Alcees : Cabinet de conseil & Organisme de formation

Quatre ans après la mise en application du RGPD mettre en conformité une collectivité territoriale pose de nombreuses questions. Alors qu'en mai 2022, 22 communes sont mises en demeure pour défaut de désignation d'un Délégué à la protection des données (DPO). et que le rapport d'activité de l'ANSSI fait état d'une progression de +41% des attaques par rançonlogiciel entre 2020 et 2021, et que l'on sait par ailleurs qu'en 2021, 1 collectivité territoriale a subi en moyenne 1 cyberattaque par semaine, on est en droit de se demander quelles seraient les responsabilités si aucunes mesures correctives n'étaient prises. L'équipe ALCEES revient en détail sur les principales obligations et responsabilités des élus en matière de (cyber)protection des données personnelles.

La posture de la Commission européenne

Vers des règles uniformes encadrant l'utilisation des Systèmes d'IA

Si les Systèmes d’Intelligence Artificielle (SIA) sont porteurs d’opportunités pour la société et l’économie européennes, nous savons déjà qu’ils s’accompagnent aussi de biais et menaces pour les droits des personnes, et plus largement pour la transparence et l’équité.

Autant de défis majeurs auxquels la Commission européenne, présidée par Ursula von der Leyen, s’est attaquée et appelle dès le printemps 2021, à développer  un cadre juridique uniforme réglementant l’utilisation des Systèmes d’IA et les légitimant.

Toute violation à la régulation proposée est passible d’importantes sanctions financières basées sur le chiffre d’affaires.

Les dispositions de la nouvelle réglementation visent à développer la confiance des personnes dans l’Intelligence Artificielle.

Qu'est-ce qu'un Système d'Intelligence Artificielle (SIA) ?

La définition d’un système d’IA s’appuie sur la recommandation 2019 de l’OCDE sur l’Intelligence Artificielle. Il s’agit d’un logiciel informatique qui peut, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats tels que du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent, à condition que le logiciel ait été développé à l’aide d’une ou plusieurs des techniques suivantes, listées dans l’annexe I du futur règlement :

Nous savons d’ores et déjà que cette définition de l’intelligence artificielle est extrêmement large. De nombreuses technologies en effet, peuvent être qualifiées comme telle. Dans la mesure où le monde rentre dans une ère de réinvention technologique permanente, la Commission se donne la latitude même de mettre à disposition une liste fine des Systèmes d’IA interdits.

Vers des développements de Systèmes d'IA plus responsables et sûrs

L’approche de la Commission européenne en matière d’Intelligence Artificielle se fonde avant tout sur une identification et un encadrement des risques de l’IA pour les droits et libertés de l’individu :

  • atteinte à la dignité humaine,
  • non-respect de la vie privée,
  • insuffisance de protection des données à caractère personnel,
  • discrimination,
  • inégalités.

La stratégie de régulation numérique présentée par la Commission repose sur plusieurs piliers essentiels :

  • l’amélioration de la confidentalité,
  • l’amélioration de l’explicabilité,
  • le progrès sur l’équité,
  • le renforcement de la cybersécurité,
  • l’amélioration de la détection des biais
  • le renforcement de la gouvernance dans les usages.

La vision ici est de construire une IA éthique et de confiance au sein de l’Union Européenne.

Une régulation différenciée par le risque

La Commission, dans son nouveau règlement différencie les systèmes d’IA en 4 classes de risque :

  1. les Systèmes d’IA à risque inacceptable,
  2. les Systèmes d’IA à haut risque,
  3. les Systèmes d’IA à risque limité,
  4. puis les Systèmes d’IA à risque minimal (voir Infographie 1).
Infographie 1 : classification des systèmes d'IA proposée par la Commission

Les classes de risque n°3 et 4 peuvent être regroupées en une seul classe.

❌ Système d'IA à risque inacceptable

Cette première classe de risque regroupe les systèmes d’IA interdits, dans le sens où les cas d’usages de ceux-ci violent des droits humains fondamentaux et/ou la sécurité des personnes.

Des exemples de ceux-ci incluent :

  • l’utilisation d’une technologie d’IA dans toute forme de notation sociale des individus,
  • de toute forme de manipulation préjudiciable aux personnes.
  • à noter que dans certains contextes, la surveillance à distance des personnes physiques peut rentrer dans cette classe de risque.

🌡️🌡️🌡️ Système d'IA à haut risque

Cette deuxième classe de risque les systèmes d’IA à haut risque.

Des exemples de ceux-ci incluent :

  • l’utilisation d’une technologie d’IA dans l’octroi de crédit et l’évaluation de la solvabilité,
  • la gestion des talents et le recrutement,
  • l’administration de la justice.

