Le paysage technologique européen est en pleine mutation avec l'introduction de la nouvelle loi sur l'intelligence artificielle (IA). Publiée le 12 juillet 2024 au Journal officiel de l'Union européenne, cette législation marque un tournant décisif pour l'avenir de l'IA en Europe. En imposant des standards rigoureux et une supervision accrue, cette loi vise à garantir que les systèmes d'IA opérant dans l'Union Européenne sont sûrs, éthiques et respectueux des droits fondamentaux. Pour les services financiers, l'impact de cette législation est particulièrement significatif. En effet, différents types d’institutions financières tirent parti de l’IA pour améliorer l’efficacité, la prise de décision et l’expérience utilisateur. En 2019, la DGFIP a récupéré 785 millions d'euros grâce à l'IA. Les résultats se sont améliorés en 2020 et 2021, avec des recouvrements respectifs de 794 millions et 1,2 milliard d'euros. Désormais, les institutions financières doivent naviguer dans un cadre réglementaire, qui exige des pratiques responsables et transparentes à chaque étape du cycle de vie des solutions d'IA. Cet article explore l'importance de cette loi, les acteurs concernés, les échéances cruciales et les stratégies d'adaptation pour les acteurs du secteur financier.

Partager cet article

1. Pourquoi une loi européenne sur l’IA est importante ?

L’adoption d’une législation européenne sur l’intelligence artificielle (IA) représente une avancée majeure pour le secteur technologique et financier en Europe. Cette loi vise à créer un environnement de confiance pour le développement et l’utilisation des systèmes d’IA.

Favoriser le développement et l’adoption de systèmes dignes de confiance dans l’Union européenne est essentiel pour bâtir de nouvelles propositions de valeur pour les utilisateurs.

La réglementation sur l’IA vise en effet à :

  • Assurer une supervision humaine rigoureuse des systèmes d’IA, garantissant qu’ils opèrent de manière transparente et explicable. La réglementation européenne impose en effet, une supervision humaine stricte pour garantir la transparence et l’explicabilité des systèmes d’IA, permettant de tracer et de comprendre les décisions prises et de corriger rapidement les anomalies et dysfonctionnements des systèmes d’IA.
  • Améliorer en temps réel la détection des biais et la confidentialité des données traitées par ces systèmes, ce qui renforce la confiance des utilisateurs. Précisément, les jeux de données utilisés pour entraîner les systèmes d’IA doivent être exempts d’erreurs et représentatifs, réduisant ainsi les risques de biais qui pourraient mener à des décisions discriminatoires. En outre, la protection de la confidentialité des données est primordiale, avec des mesures strictes pour sécuriser les informations personnelles et garantir leur anonymisation lorsqu’elles sont utilisées pour l’entraînement des modèles d’IA.
  • Renforcer la cybersécurité des algorithmes d’IA pour les protéger contre les cyberattaques. La cybersécurité est un pilier central de la réglementation sur l’IA, visant à protéger les systèmes contre les cyberattaques et autres menaces malveillantes. Les systèmes d’IA doivent être conçus pour résister à des tentatives d’empoisonnement de données, ou autres attaques cyber. Cette approche vise à garantir la résilience et la robustesse des systèmes d’IA face aux menaces persistantes.

 

  • Minimiser l’impact environnemental de l’IA en promouvant des pratiques de développement durable. Les fournisseurs sont incités à adopter des pratiques de développement durable tout au long du cycle de vie des systèmes d’IA. Les systèmes d’IA doivent être développés et utilisés d’une manière durable et respectueuse de l’environnement. Cela inclut l’optimisation de la consommation d’énergie des modèles d’IA, la réduction des déchets électroniques. En intégrant des pratiques écologiques, la réglementation vise à aligner l’innovation technologique avec les objectifs de protection de l’environnement et de lutte contre le changement climatique de l’Union.

 

En somme, la réglementation sur l’IA vise à améliorer le fonctionnement du marché intérieur et à promouvoir une intelligence artificielle axée sur l’humain et digne de confiance. Elle garantit également une protection élevée des droits fondamentaux et de l’environnement contre les effets néfastes des systèmes d’IA dans l’Union, tout en soutenant l’innovation.

Disons le, la conformité à ce cadre réglementaire permet de profiter pleinement des opportunités offertes par l’IA tout en assurant une utilisation éthique et sécurisée.

