L’IA Act : Comprendre les nouvelles obligations pour les bureaux d’études

L’AI Act est un règlement historique adopté par l’Union européenne en avril 2024. Il s’agit de la première réglementation complète sur l’IA par un régulateur majeur dans le monde, qui vise à façonner le développement et l’utilisation de l’IA dans l’UE. Il interdit les IA à risque inacceptable et impose des exigences strictes pour les IA à haut risque. Il s’applique à garantir une IA développée et utilisée de manière responsable et éthique.

L’IA Act : quésaco ?

Le premier élément à retenir de ce règlement sur l’intelligence artificielle est la classification des systèmes d’IA en fonction du niveau de risque. L’AI Act classe les systèmes d’IA en quatre catégories de risque :

• inacceptable : ceux qui utilisent la reconnaissance faciale pour la surveillance à distance en temps réel dans les espaces publics sont interdits ;
• élevé : les systèmes de notation de crédit, la correction d’examens, le transport ou le recrutement doivent respecter des critères stricts vérifiés par des organismes agréés pour obtenir l’autorisation d’entrer sur le marché européen ;
• limité : les chatbots sont autorisés à condition de respecter certaines obligations de transparence pour avertir le citoyen qui interagit avec eux ;
• minimal : les jeux vidéo ou les filtres anti-spams n’ont pas de limitation dans ce texte.

D’une manière générale, les fournisseurs de systèmes d’IA ont des obligations d’une part de sécurité et d’autre part d’informations claires et transparentes envers les utilisateurs. Ils doivent apporter des précisions quant au fonctionnement, aux capacités et aux limites de la machine. L’objectif est de s’assurer que l’utilisateur fait des choix réellement éclairés.

Le cœur de la réglementation concerne les systèmes à risque élevé, notamment ceux utilisés dans des secteurs sensibles tels que la santé, l’éducation, la gestion des ressources humaines ou encore la sécurité publique. Pour ces applications, l’IA Act impose des exigences strictes, comme la nécessité de garantir la sécurité des utilisateurs, d’assurer la transparence des algorithmes et de démontrer l’absence de biais discriminatoires. Les entreprises devront également mettre en place des mécanismes de gestion et de suivi pour prouver leur conformité aux normes. Par ailleurs, l’IA Act accorde une attention particulière à la transparence des systèmes d’IA utilisés dans des contextes d’interaction directe avec les utilisateurs.

Ce règlement marque une avancée importante pour harmoniser les pratiques en matière d’intelligence artificielle au sein de l’Union européenne. Il vise à protéger les droits fondamentaux des citoyens tout en offrant aux entreprises un cadre clair pour innover de manière responsable. Cette approche devrait favoriser une adoption plus large et plus sereine des technologies d’IA en Europe, en renforçant la confiance des utilisateurs et des parties prenantes.

Pour les entreprises, l’IA Act représente à la fois un défi et une opportunité. Il impose une réflexion approfondie sur les pratiques de développement, la gestion des données et la conformité réglementaire. Mais il offre aussi un avantage compétitif en encourageant une IA éthique et transparente. En anticipant ces changements, les organisations pourront s’aligner sur les attentes des consommateurs et des régulateurs, et ainsi s’inscrire durablement dans l’écosystème numérique européen.

Les obligations pour les bureaux d’études

L’IA Act impose des obligations non seulement aux développeurs de systèmes d’IA, mais aussi aux entreprises qui les utilisent dans le cadre de leurs activités. Ces obligations varient selon le type d’IA utilisée et son niveau de risque, même si l’entreprise ne participe pas directement à son développement. Voici les principales responsabilités à connaître.

Identifier et comprendre le risque de l’IA utilisée

L’IA Act classe les systèmes d’IA en quatre niveaux de risque : inacceptable, élevé, limité et minimal. Les entreprises doivent d’abord évaluer si les outils qu’elles utilisent appartiennent à l’une de ces catégories. Par exemple, un logiciel d’aide à la décision dans les ressources humaines ou un système de reconnaissance faciale dans un espace public est considéré à risque élevé. En revanche, un assistant virtuel ou un outil d’analyse de données à usage interne pourrait relever d’un risque limité ou minimal.

Garantir la transparence et informer les utilisateurs

Pour les systèmes d’IA à risque limité, l’obligation principale est d’assurer une transparence minimale. Si vous utilisez un chatbot ou un assistant virtuel, vous devez informer vos employés ou vos clients qu’ils interagissent avec un système d’IA, et non un humain. Cette information doit être claire et accessible.

Contrôler la conformité des fournisseurs

Les entreprises qui intègrent des systèmes d’IA fournis par des tiers doivent s’assurer que ces systèmes respectent les exigences de l’IA Act. Cela implique de vérifier que le fournisseur a effectué les évaluations de conformité nécessaires pour un système à risque élevé, comme la documentation technique, les tests de sécurité et la gestion des données. Bien que l’obligation principale incombe au développeur, l’utilisateur doit choisir des fournisseurs fiables et demander des garanties de conformité.

Former et responsabiliser les équipes internes

Même si vous n’êtes pas le développeur, l’utilisation de l’IA nécessite une formation des équipes qui l’exploitent. Cela inclut la sensibilisation aux limites de l’IA, aux biais potentiels et aux risques éthiques. Vos collaborateurs doivent savoir comment interpréter les résultats produits par l’IA et éviter une dépendance aveugle à ses recommandations.

Surveiller l’usage de l’IA et signaler les incidents

Les entreprises utilisant des systèmes à risque élevé doivent mettre en place des procédures de suivi pour s’assurer que l’IA fonctionne comme prévu. Si un incident grave se produit (par exemple, une décision injuste ou un dysfonctionnement ayant des conséquences sérieuses), elles sont tenues de le signaler aux autorités compétentes.

Respecter les droits des utilisateurs

Enfin, les entreprises doivent garantir que l’utilisation de l’IA respecte les droits fondamentaux des individus. Cela inclut la protection des données personnelles conformément au RGPD, ainsi que la possibilité pour les utilisateurs de comprendre les décisions prises ou influencées par l’IA, et de les contester le cas échéant.

Même si elle ne développe pas de système d’intelligence artificielle, votre entreprise doit s’assurer que son usage est conforme aux exigences de l’IA Act. Cela passe par une sélection rigoureuse des outils utilisés, la transparence vis-à-vis des utilisateurs, le respect des droits fondamentaux et la mise en place de procédures internes adaptées. Ces obligations visent à garantir une utilisation éthique et responsable de l’IA, tout en renforçant la confiance des utilisateurs et partenaires.