Les voitures autonomes, mais aussi l’identification biométrique dans l’espace public, rentrent dans cette classe de risque.

 
L’AI Act dispose que les systèmes d’IA à haut risque sont soumis aux obligations les plus contraignantes.

🌡️ Système d'IA à risque limité

Cette troisième classe de risque se compose essentiellement :

  • des systèmes d’IA dialogueurs (agents conversationnels dits chatbots en anglais),
  • des systèmes de segmentation de la clientèle,
  • des systèmes de reconnaissance des émotions,
  • puis des deepfakes (manipulation de contenus vidéos).

🌡️🌡️ Système d'IA à risque minimal

Cette quatrième classe de risque concerne par exemple :

    • l’utilisation artificielle des filtres anti-spam à des fins de tris dans les emails,
    • toute forme d’utilisation d’une technologie d’IA dans les jeux vidéos et informatiques.

Selon l’AI Act, les systèmes d’IA à risque minimal ne sont soumis à aucune obligation particulière.

Quelles sont les nouvelles exigences pour un 🌡️🌡️🌡️Système d'IA à haut risque ?

:

 

En vertu de l’AI Act, les organisations qui fournissent ou utilisent un système d’IA à haut risque doivent se conformer à plusieurs obligations contraignantes :

  • Dès la conception
Il appartient aux organisations de mettre en place des mesures de conformité telles que :
  • une gestion des risques du système d’IA
  • une politique de gouvernance des données et une politique de journalisation des événements
Par ailleurs, un système d’IA à haut risque doit faire l’objet d’une évaluation de la conformité par un tiers.
    • Avant la mise en marché

Une déclaration de conformité doit être signée et le système d’IA doit porter le marquage CE. 

    • Après la commercialisation

Un système de surveillance et de suivi, et par ailleurs, une remontée d’incidents ou un signalement de tout dysfonctionnement par les utilisateurs ou les fournisseurs.

Applicabilité territoriale

Le projet de règlement européen prévoit qu’un large éventail d’entreprises de l’UE devront se conformer à au moins certaines obligations en vertu de la loi sur l’IA. Comme pour le Règlement général européen de protection des données (RGPD), la Commission propose que le nouveau cadre juridique défini ait une portée extra-territoriale i.e mondiale.

Concrètement, la nouvelle loi s’applique aux :

 

Gouvernance

Le projet de règlement européen prévoit que chaque état membre dispose d’une autorité compétente en charge du suivi de la mise en application :

  • une autorité de contrôle,
  • et une autorité de notification.

Au-dessus, il est prévu une instance chapeau dont la mission est de s’assurer d’une exécution harmonisée des textes: le Comité européen d’Intelligence Artificielle.

 

gouvernance systèmes d'intelligence artificielle europe union européenne réglementation alcees esn conseil audit externalisation gestion des risques vie privée
Infographie 2 : instances de gouvernance des systèmes d'IA proposées par la Commission

Un régime de sanctions substancielles pour non-conformité

·       

Pour violation de l’interdiction des systèmes d’IA à risque inacceptable ou violation des dispositions relatives à la gouvernance des données pour les systèmes d’IA à haut risque.

 

·      

Pour violation de l’interdiction des systèmes d’IA à risque inacceptable ou violation des dispositions relatives à la gouvernance des données pour les systèmes d’IA à haut risque.

 

·      

Pour avoir fourni des informations incorrectes, incomplètes ou fausses aux organismes notifiés et aux autorités nationales.

Perspectives : calendrier d'application

La Commission souhaite que la nouvelle législation devienne une loi vers la fin de 2022 et les entreprises devront se conformer aux nouvelles exigences un an et demi à deux ans à compter de la date de son adoption définitive dans l’Union. Les entreprises et les administrations doivent donc s’attendre à une entrée en application de l’AI Act à partir de 2024.

ALCEES ne manquera pas de vous informer des suites de cette actualité. Dans l’attente, veuillez nous contacter si vous souhaitez discuter de tout impact que le projet de nouveau règlement  pourrait avoir sur votre entreprise.

Ce qu’ALCEES peut faire pour vous :

  • vous aider par un inventaire complet de vos systèmes d’IA et leur classification au bon niveau de risque
  • vous assister dès la phase de conception jusqu’à la mise en services de vos systèmes d’IA,
  • vous aider dans la gestion des risques de conformité règlementaire et de sécurité des données susceptibles d’affecter vos projets d’IA.

Auteure

Carole Njoya

Carole Njoya

cnjoya@alcees.com