%3Aquality(100)&w=3840&q=75)
Loi européenne sur l'IA
Qu'est-ce que la loi européenne sur l'IA ?
La loi de l'UE sur l'IA (loi de l'Union européenne sur l'intelligence artificielle) constitue un cadre réglementaire complet qui régit le développement, la mise sur le marché, le déploiement et l'utilisation des systèmes d'intelligence artificielle au sein de l'UE. Elle s'applique quel que soit le lieu d'établissement du fournisseur, ce qui signifie que des organisations situées en dehors de l'UE peuvent également entrer dans son champ d'application si leurs systèmes d'IA sont mis sur le marché de l'UE ou si leurs résultats y sont utilisés.
Fondamentalement, ce règlement instaure un modèle de gouvernance fondé sur les risques, ce qui signifie que les obligations dépendent du niveau de risque qu’un système d’IA présente pour la santé, la sécurité et les droits fondamentaux. Il couvre l’ensemble de l’écosystème de l’IA, y compris les fournisseurs, les exploitants, les importateurs, les distributeurs et les fabricants qui intègrent l’IA dans leurs produits.
La loi européenne sur l'IA introduit également des règles applicables aux modèles d'IA à usage général (GPAI), y compris les modèles de base, et prévoit des obligations supplémentaires pour les modèles GPAI considérés comme présentant un risque systémique.
Alignement sur le cadre réglementaire de l'UE
La loi européenne sur l'IA s'inscrit dans le prolongement d'autres réglementations européennes majeures en matière de numérique, notamment :
RGPD (protection des données et vie privée)
Loi européenne sur les services numériques (responsabilité des plateformes)
Loi européenne sur les marchés numériques (concurrence et équité)
Directive NIS2 de l'UE (résilience en matière de cybersécurité)
Loi européenne sur les données (accès aux données et partage des données)
Ensemble, ces réglementations constituent un cadre cohérent de gouvernance numérique axé sur la confiance, la transparence, la cybersécurité et l'innovation responsable.
Calendrier de mise en œuvre par étapes
La loi européenne sur l'IA est un cadre réglementaire récemment adopté qui sera mis en œuvre progressivement, les exigences s'appliquant de manière graduelle.
Entrée en vigueur (août 2024) : Le règlement entre officiellement en vigueur, marquant le début de la période de mise en œuvre progressive.
Six mois (février 2025) : Les pratiques interdites en matière d'IA s'appliquent, ainsi que les obligations en matière de culture de l'IA pour les organisations qui développent ou déploient des systèmes d'IA.
Douze mois (août 2025) : Les obligations relatives aux modèles d'IA à usage général entrent en vigueur, notamment les exigences en matière de gouvernance et de transparence.
Vingt-quatre mois (août 2026) : La plupart des dispositions restantes s'appliquent à l'ensemble des systèmes d'IA réglementés.
Trente-six mois (août 2027) : Certaines exigences relatives aux systèmes d’IA à haut risque s’appliquent pleinement, achevant ainsi la mise en œuvre des obligations.
Importance de la loi européenne sur l'IA
Conséquences sur les secteurs essentiels et les services publics
La loi européenne sur l'IA revêt une importance particulière pour les secteurs dans lesquels l'IA a une incidence directe sur la sécurité, les droits fondamentaux et les services essentiels. Ces secteurs comprennent la santé, les transports, l'énergie, les services financiers, l'administration publique et les infrastructures critiques.
Dans ces environnements, la réglementation renforce la responsabilité en imposant une gestion structurée des risques, une documentation exhaustive, un contrôle humain et une surveillance continue. Ces mesures contribuent à garantir que les décisions prises par l'IA restent transparentes, traçables et fiables dans les environnements critiques.
Conformité aux pratiques en matière de gouvernance et de sécurité
La loi européenne sur l'IA s'aligne étroitement sur les pratiques établies en matière de sécurité et de gouvernance d'entreprise. Les organisations qui appliquent déjà les principes de développement « sécurisé dès la conception », de documentation structurée et de surveillance continue trouveront que bon nombre de ses exigences leur sont familières.
