IA de confiance : comment se préparer à l'AI Act
Si le règlement européen sur l'IA sera, pour l'essentiel, applicable en 2026, les entreprises sont invitées à anticiper leur mise en conformité. Sensibilisation, cartographie des IA, évaluation des risques… Voici les étapes d'un chantier hors normes.
Le saviez-vous ? L'AI Act, le règlement européen sur l'intelligence artificielle, est entré en vigueur au cœur de l'été, le 2 août dernier. La "première législation au monde sur l'IA" s'appliquera à toutes les sociétés de l'Union européenne qui développent, fournissent ou déploient des systèmes d'intelligence artificielle. Une entreprise qui achète des modèles d'IA du marché tout en développant en interne ses propres systèmes aura le double statut de "déployeur" et de fournisseur. Pour rappel, l'Union européenne a retenu une approche pilotée par les risques tout en introduisant des exigences spécifiques aux outils d'IA générative comme ChatGPT d'OpenAI ou Gemini de Google. Quatre catégories ont été définies : les IA à risque inacceptable, à risque élevé, à risque modéré et à risque minime.
Le texte entrera progressivement en application dans les 6, 12, 24 et 36 prochains mois. L'association Hub France IA a mis en ligne un calendrier pour se repérer. La première date-clés est fixée au 2 février 2025. Elle marquera l'interdiction de la commercialisation des IA présentant un risque inacceptable pour les droits fondamentaux tels les outils de surveillance de masse des populations. Autant dire que le cadre législatif français a déjà proscrit ce type de menace.
La prochaine date à retenir est le 2 août 2026. L'essentiel des dispositifs du texte, concernant notamment les IA à risque élevé (scoring bancaire, reconnaissance faciale, recrutement prédictif...) seront alors applicables. Sans attendre cette échéance, les entreprises concernées sont invitées dès maintenant à se mettre en conformité même s'il manque encore un grand nombre de guidelines et de spécifications opérationnelles, des éléments attendus dans les prochains mois. Pas question de reproduire, dix ans après, le retard à l'allumage qui avait été constaté lors de la mise en place du RGPD.
Sensibiliser en interne
Partner chez Wavestone, Chadi Hantouche conseille d'abord de mener des actions de sensibilisation en interne. "Il convient de rappeler les objectifs de la loi et en quoi elle est importante. Cette sensibilisation doit être illustrée d'exemples de dérives possibles de l'IA en termes de biais, de discrimination, de surveillance de masse ou de risques cyber", explique l'intéressé.
Pour Nicolas Marescaux, directeur adjoint Réponses Besoins Sociétaires et Innovation de la Macif et membre du collectif Impact AI, "il convient de sensibiliser tous les collaborateurs potentiellement concernés par le règlement, à savoir les data scientists, les experts métier, les chefs de projet, les juristes mais aussi les membres du conseil d'administration", égraine-t-il.
"Un fichier Excel ne suffira pas pour gérer ses différentes législations"
Les instituts de formation étant encore en attente de précisions sur la loi avant d'alimenter leur catalogue, les entreprise peuvent se rabattre sur les webinaires et les livrables proposés par des prestataires spécialisés et des collectifs. France Digitale, Wavestone et le cabinet Gide ont publié un guide pratique à destination des entreprises. De leur côté, Impact AI livre 10 recommandations pour se mettre en conformité et Hub France IA a mis en ligne un "position paper".
Pour aborder ce projet très particulier sur nombre d'aspects, techniques, éthiques ou juridiques, Chloé Plédel responsable des affaires européennes et réglementaires de l'association Hub France IA, conseille également de "constituer un groupe d'experts sur le sujet, disposant de compétences internes et externes à l'image des comités d'éthique sur l'IA". Pour s'acculturer au texte, les entreprises peuvent aussi assurer une veille réglementaire et même apporter leur contribution aux consultations publiques lancées par les instances françaises et européennes de normalisation sur l'IA ou encore se rapprocher du Bureau européen de l'IA (AI Office), un groupe d'experts chargé de développer des outils et des méthodologies pour faciliter la mise en conformité.
Cartographier les systèmes d'IA
La deuxième étape sera familière aux chefs de projet RGPD puisqu'il s'agit de dresser un inventaire des systèmes d'IA, de qualifier le niveau de risque associé à chacun d'eux (élevé, faible ou minimal) puis de dresser la liste des obligations applicables. Ce travail exploratoire servira à documenter la conformité au fur et à mesure du projet sans attendre sa fin. L'AI Act indique qu'un système doit être évalué à chaque fois qu'il subit une mise à jour substantielle tel un changement d'algorithme ou un réentraînement avec un nouveau jeu de données.
