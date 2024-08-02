Entrée en vigueur le 1er août, la loi sur l’IA de l’Union européenne est l’une des premières réglementations de l’intelligence artificielle à être adoptée sur l’un des plus grands marchés du monde. Quels seront les changements pour les entreprises ?
L’Union européenne (UE) est le premier grand marché à définir de nouvelles règles concernant l’IA.
« L’objectif est de faire de l’UE une plaque tournante mondiale pour une IA digne de confiance », expliquent des fonctionnaires européens.
La loi sur l’IA adopte une approche fondée sur le risque, c’est-à-dire qu’elle classe les applications en fonction du risque potentiel qu’elles représentent pour les droits fondamentaux et la sécurité. Parmi les dispositions les plus importantes figurent : une interdiction de certaines pratiques d’IA jugées inacceptables, des normes pour le développement et le déploiement de certains systèmes d’IA à haut risque et des règles pour les modèles d’IA à usage général (GPAI). Les systèmes d’IA qui ne relèvent d’aucune des catégories de risque définies dans la loi sur l’IA de l’UE ne sont pas soumis aux exigences de cette loi (ces systèmes sont souvent classés dans la catégorie « risque minimal »), bien que certains puissent devoir respecter des obligations de transparence et se conformer à d’autres lois existantes.
« C’est une forme de pragmatisme réglementaire qui vise à adapter les contraintes au niveau de risque », explique Bruno Massot, vice-président, conseiller général adjoint et responsable juridique d’IBM Europe.
En vertu de ces nouvelles règles, certaines applications d’IA qui menacent les droits des citoyens seront interdites. Il s’agit notamment de systèmes de catégorisation biométrique basés sur des caractéristiques sensibles, de la récupération non ciblée d’images de visages sur Internet ou de séquences de vidéosurveillance pour créer des bases de données de reconnaissance faciale, de la reconnaissance des émotions sur le lieu de travail et dans les écoles, et de la police prédictive.
La loi sur l’IA a été approuvée par le Parlement européen le 22 avril et par les États membres de l’UE le 21 mai. Elle a été publiée au Journal officiel de l’Union européenne le 12 juillet et est entrée en vigueur le 1er août, les différentes dispositions de la loi étant entrées en vigueur par étapes.
La loi européenne sur l’IA suivra un calendrier très rapide.
« Ça arrive très vite, mais ce n’est pas une surprise. Ces ébauches sont connues depuis longtemps. D’ailleurs, c’est important d’aller vite, car la technologie, elle, évolue très rapidement », fait remarquer Bruno Massot.
Le sixième mois, les interdictions relatives aux pratiques interdites en matière d’IA entrent en vigueur. Au neuvième mois, les codes de conduite deviennent applicables. Le 12e mois, les règles générales relatives à l’IA, y compris la gouvernance, entrent en vigueur. Après 24 mois, les règles concernant les systèmes d’IA à haut risque prennent effet. Enfin, 36 mois après l’entrée en vigueur, les règles relatives aux systèmes d’IA qui sont des produits ou des composants de sécurité de produits soumis à des lois spécifiques de l’UE s’appliquent.
Le non-respect de la loi peut entraîner de lourdes amendes, pouvant atteindre 35 millions d’euros, soit 7 % du chiffre d’affaires annuel d’une entreprise.
« Il y a un sentiment d’urgence , observe Dasha Simons, consultante générale de l’IA digne de confiance chez IBM. Deux ou trois ans peuvent sembler longs pour que certaines choses soient prêtes. Mais si vous êtes une organisation internationale ou une multinationale qui possède de nombreux systèmes d’IA à travers le monde, ce n’est pas si long. »
Alors, par où commencer ? La première étape, explique la consultante, c’est de déterminer quelles règles s’appliqueront à votre entreprise.
