AI Act : comprendre les nouvelles obligations pour déployer une IA responsable

À l’heure où une majorité d’entreprises et d’organisations déploient des projets intégrant des Systèmes d’Intelligence Artificielle (SIA), des incertitudes subsistent quant aux obligations à respecter, tant sur le plan éthique que sur celui des responsabilités associées. Si ces technologies offrent des gains considérables en efficacité et en rapidité, elles peuvent également engendrer des effets indésirables susceptibles de porter atteinte aux droits des individus.

Une réglementation nouvelle face à des usages déjà massivement déployés

Dans le domaine des ressources humaines, par exemple, l’utilisation d’un SIA pour trier automatiquement les CV permet de faire gagner un temps précieux aux équipes de recrutement. Toutefois, ce type de pratique dépend fortement du paramètre de l’IA et peut ainsi conduire à écarter injustement des candidats dont le parcours ne correspond pas aux mots-clés ou critères prédéfinis, créant ainsi un risque de blocage d’opportunités ou de discrimination indirecte.

De même, dans le secteur de la santé, les outils d’aide au diagnostic basés sur l’IA représentent un atout majeur, notamment pour la détection précoce de certaines pathologies. Néanmoins, ces systèmes peuvent influencer la décision du médecin, soulevant alors des questions fondamentales : jusqu’où s’étend la responsabilité humaine face à une recommandation algorithmique, et comment encadrer juridiquement les conséquences d’une erreur ou d’un biais généré par l’IA ?

Afin d’encadrer ces nouveaux usages, l’Union européenne a adopté l’AI Act, règlement entré en vigueur le 1er août 2024. Comparable au RGPD par son ampleur, son impact et les enjeux qu’il soulève, ce texte vise à instaurer un cadre harmonisé, clair et responsable pour l’ensemble des organisations qui développent, déploient ou utilisent des SIA.

Cependant, tous les acteurs impliqués dans la conception ou l’exploitation de ces systèmes ne maîtrisent pas encore pleinement les évolutions introduites par ce règlement. Beaucoup s’interrogent ainsi sur les exigences concrètes à respecter, ainsi que sur les bonnes pratiques à mettre en œuvre et à diffuser auprès des utilisateurs afin de garantir une utilisation conforme, éthique et sécurisée de l’IA.

L’IA Act : une régulation européenne fondée sur une approche par les risques

Pour encadrer l’essor de l’intelligence artificielle, l’Union européenne a adopté une approche fondée sur le niveau de risque des systèmes déployés. L’AI Act distingue ainsi plusieurs catégories de SIA, des systèmes interdits aux systèmes à haut risque, en passant par ceux à usage général ou à risque limité.

Cette classification détermine les obligations applicables : plus l’impact potentiel sur les droits fondamentaux est élevé, plus les exigences en matière de transparence, de contrôle humain et de documentation sont renforcées. Le non-respect du règlement peut entraîner des sanctions importantes, allant jusqu’à 3 % du chiffre d’affaires mondial ou 15 M€, et jusqu’à 7 % ou 35 M€ pour les systèmes interdits.

L’AI Act s’inscrit ainsi dans la continuité du RGPD, en renforçant les principes de transparence, de gouvernance et de protection des droits des personnes. Plusieurs exigences se recoupent ainsi, notamment l’information des personnes, la minimisation des données collectées et la nécessité de démontrer un usage conforme et maîtrisé de l’IA.

Des obligations concrètes et structurantes

La mise en conformité à l’AI Act impose aux organisations de structurer un cadre de gouvernance, de documentation et de contrôle proportionné au niveau de risque des systèmes d’IA. Si une charte d’usage responsable peut suffire pour certains SIA à risque limité, les systèmes à haut risque nécessitent des démarches renforcées : analyses d’impact sur les droits fondamentaux, supervision humaine, information des utilisateurs métiers ou encore déclaration de conformité.

Transformer l’AI Act en opportunité : l’accompagnement Formind

Face à ces exigences croissantes en matière de transparence, de maîtrise des risques et de responsabilité, FORMIND accompagne les organisations dans la sécurisation et la mise en conformité de leurs projets et systèmes IA, à travers une offre de service complète :

• Audit de conformité à l’AI Act et plan d’alignement,
• Cartographie des cas d’usage IA et qualification des systèmes selon leur niveau de risque,
• Réalisation d’analyses d’impact sur les droits fondamentaux – AIDF :  biais, sécurité des données traitées et générées, gouvernance…,
• Mise en place de dispositifs de supervision humaine et de contrôle,
• Définition d’une gouvernance IA complète (politiques, procédures, documentation, rôles et responsabilités, comitologie…),
• Formation, sensibilisation et accompagnement des équipes métiers et techniques dans l’adoption des bonnes pratiques et respect des exigences de l’AI Act.

Grâce à notre expertise en cybersécurité, conformité réglementaire et gestion des risques, FORMIND aide ses clients à anticiper les obligations de l’AI Act et à transformer cette réglementation en levier de confiance et de performance.