Parler à un expert
Tarification

Comprendre la loi européenne sur l'IA : Ce que cela signifie pour la gouvernance de l'IA et la gestion des risques liés aux tiers

Le Parlement européen a adopté l'une des premières réglementations complètes régissant la technologie de l'intelligence artificielle (IA) et ses applications dans le monde entier. La loi sur l'intelligence artificielle (loi sur l'IA), officiellement intitulée "Règlement du Parlement européen et du Conseil fixant des règles harmonisées en matière d'intelligence artificielle (acte sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union", est un cadre législatif novateur qui façonnera la manière dont l'IA est utilisée, régie et réglementée dans l'Union européenne (UE).

Initialement proposée en 2021, la loi sur l'IA a attiré l'attention du monde entier en raison de sa portée ambitieuse et de ses profondes implications pour les entreprises qui développent ou déploient des technologies basées sur l'IA. Aujourd'hui, trois ans plus tard, elle a été officiellement approuvée et devrait entrer en vigueur à la fin de la session législative en mai 2024, sa pleine applicabilité étant prévue 24 mois après sa publication officielle.

Pour les entreprises opérant au sein de l'UE ou en partenariat avec des entités de l'UE, la loi sur l'IA aura des implications majeures pour la gestion des risques des tiers (TPRM), en particulier pour les entreprises hors de l'Europe qui souhaitent s'engager dans des activités liées à l'IA au sein de sa juridiction. Cet article présente une analyse détaillée de la loi sur l'IA et de son impact potentiel sur les stratégies de gestion des risques des tiers.

Qu'est-ce que la loi européenne sur l'IA ?

La loi sur l'IA établit un cadre complet de gouvernance et de conformité pour les applications de l'IA, garantissant que les technologies basées sur l'IA s'alignent sur les normes de l'UE en matière de sécurité, de transparence et de responsabilité. La législation introduit des règles strictes pour réglementer la manière dont l'IA est développée et utilisée, avec pour objectif principal de sauvegarder les droits fondamentaux, d'atténuer les risques et d'encourager l'innovation éthique en matière d'IA.

Objectifs fondamentaux de la loi sur l'IA

La loi sur l'IA vise à

  • Identifier et atténuer les risques posés par les applications de l'IA.
  • Définir les applications d'IA à haut risque et établir des exigences strictes pour leur développement et leur utilisation.
  • Faire respecter les obligations de conformité par les fournisseurs et les utilisateurs d'IA.
  • Mettre en place un processus d'évaluation de la conformité avant de déployer des systèmes d'IA à haut risque.
  • Créer une structure de gouvernance aux niveaux européen et national pour la surveillance de l'IA.

La loi prévoit également des restrictions claires sur certains cas d'utilisation de l'IA jugés trop risqués ou problématiques d'un point de vue éthique.

Applications d'IA interdites et hautement réglementées

La loi sur l'IA classe les systèmes d'IA selon une approche fondée sur les risques, en les classant en quatre catégories :

1. Risque inacceptable (systèmes d'IA interdits)

Les applications d'IA considérées comme une menace claire pour la sécurité, les droits fondamentaux ou la démocratie sont strictement interdites. Il s'agit notamment des applications suivantes

  • Catégorisation biométrique basée sur des caractéristiques sensibles (par exemple, la race, le sexe, la religion).
  • Récupération de données de reconnaissance faciale non ciblées à partir de sources en ligne ou d'images de vidéosurveillance.
  • Reconnaissance des émotions sur le lieu de travail et dans les écoles.
  • Les systèmes de notation sociale qui classent les individus en fonction de leur comportement ou de leurs caractéristiques personnelles.
  • La police prédictive basée uniquement sur le profilage ou les évaluations comportementales.
  • Les systèmes d'IA qui manipulent le comportement humain ou exploitent les vulnérabilités, tels que les jouets pour enfants pilotés par l'IA qui encouragent les comportements nuisibles.

2. Systèmes d'IA à haut risque

Ces applications d'IA sont soumises à des exigences réglementaires strictes avant de pouvoir être utilisées. Il s'agit par exemple de l'IA utilisée dans :

  • Procédures d'emploi et de recrutement.
  • Application de la loi et contrôle des frontières.
  • Accès à l'éducation, au crédit ou aux services publics.
  • Les infrastructures critiques telles que les soins de santé et les transports.

Les organisations qui déploient de l'IA à haut risque doivent s'assurer de ce qui suit :

  • Des évaluations des risques et des stratégies d'atténuation robustes.
  • Des ensembles de données de haute qualité pour éviter une prise de décision biaisée.
  • Traçabilité grâce à l'enregistrement et à la documentation.
  • Des informations claires et transparentes pour les utilisateurs du système d'IA.
  • Un contrôle humain rigoureux pour éviter les biais liés à l'automatisation.
  • Mesures de sécurité, de précision et de fiabilité.

