AI Act : 6 questions sur la réglementation de l'intelligence artificielle

Aujourd’hui l’intelligence artificielle prend une place de plus en plus conséquente dans le quotidien de nombreux français. Il devient alors important de régulariser son usage et sa mise en œuvre. Pierre-Yves Lastic, vice-président de l’Union des DPO et ancien Deputy Head en charge de la Global privacy office au sein du groupe Sanofi, est intervenu lors de notre webinar « L’Artificial Intelligence Act : quels impacts pour les entreprises ». Dans cet article nous reprenons les termes abordés lors de ce webinar afin de mieux comprendre l’AI ACT.

Pourquoi règlementer l’usage de l’intelligence artificielle ?

Depuis toujours, l’intelligence artificielle a su nous montrer deux facettes : alors qu’elle peut se montrer très utile dans la vie quotidienne et professionnelle, l’IA peut aussi présenter des risques. Connue pour être complexe, imprévisible elle est aussi par définition, autonome et autodidacte.

Ces caractéristiques font que l’IA peut d’une manière ou d’une autre, porter atteinte à nos droits fondamentaux mais aussi causer des incertitudes juridiques.

Prenons l’exemple d’un accident lié à une voiture autonome, qui sera responsable : le conducteur, la voiture, le constructeur ?

C’est au vu de tous ces aspects, que l’Union Européenne a décidé de réglementer l’usage et la mise en œuvre de l’intelligence artificielle.

Qu’est-ce que le projet de loi AI Act ?

« L’AI Act est une proposition du règlement du parlement européen et du conseil établissant des règles harmonisées en matière d’IA. »

Cette réglementation se veut neutre et a pour objectif de couvrir toute l’intelligence artificielle, y compris l’IA symbolique traditionnelle, le machine learning et les systèmes hybrides. Le règlement liste de longues annexes souvent mises à jour et contenant la liste des techniques et approches que l’IA devrait assurer au fil du temps.

Pour en savoir plus : https://artificialintelligenceact.eu/annexes/

Comment l’intelligence artificielle sera réglementée via l’AI Act ?

La commission propose une approche fondée sur quatre niveaux de risques.

Niveau 4 : les risques inacceptables

En haut de la pyramide, nous avons les risques inacceptables au regard des valeurs de l’UE. Ce sont des systèmes d’IA qui iraient contre les droits fondamentaux et leur application serait donc interdite. À noter, une liste des applications d’IA interdites sera régulièrement mise à jour et disponible en ligne.

Parmi les risques inacceptables, nous pouvons retrouver les exemples suivants :

Niveau 3 : les hauts risques

Autre niveau de cette pyramide, il s’agit des applications d’IA à haut risques. Dans cette catégorie nous allons retrouver les systèmes d’IA qui vont conditionner le recrutement (pour éviter toute discrimination), les dispositifs médicaux (car il en va de la sécurité d’un patient). Tous ces systèmes devront être soumis à une évaluation avant mise en œuvre du système.

Niveau 2 : les IA avec des obligations de transparence spécifique

En second niveau, nous retrouvons les systèmes d’IA qui se veulent moins dangereux, et causant moins de risques pour les utilisateurs. Ce type de système sont autorisé mais soumis à des obligations d’information et de transparence. Ces obligations seront expliquées à la question suivante. Dans ce niveau, nous retrouverons les IA intégrées dans des chabot ou des conversation téléphonique de type numéro vert.

Niveau 1 : le risque minimal ou absents

Enfin, le dernier étage de notre pyramide, regroupe les systèmes où l’on suggère que le risque est minime et/ou absent (ex : une machine à laver qui utiliserait un système d’intelligence artificielle). Pour tout système présent dans cette catégorie, aucune pré-évaluation ne sera demandée.

Quelles obligations dois-je respecter avant de commercialiser mon produit IA ?

Pour les systèmes où l’on estime que le risque est minimal ou absent, les obligations ne seront pas lourdes ou contraignantes. La Commission et le Conseil encouragent l’élaboration de codes de conduite destinés à favoriser l’application volontaire des exigences liées aux systèmes d’IA à faible risque.

Néanmoins, l’article 52 stipule certaines obligations de transparence pour certains systèmes d’IA. Pour les systèmes à haut risques par exemples, les obligations sont les suivantes :

• Notifier les personnes qu’elles sont en train d’interagir avec une IA sauf si cela est évident. On ne parle pas ici d’aspirateur robot ou de réfrigérateur utilisant une IA mais plutôt de systèmes utilisant des IA conversationnelles telle que les chatbots ou des avatars vidéo. C’est bien dans ce type de cas, qu’il est obligatoire d’informer l’utilisateur.
• Notifier les personnes qu’elles sont soumises à des systèmes de reconnaissance émotionnelle ou de catégorisation biométrique.
• Appliquer un marquage aux « deep fakes » (sauf si cela est nécessaire à l’exercice d’un droit ou d’une liberté fondamentale ou pour des raisons d’intérêt public).
• Appliquer le marquage CE afin de prouver que le produit est conforme aux exigences de la législation de l’Union Européenne et signer une déclaration de conformité. Ces documents sont à retrouver sur le site de l’Union Européenne ou de la commission.

