AI Act : quelles exigences pour les systèmes d’IA à haut risque ?

Avec l’essor fulgurant de l’intelligence artificielle dans presque tous les secteurs, la régulation et la gouvernance de cette technologie deviennent cruciales. Un nouveau règlement européen, dénommé AI Act, a été publié au Journal Officiel de l’Union Européenne le 12 juillet 2024. Il entrera en vigueur 20 jours après sa publication, soit le 1er août 2024. Ce texte est le premier au monde à encadrer l’intelligence artificielle. Il concerne tous les fournisseurs et opérateurs de systèmes d’IA en Europe. Il classe les SIA selon leur niveau de risque et d’impact, puis applique des règles spécifiques en conséquence. Bien que le texte rappelle l’interdiction des SIA à risque inacceptable, il se concentre principalement sur la réglementation des systèmes d’IA à haut risque.

Alors quels sont les SIA à haut risque visés par l’AI Act ? À quelles règles et obligations doivent-ils se conformer ? Et comment se mettre en conformité ?


Qu’est-ce qu’un système d’IA à haut risque ?


Après avoir énuméré les pratiques interdites en matière d’intelligence artificielle, l’AI Act définit et explique comment classifier les systèmes d’IA à haut risque (ou à risque élevé).

1. Un système qui relève d’une autre règlementation exigeant une certification

Selon le règlement européen, un système d’IA est « considéré comme présentant un risque élevé » (Annexe I) lorsque :

  • le système d’IA est utilisé comme composant de sécurité d’un produit, ou s’il s’agit d’un produit lui-même couvert par la législation européenne .(les jouets, les dispositifs médicaux, les ascenseurs…) ;

ET

  • le système d’IA doit faire l’objet d’une évaluation de conformité par un tiers, avant de pouvoir être vendu ou utilisé.

OU

2. Un système qui intervient dans un domaine sensible

Selon l’annexe III de l’AI Act, sont considérés à haut risque tous les systèmes d’IA qui concernent :

  • Les données biométriques : les systèmes d’identification biométrique à distance, les systèmes de
    catégorisation biométrique (selon des attributs ou des caractéristiques sensibles), les systèmes de reconnaissance des émotions ;
  • Les infrastructures critiques : les systèmes qui interviennent dans la gestion et l’exploitation des infrastructures numériques critiques. Ils touchent au trafic routier, à la fourniture d’eau, de gaz, de chauffage et d’électricité.
  • L’éducation et la formation professionnelle : les systèmes déterminant l’accès ou l’affectation aux établissements d’enseignement et de formation professionnelle. Ils incluent les systèmes d’évaluation des résultats ou du niveau d’éducation des candidats, et les systèmes de contrôle des étudiants pendant les examens.
  • L’emploi et la gestion des travailleurs : les systèmes utilisés pour le recrutement ou la sélection de candidats. Ils gèrent les promotions ou les résiliations de contrats, l’attribution de tâches en fonction des caractéristiques des individus, et l’évaluation des performances.
  • Les services publics et privés essentiels comprennent les systèmes utilisés dans les secteurs de la santé, de la banque et des services d’urgence. Ils concernent l’éligibilité à certaines prestations et services, l’évaluation de la solvabilité, l’évaluation des appels d’urgence, ainsi que la tarification en matière d’assurance maladie et d’assurance vie.

  • Les services répressifs : les systèmes évaluant la probabilité qu’une personne soit victime d’une infraction pénale, les polygraphes et outils similaires. Ils incluent aussi les systèmes d’évaluation du risque de délinquance ou de récidive, ainsi que les systèmes de profilage.
  • La gestion des migrations, de l’asile et des contrôles aux frontières : les polygraphes et outils similaires, les systèmes évaluant les migrations irrégulières ou les risques sanitaires. De plus, ils incluent les systèmes d’examen des demandes d’asile, de visa et de permis de séjour, ainsi que les systèmes de détection et de reconnaissance d’individus.
  • L’administration de la justice : les systèmes utilisés pour rechercher et interpréter les faits ainsi que pour appliquer la loi. Ils comprennent aussi les systèmes influençant les résultats des élections ou le comportement des électeurs (à l’exception des outils pour organiser les campagnes politiques).


Que prévoit l’AI Act pour les systèmes d’IA à haut risque ?

L’AI Act stipule que les systèmes d’IA à haut risque sont soumis à des obligations contraignantes. Pour se mettre en conformité, les fournisseurs, opérateurs et déployeurs de ces systèmes à risque élevé doivent respecter des exigences spécifiques. Chacun doit s’assurer du respect de ces obligations selon son rôle.