En outre, les modèles d'IA à usage général, tels que l'IA générative comme ChatGPT, devront adhérer à des normes de transparence spécifiques, notamment :

  • Divulguer que le contenu a été généré par l'IA.
  • Prévenir la production de contenus illégaux.
  • Publication de résumés de données protégées par le droit d'auteur et utilisées pour la formation.
  • Signaler les incidents graves liés à l'IA.

3. Systèmes d'IA à risque limité

Cette catégorie couvre les applications d'IA ayant un impact potentiel modéré, telles que les chatbots ou les systèmes de recommandation pilotés par l'IA. Les organisations qui utilisent ces technologies doivent garantir la transparence en informant les utilisateurs lorsqu'ils interagissent avec l'IA.

4. Systèmes d'IA à risque minimal ou nul

Les applications de l'IA présentant un risque négligeable, telles que les filtres anti-spam ou les mécanismes de jeux vidéo alimentés par l'IA, ne font l'objet d'aucune restriction. Ces applications représentent la majorité des applications d'IA actuellement utilisées.

Implications de la loi sur l'IA pour la gestion des risques liés aux tiers (TPRM)

Nouvelles obligations de conformité pour les vendeurs tiers

Pour les entreprises qui font appel à des fournisseurs d'IA tiers ou à des fournisseurs de l'UE, la conformité à la loi sur l'IA deviendra un élément essentiel de la diligence raisonnable des fournisseurs et de l'évaluation des risques. À l'instar de l'impact du GDPR sur les réglementations en matière de confidentialité des données, les entreprises qui font des affaires en Europe ou utilisent des technologies d'IA provenant de fournisseurs basés dans l'UE doivent s'aligner sur les normes de transparence et de responsabilité de la loi.

Cela signifie que les organisations devront

  • Évaluer les classifications des risques d'IA des fournisseurs tiers.
  • Évaluer les modèles d'IA utilisés dans leur chaîne d'approvisionnement pour détecter les risques de conformité.
  • Intégrer des questions relatives à l'IA dans l'évaluation des risques des fournisseurs.
  • Veiller à ce que les fournisseurs respectent les obligations en matière de transparence de l'IA et de gouvernance des données.
  • Préparez-vous à des pénalités élevées pour non-conformité, qui peuvent atteindre jusqu'à 7 % du chiffre d'affaires global ou 35 millions d'euros.

Compte tenu de la définition large de l'"IA à haut risque", les organisations devraient renforcer la surveillance des fournisseurs en posant des questions spécifiques sur leurs modèles d'IA, leurs sources de données et leurs mesures de conformité. Les évaluations des risques des fournisseurs, telles que les questionnaires SIG et SIG Lite, évoluent déjà pour inclure un contenu lié à l'IA - les entreprises devraient s'assurer que ces évaluations couvrent la conformité à la loi sur l'IA.

Principaux facteurs de risque liés à l'IA dans le cadre du MRPT

Au-delà des préoccupations réglementaires, les organisations doivent également tenir compte de plusieurs risques fondamentaux lorsqu'elles utilisent des solutions tierces alimentées par l'IA :

  • Qualité des données et biais : la fiabilité des modèles d'IA dépend des données sur lesquelles ils sont formés. Des données biaisées ou de mauvaise qualité peuvent exacerber la discrimination et conduire à une prise de décision erronée.
  • Défis en matière de transparence : De nombreux modèles d'IA fonctionnent comme des boîtes noires, ce qui rend difficile la traçabilité des décisions prises. Les organisations doivent exiger des explications et de la documentation.
  • Risques liés à la cybersécurité et à la protection de la vie privée : Les outils pilotés par l'IA peuvent être des cibles de choix pour les cybermenaces et les violations de données. Il est essentiel de garantir des contrôles de sécurité et la conformité aux lois sur la protection des données.
  • Les lacunes en matière de surveillance humaine : Une dépendance excessive à l'égard de l'IA sans un contrôle humain adéquat peut entraîner des erreurs ou des conséquences involontaires.
  • Lacunes en matière de talents et de compétences dans le domaine de l'IA : Peu de professionnels possèdent une expertise approfondie en matière de gouvernance de l'IA, d'atténuation des préjugés et de conformité, ce qui crée une importante pénurie de talents.

Prochaines étapes : Se préparer à la conformité à l'IA et à la gestion des risques

L'adoption de la loi européenne sur l'IA marque un tournant dans la manière dont les technologies de l'IA sont réglementées à l'échelle mondiale. Alors que les entreprises intègrent de plus en plus l'IA dans leurs activités, les gouvernements continueront à renforcer la surveillance de la gouvernance, de la transparence et de la gestion des risques de l'IA.

