4 étapes pour déployer son IA générative à l'heure de l'AI Act
Cartographier les systèmes d'IA, désigner un responsable de la gouvernance des données… Voici les chantiers prioritaires pour lancer son IA générative en respectant l'AI Act ET le RGPD.
Le texte a été longuement débattu au Parlement européen, son application est maintenant effective. Entrée en vigueur au 1er aout, l'AI Act intime aux entreprises de se mettre en conformité sous peine de lourdes sanctions économiques. Le RGPD, déjà en place depuis 2018, s'ajoute à ces nouvelles exigences, créant un cadre juridique lourd pour le développement et l'utilisation de l'IA. Le JDN dresse les étapes clés pour lancer une IA générative (type copilot) dans votre entreprise, en limitant les risques juridiques.
Dans la théorie, l'entrée en vigueur de l'IA Act introduit un délai de grâce pour les entreprises utilisant l'IA. Le texte prévoit une période de tolérance de 24 mois pour les systèmes d'IA déjà en développement ou en production avant août 2025. Toutefois, cette tolérance exceptionnelle est assortie d'une condition : ne pas "modifier substantiellement" les systèmes d'IA concernés. Passé ce délai, ou en cas de changement majeur, les systèmes d'IA devront être immédiatement conformes aux exigences de l'AI Act.
"Au sein des entreprises, il est peu probable que les systèmes d'IA restent statiques pendant deux ans. Des modèles plus puissants sortent tous les mois. Il serait donc surprenant de maintenir un système inchangé pendant deux ans. Or, dès que l'entreprise mettra à jour son modèle, ce sera considéré comme un nouveau système. Il faudra alors être immédiatement conforme à l'AI Act", rappelle Frédéric Brajon, associé co-fondateur du cabinet Saegus. Les entreprises qui souhaitent continuer à innover après le 1er aout 2025 ont donc tout intérêt à être compliantes dès le début de l'échéance.
1. Cartographier les cas d'usage
C'est l'exigence première de l'AI Act : la transparence. La loi exige de documenter assez longuement l'ensemble des systèmes d'IA utilisés dans l'entreprise et l'ensemble de ses branches. Il est recommandé d'anticiper les cas d'usage, les typologies d'IA à utiliser (LLM open source, service sur l'étagère…) et le public cible de l'outil. L'ensemble des IA déployées au sein de l'UE, on premise ou en cloud, sont concernés par l'AI Act.
Enfin, "par la suite, il faudra définir un processus pour chaque projet d'IA, en déterminant le niveau de transparence requis selon sa criticité et son impact. Cela implique de classifier l'usage comme critique ou non, de décrire les jeux de données utilisés, notamment pour l'apprentissage, de mettre en place des procédures de test et d'établir un calendrier de vérifications régulières, trimestrielles ou semestrielles, pour détecter d'éventuels écarts ou dérives", explicite Frédéric Brajon.
2. Choisir le bon modèle d'IA et se prémunir
Outre la transparence de votre système d'IA, l'AI Act s'intéresse à celle des modèles que vous utilisez. Ces derniers doivent respecter le droit d'auteur et les droits voisins. Les éditeurs de modèles doivent théoriquement assurer à leurs clients qu'aucun contenu protégé n'a été utilisé pendant la phase d'entrainement. L'AI Act exige également des fournisseurs qu'ils fournissent un résumé du contenu utilisé pour l'entraînement.
Problème ? La majorité des modèles propriétaires actuellement sur le marché ne répondent pas à ces exigences. Que ce soit chez OpenAI, AWS ou GCP, aucun éditeur ne s'engage sur le respect des droits d'auteur. Comment pouvez-vous alors vous prémunir d'éventuelles sanctions ? Il est possible d'utiliser un modèle conforme, comme ceux de Mistral AI. Toutefois, si vous souhaitez quand même disposer d'un modèle théoriquement non-conforme (comme GPT-4o, Gemini ou Claude notamment), il est nécessaire de vous couvrir juridiquement en démontrant l'absence de biais dans les modèles.
"L'entreprise doit donc mettre en place des mécanismes de test rigoureux. Elle ne peut pas garantir la méthode d'entraînement initiale, mais elle peut et doit s'assurer qu'avant la mise en production d'un service, des tests approfondis ont été réalisés pour détecter d'éventuels biais. L'objectif est de pouvoir affirmer qu'au minimum, aucun biais évident n'a été constaté dans les cas d'usage prévus", recommande Frédéric Brajon.
3. S'assurer de la conformité réglementaire des données accessibles à l'IA
C'est l'autre grand chantier de l'AI Act : la gouvernance des données. Dans un système de RAG, vous devez vous assurer que les données adressées à l'IA respectent le cadre du RGPD. Commencez par catégoriser les sources de données qui seront connectées à l'IA, classez-les selon leur sensibilité et identifiez les éventuels points de vulnérabilités. Exemple : une base client qui ne doit pas être adressée à l'IA. Enfin, pour éviter que le copilot IA de votre entreprise n'ait accès à des données personnelles adressées par erreur par un collaborateur, ajoutez des filtres en input du prompt et en output de la réponse générée.
Enfin, désignez une personne en charge de la gouvernance de l'IA, en l'associant au pôle Data de votre entreprise, s'il existe. Le but est de pouvoir justifier sa bonne foi en démontrant au régulateur que votre entreprise a fait le maximum pour se conformer à l'AI Act.
4. Sensibiliser les collaborateurs
C'est l'ultime étape avant de déployer son IA générative : sensibilisez et formez vos collaborateurs. "Il y a un devoir de formation et d'acculturation à grande échelle de tous les collaborateurs qui vont utiliser ces services, pour leur dire ce que c'est qu'un système d'IA, ce qu'il fait, ce qu'il ne fait pas, ce que l'on peut faire et ce qu'on ne peut pas faire", rappelle le spécialiste de Saegus. Outre les utilisateurs, Frédéric Brajon conseille de sensibiliser les services achats et juridiques aux enjeux techniques et éthiques de l'IA pour mieux comprendre les risques associés.
Enfin, une charte d'utilisation éthique de l'IA devrait être mise en place dans l'entreprise et signée par chaque collaborateur. Un moyen de se prémunir des risques juridiques directs inhérents à un mésusage de l'IA.