AGORA DSI - La Minute Légale - 13 décembre 2023
L’usage de l'IA s’est largement répandu dans la sphère privée comme professionnelle, sans aucun cadre.
Ces IA fonctionnent en traitant de grandes quantités de données au stade de l’entrainement du modèle comme en production. Ces données peuvent inclure des données protégées par des droits de propriété intellectuelle, des données à caractères personnel, des données confidentielles mais aussi des données corrompues par des acteurs malveillants. Aussi l’utilisation d’un système d’IA soulève de nombreux risques à encadrer : la qualité, la sécurité et la licéité des données qui nourrissent l’IA ; la propriété intellectuelle des contenus générés à partir d’une IA ; la confidentialité des données de l’entreprise traitées par une IA dans l’environnement d’un prestataire SaaS.
L’Europe est la première au niveau mondial à s’être emparé du sujet.
Le projet de règlement européen sur l’IA ou « IA Act » en discussion depuis maintenant deux ans et demi, a fait l’objet d’un compris entre les institutions européennes le 8 décembre dernier. Le Parlement Européen défendait une vision centrée sur la protection des libertés, alors que le Conseil européen et certains états, dont la France, défendaient une approche soucieuse de préserver la compétitivité des entreprises européennes.
Ce règlement se rapprochera du RGPD dans le sens où son application sera extraterritoriale et fixera un premier standard pour les acteurs, non-européen, du secteur. Mais l’IA Act retient une approche différenciée, basé sur les risques, selon 4 niveaux IA interdites, à haut-risque, à risque limité et à risque faible.
Seront ainsi interdites les IA de notation des citoyens, comme celles utilisées en Chine, les IA de police prédictive ou encore les IA de reconnaissance des émotions au travail. Les IA à haut risques regrouperont, entre autres, des systèmes utilisés pour l’accès à l’éducation, l’accès à des services essentiels, le recrutement.
Les obligations dépendront du risque et de la taille des acteurs. Seront concernées les entreprises spécialisées dans l’IA, mais aussi les entreprises utilisatrices, qui devront réaliser des analyses d'impact pour les systèmes à haut risque.
Un des points durs de la négociation concernait les « modèles de fondation » une forme d'IA génératives de grande taille entraînée sur une grande quantité de données. Le compromis encadrera spécifiquement ces modèles.
La version définitive de l’IA Act est attendue avant les élections européennes pour une entrée en vigueur progressive d’ici 2025.
D’ici là, il s’agit d’adresser les risques évoqués en introduction sans attendre. La première étape est de cartographier les usages de système d’IA au sein de l’entreprise pour informer et former les employés et formaliser les règles en révisant la charte informatique.