Pour les équipes de gestion des risques de tiers, les principaux enseignements sont les suivants :

  • Examinez l'utilisation de l'IA au sein de votre écosystème de fournisseurs et évaluez l'exposition à la réglementation.
  • Mettre à jour les évaluations des risques des fournisseurs afin d'y inclure les contrôles de conformité à la loi sur l'IA.
  • Suivre les développements réglementaires liés à l'IA dans d'autres juridictions.
  • Évaluer les politiques internes de gouvernance de l'IA et mettre en œuvre des pratiques responsables en matière d'IA.
  • Adopter des normes industrielles, telles que les cadres de gestion des risques liés à l'IA du NIST, afin de renforcer la surveillance de l'IA.

La mise en œuvre complète de la loi sur l'IA n'interviendra peut-être pas avant deux ans, mais les entreprises devraient commencer à se préparer dès maintenant. L'adoption d'une approche proactive de la gouvernance de l'IA, à la fois en interne et dans les relations avec les tiers, assurera une transition plus douce vers la nouvelle ère de la réglementation de l'IA.

Cet article vous plaît ?

Courriel
Partager sur Facebook
Partager sur LinkedIn
Partager sur XING

Empowered propose des solutions innovantes en matière d'audit, de conformité et de gestion des risques, permettant aux organisations du monde entier de faire face à un monde exigeant et en constante évolution.

Linkedin-in Facebook Youtube Instagram

nos produits

nos solutions

Informations sur l'entreprise

clause de non-responsabilité du site web

Toutes les capacités ou technologies décrites sur ce site ou qui vous sont présentées sont soumises à la protection de la propriété intellectuelle, y compris, mais sans s'y limiter, les lois et traités internationaux sur les droits d'auteur (et, dans certains cas, les brevets/applications de brevets) et tous les droits sont réservés. Tout devis fourni doit rester confidentiel et n'être utilisé que pour votre décision d'achat. Vous pouvez partager un devis ou une proposition avec vos conseillers à cette fin s'ils ont signé avec vous un accord de non-divulgation de ces informations, mais vous ne pouvez le partager avec personne d'autre sans l'accord écrit préalable d'Empowered Systems. Toute information supplémentaire fournie par Empowered Systems sera également traitée comme confidentielle et ne pourra être utilisée que de la même manière que les informations figurant dans votre offre ou proposition (sauf indication contraire). Ce site web n'est pas un devis ou une proposition.

Ce site web est fourni à des fins d'information uniquement. Il ne constitue ni un conseil, ni une offre susceptible d'être acceptée, ni ne crée de droit ou d'obligation entre Empowered Systems et l'utilisateur de ce site ou toute personne associée à l'utilisateur susmentionné. Tout contrat sera établi sur la base des conditions générales d'Empowered Systems. Rien sur ce site ne crée d'accord entre Empowered Systems et l'utilisateur de ce site.

Les informations contenues dans ce site ont été compilées avec soin, mais Empowered Systems ne fait aucune déclaration ou garantie expresse ou implicite selon laquelle les informations sont exemptes d'erreurs ou d'omissions et ne peut être tenu responsable de l'utilisation des informations ou de la confiance accordée à celles-ci (sauf en cas de déclaration frauduleuse ou d'autres questions pour lesquelles la responsabilité ne peut être exclue ou limitée en vertu de la loi).

Les références aux capacités d'Empowered Systems peuvent inclure des capacités fournies à Empowered Systems par des tiers.

 AutoAudit® et Empowered Systems sont des marques déposées d'Empowered Systems IP Holder LLC.

1995-2024 Empowered Systems. Tous droits réservés.

Empowered Systems est le nom commercial d'Empowered Systems Ltd. au Royaume-Uni. Numéro d'enregistrement : 13416888 en Angleterre et au Pays de Galles. Siège social : 6 Lloyds Avenue, Suite 4cl, Londres, Angleterre EC3N 3AX.

Parler à un expert
Tarification
Parler à un expert
Tarification

Parler à un expert

"Les champs obligatoires sont indiqués par un astérisque(*)

Vous cherchez du soutien ?

Si vous recherchez une assistance produit, veuillez vous connecter à notre centre d'assistance en cliquant ici.

Tout d'abord, quel est votre nom ?*
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

Soumettre une demande de prix

"Les champs obligatoires sont indiqués par un astérisque(*)

Tout d'abord, quel est votre nom ?*
Ce champ est utilisé à des fins de validation et ne doit pas être modifié.

Soumettre une demande d'appel d'offres

"Les champs obligatoires sont indiqués par un astérisque(*)

Tout d'abord, quel est votre nom ?*
Quelle est la solution pour laquelle votre appel d'offres demande une réponse ?*
Déposez vos fichiers ici ou
Types de fichiers acceptés : pdf, doc, docx, Taille maximale du fichier : 1 MB, Nombre maximal de fichiers : 4.
    Ce champ est utilisé à des fins de validation et ne doit pas être modifié.
    Skip to content