Pour l’analyste américaine Enza Iannopollo, de Forrester Research, l’AI Act ne serait que la première loi contraignante relative à l’IA. La pointe de l’iceberg !

La pointe de l’iceberg. L’image laisse présager un changement radical. « D’autres directives suivront l’AI Act avec leur lot de nouvelles exigences en matière de responsabilité. Ce qui impactera significativement la manière dont les organisations gèrent l’IA et leur responsabilité, prévoit Enza Iannopollo, Principal Analyst, Forrester Research. L’application des exigences en matière de confidentialité à la lumière de l’IA deviendra également plus stricte, à mesure que les lois sur la propriété intellectuelle et les exigences en matière de protection des consommateurs continueront d’évoluer pour mieux répondre aux cas d’utilisation liés à l’IA. »

Il est toujours intéressant de sonder les analystes américains sur les législations européennes. Leur perception peut être différente. Et donc intéressante… Selon les données de Forrester, environ une organisation mondiale sur trois identifie le risque et la gouvernance comme des obstacles à l’adoption de l’IA générative, mais ces préoccupations devraient encore s’accentuer maintenant que la loi européenne sur l’IA devient une réalité. « Bien qu’imparfait, l’impact de cette législation ne peut être surestimé, observe Enza Inannopollo. L’AI Act sera la première législation contraignante sur l’IA ! »

La loi vise à garantir que les systèmes d’IA utilisés dans l’UE sont sûrs et respectent les droits fondamentaux et les valeurs de l’UE, quelle que soit leur origine. « Concrètement, quel que soit l’emplacement de votre siège social, si votre organisation fait partie d’une ‘chaîne de valeur de l’IA’ qui exploite l’IA pour créer des produits et/ou des services destinés au marché européen, vous devez respecter les règles ! » 

Plus le risque est élevé, plus les règles sont strictes

La réglementation repose sur une approche « basée sur les risques ». Cela signifie que les règles visent à régir les risques impliqués dans les cas d’utilisation commerciale plutôt que la technologie sous-jacente, considère Enza Iannopollo. « Plus le risque est élevé, plus les règles sont strictes. Lorsqu’il s’agit de systèmes à haut risque, il existe quatre domaines critiques : la transparence, la sécurité informatique, la gouvernance des données et la gestion des risques. » Cette approche basée sur les risques s’étend également aux modèles d’IA à fort impact et à usage général.

Les dispositions de la Loi n’entreront pas toutes en vigueur en même temps. Les organisations doivent examiner attentivement le calendrier d’application. D’une manière générale, la loi entrera en vigueur le 20ème jour après sa publication au Journal officiel de l’UE et deviendra applicable 24 mois après son entrée en vigueur. « Mais certaines dispositions pourraient être appliquées plus tôt, comme l’interdiction des systèmes d’IA présentant un risque inacceptable, qui s’appliquerait seulement six mois après son entrée en vigueur. D’autres dispositions, telles que les obligations pour les systèmes d’IA à haut risque, peuvent exiger un délai de 36 mois après la publication avant d’être appliquées. »

Se préparer à bien d’autres choses…

La loi constitue une étape importante, car elle répond efficacement à un défi mondial dans un environnement technologique en évolution rapide qui constitue un domaine clé pour l’avenir de nos sociétés et de nos économies. Mais les organisations doivent se préparer à bien d’autres choses, insiste Enza Iannopollo.

Techniquement, avec la collaboration de l’UE, les États membres dirigeront la création d’une législation d’harmonisation, d’un code de conduite et de normes, qui contiendront de nombreux détails techniques et auront un impact démesuré sur la conformité globale de l’IA. Celles-ci incluent également des règles spécifiques aux secteurs, en particulier ceux à plus haut risque. « Étant donné que certains États membres peuvent donner la priorité à certains aspects du droit par rapport à d’autres, on peut s’attendre à ce qu’une certaine fragmentation émerge au fil du temps… »

La loi établit également la création d’un nouveau réseau d’agences chargées de l’application. L’objectif est que ce réseau reproduise ce dont nous disposons actuellement pour l’application de la législation sur la protection de la vie privée, avec des autorités indépendantes dans chaque pays et un organisme central pour fournir des conseils, une orientation et un soutien. « Malgré le fort désir d’homogénéité, il est raisonnable de s’attendre à des différences potentielles dans les styles et les priorités d’application », pense toutefois Enza Iannopollo.

AI Act… et de nombreux essais et erreurs

Avant de plonger dans les détails, les organisations doivent dresser un inventaire de leurs systèmes d’IA. Il s’agit d’une étape nécessaire pour lancer le processus de conformité. La capacité de catégoriser les systèmes d’IA et les cas d’utilisation qu’ils prennent en charge conformément à l’approche fondée sur les risques de la loi constitue une action fondamentale.

Cela signifie que les organisations doivent commencer à concevoir leurs propres processus pour construire, exécuter et optimiser leur propre approche de classification des systèmes d’IA et d’évaluation des risques des cas d’utilisation en jeu. Il existe des ressources disponibles pour soutenir les entreprises dans ces efforts, y compris dans la loi elle-même, mais pas d’outils ou d’approches officiels. Et Enza Iannopollo de conclure : « Avant que les organisations puissent se familiariser avec une approche qui répondra aux exigences de l’AI Act, il faudra procéder à de nombreux essais et erreurs. »

Texte : Alain de Fooz – Photo : Christian Lue (Unsplash)