Le règlement sur l’intelligence artificielle : défis et opportunités pour l’entreprise
Le règlement sur l’IA crée un cadre juridique fondé sur une analyse des risques et le rôle tenu par l’entreprise selon qu’elle soit fournisseur ou déployeur. Dans ce contexte, le rôle de la direction juridique est de travailler étroitement avec la direction des systèmes d’information pour encadrer le déploiement de l’IA.
L’IA peut offrir des avantages compétitifs importants aux entreprises en améliorant les prédictions, l’optimisation des processus et la personnalisation des solutions dans divers domaines. Cependant, elle peut aussi engendrer des atteintes aux droits fondamentaux. Le but du règlement publié le 12 juillet 2024 est de fournir une protection adaptée aux risques résultant de son utilisation. Selon ce texte, sont considérés comme des systèmes d’IA tous les modèles dotés de la capacité d’inférer, c’est-à-dire d’analyser des données d’entrée et d’en déduire des résultats. Les systèmes sont classés en quatre catégories selon les risques d’atteinte aux droits fondamentaux.
Un règlement fondé sur l’analyse des risques
Lorsque les risques sont inacceptables, le système est interdit (exemples : identification biométrique ou techniques subliminales). Les systèmes qui peuvent menacer la sécurité ou les droits fondamentaux sont qualifiés de haut risque. Ils doivent répondre à des exigences strictes pendant leur développement et leur utilisation (exemple les systèmes utilisés pour le recrutement). En revanche, lorsque les systèmes d’IA font courir un risque qualifié de moyen ou de spécifique, seules des obligations de transparence s’imposent (exemple : les chatbots). Enfin, les systèmes qui font courir des risques minimaux ne sont pas soumis à des obligations.
L’application de ces obligations est modulée dans le temps. Ainsi, l’interdiction des systèmes d’IA inacceptables est prévue le 2 février 2025 tandis que les autres dispositions du règlement deviennent applicables le 2 août 2026.
Fournisseur et déployeur
Le règlement attache une attention particulière aux fournisseurs et aux déployeurs de systèmes d’IA. Le fournisseur est une personne physique ou morale qui développe ou fait développer un modèle d’IA à usage général et le met sur le marché sous son propre nom ou sa propre marque. Lorsque l’IA est à haut risque, il doit respecter des obligations strictes pour assurer la sécurité et la transparence. Cela inclut la gestion des risques, l’utilisation de données de qualité, une documentation technique pour prouver la conformité, l’intégration d’interfaces homme-machine pour un contrôle efficace, la surveillance après la commercialisation et la préparation à des actions correctives en cas de problèmes.
Le déployeur est une personne utilisant un système d’IA sous sa propre autorité sauf dans le cas d’une utilisation à des fins personnelles. Dans l’hypothèse d’une IA à haut risque, il est responsable de garantir une utilisation sûre et conforme. Il doit surveiller leur fonctionnement, prendre des mesures techniques et organisationnelles pour assurer la conformité avec les instructions, garantir un contrôle humain approprié, s’assurer que les données d’entrée sont pertinentes et informer les parties concernées en cas de risque ou d’incident grave.
Les fournisseurs et déployeurs de systèmes d’IA sont soumis au règlement même s’ils sont établis dans un pays tiers si les résultats produits par les systèmes sont destinés à être utilisées dans l’Union européenne.
Une direction juridique au cœur du dispositif
Les sanctions prévues peuvent s’élever jusqu’à 7 % du chiffre d’affaires annuel mondial ce qui ne peut qu’inciter à une prise en compte immédiate dans la stratégie de l’entreprise. Un travail en plusieurs étapes doit être mené.
En premier lieu, il convient de cartographier et de classer les outils faisant appel à de l’IA puis de qualifier le rôle de l’entreprise à leur égard pour clarifier les obligations. Ce travail est une occasion de renforcer la collaboration entre la direction juridique, la direction des systèmes d’information et le responsable de la sécurité informatique.
En deuxième lieu, une gouvernance pérenne doit être mise en place pour planifier et anticiper la réalisation des études d’impact nécessaires. De plus, la rédaction de clauses contractuelles adaptées doit permettre d’assurer la conformité sur l’ensemble de la chaîne de valeur de l’entreprise.