Cette cartographie pourrait virer au cauchemar pour les organisations multinationales qui devront se conformer à la réglementation européenne et, demain, à celles mises en place par la Californie, le Brésil, Israël ou Singapour. "Un fichier Excel ne suffira pas pour gérer ses différentes législations", tranche Chadi Hantouche qui conseille de s'outiller. Comme dans le cas du RGPD, des éditeurs spécialisés comme les français Smart Global Gouvernance, Naiaa ou Giskard proposent déjà des logiciels dédiés.
"L'approche par les risques permet d'arbitrer entre les projets et de ne pas mettre en œuvre un système qui ne serait pas conforme"
En termes de gestion de projets, Chadi Hantouche conseille d'introduire, à l'image du RGPD, un principe d'"AI Act compliant by design" afin de se poser les bonnes questions en amont de tout nouveau projet d'IA. "L'approche par les risques permet d'arbitrer entre les projets et de ne pas mettre en œuvre un système qui ne serait pas conforme", prévient-il. Pour assurer cet arbitrage, le consultant observe chez les entreprises les plus matures la constitution d'un groupe de travail dédié composé du chief data officer (CDO) ou d'un représentant de la DSI, du délégué à la protection des données (DPO), du RSSI et d'un responsable du département juridique.
Secrétaire générale d'Impact AI, Roxana Rugina estime qu'un projet de conformité peut s'inscrire plus largement dans une stratégie d'IA de confiance dans ses dimensions sociétales et environnementales. Par définition, une IA de confiance et responsable répond à des critères de robustesse, de transparence, d'éthique, de non-discrimination, de respect de la vie privée et de frugalité en termes de consommation énergétique.
Interroger ses fournisseurs
Une entreprise doit aussi exercer un droit d'inventaire auprès de ses fournisseurs. En attendant le futur marquage CE, qui attestera de la conformité d'une IA aux standards de l'AI Act, il convient d'interroger les éditeurs un par un sur la composition de leurs produits. "Avec la flambée de l'IA générative, l'IA se répand dans les différentes solutions logicielles", constate Nicolas Marescaux. "Cela appelle à la vigilance. Est-ce que mes fournisseurs actuels n'intègrent pas de l'IA sans me prévenir ? Ou bien envisagent-ils de le faire dans leur feuille de route ?"
Un questionnaire type peut être, par exemple, envoyé par la direction des achats. Pour Chloé Plédel, il est, en revanche, difficile d'imposer contractuellement à un éditeur des gages de conformité alors que les spécifications techniques restent encore à définir. "Les fournisseurs qui proposent des modèles transparents de type 'white box' et qui les font auditer par un cabinet externe témoignent néanmoins d'une bonne volonté", constate-t-elle.
Faire de l'AI Act un avantage concurrentiel
Comme lors de l'entrée en vigueur du RGPD, l'AI Act ne fait pas l'impasse sur le sempiternel débat de "la réglementation qui va tuer l'innovation". En se dotant de la première d'une législation sur l'IA, l'Europe se tirerait, selon ses détracteurs, une balle dans le pied alors que les Américains et les Chinois peuvent librement développer des modèles d'IA sans le poids de la régulation.
"La loi est faite pour empêcher les IA hors de contrôle et non pas bloquer les IA qui donneraient de mauvaises prédictions de ventes", tempère Chadi Hantouche. "Comme pour le RGPD, l'AI Act entend faire preuve de pédagogie et de mansuétude en cas d'erreur commise de bonne foi ou en cas de mauvaise interprétation." Pour ne pas entraver l'innovation, le texte prévoit, par ailleurs, la mise en place de bacs à sable réglementaires.
L'AI Act peut même devenir un atout en termes de compétitivité. Non seulement les entreprises n'auront qu'une loi à respecter quel que soit l'Etat-membre où elles sont établies mais la conformité à l'AI Act sera de nature à rassurer le marché et les clients. Pour Nicolas Marescaux, il faut faire de cette contrainte réglementaire "un levier pour mieux servir ses clients, améliorer la vie de ses collaborateurs, gagner en compétitivité tout en privilégiant des solutions frugales pour préserver la planète". Un cercle vertueux.