Pour mieux réguler l’intelligence artificielle, l’Union européenne a introduit l’AI Act. Benny Bogaerts et Laura Vanuytrecht (KPMG) décryptent cette réglementation et mettent en évidence les points auxquels les entreprises doivent prêter attention.
Pendant des années, l’entraînement des technologies à partir de modèles identifiés dans de vastes ensembles de données restait un rêve inaccessible pour de nombreux scientifiques. Si le terme “intelligence artificielle” a été inventé dès 1956, il aura fallu près de 70 ans pour que cette technologie conquière réellement le monde. Son développement est désormais si rapide que l’Union européenne a décidé de la légiférer afin de fixer des limites claires.
Curieux de savoir comment votre entreprise peut se préparer efficacement à l’AI Act?
Cliquez ici afin de contacter les experts de KPMG pour obtenir un plan d’action concret et des conseils personnalisés.
“L’AI Act s’inscrit dans une vague de réglementations qui s’imposent aux entreprises”, souligne Benny Bogaerts, Partner chez KPMG Advisory. “Il s’agit du premier cadre juridique dédié à l’IA, qui établit comment l’utiliser de manière sûre et responsable, sans porter atteinte aux droits fondamentaux ni au droit de décision des individus. Les entreprises qui ne respectent pas ce règlement risquent des amendes pouvant atteindre 35 millions d’euros ou 7% de leur chiffre d’affaires annuel mondial.”
Quatre catégories de risques
L’intelligence artificielle est une technologie extrêmement vaste, qui intervient dans une large gamme d’applications. Pour éviter de traiter tous les modèles d’IA de la même manière, l’UE a défini quatre grandes catégories.
“L’accent est mis principalement sur le risque potentiel”, note Laura Vanuytrecht, avocate chez KPMG Law. “Les systèmes présentant un risque inacceptable sont des applications dont le danger est tel, que l’Europe les interdira à partir de février 2025. Pensez aux scores de crédit social ou à la reconnaissance des émotions sur le lieu de travail.”
“Si de nombreuses zones d’ombre entourent encore l’AI Act, l’impact de cette nouvelle directive deviendra rapidement de plus en plus concret.”
Viennent ensuite les systèmes présentant un risque élevé pour la santé, la sécurité, l’environnement et les droits fondamentaux des individus. “Pour cette catégorie, les obligations les plus strictes s’imposent. Cela inclut les systèmes d’IA et les cas d’usage dans des secteurs spécifiques, tels que les logiciels pour les infrastructures critiques et les systèmes d’IA intervenant dans le recrutement.”
Pour les systèmes à risque limité, comme les chatbots, une obligation de transparence est requise: “Les entreprises doivent clairement indiquer que les utilisateurs interagissent avec une IA”, précise Laura Vanuytrecht.
Reste la plus grande catégorie: les systèmes à risque minimal, notamment comme les filtres anti-spam. “Pour ces systèmes, il n’y a pas de règles contraignantes, mais des lignes directrices. En outre, une distinction est faite entre les entreprises qui développent l’IA, les ‘fournisseurs’, et celles qui l’utilisent sous leur propre autorité, les ‘déployeurs’. Une entreprise peut appartenir simultanément aux deux catégories.”
Approche multidisciplinaire
La transparence doit être au cœur des préoccupations, explique Benny Bogaerts. “Chaque entreprise doit communiquer de manière claire sur les modèles d’IA qu’elle exploite et l’utilisation qu’elle fait des données. Un modèle d’IA ne peut jamais prendre de décisions totalement autonomes, et la protection de la vie privée reste une priorité. De plus, chaque catégorie définie dans l’AI Act est assortie de règles spécifiques. Les applications d’IA peuvent également évoluer au fil du temps et passer d’une catégorie à une autre.”
“Les systèmes présentant un risque inacceptable sont des applications dont le danger est tel, que l’Europe les interdira à partir de février 2025.”
Par ailleurs, l’AI Act ne fonctionne pas de manière isolée: il interagit avec d’autres législations. “À cause de son envergure, l'AI Act exige une approche multidisciplinaire. Cela signifie qu’il ne faut pas seulement impliquer des juristes et des experts de la compliance, mais aussi des spécialistes en science des données. Chez KPMG, nous avons développé un cadre pour instaurer une structure de gouvernance solide.”
Benny Bogaerts détaille les étapes concrètes que les entreprises doivent suivre afin d’appliquer correctement la nouvelle réglementation. “Identifiez d’abord les cas d’usage qui relèvent des risques inacceptables et élevés. Ensuite, évaluez et catégorisez les risques, y compris ceux liés à des tiers, comme vos fournisseurs. Ces derniers devront, par exemple, démontrer qu’ils investissent activement dans la sécurité. Enfin, la sensibilisation à l’IA est cruciale, tant en interne, auprès de vos employés, qu’en externe, parmi vos partenaires et autres parties prenantes.”
À ses yeux, les mois à venir seront déterminants, car ils apporteront beaucoup de clarté. “Pour d’autres législations européennes, comme le RGPD, il y avait moins de marge d’interprétation. Si de nombreuses zones d’ombre entourent encore l’AI Act, l’impact de cette nouvelle directive deviendra rapidement de plus en plus concret.”
Curieux de savoir comment votre entreprise peut se préparer efficacement à l’AI Act?
Cliquez ici afin de contacter les experts de KPMG pour obtenir un plan d’action concret et des conseils personnalisés.