Le règlement européen sur l'IA (« AI Act »), première législation complète spécifiquement dédiée à l'intelligence artificielle, est entré en vigueur le 1er août 2024, après plus de trois ans de débats et de compromis.
L’AI Act est une législation historique, applicable aux organisations concevant, développant, déployant ou utilisant l'IA dans tous les secteurs au sein de l'UE, et représente un changement significatif dans la manière de réguler l'intelligence artificielle. En l'absence d'autres réglementations, elle est déjà souvent utilisée par de nombreuses grandes entreprises mondiales comme référence en matière de conformité.
Avec une période de mise en œuvre de deux ans, se terminant le 2 août 20261, les entreprises font face à un délai limité pour s'adapter. Certaines dispositions clés, y compris l'interdiction de certaines applications d'IA et les exigences relatives aux systèmes d'IA à usage général (GPAI), entreront en vigueur encore plus tôt, dans six2 et douze3 mois respectivement.
Ce calendrier serré souligne l'urgence pour les entreprises de comprendre et de prendre en compte l'impact potentiel de l'AI Act sur leurs organisations. Au-delà des efforts de conformité substantiels requis, les entreprises développant ou utilisant des applications à haut risque ou des modèles GPAI sont confrontées à des décisions critiques qui façonneront leurs stratégies en matière d'IA et, dans certains cas, leurs modèles économiques. Ces décisions entraîneront des répercussions sur la gouvernance des produits et la gestion du portefeuille, les stratégies fournisseurs, la sélection des marchés cibles, les cadres de conformité ou encore les approches d'engagement avec les autorités de supervision.
Alors que la mise en œuvre de l'AI Act s'accélère, cet article utilise une étude de cas pour explorer certaines des questions clés auxquelles les dirigeants sont confrontés.
Le développement, la distribution et l’utilisation de l'IA impliquent des chaînes complexes. Plutôt que de placer l'entière responsabilité réglementaire sur l’utilisateur final (le « déployeur »), l'AI Act définit des rôles et responsabilités spécifiques pour chacun des acteurs impliqués, connus collectivement sous le nom d'« opérateurs d'IA » (voir Figure 1).
Une première étape pour les organisations consiste donc à déterminer leur rôle au sein de la chaîne d'approvisionnement des systèmes GPAI et des systèmes d'IA à haut risque. Cette compréhension est indispensable pour identifier et évaluer efficacement les impacts potentiels des exigences applicables de l'AI Act.
Pour plus de clarté et afin de souligner les implications principales, notre étude de cas ci-dessous se concentre uniquement sur les organisations agissant en tant que fournisseurs ou utilisateurs d'IA.
À l’échelle mondiale, les principaux moteurs de l’innovation redéfinissent l'IA comme un moteur clé des stratégies de croissance futures, allant au-delà de son utilisation en tant que simple accélérateur des processus métiers existants.
Par exemple, dans le secteur de la banque de détail, l'accent est de plus en plus mis sur l'exploitation du potentiel de l'IA pour améliorer les évaluations de crédit. Certaines banques utilisent l'IA pour ajuster dynamiquement les prix, en offrant des taux de prêt préférentiels à des segments de clients spécifiques, sur la base d'une évaluation plus complète de leur risque de solvabilité4.
Cependant, l'AI Act classe les systèmes d'IA utilisés pour l'évaluation de la solvabilité comme des applications à haut risque, les soumettant ainsi à des exigences de conformité strictes (voir Figure 2).
Notre étude de cas examine deux organisations mondiales fictives opérant dans l'UE : CleverBank et DataMeld. CleverBank utilise un système d'approbation basé sur une IA, intégrant un modèle GPAI fourni par DataMeld, une entreprise américaine proposant ses modèles d'IA dans l'UE. Nous supposons que DataMeld est considérée comme fournisseur de GPAI selon l'AI Act, tandis que CleverBank est considérée à la fois comme fournisseur d'IA en aval et utilisateur d'IA (voir Figure 3).
Nous avons identifié quatre domaines d'intérêt pour les CxO développant les stratégies d'IA de leurs organisations. Il est toutefois important de reconnaître que ces domaines sont interconnectés et s'influenceront mutuellement.
Gouvernance produits – Les exigences de conformité de l'AI Act, incluant la mise en place d'un système de gestion de la qualité complet, affecteront l'ensemble du cycle de vie des produits d'IA, depuis la conception initiale jusqu'à la surveillance post-commercialisation. Cela nécessitera une révision des processus de gouvernance des produits pour intégrer des évaluations de risques et de conformité régulières et précoces, assurant ainsi l'alignement avec les nouvelles exigences. Prioriser la conception et le développement d'IA conformes dès le départ minimisera les retards potentiels, les coûts élevés de refonte ou les obstacles réglementaires ultérieurs.