« La loi sur l’IA définit différentes règles et définitions pour les déployeurs, les fournisseurs et les importateurs. Selon le rôle que vous jouez au sein de votre entreprise, vous devrez vous conformer à différentes exigences. Est-ce que vous achetez des modèles pour les renommer sans changer le modèle lui-même ? Êtes-vous en train d’affiner un peu le modèle ? C’est vraiment la première étape. »
La deuxième étape consiste à déterminer quels systèmes d’IA sont utilisés au sein de votre entreprise, et quels sont les niveaux de risque associés à chacun d’eux.
« L’important est de savoir sur quoi vous voulez commencer par vous concentrer, souligne Dasha Simons. Beaucoup d’entreprises ne savent même pas quel type de systèmes et de modèles d’IA elles ont en production ou en développement. »
Cette évaluation aidera les entreprises à déterminer leurs priorités en évaluant d’abord les systèmes interdits, puis les systèmes à haut risque.
« Cela vous aidera à déterminer les processus à mettre en place lors du lancement de nouveaux systèmes d’IA, et à vous assurer qu’ils sont déjà conformes à la loi sur l’IA de manière proactive, et non après coup. »
Dasha Simons estime que les réglementations soulignent la nécessité pour les entreprises d’adopter une approche stratégique de l’IA, et pour les dirigeants de s’impliquer fortement dans cette conversation.
« Vous avez besoin d’une expertise technique, peut-être aussi de l’expertise d’un responsable de la protection de la vie privée qui a mis en œuvre le RGPD. Ces connaissances sont indispensables, mais la responsabilité et l’orientation doivent également être définies au niveau de la direction », explique la consultante.
L’ambition de l’Union européenne est d’établir une norme pour le développement de l’IA et de servir de schéma directeur au reste du monde. L’UE a déjà adopté une loi complète sur la sécurité et la confidentialité des données en 2018 : le RGPD.
« La loi sur l’IA est la première réglementation au monde qui trace une voie claire vers un développement sûr et centré sur l’humain de l’IA », a déclaré Dragoș Tudorache, député et négociateur principal de la loi sur l’IA, lors d’une conférence de presse.
Dans le monde entier, de nombreuses réglementations concernant l’utilisation de l’IA sont en cours d’adoption.
« La cohérence est importante, car il serait compliqué [pour les entreprises] de développer différents systèmes avec des contraintes divergentes », explique Bruno Massot.
Hans-Petter Dalen, responsable watsonx et IA chez IBM pour la région EMEA, note qu’un changement intéressant sera la nécessité pour les organisations et les entreprises opérant dans l’UE de former leurs utilisateurs ou leurs employés à l’IA.
« Il est intéressant de noter que la loi sur l’IA de l’UE contient un article sur l’alphabétisation en matière d’IA. Ainsi, chaque entreprise ou organisation présente sur le marché unique de l’UE qui utilise l’IA devra former ses utilisateurs et ses employés jusqu’à un certain niveau. Nous ne savons pas encore quel est ce niveau, mais c’est une très bonne chose d’augmenter le niveau de base de l’IA », affirme le responsable.
« Un exemple dans ce domaine est celui des systèmes de gestion des ressources humaines qui, aujourd’hui déjà, permettent d’examiner les CV et de recommander des candidats. Ce cas d’utilisation à haut risque comporte sept exigences essentielles auxquelles vous devez vous conformer. En tant qu’acheteur de ce logiciel, avez-vous suffisamment de connaissances en IA pour comprendre les questions que vous devez poser sur les algorithmes ? », demande Hans-Petter Dalen.
De nombreuses inconnues subsistent quant aux normes techniques qui seront exigées par la loi sur l’IA.
« Il existe sept exigences essentielles à respecter pour les cas d’utilisation à haut risque, qui sont formulées de manière assez vague dans la loi elle-même. Ces sept exigences ont donné lieu à dix demandes de normes techniques que deux des entreprises européennes de normalisation développent désormais, révèle le responsable. Les normes techniques nous apporteront des éclaircissements sur les exigences réelles du règlement. Nous nous attendons à ce que la mise en œuvre des normes techniques soit la manière la plus rapide et la moins coûteuse d’atteindre la conformité. »