La mise en conformité avec l'IA Act
La mise en conformité avec l’IA Act : un défi pour les entreprises
L’intelligence artificielle (IA) est devenue un outil indispensable pour de nombreuses entreprises, mais elle pose également des défis éthiques et juridiques. Le cas de ChatGPT, une IA générative capable de générer du texte et des images à la demande des utilisateurs, illustre parfaitement ces enjeux. En effet, cette technologie peut contribuer à des usages abusifs ou détournés, tels que la manipulation de la population via la création de fake news, de deepfake ou de nudges.
Pour répondre à ces défis, l’Union européenne a mis en place l’IA Act, un règlement qui vise à encadrer l’utilisation de l’IA dans les entreprises. Mais comment se mettre en conformité avec ce règlement ? Quelles sont les obligations des entreprises concernées ? Et quels sont les risques en cas de non-conformité ?
Les obligations de conformité à l’IA Act
Les obligations des entreprises concernées dépendent du niveau de risque associé à leur système d’IA. Il existe quatre niveaux de risque : inacceptable, haut risque, faible risque et minime.
- L’IA à risque inacceptable : les systèmes et modèles d’IA à risque inacceptable sont tout simplement interdits. Ils ne peuvent donc pas être commercialisés au sein de l’Union européenne. De plus, si l’entreprise a son siège en UE, ces produits sont également interdits à l’exportation.
- L’IA à haut risque : les systèmes d’IA à haut risque pourront être mis sur le marché, à conditions de faire l’objet d’un marquage CE, d’une déclaration de conformité et d’un enregistrement dans la base de données de l’UE.
- L’IA à faible risque : si vous souhaitez commercialiser un système d’intelligence artificielle à risque faible, vous devez simplement vous acquitter d’une obligation d’information des utilisateurs sur le fait que le contenu a été généré par IA.
- L’IA à risque minime : les systèmes et modèles d’IA à risque minime n’ont pas d’obligation particulière à respecter. Il est simplement recommandé de mettre en place et de respecter un code de conduite applicable à tous les SIA ayant des finalités similaires.
Les exemples
- La notation de crédit : une banque veut créer une IA de notation de crédit afin d’évaluer la solvabilité des demandeurs de crédit. Pour cela, elle collecte des données sensibles auprès de ses clients (historique de crédit, revenus, emplois, voire données de santé). Le SIA définit les conditions permettant d’obtenir un prêt. Or, ce système peut conduire à des discriminations et des biais.
- Le deep fake artistique : une société de jeux vidéo utilise le deepfake pour générer des images et des voix. Une information expliquant que l’image a été générée par une IA doit être obligatoirement indiquée.
- Le filtre anti-spam : le système de filtre anti-spam consiste à élaborer un algorithme qui va classer les mails selon qu’ils doivent atterrir dans la boîte de réception ou dans les indésirables. En soi, cette IA ne présente pas de danger spécifique pour les personnes. Toutefois, il est quand même conseillé de respecter un code de conduite.
Les étapes pour se mettre en conformité
Pour vous mettre en conformité avec l’IA Act, voici les étapes à suivre :
- Réaliser une cartographie des systèmes d’IA : les obligations de mise en conformité prévues dans l’IA Act s’appliquent à chaque système d’IA et non à l’entreprise dans son ensemble. Il est donc conseillé de réaliser une cartographie de tous les systèmes d’IA existants.
- Évaluer les niveaux de risque des systèmes et modèles d’IA existants et à venir : à chaque niveau de risque correspond une exigence en termes de mise en conformité. Vous devez donc évaluer le niveau de risque en fonction de critères tels que le secteur d’activité, les cas d’utilisation, la puissance du modèle d’IA, ou encore les types de données utilisées.
- Classer les systèmes d’IA en fonction des niveaux de risque : une fois les systèmes d’IA évalués, vous devez les classer en fonction de leur niveau de risque : minime, faible, haut risque ou inacceptable.
- Mise en conformité d’un système à haut risque : en cas de système à haut risque, celui-ci doit être mis en conformité en suivant les étapes suivantes : mettre en place un système de gestion des risques, valider la qualité et la non-discrimination des ensemble de données alimentant le système, évaluer la précision, la robustesse et garantir un niveau de cybersécurité, garantir un contrôle humain, respecter l’obligation d’information et de transparence, accompagner les systèmes d’IA d’un registre des activités, concevoir la documentation technique, procéder à la déclaration de conformité, s’assurer du marquage CE, procéder à l’enregistrement.
Les sanctions en cas de non-conformité
Tout dépend du niveau de risque :
- L’IA à risque inacceptable : commercialiser ou laisser sur le marché intérieur de l’UE une IA à risque inacceptable peut être sanctionné d’une amende de 35 millions d’euros ou 7% du CA annuel mondial, selon le montant le plus élevé.
- L’IA à haut risque : le non-respect des obligations de déclaration, de marquage CE et d’enregistrement est passible d’une amende de 15 millions d’euros ou de 3% du CA annuel mondial, selon le montant le plus élevé.
- L’IA à risque faible : le non-respect de l’obligation d’information et de transparence est passible d’une amende de 7,5 millions d’euros ou 1% du CA annuel mondial, selon le montant le plus élevé.
- L’IA à risque minime : aucune sanction n’est prévue par l’IA Act puisque l’adoption d’un code de conduite se fait sur la base du volontariat.
En conclusion, la mise en conformité avec l’IA Act est un défi pour les entreprises, mais il est possible de se mettre en conformité en suivant les étapes établies. Il est important de noter que les sanctions en cas de non-conformité peuvent être sévères, il est donc crucial de prendre les mesures nécessaires pour éviter ces sanctions.