L’intelligence artificielle a franchi une nouvelle étape au début du mois de février, particulièrement importante pour les responsables de la conformité des entreprises : les cinq premiers articles de la loi européenne sur l’IA sont entrés en vigueur.
Cela signifie que l’ère de la conformité à l’IA a officiellement commencé. Si votre entreprise utilise l’intelligence artificielle et opère en Europe, ou si elle développe et vend des systèmes d’IA utilisés en Europe, elle pourrait être soumise à l’application de la réglementation. Vous devez donc commencer à intégrer des politiques et des procédures de conformité dans la stratégie d’adoption de l’intelligence artificielle de votre entreprise, le plus tôt étant le mieux.
Les trois premiers articles de la loi sur l’IA peuvent être mis de côté ; il s’agit essentiellement d’un préambule qui expose l’objectif et le champ d’application de la loi et définit des termes clés. C’est aux articles 4 et 5 que les responsables de la conformité doivent prêter attention et commencer à réfléchir aux implications pour leurs politiques, leurs évaluations des risques et leurs programmes de formation.
Qu’est-ce que l’article 4 de la loi européenne sur l’IA ?
Commençons par l’article 4. Il stipule que tous les fournisseurs et déployeurs de systèmes d’intelligence artificielle doivent :
« Prendre des mesures pour assurer, dans la mesure du possible, un niveau suffisant de connaissances en matière d’IA à leur personnel et aux autres personnes chargées du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation ainsi que du contexte dans lequel les systèmes d’IA doivent être utilisés, et en tenant compte des personnes ou groupes de personnes sur lesquels les systèmes d’IA doivent être utilisés ».
Définition de la « culture de l’IA » dans la loi européenne sur l’IA
On entend par « culture de l’IA » les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, aux utilisateurs et aux personnes concernées, compte tenu de leurs droits et obligations respectifs dans le cadre du présent règlement, de déployer des systèmes d’intelligence artificielle en connaissance de cause et de prendre conscience des possibilités et des risques de l’IA ainsi que des dommages qu’elle peut causer.
En d’autres termes, votre entreprise doit former ses employés afin qu’ils comprennent les risques que l’intelligence artificielle peut causer, et de cette exigence apparemment simple découle une foule de défis pratiques.
La conformité à l’IA commence par la gouvernance de l’IA
Fondamentalement, le défi est le suivant : vous ne pouvez pas développer les compétences nécessaires en matière d’IA au sein de votre organisation si vous ne savez pas comment l’entreprise utilise l’intelligence artificielle. Cela devient de plus en plus problématique, car il est désormais si facile pour les employés d’intégrer l’intelligence artificielle dans leurs flux de travail et leurs routines quotidiennes.
Il suffit de regarder DeepSeek, l’application chinoise d’IA générative qui a surgi de nulle part pour devenir l’une des applications les plus populaires sur l’internet. Quels sont les risques pour la vie privée liés à DeepSeek ? Quels risques de cybersécurité pourrait-il faire courir à votre organisation ? Personne ne le sait. (Même si pratiquement toutes les autorités de régulation de la vie privée en Europe essaient de le savoir).
Par conséquent, avant même de commencer à envisager les politiques, les procédures et les formations qui pourraient être nécessaires dans votre entreprise pour atteindre la maîtrise de l’IA que vous êtes censé avoir, votre équipe de direction doit d’abord établir une sorte de mécanisme de gouvernance pour guider la façon dont les employés utilisent l’intelligence artificielle en premier lieu.
Par exemple, une grande entreprise pourrait créer une sorte de « conseil d’utilisation de l’IA », où les responsables des différentes fonctions opérationnelles de premier niveau se réuniraient avec les fonctions de gestion des risques de second niveau (conformité, protection de la vie privée, RH, juridique, sécurité informatique) pour élaborer les règles d’adoption de l’IA par les employés. Peut-être utilisent-ils certains systèmes d’IA et pas d’autres ; peut-être utilisent-ils l’intelligence artificielle pour certaines tâches et pas d’autres ; peut-être tous les systèmes d’IA en contact avec les clients commencent-ils par une interface « vous utilisez l’IA », et ainsi de suite.