Ce règlement souligne l'importance d'une conformité vérifiable en exigeant la preuve que les systèmes d'IA sont développés, testés, déployés et surveillés conformément aux exigences réglementaires. Cela permet une gestion plus rigoureuse des risques juridiques, opérationnels et de réputation.
Clarté opérationnelle grâce à la classification des risques
L'une des caractéristiques principales de la loi européenne sur l'IA réside dans son cadre structuré de classification des risques. Les systèmes d'IA sont classés selon quatre niveaux de risque : inacceptable, élevé, limité ou minimal, chacun étant assorti d'obligations spécifiques.
Ce cadre de classification permet de prendre des décisions éclairées en matière d'achats, de gouvernance, de développement et de déploiement, tout en réduisant le risque de non-conformité ou de mesures coercitives.
Éléments clés de la loi européenne sur l'IA
Systèmes d'IA présentant un risque inacceptable
Les systèmes d'IA présentant un risque inacceptable sont interdits en vertu de la loi européenne sur l'IA, car ils sont considérés comme incompatibles avec les droits fondamentaux de l'UE et présentent des niveaux de risque inacceptables.
En voici quelques exemples :
Les systèmes de notation sociale qui entraînent un traitement injustifié ou discriminatoire à l'égard des individus
Certaines formes d'identification biométrique à distance en temps réel dans les lieux accessibles au public, sous réserve d'exceptions limitées et strictement définies dans le cadre de missions de maintien de l'ordre
Les systèmes d'intelligence artificielle qui manipulent les comportements d'une manière qui cause ou est susceptible de causer un préjudice grave, ou qui exploitent les vulnérabilités d'individus ou de groupes spécifiques
Collecte non ciblée d'images faciales sur Internet ou à partir de sources de vidéosurveillance afin de créer ou d'enrichir des bases de données de reconnaissance faciale
Systèmes d'IA à haut risque
Les systèmes d'IA à haut risque restent autorisés, mais sont soumis à des exigences réglementaires strictes en vertu de la loi européenne sur l'IA.
On peut citer, à titre d'exemple, l'IA utilisée dans :
Infrastructures essentielles
Emploi et gestion des effectifs
Enseignement et évaluation des étudiants
Santé et dispositifs médicaux
Évaluation de la solvabilité et accès aux services essentiels
Forces de l'ordre
Gestion des frontières
Administration de la justice
Ces systèmes sont soumis à des obligations strictes, notamment en matière de systèmes de gestion des risques, d'exigences relatives à la gouvernance des données, de documentation technique, de journalisation et de conservation des données, de transparence et de communication d'informations aux utilisateurs, de contrôle humain, d'exactitude, de robustesse et de cybersécurité.
Systèmes d'IA à risque limité
Les systèmes d'IA à risque limité sont principalement soumis à des obligations de transparence en vertu de la loi européenne sur l'IA.
En voici quelques exemples :
Les chatbots qui interagissent directement avec les particuliers
Systèmes d'IA générant ou manipulant des contenus nécessitant une mention d'origine
Systèmes conçus pour simuler l'interaction humaine
Les conditions requises sont les suivantes :
Informer les utilisateurs lorsqu'ils interagissent avec des systèmes d'IA
Indiquer, le cas échéant, que le contenu a été généré par l'IA ou a fait l'objet d'une manipulation
Veiller à ce que les résultats soient clairement identifiables comme étant générés par l'IA, le cas échéant
Systèmes d'IA à risque minimal ou sans risque
Les systèmes d'IA présentant un risque minimal ou nul ne sont pas soumis aux obligations prévues par la loi européenne sur l'IA.
Ces systèmes sont considérés comme présentant un risque minime, voire nul, pour la santé, la sécurité ou les droits fondamentaux ; ils ne sont donc pas soumis aux exigences spécifiques de conformité prévues par la loi.
En voici quelques exemples :
Filtres anti-spam et outils de tri des e-mails
Jeux vidéo et fonctionnalités de divertissement basés sur l'IA
Outils de base pour l'optimisation des stocks ou de la logistique
Systèmes simples de recommandation ou de personnalisation
Bien qu'elles ne soient pas soumises à la loi européenne sur l'IA, les organisations peuvent néanmoins mettre en œuvre des mesures de gouvernance volontaires, notamment des pratiques de transparence, des tests internes et des contrôles de cybersécurité. En fonction du contexte d'utilisation, d'autres cadres réglementaires, tels que le RGPD, peuvent toujours s'appliquer.