Time to Market – Les exigences strictes de l'AI Act, incluant les évaluations de conformité à effectuer avant qu'un produit ne soit commercialisé ou utilisé, risquent néanmoins d'allonger les délais de développement des systèmes d'IA. Les organisations peuvent prendre de l'avance en intégrant ces facteurs réglementaires dans les études de faisabilité et de planification dès les premières étapes.
Accès au marché – Toute entreprise commercialisant ou utilisant de l'IA dans l'UE doit se conformer à l'AI Act, quel que soit son lieu d'implantation. Cette portée extraterritoriale présente aux entreprises multinationales trois options potentielles. Elles peuvent :
Chaque option comporte des conséquences différentes pour l'accès au marché, les coûts de développement et la conformité, nécessitant une évaluation formelle pour déterminer le chemin optimal.
DataMeld doit conserver et fournir à CleverBank, ainsi qu'aux superviseurs de l'UE sur demande, une documentation technique couvrant l'utilisation acceptable de son modèle GPAI, son intégration, sa conception, ses données d'entraînement, ses ressources et sa consommation d'énergie.
DataMeld doit également publier un résumé du contenu d'entraînement de GPAI pour aider les parties légitimes à exercer leurs droits, notamment en vertu du droit d'auteur de l'UE.
En réponse, DataMeld devrait revoir et mettre à jour ses processus de conception et de développement de produits pour intégrer ces exigences, en évaluant leur impact sur la viabilité commerciale et la disponibilité de GPAI sur le marché de l'UE.
Avant de déployer son système d'IA, CleverBank doit effectuer une évaluation de conformité de son système par rapport aux exigences des IA à haut risque, établir une déclaration de conformité et enregistrer le système dans la base de données européenne de l'IA.
Dans le cadre de la déclaration de conformité, CleverBank doit s'assurer que les données d'entraînement de son système d'IA sont pertinentes, précises et complètes pour son contexte opérationnel spécifique à l'UE, en tenant compte des différences statistiques potentielles par rapport à d'autres régions, telles que l'ethnicité et le statut socio-économique.
Les processus de conformité et de validation sont susceptibles de retarder le déploiement du système d'IA d'approbation de prêts. Les exigences relatives aux données d'entraînement pourraient contraindre CleverBank, en tant qu'entreprise mondiale, à développer un système d'IA spécifique pour l'UE.
Opens in new window
Interaction de l'AI Act avec d'autres réglementations – L'AI Act est construit pour compléter des réglementations existantes, telles que les lois sur la protection des données et les cadres spécifiques à certains secteurs (par exemple, les exigences de protection des consommateurs) dans des industries comme les services financiers ou les plateformes en ligne. Les exigences spécifiques pour un système d'IA varient en fonction de son utilisation et de sa conception. Il est donc essentiel que les organisations ne se concentrent pas uniquement sur une réglementation unique. Elles doivent prendre en compte l'AI Act en parallèle de toutes les autres réglementations applicables. Cette approche globale est indispensable pour évaluer l'impact cumulé des réglementations et pour développer une stratégie de conformité efficace. Une telle stratégie doit être soutenue par des investissements dans les compétences, les ressources, la gouvernance (y compris un dispositif d'évaluation des risques) et la technologie adéquates, et doit encourager la collaboration entre les équipes réglementaires, technologiques, commerciales et éthiques.
Dépendances et synergies en matière de conformité – L'interaction de l'AI Act avec d'autres réglementations crée à la fois des dépendances et des opportunités pour rationaliser la conformité. Par exemple, démontrer la conformité avec le Règlement général sur la protection des données (RGPD) de l'UE et les lois sur les droits d'auteur est une condition préalable à la conformité avec l'AI Act. Cependant, les organisations déjà soumises à une surveillance stricte de l'UE, comme les institutions financières, sont confrontées à des exigences renforcées dans des domaines tels que la gestion des risques. Naviguer habilement dans les exigences réglementaires croisées – en identifiant notamment les artefacts partagés (par exemple, les data points ou les évaluations de risques) et en veillant à la cohérence des communications réglementaires – est crucial pour atteindre une conformité à la fois rentable et robuste.
Le modèle GPAI de DataMeld a été entraîné sur divers types de données, y compris des données personnelles et protégées par le droit d'auteur.
