
Les points clés
Le RIA adopte une approche produits et par le risque. Il règlemente les Systèmes d’IA (SIA) déjà déployés dans l’entreprise et pas uniquement ceux qui vont être déployés
Il s’applique à toutes les entreprises qui visent le marché de l’UE, qu’elles aient leur siège dans l’UE ou qu’elles se situent dans un pays tiers, dès lors que le résultat du SIA est utilisé dans l’UE. Un support aux PME et startups est prévu au travers d’obligations allégées et d’amendes réduites
La conformité au RIA implique de qualifier le risque attaché au SIA en fonction des 4 niveaux de risque retenus par le RIA, dépendant des cas d’usage et du secteur d’intervention. Selon la qualification du risque, minimal, faible, haut risque ou risque inacceptable, l’entreprise devra mettre en place une conformité, sauf pour les SIA à haut risque dont la mise en service est interdite
La conformité des SIA à haut risque implique notamment une déclaration de confidentialité, un enregistrement dans les bases de données de l’UE et un marquage CE
Au-delà du RIA, l’entreprise qui, pour entraîner un SIA qu’elle entend déployer, utilise ses données métier ou des données de tiers, devra tenir compte :
- des obligations de confidentialité auxquelles elle est tenue au titre de ses contrats et de ses NDA
- des droits de propriété intellectuelle qui s’appliquent à ces données,
- sans omettre de protéger ses secrets d’affaire
Dès lors que sont traitées des données personnelles dans le cadre de la conception ou du déploiement du Système d’IA (données d’entraînement ou de test par exemple), le RGPD s’applique, avec notamment l’obligation de conduire une Analyse d’Impact sur la Protection des Données dans un grand nombre de cas
L’entreprise qui déploie ou utilise un SIA devra traduire dans ses contrats (notamment vis-à-vis du fournisseur) les obligations des parties en matière de confidentialité, de propriété intellectuelle, de risque de défaillance ou de sécurité du SIA.