AI Act : le début d’une nouvelle ère

La proposition de règlement sur l’intelligence artificielle, déposée en avril 2021 par la Commission européenne, arrive dans sa dernière ligne droite. Après communication par le Conseil de l’Union européenne de son orientation générale fin 2022, le projet de règlement a été amendé et voté par le Parlement européen en session plénière, en juin 2023.

La phase des trilogues, qui correspond aux négociations entre représentants du Parlement européen, du Conseil de l’Union européenne et de la Commission européenne, a ensuite pris le relai. Le 9 décembre 2023, un accord a été conclu, ouvrant la voie à un accord définitif à court terme (février ou mars 2024) pour une mise en application en 2025.

« Ce texte est avant tout réactif. Je veux dire par là qu’il a été écrit en réaction aux progrès récents – et fulgurants – de cette discipline, qui a vingt ou trente ans d’avance sur les prévisions initiales des experts. L’intelligence artificielle existe déjà depuis les années 1950, mais elle n’a jamais vraiment été réglementée, même si le RGPD régule certaines activités liées à l’IA. Avant tout dans les grands principes de Finalité, Consentement, Transparence, Droits des Personnes, Protection des données par Conception et Défaut, etc. Mais c’est la première fois qu’un texte complet est entièrement consacré à la règlementation de l’IA. », déclare Noshin Khan, Associate Director, Ethics & Compliance chez Onetrust.

Un texte fondé sur une approche par niveaux de risques

« Compte tenu des risques de plus en plus nettement identifiés – profilage dans les données de santé, arrestations à tort de citoyens à la suite de reconnaissance faciale aléatoire, multiplication des biais -, l’AI Act a été fondé sur une approche par niveaux de risques. Cela permet de prendre en considération tout ce qui peut nuire à l’être humain dans le domaine de la santé, de l’éducation, etc. Il faudra d’ailleurs être vigilant aux cas dans lesquels le risque est moindre et où il est possible de s’autocertifier, car c’est la porte ouverte à de potentielles dérives – nous avons tous des biais inhérents à notre individualité donc comment objectivement s’autocertifier ? », poursuit Noshin Khan.

Les principaux objectifs de ce règlement européen sur l’IA sont de garantir la sûreté et les droits fondamentaux par rapport aux risques potentiels, tout en favorisant l’innovation et l’adoption. « La problématique est de savoir comment protéger tout en innovant, ces règles sont assez contraignantes et prennent beaucoup de temps. Nous sommes face à un millefeuille. Si l’on devait faire une analogie, l’objectif est de répéter les droits des citoyens dans le monde réel comme un miroir dans le monde virtuel. Mais fermer votre porte physique est en réalité plus simple que fermer l’accès à votre vie privée dans le monde digital », note Noshin Khan.

Tout comme les phénomènes de ségrégation à l’encontre de certaines populations ont été combattus à travers l’histoire, l’enjeu est ici d’éviter que des algorithmes d’IA reproduisent tout mécanisme d’exclusion reposant sur des critères de discrimination. « Quand on compare la situation de l’Europe avec celle de la Chine ou des États-Unis et du reste du monde, les grands acteurs économiques voient ce règlement comme un frein à la course à l’innovation en laissant l’avantage aux pays non régulés. Mais à terme, je pense que l’AI Act va devenir une norme mondiale, tout comme le RGPD a influencé de très nombreux pays dans le monde. Certains pays, dont l’Inde, sont déjà en train de travailler à leur propre réglementation sur l’IA », complète Noshin Khan.

La Cnil comme autorité de régulation en France ?

Pour faire respecter l’AI Act, quel sera l’organisme désigné ? Pour l’instant, le flou persiste, mais la Cnil semble pressentie pour jouer ce rôle en France. « Le volet consacré aux données personnelles est très important dans l’IA. La Cnil a donc de fortes chances d’être désignée comme autorité régulatrice. On sait qu’elle a un département consacré à l’IA et la Cnil publie déjà des boîtes à outils pour les entreprises. Cela étant, la Cnil risque de passer à côté de tout le volet éthique, qui n’est pas sa spécialité. C’est la raison pour laquelle je trouve qu’une autorité multidisciplinaire (sécurité, Privacy, IT, éthique et conformité), distincte de la Cnil, serait plus pertinente », analyse Noshin Khan.

« En interne, quand nous avons écrit notre politique d’utilisation de l’intelligence artificielle pour nos collaborateurs, plusieurs départements ont travaillé dessus. Le document a été rédigé initialement par le département éthique et conformité, puis il a été revu par le DPO, le département Privacy, la sécurité et l’IT. Notre politique n’aurait pas du tout eu le même visage si elle avait été gérée uniquement par la Privacy », commente Noshin Khan.

Inventaire, assessment des tiers et mise en conformité

Face aux enjeux posés par cette nouvelle réglementation, la question que de très nombreuses entreprises se posent est de savoir par où commencer. « La bonne pratique que nous recommandons est de procéder à un inventaire de vos systèmes qui utilisent de l’IA. Cela peut être un logiciel de recrutement RH, des logiciels de collaboration d’équipe interne, des chatbots, dans les développements informatiques, etc. Cette phase est importante, car vous ne pouvez maîtriser que ce qui est connu et répertorié. Ensuite, vous pouvez mettre en place les différents contrôles nécessaires à votre gouvernance », détaille Noshin Khan.

La solution proposée par OneTrust, qui s’appelle « AI Governance », est en réalité un module faisant partie intégrante de la plateforme globale OneTrust. « Ce module aspire toutes les réglementations en vigueur, dont l’AI Act quand il sera définitivement validé, et s’adapte à ces textes, de façon à reproduire leurs exigences de façon très opérationnelle. L’objectif est de faciliter le travail de mise en conformité des utilisateurs », explique Noshin Khan.

Un autre volet, tout aussi important, consiste à contrôler les parties prenantes avec lesquelles une entreprise collabore au quotidien. « L’AI Act contient une partie stratégique liée au contrôle des tiers. Par exemple, si vous devez acheter un logiciel de recrutement pour votre équipe RH, vous devez savoir comment sont collectées et stockées les données, si elles sont sécurisées, le niveau éthique de l’algorithme, etc. Les questionnaires destinés aux tiers sont déjà prêts dans la solution, il suffit de les envoyer à vos partenaires commerciaux. Une fois les réponses reçues, elles rentrent naturellement dans vos processus d’assessment et de conformité réglementaire », conclut Noshin Khan.