Adoption de l'IA Act : vers une IA sécurisée
La régulation de l’IA jusque dans ses racines
L’IA Act se focalise sur deux cibles. Tout d’abord, la règlementation européenne vise le système d’intelligence artificielle ("SIA"). Ce système est défini à l’art. 3, pt 1 "un système automatisé conçu pour fonctionner à différents niveaux d'autonomie, qui peut faire preuve d'une capacité d'adaptation après son déploiement et qui, pour des objectifs explicites ou implicites, déduit, à partir des données d'entrée qu'il reçoit, la manière de générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions (…)". Il existe de nombreux systèmes d’intelligence artificielle, ex. : ChatGPT, Midjourney, Copilot. Le règlement classifie ces systèmes en se fondant sur l’analyse des risques. En ce sens, un SIA peut présenter un risque : inacceptable, élevé, limité, minimal. Plus le risque associé à un SIA est élevé et plus son encadrement sera rigoureux voire interdit.
Ensuite, la règlementation européenne cible les modèles d’IA à usage général. Ce modèle est défini à l’art. 3, pt 63 comme : "un modèle d'IA, y compris lorsque ce modèle d'IA est entraîné à l'aide d'un grand nombre de données utilisant l'auto-supervision à grande échelle, qui présente une généralité significative et est capable d'exécuter de manière compétente un large éventail de tâches distinctes, indépendamment de la manière dont le modèle est mis sur le marché, et qui peut être intégré dans une variété de systèmes ou d'applications en aval, (…)". Il s’agit concrètement de modèles de fondation susceptibles d’être utilisés pour élaborer des systèmes d’IA.
Là encore, les modèles d’IA à usage général sont soumis à un encadrement fondé sur le risque. L’IA Act prévoit ainsi une catégorie particulière de modèle d’IA qui présenterait un risque systémique pour l’Union et qui font donc l’objet d’un encadrement plus soutenu.
La maîtrise les risques véhiculés par les SIA
Les institutions européennes ont identifié une liste de pratiques interdites dans l’IA (art. 5). Tout SIA qui a recours à ces pratiques est considéré comme présentant un risque inacceptable. En conséquence, un tel SIA ne pourra pas être mis sur le marché, mis en service dans l’Union européenne. Pour illustrer le propos, sont interdits par le règlement, les SIA qui exploitent des vulnérabilités humaines tels que l’âge, le handicap, la situation économique ou sociale, d’une personne physique (art. 5, pt 1, b). Sous ce niveau se trouve le risque élevé. L’IA Act a retenu à titre principal deux cheminements intellectuels pour caractériser un SIA à haut risque. Conformément au premier, le SIA est à haut risque s’il est le composant de sécurité d’un produit couvert par une législation d’harmonisation mentionnée à l’Annexe I (art. 6, pt 1, a). Outre le respect de ces deux critères, le produit couvert par le règlement ou le SIA constituant un tel produit devra être soumis à une évaluation de conformité effectuée par un tiers (art. 6, pt 1, b).
Le second cheminement consiste à considérer que le SIA est par principe à haut risque s’il est mobilisé pour réaliser l’une des tâches dans un domaine à risque tel que l’éducation ou l’emploi (art. 6, pt 2).La mise sur le marché (ou en service) d’un SIA à haut risque est autorisée sous réserve de respecter plusieurs exigences dont certaines portent directement sur la conception et le développement du SIA et intéressent particulièrement le fournisseur du SIA. Le SIA à haut risque doit être conçu avec une transparence suffisante pour que les utilisateurs professionnels ("déployeurs") puissent l’utiliser de manière appropriée et interpréter les résultats (art. 13, pt 1). Des considérations relatives à la sécurité et à la fiabilité du SIA à haut risque doivent être pris en compte et intégrés par son fournisseur. Il doit ainsi concevoir son SIA à haut risque avec un niveau approprié d’exactitude, de robustesse et de cybersécurité (art. 15). Parallèlement, il doit mener un travail d’identification et de gestion des risques gravitant autour de sa création (art. 9). Le SIA devra également permettre le contrôle humain (art. 14).
Le fournisseur devra se doter d’un cadre de gouvernance des données assurant que les jeux de données d’entrainement, de validation et de tests, ont une qualité suffisante pour répondre à la destination du système (art. 10). Le respect de ces exigences devra être vérifié au moyen d’une évaluation de conformité (art. 43). Outre, cette première série d’exigence, le fournisseur est tenu d’apposer sur le SIA ou si ce n’est pas possible, sur son emballage ou la documentation : son nom, sa raison sociale ou sa marque déposée et son adresse de contact (art. 16, b). Après avoir respecté toutes les obligations, le fournisseur peut mettre sur le marché ou en service son SIA, mais il devra surveiller la conformité de son système (art. 72) et prendre des mesures correctives en cas d’irrégularité (art. 20). Nonobstant, la conformité et la sécurité du SIA sont des sujets qui concernent tous les maillons de la chaine d’approvisionnement du SIA. L’importateur et le distributeur deviennent des sentinelles chargées de vérifier que le fournisseur a rempli ses obligations (art. 23 pour l’importateur et 24 pour le distributeur). Lorsqu’ils décèlent un manquement, ces derniers s’abstiennent de mettre sur le marché (ou en service) dans l’UE le SIA à haut risque. Si le SIA est déjà mis sur le marché au moment où la non-conformité apparaît, ils devront prendre des mesures correctives pour remédier à l’irrégularité (mise en conformité, retrait, rappel ou mise hors service).
Une attention particulière est également demandée à l’importateur et au distributeur qui ne doivent pas altérer la conformité du SIA avec de mauvaises conditions de transport ou de stockage (art. 23 et art. 24).
Tous les opérateurs de la chaine d’approvisionnement ont également l’obligation de signaler aux autres opérateurs économiques et aux autorités de surveillance du marché, le risque significatif du SIA à haut risque pour les droits fondamentaux, la sécurité ou la santé (art. 20, pt 2 pour le fournisseur, art. 23, pt 2 pour l’importateur et art. 24, pt 2 et pt 4 pour le distributeur).
Émergence d’un régime spécial pour les modèles d’IA à usage général
Le fournisseur d’un modèle d’IA à usage général doit le documenter (art. 53). Plus largement, il transmet toute information et documentation nécessaire à l’intégration de son modèle par un fournisseur de SIA à haut risque.
Contributeurs
Chaque jour, nous sélectionnons pour vous, professionnels de la gestion d'actifs, une actualité chiffrée précieuse à vos analyses de marchés. Statistiques, études, infographies dans divers domaines : épargne, immobilier, économie, finances, etc. Ne manquez pas l'info visuelle quotidienne !
Ne loupez aucun événement de nos partenaires : webinars, roadshow, formations, etc. en vous inscrivant en ligne.