 

2. À qui s’applique cette loi ?

Le règlement européen sur l’IA (RIA) concerne plusieurs catégories d’acteurs :

 

  1. Utilisateurs de systèmes d’IA établis dans l’UE : Toute entreprise ou individu utilisant des systèmes d’IA au sein de l’Union européenne doit se conformer à cette législation.

 

  1. Fournisseurs établis dans l’UE ou hors UE distribuant/mettant sur le marché européen des systèmes d’IA : Les entreprises développant et commercialisant des solutions d’IA destinées au marché européen sont soumises à cette réglementation, qu’elles soient basées en Europe ou ailleurs.
  2. Utilisateurs et fournisseurs établis hors UE : Si les résultats produits par leurs systèmes d’IA sont utilisés dans l’UE, ces entités doivent également se conformer aux nouvelles exigences.

Cette portée extraterritoriale garantit que tous les systèmes d’IA opérant dans l’UE respectent les mêmes standards élevés de qualité et de sécurité.

3. Pour quand ?

Il est crucial pour les acteurs concernés de se préparer dès maintenant afin de respecter les échéances et de s’assurer de leur conformité.

Ainsi, le RIA entrera en vigueur vingt jours après sa date de publication, soit le 1er août 2024. L’entrée en application se fera ensuite de façon échelonnée :

  • 2 février 2025 (6 mois après l’entrée en vigueur) :

→ Interdictions relatives aux systèmes d’IA présentant des risques inacceptables.

→ Formation du personnel à la maîtrise de l’IA.

 

  • 2 mai 2025 :

→ Application du code de bonnes pratiques pour les fournisseurs de modèles   d’IA à usage général.

 

  • 2 août 2025 (12 mois après l’entrée en vigueur) :

→ Application des règles pour les modèles d’IA à usage général.

→ Nomination des autorités compétentes au niveau des États membres.

  • 2 août 2026 (24 mois après l’entrée en vigueur) :

→ Toutes les dispositions du règlement sur l’IA deviennent applicables, en particulier l’application des règles relatives aux systèmes d’IA à haut risque de l’annexe III (systèmes d’IA dans les domaines de la biométrie, des infrastructures critiques, de l’éducation, de l’emploi, de l’accès aux services publics essentiels, de l’application de la loi, de l’immigration et de l’administration de la justice).

→ Mise en œuvre par les autorités des États membres d’au moins un bac à sable réglementaire.

 

  • 2 août 2027 (36 mois après l’entrée en vigueur) :

→ Application des règles relatives aux systèmes d’IA à haut risque de l’annexe I (jouets, équipements radio, dispositifs médicaux de diagnostic in vitro, sécurité de l’aviation civile, véhicules agricoles, etc.).

Calendier d'implémentation du RIA

4. Quel impact pour la finance ?

Le règlement sur l’IA (RIA) révolutionne l’intégration de l’IA dans le secteur financier. Il impose des pratiques responsables à chaque étape de la conception, du développement et du déploiement des solutions d’IA.

 

Les institutions financières utilisent une multitude de modèles et de processus fondés sur des données qui, s’appuient et à l’avenir, s’appuieront davantage sur l’IA.

C’est pourquoi, elles doivent adopter des mesures strictes pour garantir que leurs systèmes d’IA sont fiables et éthiques. Cette approche proactive permet de prévenir les risques associés à l’IA tout en assurant la confiance des clients et des régulateurs.

 

L’Autorité européenne des marchés financiers distingue en particulier quatre principaux risques liés à l’utilisation de l’IA:

 

  • Le manque de supervision et la trop grande confiance dans l’IA ;
  • Le manque de transparence et le défaut d’explicabilité ;
  • La sécurité et la confidentialité des données ; et
  • La fiabilité des produits de l’IA

Le RIA impose des standards élevés pour l’utilisation de l’IA dans la finance, touchant des aspects cruciaux tels que la gestion des risques, la transparence des algorithmes, et la protection des données. Les entreprises financières devront non seulement :

