digitemis 
Sécurité offensive
Gouvernance & conformité
Protection des données
L’intelligence artificielle (IA) est au cœur de notre quotidien et de nos préoccupations. Face à son essor fulgurant, l’Union européenne a décidé de prendre les devants en adoptant l’AI Act (la loi sur l’IA, en français), un ensemble législatif ambitieux visant à encadrer et contrôler les usages de l’IA. Entré en vigueur le 1er août 2024, ce texte marque un tournant majeur dans la régulation des technologies de l’IA. Plongeons dans les détails de cette législation et analysons son impact sur les entreprises.
Une approche basée sur les risques
L’AI Act adopte une approche pragmatique en classifiant les systèmes d’IA selon leur niveau de risque :
- Risque inacceptable : Ces systèmes, comme le scoring social, sont tout simplement interdits.
- Haut risque : Concernant des domaines sensibles tels que l’éducation, la santé ou les infrastructures critiques, ces systèmes sont soumis à des obligations strictes.
- Risque limité : Ces systèmes, comme les chatbots, doivent respecter des obligations de transparence.
- Risque minimal : La majorité des applications d’IA grand public ne sont pas réglementées.
Cette classification permet d’adapter les exigences réglementaires en fonction des enjeux réels liés à chaque type d’IA.
Des obligations pour les acteurs de l’IA
L’AI Act distingue deux catégories d’acteurs : les « fournisseurs » (développeurs de systèmes d’IA) et les « utilisateurs » (déployeurs, mais pas les utilisateurs finaux). Les obligations varient selon le rôle et le type de système d’IA :
Pour les fournisseurs de modèles d’IA à usage général :
- Fournir une documentation technique et des instructions d’utilisation
- Se conformer à la directive sur les droits d’auteur
- Publier un résumé du contenu utilisé pour la formation
Les fournisseurs de modèles présentant un risque systémique doivent en plus :
- Effectuer des évaluations de modèles
- Réaliser des tests contradictoires
- Suivre et signaler les incidents graves
- Garantir la protection de la cybersécurité
Un calendrier de mise en œuvre progressive
La mise en application de l’AI Act se fera par étapes :
- 1er août 2024 : Entrée en vigueur de l’AI Act
- 1er février 2025 : Interdiction des systèmes d’IA « à risque inacceptable »
- 1er août 2025 : Application des réglementations pour les modèles d’IA à usage général
- Été 2026 : Entrée en vigueur de tous les autres dispositifs de la loi
Cette approche graduelle permettra aux entreprises de s’adapter progressivement aux nouvelles exigences.
L’impact sur les entreprises : entre défis et opportunités
L’AI Act aura des répercussions significatives sur l’écosystème de l’IA en Europe. Entre 33% et 50% des startups européennes intégrant de l’IA pourraient être concernées par la classification à haut risque (source : Hub France IA), bien au-delà des 15% initialement estimés par la Commission européenne.
Cette mise en conformité représente un double défi pour les entreprises :
- Un signal positif : Les entreprises respectant le cadre défini enverront un message fort de fiabilité et de respect des données aux consommateurs, ce qui peut constituer un avantage concurrentiel.
- Un investissement conséquent : La mise en conformité risque d’être coûteuse, ce qui pourrait freiner la croissance des startups aux ressources limitées.
À court terme, cette régulation pourrait effectivement créer un écart entre les entreprises capables d’investir dans la conformité et les autres. Cependant, à long terme, c’est la garantie d’un usage plus éthique et responsable de l’IA, bénéfique pour l’ensemble de l’écosystème.
Des outils pour faciliter la conformité
Pour aider les entreprises à naviguer dans ce nouveau paysage réglementaire, plusieurs ressources ont été mises en place :
- L’Office AI : Un organe de contrôle chargé de surveiller la conformité des développeurs de modèles.
- Un « vérificateur de conformité« : Un outil interactif permettant aux entreprises de déterminer si leur système d’IA sera soumis aux obligations de la nouvelle législation.
- Un explorateur dédié : Pour rechercher efficacement les informations contenues dans le texte de loi.
Ces outils visent particulièrement à aider les PME et les startups à comprendre et à mettre en œuvre les nouvelles obligations légales.
L’Europe, pionnière de la régulation de l’IA
Avec l’AI Act, l’Europe confirme sa position de leader en matière de régulation des technologies numériques, après le succès du RGPD. Cependant, il est important de noter la différence d’objectif entre ces deux textes : si le RGPD vise principalement à protéger les consommateurs et leur vie privée, l’AI Act a pour but d’encadrer et de protéger les entreprises européennes, tout en imposant un cadre éthique à l’utilisation de l’IA.
Cette approche proactive pourrait inspirer d’autres nations comme la Chine et les États-Unis, ouvrant la voie à une régulation globale de l’IA.
AI Act : un tournant majeur
En imposant un cadre éthique et des obligations de transparence, l’AI Act vise à créer un environnement propice au développement d’une IA de confiance.
L’expertise de Digitemis en matière de conformité réglementaire (RGPD, DORA, etc.) et de sécurité des systèmes d’information sera précieuse pour accompagner les organisations dans leur mise en conformité avec l’AI Act. Si vous avez besoin d’échanger sur le sujet, c’est par ici.
L’avenir nous dira si cette régulation européenne parviendra à trouver le juste équilibre entre innovation et protection, mais une chose est sûre : l’ère de l’IA non régulée touche à sa fin, ouvrant la voie à une utilisation plus responsable et éthique de cette technologie révolutionnaire.