Cas d'utilisation de la loi européenne sur l'IA
Mise en œuvre de la conformité à la loi européenne sur l'IA
La mise en conformité avec la loi européenne sur l'IA commence généralement par un inventaire exhaustif des systèmes d'IA, y compris les solutions développées en interne, les capacités d'IA intégrées et les outils tiers. Chaque système est classé en fonction de sa finalité, de son impact sur les utilisateurs et de sa catégorie de risque réglementaire.
Une gouvernance transversale associant les services juridiques, la cybersécurité, l'ingénierie, la protection de la vie privée, les achats et la direction générale contribue à établir des responsabilités claires tout au long du cycle de vie de l'IA.
De nombreuses organisations alignent leurs activités de gouvernance sur des normes reconnues telles que la norme ISO/IEC 42001 relative aux systèmes de gestion de l'IA, la norme ISO/IEC 27001 relative à la sécurité de l'information et la norme ISO/IEC 23894 relative à la gestion des risques liés à l'IA.
Tests, validation et documentation
Les essais prévus par la loi européenne sur l'IA devraient être rigoureux et reproductibles. Les activités de validation pourront inclure des essais de performance, des évaluations de robustesse, des évaluations d'équité le cas échéant, ainsi que des essais de résilience face à des attaques adversaires.
Une documentation exhaustive sert de base aux évaluations de conformité et au contrôle réglementaire. Les documents types comprennent notamment la documentation technique, les descriptions des systèmes, les informations relatives aux modèles, la documentation relative à la gouvernance des données, les preuves issues des tests et les activités de surveillance continue.
La diligence raisonnable vis-à-vis des fournisseurs contribue également au respect des réglementations en renforçant la transparence concernant les capacités des modèles, leurs limites et les pratiques de gouvernance.
Approvisionnement, opérations et sécurité
L'approvisionnement constitue une fonction de gouvernance essentielle au titre de la loi européenne sur l'IA. Les évaluations des fournisseurs portent généralement sur les capacités des modèles, l'usage prévu, la qualité de la documentation, la journalisation, l'explicabilité, l'auditabilité et les contrôles de sécurité.
La surveillance opérationnelle comprend un suivi continu des écarts de performance, des anomalies opérationnelles et des risques liés à la cybersécurité. Les contrôles associés comprennent généralement le chiffrement, la gestion des accès, les pratiques de déploiement sécurisées, les processus de réponse aux incidents et le suivi continu de la conformité.
Culture de l'IA
La loi européenne sur l'IA impose aux organisations de prendre des mesures visant à promouvoir un niveau adéquat de culture de l'IA parmi le personnel impliqué dans le développement, le déploiement ou la supervision des systèmes d'IA. La formation doit tenir compte des responsabilités opérationnelles, des exigences en matière de gouvernance et du niveau de risque associé à chaque système d'IA.
Assurer la conformité avec la loi européenne sur l'IA
La loi européenne sur l'IA doit être considérée comme un cadre de gouvernance en constante évolution plutôt que comme une simple opération de mise en œuvre ponctuelle. Pour rester en conformité, il est nécessaire de suivre en permanence l'évolution de la réglementation, les nouvelles normes et les recommandations publiées par les autorités européennes.
Une stratégie de conformité mûrement élaborée intègre la gouvernance, la cybersécurité, les marchés publics, la documentation et le contrôle opérationnel au sein d’un cycle de vie continu. Cette approche garantit la conformité réglementaire tout en favorisant une innovation responsable, la résilience opérationnelle et l’adoption d’une IA fiable au sein de l’administration publique, des infrastructures critiques et d’autres secteurs fortement réglementés.
%3Aquality(100)&w=3840&q=75)
BlackBerry pour des communications sécurisées
Pour les environnements où l'échec n'est pas une option
BlackBerry Secure Communications est la solution leader qui offre une expertise inégalée pour protéger les communications les plus critiques au monde.
Découvrez les solutions BlackBerry Secure Communications