  • Ajuster leurs pratiques internes par la mise en place de mesures strictes de protection des données. Cela inclut par exemple, l’anonymisation des données utilisées pour entraîner les modèles d’IA, ce qui est crucial pour respecter la confidentialité des informations sensibles. Ou l’adoption des contrôles de sécurité robustes pour protéger les systèmes d’IA contre les cyberattaques.
  • Former leur personnel : Les institutions financières devront former leur personnel à l’utilisation et à la supervision des systèmes d’IA, en mettant l’accent sur la compréhension des risques et des biais potentiels, ainsi que sur les meilleures pratiques de sécurité et de confidentialité. La sensibilisation des employés aux implications éthiques et légales de l’IA est essentielle pour garantir une mise en œuvre responsable et conforme aux normes.
  • Classifier les risques des modèles d’IA qu’elles utilisent : Les modèles d’IA peuvent être classés par risque sur la base du répertoire de systèmes. La loi européenne sur l’IA distingue à cet effet 4 catégories de risques :
  1. Les Systèmes d’IA à risque inacceptable : Cette première classe de risque regroupe les systèmes d’IA interdits, dans le sens où les cas d’usages de ceux-ci violent des droits humains fondamentaux et/ou la sécurité des personnes.

 

Des exemples de ceux-ci incluent l’utilisation d’une technologie d’IA dans toute forme de notation sociale des individus.

2. Les Systèmes d’IA à haut risque : Des exemples de ceux-ci incluent l’utilisation d’une technologie d’IA dans l’octroi de crédit et l’évaluation de la solvabilité ou la gestion des talents et le recrutement, etc.

 

On peut ainsi classer dans la catégorie système d’IA à haut risque, les processus et les systèmes d’IA utilisés pour l’évaluation de la solvabilité ou l’évaluation des primes de risque des clients dans les banques.

3. Les Systèmes d’IA à risque limité : Cette troisième classe de risque se compose essentiellement des systèmes d’IA dialogueurs (agents conversationnels dits chatbots en anglais) ou des systèmes de segmentation de la clientèle, etc.

4. Puis les Systèmes d’IA à risque minimal : Cette quatrième classe de risque concerne par exemple l’utilisation artificielle des filtres anti-spam à des fins de tris dans les emails.

 

Selon le RIA, les systèmes d’IA à risque minimal ne sont soumis à aucune obligation particulière.

 

Classification des systèmes d'IA proposée par la Commission

En vertu du RIA, les services financiers qui fournissent ou utilisent un système d’IA à haut risque doivent se conformer à plusieurs obligations contraignantes tout au long du cycle de vie du produit : dès la conception, avant la mise en marché, et après la commercialisation.

Parmi ces obligations figurent :

  • L’obtention d’un marquage CE,
  • L’établissement d’un système de gestion des risques,
  • La mise en place d’une gouvernance des données,
  • La rédaction d’une déclaration de conformité,
  • La mise en œuvre d’un système de gestion de la qualité et la garantie de la cybersécurité du modèle d’IA.

5. Comment les acteurs des services financiers doivent s’adapter au RIA ?

Le cabinet Alcees se propose d’accompagner les établissements de services financiers sur 5 chantiers prioritaires :

  1. Stratégie et gouvernance de l’IA

Établir des cadres adaptés aux nouvelles exigences légales est essentiel. Les institutions financières doivent développer des politiques de gouvernance qui non seulement respectent la législation, mais aussi leur permettent de se démarquer sur le marché. Cela inclut la mise en place de comités dédiés à l’IA, l’élaboration de stratégies claires pour l’utilisation de l’IA, et l’intégration des principes éthiques dans les processus décisionnels.

2. Appétit aux risques d’IA

Les établissements financiers doivent définir clairement leur appétit et leur tolérance aux risques liés à l’IA. Cela nécessite des analyses approfondies des risques et des impacts potentiels, ainsi que la mise en place de mécanismes de surveillance et de contrôle pour détecter et atténuer les risques en temps réel. L’objectif est de s’assurer que les systèmes d’IA fonctionnent de manière sécurisée et fiable.

3. Gestion des incidents et Continuité d’Activité By Design

Il est crucial de formaliser des procédures internes robustes pour la gestion des risques et des incidents. Les entreprises doivent être prêtes à réagir rapidement et efficacement en cas de défaillance ou de cyberattaque, minimisant ainsi les interruptions d’activité. La continuité d’activité by design signifie intégrer dès la conception des systèmes d’IA des mécanismes de résilience et de récupération.

