IA Act : comprendre les nouvelles obligations pour déployer une IA responsable

A l’heure où une majorité d’entreprises et d’organisations mettent en œuvre des projets embarquant des Systèmes d’Intelligence Artificielle (SIA), des incertitudes demeurent sur les obligations à respecter, tant d’un point de vue éthique lié à ces nouveaux usages que vis-à-vis des responsabilités associées. Les ressources humaines peuvent par exemple mettre en place des projets intégrant un SIA pour trier les CV des candidats ; dans le domaine de la santé, de nombreuses startups et structures de soins associent diagnostic humain assisté par des fonctionnalités intelligentes notamment utiles au diagnostic précoce de maladies ou encore pour le développement de dispositifs médicaux innovants.

Des usages en pleine expansion, mais un cadre juridique encore méconnu

Pour encadrer ces nouveaux usages, l’Union européenne a publié l’IA ACT, règlement européen entré en vigueur le 1er août 2024, texte comparable au RGPD par son impact et ses enjeux. Il vise à instaurer un cadre clair, cohérent et responsable pour toutes les organisations qui développent, déploient ou utilisent des SIA. Tous les acteurs intervenant dans la mise en œuvre de ces systèmes ne sont pas encore au fait des nouveautés introduites par ce règlement et s’interrogent sur les exigences à respecter et les bonnes pratiques à diffuser auprès des utilisateurs.

L’IA Act : une régulation européenne fondée sur une approche par les risques

Pour y répondre, nous pouvons dire que l’Union européenne adopte une approche par les risques et par typologie de SIA, en les classifiant en plusieurs catégories : SIA interdits, SIA à haut risque, SIA à usage général et SIA à risque limité.

Ainsi, les exigences du texte sont adaptées en fonction de la qualification des SIA et des risques associés. En toute logique, ces dernières sont naturellement plus élevées pour les SIA à haut risque. Dans tous les cas, une non-conformité liée aux exigences du règlement peut valoir une amende comparable à celles du RGPD (3% du chiffre d’affaires annuel mondial ou 15 millions d’euros maximum). Il est à noter qu’en cas de mise en œuvre d’un SIA interdit, le niveau de sanction s’élève à 7% du CA mondial ou 35M€, le montant le plus élevé étant retenu.

Il existe par ailleurs un tronc commun entre l’IA ACT et le RGPD. Tout comme il est requis de décrire les finalités des traitements de données à caractère personnel, il est fondamental d’assurer la transparence du fonctionnement d’un SIA. La notion d’explicabilité devient alors capitale. Par exemple, l’IA ACT évoque des destinations des SIA, tout comme le RGPD évoque des finalités de traitement. Il alors apparait clair que des similitudes fortes existent entre les deux règlements. Nous pouvons par exemple citer l’identification de la base juridique applicable, l’information des personnes, la mise en œuvre d’une durée de conservation des données limitée ou encore l’application du principe de minimisation de collecte des données.

L’ensemble de ces exigences induisent la production d’un corpus documentaire mais aussi de politiques et de procédures de gestion de la qualité pour se conformer à la réglementation. Ce corpus est plus ou moins fourni selon la qualification du système utilisé : charte de bonnes pratiques d’usage de l’IA pour l’ensemble des SIA, et, pour les SIA à haut risque, analyse d’impact sur les droits fondamentaux, information des utilisateurs métiers, procédure de contrôle humain des résultats produits par un SIA et déclaration de conformité à réaliser.

Pour répondre à toutes vos questions et vous aider à transformer l’IA ACT en une véritable opportunité, FORMIND peut vous accompagner !