AI Act : à qui revient la responsabilité des obligations réglementaires ?

AI Act : à qui revient la responsabilité des obligations réglementaires ? Avec l'entrée en vigueur prochaine de l'AI Act, une nouvelle forme de gouvernance est sur le point de voir le jour avec de nouvelles missions.

La régulation de l'intelligence artificielle ouvre la voie à de nouveaux métiers. En Europe, le législateur souhaite imposer l'AI Act, un cadre réglementaire strict d'ici à 2026. En anticipation, les acteurs du secteur commencent déjà à repenser le rôle de certains postes clé quand d'autres envisagent de recruter des profils spécifiques. "La gouvernance c'est le sujet sur lequel il faut commencer à réfléchir dès maintenant, avoir en tête la manière de construire les rôles, les responsabilités, pour assurer une phase de mise en conformité moins complexe. Vu la masse d'exigences, l'optimisation va être rudement importante", estimait Vincent Maret, associé chez KPMG dans nos colonnes

La question stratégique des responsabilités est d'autant plus importante que le texte exige à minima d'identifier les usages des systèmes d'IA en production avec grande précision. Pour les cas les plus sensibles et notamment les systèmes d'IA à haut risque, le législateur impose des obligations de documentation plus importantes. Le texte évoque des exigences nombreuses en matière de "données de haute qualité, de documentation, de traçabilité, de transparence, de contrôle humain, d'exactitude et de robustesse", mais ne précise pas quelle entité d'une corporation en sera chargée. 

Le rôle du DPO à redéfinir ?

Bien qu'aucune précision sur les rôles et les responsabilités en entreprise n'ait encore été établie, Marc Mossé, Avocat Senior Counsel au sein du cabinet August Debouzy n'exclut pas que la version finale de l'AI Act puisse établir des règles plus précises en matière de conformité interne : "Dans le cadre des trilogues, nous ne devons pas exclure des modifications de dernière minute. À titre d'exemple, pour le DMA, l'obligation de nommer une personne spécifiquement chargée de la conformité a été ajoutée dans la dernière phase d'examen du texte ."Actuellement, en l'absence de directives claires, les entreprises sont dans l'incertitude. Faut-il attribuer de nouvelles responsabilités à ceux qui gèrent déjà la gouvernance des données ou est-il nécessaire de créer de nouveaux postes ?

En l'absence de règles contraignantes, il peut sembler logique de confier ces nouvelles missions de conformité au DPO, le Délégué à la protection des données. "Le DPO, qui traite déjà des questions au croisement de la technologie et des données personnelles, pourrait ainsi adopter une approche globale et transverse sur ces sujets", considère Marc Mossé. Toutefois, dans les entreprises de plus grande taille, la stratégie est différente. "Dans les grands groupes que nous accompagnons principalement, nous constatons essentiellement la création de nouvelles fonctions. Bien que le DPO, dans le cadre de ses responsabilités habituelles, ait déjà un champ d'action étendu, notamment en ce qui concerne la traçabilité de l'utilisation des données par les nouveaux modèles d'IA, il apparaît nécessaire d'instaurer de nouveaux rôles pour gérer ces enjeux spécifiques", analyse Julien Maldonato, Digital Trust Leader au sein du cabinet Deloitte. 

Une période de transition

Julien Maldonato voit de nouveaux profils émerger, sous la dénomination de "responsable de l'éthique de l'IA" ou plus simplement de "responsable de l'IA." Ces nouveaux postes seront-ils pérennisés à long terme ? Si la question reste ouverte, Julien Maldonato pense davantage qu'il s'agit d'une période de transition, avant la reprise en main de ces questions par les métiers. "Outre l'apparition de postes standards comme le chief digital officer, le chief data officer ou le DPO, nous remarquons des intersections entre les rôles, notamment avec les nouvelles positions dédiées à l'IA en matière de conformité. Nous voyons émerger de nouveaux métiers d'auditeur des algorithmes d'intelligence artificielle. Il est envisageable qu'à l'avenir, la spécialisation de ces postes diminue", nuance le Digital Trust Leader.

En parallèle, les entreprises font remonter des besoins naissants en termes de formation des équipes déjà en poste. Les fonctions de direction des risques et de la conformité demandent notamment à monter en compétences, tout comme les secteurs juridiques à qui devrait incomber une grande partie des obligations de l'AI Act. "Il est évident que la dimension technologique est essentielle, c'est le moins que l'on puisse affirmer. Toutefois, étant donné qu'il s'agit d'un texte fondé sur une approche par les risques, la seule dimension technique ne suffit pas. Une approche juridique s'avère fondamentale dans l'analyse. Les juristes d'entreprise et leurs avocats voient la conformité occuper une part croissante et significative de leurs responsabilités et nous sommes de plus en plus sollicités avant même l'adoption de l'IA Act, sur, par exemple, les questions juridiques liées à l'intégration de l'IA générative en entreprise", observe Marc Mossé.

Des besoins importants dans la finance 

Les besoins en matière de compliance varient selon les secteurs. Ainsi, le domaine de la finance, en plein transition vers l'IA, fait partie des secteurs les plus demandeurs. "Le secteur financier, après des années de développement algorithmique, possède aujourd'hui des systèmes extrêmement surveillés et monitorés, où chaque modification est scrupuleusement analysée. Ces années de travail ont abouti à la mise en place de logiciels et de systèmes informatiques robustes. Cependant, ils sont actuellement dans l'incapacité de migrer vers des systèmes d'IA, car ils ne peuvent garantir le même niveau de sécurité, de stabilité et de surveillance que leurs systèmes actuels. Néanmoins, une transition est envisagée : ils travaillent à établir une gouvernance solide et envisagent de migrer progressivement par fonction vers des solutions d'IA", analyse Brice Lavigne, Data Governance Manager consultant, chez Saegus, cabinet de conseil français spécialisé en expertise digitale

Pour le spécialiste, dès que l'usage de l'IA se normalisera, des pôles dédiés à la réglementation, la conformité et la qualité de l'IA émergeront. "La structure de ces pôles dépendra des architectures choisies, que ce soit une centralisation ou un développement adapté aux différents secteurs d'activité. Quoi qu'il en soit, de nombreux postes se profileront dans le domaine de la conformité liée à l'IA", anticipe Brice Lavigne.