4. Indicateurs IA

La mise en place d’indicateurs de performance KPI (Key Performance Indicator) spécifiques à l’IA est essentielle pour mesurer la maturité des systèmes et suivre leur évolution. Ces indicateurs doivent être définis de manière à être quantifiables et pertinents pour évaluer l’efficacité et la conformité des systèmes d’IA. Cela permet aux institutions financières de surveiller et d’améliorer continuellement leurs pratiques d’IA.

5. Compétence et expertise IA

Assurer que le personnel dispose des compétences nécessaires pour soutenir et mettre en œuvre des mesures d’IA responsables est une priorité. Cela inclut la formation continue des employés sur les nouvelles technologies et les réglementations, ainsi que le recrutement de spécialistes en IA. L’objectif est de développer une expertise interne qui peut guider l’entreprise dans l’application des meilleures pratiques en matière d’IA.

Les entités financières sont soumises à de nombreuses règlementations dont le RGPD. Avec l’entrée en vigueur du RIA comment articuler les exigences de ces deux règlementations ?

6. Comment le RIA s’articule avec le RGPD ?

Le Règlement sur l’intelligence artificielle (RIA) et le Règlement général sur la protection des données (RGPD) sont complémentaires et non exclusifs. Le RIA ne remplace pas les exigences du RGPD, mais les complète en établissant des conditions pour développer et déployer des systèmes d’IA de confiance. Ces deux textes présentent des similitudes et la conformité au RIA et au RGPD offre des opportunités aux entreprises.

  • Similitudes
  1. Transparence et documentation :

Transparence : Les deux règlements exigent des mesures de transparence, notamment informer les individus sur le traitement de leurs données. Le RGPD s’applique lors de la phase de développement et d’utilisation d’un système d’IA, tandis que le RIA impose des exigences similaires pour les données ayant servi à entraîner des modèles d’IA et les systèmes interagissant avec des individus.

 

Documentation : Le RIA exige des fournisseurs de systèmes d’IA à haut risque de fournir des documentations techniques détaillées sur les procédures de test et de conformité (articles 11, 13 et 53). Ces documentations doivent être remises aux déployeurs et utilisateurs, et sont similaires aux exigences de documentation du RGPD. Le RGPD impose aux responsables du traitement des données de tenir une documentation sur les activités de traitement, détaillant notamment les finalités, les catégories de données et les mesures de sécurité mises en place.

Les deux règlements se complètent donc en matière de documentation : les informations techniques exigées par le RIA peuvent enrichir l’analyse d’impact sur la protection des données (AIPD) requise par le RGPD.

2. Analyse d’impact :

Le RIA exige une analyse d’impact sur les droits fondamentaux pour certains déployeurs de systèmes d’IA à haut risque, ce qui est en ligne avec l’AIPD du RGPD. Cette analyse d’impact peut se nourrir des documentations exigées par le RIA, permettant ainsi une évaluation complète des risques pour la santé, la sécurité et les droits fondamentaux des personnes. Ces analyses peuvent être consolidées en un document unique pour plus de simplicité et de cohérence.

  • Opportunités pour les Entreprises

 

  1. Conformité renforcée

En se conformant au RIA, les entreprises améliorent leur conformité au RGPD, notamment grâce à la transparence, la documentation et les analyses d’impact. Cela renforce la protection des données personnelles et réduit les risques de sanctions.

 

2. Gestion des risques et sécurité

Le RIA impose des exigences spécifiques de gestion des risques et de cybersécurité pour les systèmes d’IA. En respectant ces exigences, les entreprises renforcent leur sécurité globale et réduisent les risques liés aux cyberattaques, contribuant ainsi à une protection accrue des données personnelles conformément au RGPD.

 

3. Innovation et compétitivité

La mise en œuvre des exigences du RIA offre aux entreprises une opportunité de se démarquer sur le marché en développant des systèmes d’IA sûrs, transparents et fiables. Cela peut renforcer leur réputation et leur compétitivité, attirant ainsi des clients et des partenaires sensibles à la conformité réglementaire et à l’éthique technologique. En outre, le RIA facilite la réutilisation des données dans des « bacs à sable réglementaire », permettant aux entreprises d’innover en testant des solutions dans un environnement contrôlé tout en garantissant le respect des normes de protection des données.