Voici quelques exemples d’obligations :

A noter, la CNIL a mis en ligne un guide permettant à tout un chacun d’effectuer une auto-évaluation de son produit afin de voir si ce dernier est conforme au règlement AI Act.

Quelles sont les recommandations à suivre avant de commercialiser un système d’IA ?

Selon, Pierre-Yves Lastic, pour vous assurer que votre système d’IA corresponde aux exigences relatives liées aux risques, le mieux serait « d’établir et de mettre en œuvre des processus de gestion des risques pertinents au vu de la finalité du système d’IA ». Pour ce faire, vous pouvez suivre les points suivants :

• Utiliser des données de formation, de validation et d’essai de haute qualité (pertinentes, représentatives, etc.).
• Documenter l’ensemble du développement et des tests du système et mettre en place une journalisation de son fonctionnement (traçabilité et auditabilité). Vous devez être capable de remonter la chaîne de décisions afin de déterminer d’où provient le dysfonctionnement de départ.
• Assurer un degré de transparence approprié pour expliquer aux utilisateurs le fonctionnement du système. En d’autres termes, indiquer à l’utilisateur s’il interagit avec une IA lorsque ce n’est pas évident.
• Assurer un contrôle humain (mesure intégrée au système et/ou à mettre en œuvre par les utilisateurs).
• Assurer la robustesse, l’exactitude et la cybersécurité de votre système.

Enfin, en fonction de la taille de votre structure, il est fortement recommandé de faire appel à une équipe de juriste ou à un Data protection officer à plein temps. Pour les plus petites entreprises, des cabinets spécialisés peuvent aussi vous venir en aide pour éviter la production et la mise en œuvre d’un système d’IA non conforme à l’AI Act.

Quelles sont les sanctions encourues si je ne respecte pas les obligations et recommandations citées précédemment ?

Deux cas s’offrent à vous :

Si vous êtes dans la situation où vous avez commercialisé un produit sans marquage CE. Les sanctions peuvent être civiles mais aussi administratives allant donc de quelques centaines d’euros d’amende à des années de prison en fonction du produit commercialisé et du dommage causé.

Pour toute autre entrave à la réglementation de l’intelligence artificielle ACT, les sanctions encourues vont suivre la même logique que la règlementation RGPD. Les amendes pourront alors s’élever à des millions d’euros ou à un certain pourcentage du chiffre d’affaires de votre entreprise.

Bonus : Quelles ont été les avancées sur l’AI Act en 2023 ?

A noter cette question n’a pas été répondue par Pierre Yves Lastic.

En 2023, la CNIL a joué un rôle crucial dans l’élaboration et la mise en œuvre de l’AI Act, en se concentrant sur la protection de la vie privée et des données personnelles dans le cadre du déploiement des systèmes d’intelligence artificielle. Le plan d’action de la CNIL pour cette année s’articule autour de quatre axes principaux :

Comprendre le fonctionnement des systèmes d’IA et leurs impacts sur les individus : La CNIL s’est attachée à étudier les implications des IA génératives, notamment les grands modèles de langage comme GPT-3 et leurs dérivés, ainsi que les enjeux juridiques, éthiques et techniques liés à leur développement et utilisation.

Encadrer le développement d’IA respectueuses des données personnelles : La CNIL a travaillé à clarifier l’application du RGPD aux IA, notamment en ce qui concerne l’entraînement des IA génératives. Elle a publié des guides et des positions pour aider les professionnels à se conformer aux règles de protection des données.

Fédérer et accompagner les acteurs innovants de l’écosystème IA : La CNIL a lancé des initiatives telles que des « bacs à sable » pour soutenir les projets innovants en IA, et a ouvert un programme d’accompagnement renforcé pour les entreprises innovantes dans le domaine de l’IA.

Auditer et contrôler les systèmes d’IA pour protéger les individus : La CNIL a mis l’accent sur le contrôle du respect des règles de protection des données par les systèmes d’IA, notamment en ce qui concerne la vidéosurveillance augmentée et l’utilisation de l’IA pour la lutte contre la fraude.

Ces efforts de la CNIL visent à préparer l’entrée en application du règlement européen sur l’IA, en cours de discussion, et à instaurer des règles claires et protectrices pour le développement de systèmes d’IA respectueux de la vie privée.

Pour aller plus loin :

• Visionnez le replay de notre dernier webinar sur le sujet 👉 c’est ici
• Le 6 décembre dernier, le Conseil de l’Europe a examiné le projet de règlement afin d’adopter une position commune à retrouver dans cet article : https://www.consilium.europa.eu/en/press/press-releases/2022/12/06/artificial-intelligence-act-council-calls-for-promoting-safe-ai-that-respects-fundamental-rights/
• Si vous souhaitez en apprendre plus sur les conséquences de cette proposition de réglementation pour les start-up européennes, n’hésitez pas à lire cette enquête à retrouver sur le lien suivant : https://aiaustria.com/news/impact-of-the-ai-act-on-the-european-ai-startup-market