Quelles obligations?

Les entreprises qui utilisent des systèmes d’IA à haut risque doivent notamment:

  • Mettre en place un système de gestion des risques : il doit être régulièrement révisé et mis à jour, tout au long du cycle de vie de l’IA. Le système de gestion des risques doit aussi comprendre une évaluation continue des risques et des mesures d’atténuation ;
  • Assurer la gouvernance des données : les SIA doivent utiliser des données de haute qualité, pour minimiser les biais et garantir des résultats équitables et transparents. En plus d’être pertinentes et suffisamment représentatives, les données doivent être complètes et exemptes d’erreurs ;
  • Garantir la robustesse, l’exactitude et la cybersécurité du système : L’AI Act précise que les systèmes d’IA à haut risque doivent être conçus pour être précis, robustes et sûrs. Ils doivent notamment être résistants aux erreurs et aux défaillances. Ils doivent aussi disposer de plans de secours et être protégés contre les tentatives d’exploitation de leurs vulnérabilités.

  • Prévoir l’enregistrement des événements pertinents : le système d’IA doit enregistrer automatiquement des événements tout au long de sa vie. L’objectif est d’identifier les risques et retracer les modifications substantielles du système.
  • Garantir une surveillance humaine : le système d’IA doit permettre une supervision humaine. Cette surveillance vise à prévenir ou minimiser les risques pour la santé, la sécurité, ou les droits fondamentaux.
  • Concevoir une documentation technique détaillée : elle doit être tenue à jour et prouver que le système d’IA respecte les exigences légales. Cette documentation aide les autorités à évaluer la conformité du système.
  • Fournir des instructions d’utilisation claires : les utilisateurs doivent comprendre facilement comment utiliser le système d’IA à haut risque. Le système doit offrir des informations sur ses capacités, ses limites et ses risques potentiels.
  • Mettre en place un système de gestion de la qualité : ce système doit être suffisamment documenté pour garantir la conformité du système à toutes les étapes de sa vie.

Le système d’IA à haut risque doit ensuite faire l’objet d’une évaluation de conformité par un tiers. Il doit obtenir un marquage CE, et être enregistré dans la base de données de l’Union européenne.

Dans quel délai?

Considéré comme approuvé et définitif depuis mi-avril, l’AI Act entrera en vigueur le 1er août. Il entrera 20 jours après sa publication au Journal officiel de l’UE prévue le 12 juillet. Le règlement européen exige que les organisations concevant, déployant ou utilisant des systèmes d’IA à risque élevé se conforment dans les 24 mois suivant l’entrée en vigueur. Elles devront être conformes d’ici courant 2026.

Ceux déjà encadrés par une législation européenne spécifique auront 36 mois pour se conformer aux exigences de l’AI Act. Ce délai supplémentaire s’applique par exemple aux systèmes d’IA déployés dans divers domaines. Cela inclut le secteur des jouets, des dispositifs médicaux de diagnostic in vitro, et des équipements radio. Il concerne aussi la sécurité de l’aviation civile et les véhicules agricoles.


Comment se mettre en conformité avec l’AI Act ?

Pour répondre aux exigences de ce nouveau cadre réglementaire, les entreprises doivent préparer leur conformité avec l’AI Act. Ne pas respecter ces régulations peut entraîner des amendes significatives, jusqu’à 15 millions d’euros ou 3 % du chiffre d’affaires.

Les actions nécessaires incluent la cartographie et la classification des systèmes d’IA ainsi que la mise à jour des processus de gestion des risques.

Il faut également établir une documentation technique, des outils de traçabilité et mettre en place des mécanismes robustes de surveillance et de transparence.

Investir dans des solutions de gouvernance de l’IA aide les organisations à se conformer aux régulations. Cela renforce aussi la confiance des consommateurs et des régulateurs, tout en tirant pleinement parti des avantages de l’IA.

En tant que système européen précurseur de management de l’intelligence artificielle, Naaia est une solution SaaS de gouvernance et de pilotage des systèmes d’IA.

Multi-législations et multi-référentiels, l’AIMS® vous accompagne dans votre démarche de mise en conformité à l’AI Act et de déploiement d’une IA responsable. Pour une réponse opérationnelle encore plus performante, Naaia a récemment intégré de nouvelles fonctionnalités à sa solution. N’hésitez pas à contacter nos équipes pour en savoir plus.

Partager l'article :
Search
Close this search box.