Vincent Maret (KPMG) "L'IA Act présente beaucoup plus d'exigences que le RGPD"
Comment préparer son entreprise à l'arrivée de l'AI Act d'ici à 2026 ? Vincent Maret associé, responsable du pôle cybersécurité et protection des données personnelles, spécialiste des risques sur les technologies émergentes chez KPMG nous répond.
JDN. Quels seront les acteurs directement concernés par l'AI Act ?
Vincent Maret. Toute organisation qui utilise des IA, que ce soient des entreprises, des administrations ou encore des associations. Le règlement s'intéresse à deux catégories d'organisation : les fournisseurs et les déployeurs. Le fournisseur développe ou fait développer un système d'IA, alors que le déployeur utilise un système d'IA. Il faut noter que le règlement ne porte pas sur les utilisations dans le cadre d'activités personnelles à caractère non-professionnel. Globalement, dès qu'une IA impacte ou touche une personne se trouvant dans l'UE, l'IA Act s'applique. Il y a donc une dimension d'extraterritorialité.
Quelles mesures les entreprises peuvent-elles prendre dès aujourd'hui pour se préparer à l'entrée en vigueur de l'AI Act ?
Le premier sujet, c'est la cartographie des IA. Il faut dès maintenant recenser les systèmes d'IA utilisés ou développés dans l'entreprise, ou qui vont l'être dans le futur. Le règlement donne sa définition de ce qu'est une IA. Cette définition n'inclut pas la notion d'apprentissage mais se focalise plutôt sur les notions d'automatisation et d'autonomie. La première difficulté pour les entreprises sera donc d'identifier dans le parc applicatif ce qui relève d'une IA selon l'AI Act. Dans le cas du RGPD, une grande partie de la mise en conformité a été de mener l'inventaire des traitements de données personnelles pour produire le registre des traitements. L'AI Act n'exige pas explicitement cela, mais si vous voulez vous assurer d'être dans les clous, il faut commencer à cartographier ces systèmes d'IA dès maintenant.
Le second sujet est celui de la gouvernance. Qui va s'occuper au sein des entreprises de la mise en conformité et du maintien en conformité à l'AI Act ? Pour continuer à faire un parallèle avec le RGPD, ce règlement prenait la suite de la Loi informatique et libertés en place depuis près de 40 ans. Il y avait donc des rôles au sein des entreprises pour traiter ces sujets de conformité, donc notamment les CIL (correspondant informatique et libertés). Dans le cas de l'AI Act, il n'y a pas un tel historique. Faut-il donc étendre des rôles existants, comme le DPO ou le Directeur des risques ou faut-il créer de nouveaux postes, comme "l'AI Ethic Officer" par exemple ? La gouvernance c'est le sujet sur lequel il faut commencer à réfléchir dès maintenant, avoir en tête la manière de construire les rôles, les responsabilités, pour assurer une phase de mise en conformité moins complexe. Vu la masse d'exigences, l'optimisation va être rudement importante.
Quelles sont les exigences pour les systèmes d'IA à haut risque ?
Il existe une palanquée d'articles à respecter : il faut mettre un système de gestion de risques en place, il faut avoir des données de haute qualité, il faut avoir une gouvernance des données, il faut avoir des documentations techniques très précises. Il faut avoir des fonctionnalités de log, il faut que l'IA puisse être interprétable, il faut fournir des informations aux déployeurs, aux utilisateurs, aux personnes concernées. Il faut avoir un contrôle humain.
Votre IA ne doit pas fonctionner toute seule, quelqu'un doit pouvoir intervenir s'il y a un problème, si jamais l'IA se met à dire n'importe quoi. Il faut avoir des mécanismes permettant d'assurer l'exactitude de l'IA, sa robustesse contre les attaques. Il faut également analyser et réduire les éventuels biais de l'IA, assurer son interprétabilité, et fournir des informations nécessaires à une bonne utilisation aux utilisateurs ou aux personnes concernées. Il faut enfin prévoir un contrôle humain de l'IA : une personne doit être en mesure d'intervenir en cas de problème, si jamais l'IA a produit des résultats incorrects ou inappropriés.
Et avant de mettre une IA à haut risque sur le marché ?
Les fournisseurs doivent certifier sa conformité au règlement, soit en interne, soit via un organisme certificateur externe. Il faut ensuite rédiger une déclaration de conformité et déclarer l'IA dans une base de données gérée par la Commission européenne. Le fournisseur doit ensuite assurer une surveillance "post marché" afin de vérifier que l'IA en opération ne génère pas de problèmes, un peu comme pour les médicaments. Les éventuels incidents doivent être déclarés aux autorités.
"Une partie des exigences actuelles sont techniquement très complexes"
Les fournisseurs, quant à eux, doivent réaliser une analyse d'impact sur les droits fondamentaux avant de mettre en œuvre une IA à haut risque, et éventuellement consulter les IRP avant déploiement sur un lieu de travail. Il leur faut ensuite s'assurer que l'IA est utilisée selon les modes d'emploi fournis par les fournisseurs, et mettre en œuvre l'IA avec du personnel compétent et formé. Il est nécessaire également de surveiller le bon fonctionnement de l'IA, informer les autorités et le fournisseur en cas d'incident.
Ce qui est assez drôle, c'est que l'AI Act définit la "mauvaise utilisation raisonnablement prévisible" C'est-à-dire que ce règlement prend déjà en compte le fait qu'il va y avoir des cas où un fournisseur va concevoir une IA pour une tâche spécifique, mais où des déployeurs vont l'utiliser pour une autre tâche non adaptée. C'est assez pragmatique. Dans le cadre privé, pour mettre en place une IA à haut risque, les IRP (instance unique des représentants du personnel, ndlr) doivent être consultés. Pour finir, une analyse d'impact doit être menée sur les droits fondamentaux.
Il y a beaucoup plus d'exigences qu'avec le RGPD. Le problème, c'est qu'une partie des exigences actuelles sont techniquement très complexes, on ne sait pas faire. Certains domaines relèvent davantage de sujets de recherche que de méthodologies ou d'outils éprouvés. De même, le projet de règlement fait référence à des normes qui sont en cours de développement.
Quelles sont les exigences pour les autres systèmes d'IA à risques plus faibles ?
Pour ces catégories, ce que veut le législateur, c'est la transparence. L'article 52 évoque par exemple les IA destinées à interagir avec des personnes physiques. Le principe c'est qu'une personne qui interagit avec l'IA sache qu'il s'agit d'une IA et non un humain. Il faut donc prévoir de fournir clairement des informations en ce sens à l'utilisateur ou la personne concernée, notamment en cas d'IA type "deepfake" ou pour les IA d'analyse d'émotions.