En somme, le RGPD et le RIA, bien que distincts, s’articulent de manière à offrir un cadre complet pour la protection des données et la gestion des systèmes d’IA, permettant aux entreprises de naviguer efficacement entre les deux régulations tout en renforçant leur conformité, leur sécurité, et leur positionnement sur le marché.

7. Quelles sanctions en cas de non-conformité

Des sanctions peuvent être imposées pour non-respect des règles (Article 99 RIA).

Ces sanctions peuvent comprendre des avertissements, des mesures non monétaires et des amendes.

Parlant des amendes, celles-ci peuvent atteindre :

  • Jusqu’à 35 000 000 EUR ou 7 % du chiffre d’affaires annuel mondial pour violation de l’interdiction des systèmes d’IA à risque inacceptable.
  • Jusqu’à 15 000 000 EUR ou 3 % de son chiffre d’affaires annuel mondial pour violation des dispositions relatives à la gouvernance des données pour les systèmes d’IA à haut risque.
  • Jusqu’à 7 500 000 EUR ou 1 % de son chiffre d’affaires annuel mondial pour fourniture d’informations inexactes, incomplètes ou trompeuses aux organismes notifiés ou aux autorités nationales compétentes.

Pour décider de l’imposition et du montant d’une amende administrative, chaque situation est évaluée minutieusement en prenant en compte toutes les circonstances pertinentes. Les 10 éléments suivants sont notamment considérés :

 

  1. La nature, la gravité et la durée de l’infraction, ainsi que ses conséquences, en tenant compte de l’objectif du système d’IA. On évalue également le nombre de personnes touchées et l’ampleur des préjudices subis.

 

  1. L’historique d’amendes infligées par d’autres autorités de surveillance du marché pour la même infraction à l’opérateur concerné.

 

  1. La présence d’amendes infligées pour des infractions similaires à d’autres législations nationales ou européennes, liées à la même activité ou omission.

 

  1. La taille de l’opérateur, son chiffre d’affaires annuel et sa part de marché.

 

 

  1. Tout facteur aggravant ou atténuant pertinent, comme les gains financiers ou les pertes évitées en raison de l’infraction.

 

  1. Le degré de coopération de l’opérateur avec les autorités compétentes pour corriger l’infraction et en limiter les effets négatifs.

 

  1. La responsabilité de l’opérateur, en tenant compte des mesures techniques et organisationnelles mises en œuvre.

 

  1. La façon dont les autorités ont été informées de l’infraction, notamment si elle a été signalée par l’opérateur et dans quelle mesure.

 

  1. Le caractère intentionnel ou négligent de l’infraction.

 

  1. Les actions entreprises par l’opérateur pour réduire les préjudices subis par les personnes affectées.

 

En conclusion, la nouvelle loi sur l’IA représente un cadre essentiel pour la régulation et la promotion de l’IA en Europe. Les institutions financières doivent agir rapidement pour aligner leurs stratégies et leurs opérations avec ces nouvelles exigences, garantissant ainsi leur conformité et leur compétitivité dans un paysage en évolution rapide. La mise en œuvre de cette législation demande un engagement significatif, mais elle offre également une opportunité unique de renforcer la confiance et l’innovation dans le secteur financier européen.

Le cabinet Alcees vous accompagne par un audit, à la mise en place d’un inventaire complet de vos systèmes d’IA et leur classification au bon niveau de risque. Il vous vous aide également dans la réalisation d’une AIPD de votre système d’IA. Nos consultants certifiés ISO 42001 se feront une joie de vous guider. Contactez nous !

Ensemble, donnons du sens éthique à vos projets et formons vos équipes ! Partageons nos expertises !

 

Partager cette publication à un collègue ou une connaissance

Insights liés

Alcees_logo_baseline

Fondée en 2018, Alcees est une entreprise de services du numérique (esn) d’essence française et européenne, 100% cyber centric. Alcees propose aux collectivités et entreprises publiques, aux banques, aux assureurs, aux éditeurs de logiciels, aux opérateurs de santé, des solutions-conseils sur-mesure pour améliorer la performance de leurs opérations et simplifier leur exposition aux risques cyber par la conformité aux normes et standards les plus élevés et par mesures simples.

Suivez-nous et prolongez l'expérience

Linkedin Twitter Youtube Instagram

Nos derniers articles