Règlement IA dans l’entreprise
Ce règlement impose de nombreuses obligations en matière de gouvernance et de conformité.
Pour les entreprises, l’enjeu est de les aligner avec leurs dispositifs de compliance existants.
Que prévoit le règlement IA ? Comment intégrer le règlement IA aux dispositifs compliance existants ? Comment effectuer sa mise en conformité ?
Que prévoit le règlement IA ?
Le règlement IA s’appliquera progressivement de février 2025 à août 2027, laissant peu de temps aux entreprises pour s’y conformer.
Il concerne les fournisseurs de systèmes d’IA et les acteurs qui les exploitent, les distribuent ou les utilisent.
Il vise, de façon large, les systèmes d’IA autonomes et adaptatifs, capables de produire des sorties, telles que du contenu ou des recommandations, à partir des données qu’ils reçoivent.
Le règlement distingue trois niveaux de risque engendré par l’IA.:
- Ainsi, les IA présentant un risque « inacceptable », comme la catégorisation biométrique de masse ou la notation sociale, sont interdites.
- Ensuite, les systèmes d’IA à « haut risque », comme ceux poursuivant un objectif sensible tel que le recrutement, sont soumises à des obligations strictes, incluant une surveillance humaine et des exigences de robustesse.
- Enfin, les systèmes d’IA à risque limité doivent respecter des exigences minimales, notamment en matière de transparence.
Les modèles d’IA à usage général, appelés GPAI, comme les grands modèles de langages, doivent par ailleurs tenir une documentation technique et publier les données d’entraînement utilisées.
En cas de non-conformité, les sanctions sont dissuasives et peuvent atteindre 7 % du chiffre d’affaires annuel global.
Comment intégrer le règlement IA aux dispositifs compliance existants ?
Le règlement IA n’est pas l’unique règlementation applicable aux systèmes d’IA.
En effet, le RGPD s’applique lorsque l’IA est un support à des traitements de données personnelle. Rappelons, qu’une non-conformité au RGPD peut être sanctionnée à hauteur de 4% du chiffre d’affaires annuel mondial.
Par ailleurs, il existe un risque de commission d’infractions pénales. Citons par exemple, les biais discriminatoires, les atteintes à la propriété intellectuelle ou encore les atteintes aux systèmes de traitement automatisés de données.
Enfin, le devoir de vigilance doit également être intégrés à l’analyse. Les conséquences environnementales des émissions de CO2 générées par les serveurs faisant fonctionner l’IA doivent par exemple être évaluées.
Vous l’aurez compris, la mise en conformité au règlement IA doit être effectuée au regard des autres dispositifs de compliance existants dans l’entreprise.
Comment effectuer sa mise en conformité ?
Premièrement, un pilote de la conformité IA doit être désigné.
Deuxièmement, il faut réaliser un inventaire de tous les systèmes et modèles IA que l’entreprise a développés, qu’elle déploie ou qu’elle utilise.
Véritable socle de la conformité de l’IA, cet inventaire doit notamment préciser le fonctionnement technique des IA, les objectifs poursuivis, la nature des données traitées, ou les acteurs impliqués. Cela permettra notamment d’identifier les règlementations applicables, et les obligations afférentes. Par exemple, le niveau de risque des IA utilisées dans l’entreprise sera évalué afin de déterminer les exigences applicables.
Troisièmement, les écarts de conformité et les risques doivent être analysés les équipes internes spécialisés dans chaque domaine analysent. Il s’agira notamment du pilote conformité IA pour le règlement IA ou du DPO pour le RGPD. Ces équipes devront élaborer en conséquence leur programme de conformité, créant ainsi des politiques internes, des normes et des procédures relatives à l’IA
Il est néanmoins essentiel que le pilote de la conformité IA garde une vision globale de la gouvernance et des démarches adoptées en interne. C’est lui qui doit coordonner les actions et les prioriser, au regard des risques de sanctions et d’atteinte à la réputation auxquels l’entreprise est exposée.
Que doivent retenir les entreprises ?
La mise en œuvre des obligations prévues par le règlement IA ne peut se faire de manière cloisonnée, sans considération des autres risques juridiques soulevés par l’IA. Les obligations de conformité interagissent entre elles, ce qui nécessite une approche à la fois globale et spécialisée.
Le secret de la réussite d’une intégration harmonieuse du programme de conformité IA est donc d’être capable d’avoir une vision et une compréhension globales des différents dispositifs de compliance.
Alors, adoptez les bons réflexes ! Réalisez un inventaire complet, désignez un pilote de la conformité en IA, et veillez à coordination efficace entre les équipes.
Si des doutes subsistent, consultez votre avocat si vous vous posez des questions.