Quelle est la place de l’éthique, du ton au sommet et de la culture d’entreprise dans tout cela ? Dans l’idéal, elles devraient imprégner l’ensemble de la discussion. En d’autres termes, la direction générale doit faire preuve d’un engagement en faveur d’une utilisation éthique de l’IA, même si l’entreprise n’est pas tout à fait au clair sur toutes les questions éthiques liées à des cas d’utilisation spécifiques de l’intelligence artificielle ; c’est ce que votre conseil de gouvernance de l’IA est chargé d’examiner.
Ensuite, une fois que la direction générale aura fait comprendre à tout le monde que (a) l’utilisation de l’IA est une bonne chose, mais (b) que nous l’adopterons de manière prudente, éthique et conforme, cette solide culture de l’éthique entraînera une culture de l’utilisation responsable de l’intelligence artificielle. Il sera alors beaucoup plus facile de trouver le niveau approprié de connaissances en matière d’IA.
Qu’est-ce que l’article 5 de la loi européenne sur l’IA ?
L’article 5 introduit les pratiques interdites en matière d’IA. Il s’agit d’un élément crucial de la loi sur l’IA de l’UE, car il établit l’idée de « niveaux » d’utilisation acceptable de l’intelligence artificielle, en commençant par les cas d’utilisation les plus graves, qui ne seront pas autorisés du tout.
Bon nombre de ces cas d’utilisation interdits ne surprendront pas les dirigeants occidentaux. Par exemple, la loi interdit l’IA qui :
- Déploie des « techniques subliminales au-delà de la conscience d’une personne ou des techniques délibérément manipulatrices ou trompeuses » dans le but de « déformer matériellement le comportement d’une personne ».
- Surveille une personne et prédit le risque qu’elle commette un délit, « en se fondant uniquement sur le profilage d’une personne physique ou sur l’évaluation de ses traits de personnalité et de ses caractéristiques ».
- Déduit les émotions d’une personne au travail ou à l’école, sauf pour des raisons médicales ou de sécurité.
Il n’est pas nécessaire de passer en revue ici toutes les utilisations interdites. Pour les responsables de la conformité, l’important est que votre organisation ait des politiques claires sur les utilisations de l’IA que vous n’accepterez pas, soutenues par des procédures permettant de s’assurer que personne ne les adopte.
Par exemple, il n’est pas exagéré d’imaginer qu’un de vos sous-traitants ou autres partenaires commerciaux utilise l’intelligence artificielle de manière interdite pour le compte de votre entreprise ; vous aurez donc besoin de politiques claires, ainsi que de solides capacités de gestion des contrats et de contrôle des tiers. Et pour souligner notre point de vue sur la connaissance de l’intelligence artificielle mentionnée plus haut, vous aurez besoin d’une formation solide de vos propres employés pour vous assurer qu’ils comprennent qu’il s’agit d’un risque lié à l’IA d’un tiers, et que l’entreprise aura besoin de leur aide pour l’éviter.
En temps voulu, la loi européenne sur l’IA introduira d’autres niveaux d’utilisation de l’intelligence artificielle ; moins le cas d’utilisation présente de risques, moins vous devrez exercer de surveillance. Les équipes chargées de l’éthique et de la conformité au sein des entreprises devront donc faire face à de nouveaux défis, car elles devront développer des processus pour évaluer les risques de ces cas d’utilisation et mettre en œuvre des contrôles appropriés.
D’une certaine manière, votre programme de conformité à l’IA reposera toujours sur les principes fondamentaux d’un programme d’éthique et de conformité solide. À d’autres égards, il s’agit d’un monde nouveau et courageux, et que vous soyez prêt ou non, ce monde est déjà là.
Pour plus d’informations sur la loi européenne sur l’intelligence artificielle, cliquez sur le lien ci-dessous.
