AI Act : et maintenant, que faut-il faire ?
Comment les entreprises peuvent-elles garantir leur mise en conformité avec l'IA Act tout en instaurant un climat de confiance ? Quelles actions doivent être initiées dès maintenant pour préparer l'entrée en vigueur du texte prévue en 2026 ?
Après un processus législatif initié en 2021, l’AI Act, règlement européen visant à encadrer l’usage de l’intelligence artificielle au sein des organisations afin de réduire les risques associés, va être officiellement promulgué au Journal officiel de l’UE (JOUE). Alors que les sanctions financières, en cas de non-conformité, pourront atteindre jusqu’à 35 millions d’euros ou 7% du chiffre d’affaires annuel consolidé, il est impératif que les organisations puissent s’y préparer. Comment ces dernières peuvent-elles garantir leur mise en conformité tout en instaurant un climat de confiance ? Quelles actions doivent être initiées dès maintenant pour préparer l’entrée en vigueur du texte prévue en 2026 ?
1. Former, sensibiliser, acculturer les parties prenantes de l’organisation
Dans son article 4, l’AI Act insiste sur la nécessité de former les parties prenantes. Face à des technologies et des usages nouveaux et très évolutifs, les développeurs, opérateurs et utilisateurs de systèmes d’IA, mais aussi plus largement les métiers, le management et les fonctions de contrôle, doivent disposer de la connaissance nécessaire pour concevoir, développer, acquérir, utiliser et superviser les systèmes d’IA dans les meilleures conditions.
Ces acteurs doivent donc bénéficier de programmes de formation et de sensibilisation à l’IA, aux risques associés et aux mesures nécessaires pour maîtriser ces risques. Étant donné la rapidité des évolutions en la matière, de telles formations devront être mises à jour régulièrement. Elles devront être adaptées aux populations : Il faudra d’une part sensibiliser aux risques les praticiens de l’IA. Il sera d’autre part nécessaire de donner aux autres parties prenantes (métiers, équipe projet responsables de la gestion des risques, responsables cybersécurité et DPO) les bases leur permettant de comprendre les principes de développement et de fonctionnement des IA, leurs capacités et leurs limites.
2. Mettre en place une gouvernance de l’IA
Les organisations doivent dès maintenant mettre en place une gouvernance autour de l’IA et de la maîtrise des risques qui y sont associés. Il s’agit de définir les acteurs, les politiques, les processus, les rôles et responsabilités, le pilotage et la documentation, permettant de concevoir, développer, acquérir, opérer et utiliser des systèmes d’IA dans le respect de la règlementation, et, au-delà, en gérant de manière approprié les risques engendrés par les IA.
L’IA et la gestion des risques à l’IA constituent des domaines transverses, et de nombreuses parties prenantes pourront ou devront être impliquées : DSI/Digital, mais aussi RSSI, DPO, risques, conformité, juridique, éthique, métiers, etc. En outre, à l’inverse du RGPD qui définissait le rôle de DPO, l’AI Act ne donne aucune direction en termes de gouvernance. Tout est donc à créer en la matière dans la plupart des entreprises.
3. Inventorier et classifier les IA de l’organisation
L’AI Act donne une définition des « systèmes d’AI » qui intègrent les exigences de ce règlement. Il est donc crucial de recenser ces systèmes d’IA dans un inventaire exhaustif. Il s’agit de cartographier les IA que l’entreprise développe ou déploie (déjà en place, en cours et à venir), de les classifier au regard des risques encourus (notamment les IA à « haut risque »), et d’en déduire les exigences à respecter en fonction de cette classification. Cette dernière devra prendre en considération la complexification des règles concernant les IA à haut risque, issue des négociations finales entre la Commission, le Conseil et le Parlement européens.
Il est essentiel de ne pas négliger l’analyse de ces IA sous le prisme des IA interdites. Les entreprises auront un délai de 6 mois pour se conformer à cette exigence, en identifiant toutes IA interdites et en les supprimant. Bien qu'il soit peu probable de trouver de telles IA dans les entreprises européennes, il faudra proactivement s’en assurer.
4. Évaluer les écarts et construire un plan d’action pour se conformer aux exigences de l’AI Act
En outre, dès la mise en place de cette réglementation, il sera impératif d'initier un projet d'analyse des écarts entre les exigences réglementaires et la situation réelle de l'entreprise, en se basant sur l'inventaire des IA. Ce projet devra être suivi par la conception et la mise en œuvre d'un plan d'action visant à réduire ces écarts.
Il faut s’attendre à ce que la plus grande partie du travail de mise en conformité porte sur les IA dites « à haut risque », pour lesquelles l’AI Act prévoit de nombreuses exigences. Il conviendra aussi de mettre en place rapidement les processus permettant de développer ou d’utiliser les nouvelles IA de manière nativement conforme.
5. Assurer une veille et rester à l’écoute
L’AI Act est promulgué, mais de nombreux détails restent à préciser. Il faut s’attendre à ce que les régulateurs européens et nationaux de l’IA publient des guides ou avis sur des sujets spécifiques, afin de préciser le texte. Il sera aussi nécessaire de surveiller la publication des normes promises par l’Union Européenne pour faciliter la mise en application du règlement. Enfin et en parallèle de l’AI Act, les entreprises devront assurer une veille sur les incidents, jurisprudences, législations, afin de s’assurer que leurs travaux de mise en conformité soient cohérents et efficaces.
La révolution de l’IA avance à un rythme effréné, et la jeune histoire de l’AI Act a mis en évidence le décalage certain qui existe entre le processus législatif et l’évolution de l’IA. Il est maintenant de la responsabilité des organisations de trouver les clefs permettant de concilier ces deux univers et d’appliquer l’AI Act de façon optimale.