Dans un monde en perpétuelle évolution technologique, l’intelligence artificielle (IA) émerge comme l’une des forces prometteuses pour les entreprises de tous secteurs. Son intégration progressive redéfinit non seulement la manière dont les entreprises opèrent, mais également les structures organisationnelles et les cadres réglementaires qui les encadrent. L’essor de l’IA soulève une multitude de questions complexes, allant de la transformation des processus opérationnels à l’élaboration de politiques réglementaires adaptées à cette nouvelle ère technologique.
En tant qu’entreprise spécialisée dans le développement de solutions pour la gestion des risques, Knowllence est directement concernée par les réglementations émergentes, telles que l’IA Act, qui redessinent le paysage de la gestion des risques liés à l’intelligence artificielle. En scrutant attentivement les dispositions de l’IA Act, nous sommes en mesure d’adapter nos offres aux nouvelles exigences imposées aux entreprises.
Mais quels sont les impacts de l’IA Act sur votre organisation ?
L’IA Act, la réglementation européenne qui remet les pendules à l’heure
Actuellement, les entreprises s’appuient sur un ensemble de réglementations existantes pour encadrer l’utilisation de l’intelligence artificielle (IA), notamment en matière de protection des données.
Cependant, ces réglementations laissent encore d’importantes zones d’incertitude, notamment en matière de responsabilités liées à l’utilisation de l’IA.
Qui est responsable en cas de décision erronée prise par un algorithme ? Comment établir des normes de responsabilité claires dans un contexte où les décisions sont souvent prises de manière autonome par des systèmes algorithmiques complexes ?
C’est dans ce contexte que l’IA Act, réglementation spécifique sur l’intelligence artificielle, a été élaborée. Cette législation vise à combler les lacunes et à fournir des directives claires concernant l’utilisation de l’IA dans les entreprises. En mettant l’accent sur la transparence, la responsabilité et la sécurité, l’IA Act vise à établir un cadre réglementaire solide pour guider l’intégration et le déploiement de l’IA dans les organisations.
Une approche des IA par le risque
L’IA Act définit largement l’IA comme un ensemble de cadres de développement logiciel qui englobent l’apprentissage automatique, les systèmes experts et logiques, ainsi que les approches bayésiennes ou statistiques. Un produit logiciel présentant ces approches dont les résultats ‘influencent les environnements avec lesquels ils interagissent’ sera couvert. L’IA Act distingue trois catégories d’utilisations de l’IA :
Les utilisations interdites :
Technique de manipulation pouvant causer un préjudice psychologique ou physique, utilisation par les gouvernements pour « notation sociale » ou système de reconnaissance des émotions sur le lieu de travail par exemple.
Les utilisations à haut risque :
Un système d’IA à haut risques est « tout système d’IA qui est destiné à être utilisé en tant que composant de sécurité d’un produit ».
Par exemple : Les dispositifs médicaux, les dispositifs médicaux de diagnostic in vitro, les machines sous pressions, les EPI, les véhicules de transport (aviation, routier, ferroviaire…), etc sont concernés par cette catégorie.
Autres cas d’utilisation concernés :
- Identification biométrique et catégorisation des personnes physiques (Tri des CV, établissement des priorités dans l’envoi de services d’urgence, vérification de l’authenticité de documents dans le cadre d’immigration).
- Gestion et exploitation des infrastructures essentielles.
- Accès aux services privés essentiels et services publics.
- Application de la loi.
Les systèmes présentant un risque limité :
Système de recommandations.
Quelles obligations pour les fournisseurs d’IA dites à « Haut risque » ?
Les fournisseurs d’un système d’IA à haut risque doivent établir un système de gestion des risques continu qui s’étend sur l’ensemble du cycle de vie de l’IA.
Cela implique la surveillance et l’évaluation constantes des risques associés à l’utilisation du système, depuis sa conception jusqu’à sa mise en service et même au-delà. Ce processus permet d’identifier les nouveaux défis potentiels, d’ajuster les stratégies de gestion des risques et de garantir que le système reste conforme aux normes réglementaires et éthiques tout au long de son utilisation.
En plus d’établir un système de gestion des risques continu, les fournisseurs d’un système d’IA à haut risque doivent également fournir une documentation technique détaillée. Cette documentation devra permettre de tracer les événements à travers les différentes phases d’utilisation, de comprendre les caractéristiques de l’IA, ses capacités ainsi que ses limites, et des informations détaillées sur les données d’entraînement utilisées. Par exemple, il pourrait s’agir de journaux d’audit, de rapports de tests de performance, de descriptions des algorithmes utilisés, et de spécifications des données d’entrée et de sortie. Un contrôle humain sur les réponses générées par l’IA est nécessaire, avec une revue régulière de leur pertinence et de leur conformité aux objectifs et aux normes éthiques établis.
Les acteurs de l’IA devront aussi déterminer leur statut au sens du RGPD. Pour plus d’information, la CNIL a publié le 8 Avril 2024 ses premières recommandations sur le développement des systèmes d’IA : Intelligence artificielle : le plan d’action de la CNIL. Ces recommandations sont importantes pour guider les entreprises dans la conformité avec le RGPD tout en intégrant l’IA, en assurant une protection adéquate des données personnelles et en renforçant la confiance des utilisateurs.
Conséquences pour les entreprises ne respectant pas l’IA Act :
Les entreprises qui ne se conforment pas à l’IA Act peuvent faire face à des sanctions sévères, incluant des amendes substantielles et des restrictions sur l’utilisation de systèmes d’IA. La non-conformité peut également nuire à la réputation de l’entreprise et entraîner une perte de confiance de la part des clients et des partenaires.
Étapes pour la mise en conformité avec l’IA Act
Pour se conformer à l’IA Act, les entreprises doivent :
• Évaluer les risques : Identifier les systèmes d’IA utilisés et évaluer leurs risques associés.
• Documenter les processus : Créer une documentation technique détaillée de tous les systèmes d’IA.
• Former les employés : Assurer que tous les employés concernés sont formés aux nouvelles régulations et aux meilleures pratiques.
• Mettre en place un contrôle continu : Établir un système de gestion des risques et de contrôle continu.
Knowllence : solution performante pour vos analyses de risques
Chez Knowllence, il est essentiel de suivre de près l’évolution de l’IA Act, étant donné notre expertise en matière de gestion des risques, nous sommes directement concernés par les réglementations et les normes émergentes, telles que l’IA Act, qui façonnent le paysage de la gestion des risques liés à l’intelligence artificielle.
En suivant de près l’IA Act, nous pouvons vous aider à anticiper les nouvelles exigences auxquelles vous serez confrontées.
Nous sommes également concernés par ce sujet du fait de l’utilisation de l’IA au sein de nos propres solutions en matière d’évaluation des risques en Qualité, Santé, Sécurité, Environnement.
Nous sommes à votre disposition pour digitaliser votre approche de la gestion des risques liée au cycle de vie de votre IA, dans une solution collaborative, performante et éprouvée depuis plus de 30 ans, qui facilitera l’appropriation des bonnes pratiques par vos équipes et de leur permettre d’assurer un suivi continu des risques.
KNOWLLENCE est à votre écoute pour vous proposer la mise en place d’une solution digitale de management des risques si vous développez des systèmes à haut risque.