En vertu de l’AI Act, DataMeld doit s'assurer de respecter la législation européenne sur le droit d’auteur et publier un résumé détaillé des données d'entraînement utilisées, qu'elles soient publiques ou privées.
DataMeld doit démontrer sa conformité au RGPD européen. Cela inclut l'établissement d'une base légale appropriée pour l'utilisation des données personnelles lors de l'entraînement du modèle. De plus, DataMeld doit concevoir et mettre en œuvre un système qui protège adéquatement les droits de protection des données des individus, y compris l'accès, la rectification et l'effacement.
Prioriser l'adoption de stratégies de gouvernance des données et de conformité robustes et complètes aiderait DataMeld à atténuer le risque réglementaire lié à ses offres GPAI.
Dans sa déclaration de conformité à l’AI Act, CleverBank doit également confirmer que son système d'IA est conforme au RGPD européen, en raison du traitement des données personnelles des candidats. Avant le déploiement, CleverBank doit également réaliser une évaluation de l'impact sur les droits fondamentaux, en parallèle de ses évaluations d'impact sur la protection des données.
La conformité à la directive européenne sur les exigences de fonds propres permettra à CleverBank de respecter la plupart des règles de l’AI Act concernant la gestion de la qualité et des risques. Cependant, des ajustements seront nécessaires, notamment pour s'aligner sur les procédures spécifiques de surveillance post-commercialisation et de signalement des incidents exigées par la loi.
Les exigences de cybersécurité et de robustesse de l’AI Act, telles que les indicateurs de performance spécifiques, complèteront celles prévues par la réglementation européenne sur la résilience opérationnelle numérique (Dora).
CleverBank bénéficierait d'un processus de conformité rationalisé qui aborde de manière cohérente la protection des données, les réglementations des services financiers et les exigences de l’AI Act.
Opens in new window
Stratégies fournisseurs - La décision de construire ou d'acheter un système d'IA revêt une nouvelle importance stratégique avec l'AI Act. Construire permet un plus grand contrôle, mais soumet les organisations à des règles plus strictes pour les « fournisseurs » d'IA, incluant des déclarations de conformité et l'enregistrement dans la base de données IA de l'UE. Lors de l’achat de système d’IA, l’utilisateur peut transférer une grande partie des exigences de conformité aux fournisseurs, sans pour autant éliminer le risque réputationnel. Cependant, cela peut limiter la flexibilité, surtout si une personnalisation importante du système d’IA entraîne la requalification de l'entreprise qui l'utilise en tant que fournisseur, ce qui impliquerait des responsabilités supplémentaires en matière de conformité. L'approche optimale nécessite un équilibre entre les exigences réglementaires de l'AI Act, les besoins métiers, l'appétit pour le risque et les capacités internes.
Définir les marchés cibles – L'AI Act exige une collaboration étroite entre les fournisseurs en amont des systèmes d'IA, y compris le GPAI, et les fournisseurs en aval intégrant ces systèmes dans des applications à haut risque. Cette collaboration doit faciliter les évaluations de conformité et les réponses aux demandes des autorités de supervision. Les fournisseurs peuvent limiter leur responsabilité en interdisant l'utilisation de leurs systèmes dans des applications en aval à haut risque. Cela soulève des questions importantes sur l'appétit au risque et la stratégie commerciale. Pour les fournisseurs, déterminer s'ils autorisent des utilisations à haut risque, et sous quelles conditions, devient primordial. Ces conditions peuvent inclure des facteurs tels que le marché cible, les cadres contractuels et les stratégies de tarification.
Le système GPAI de DataMeld peut réaliser une grande variété de tâches et peut être intégré à des systèmes d'IA en aval très divers.
Cependant, son intégration dans des cas d'utilisation à haut risque, tels que les évaluations de crédit de CleverBank, entraîne des obligations de conformité accrues.
Par exemple, DataMeld doit fournir à CleverBank un accès technique adéquat et des informations pour faciliter les évaluations de conformité et répondre aux demandes des autorités de supervision.
Cela pourrait potentiellement mettre à rude épreuve les ressources de DataMeld sur une large base de clients.
Pour équilibrer la viabilité commerciale et les coûts de conformité, DataMeld doit définir stratégiquement son marché cible. Elle devrait évaluer la faisabilité de soutenir des cas d'utilisation à haut risque, en envisageant potentiellement une tarification échelonnée basée sur les exigences de conformité.
Le système GPAI de DataMeld améliore les approbations de prêts de CleverBank grâce à une analyse sophistiquée des données non structurées et à des interactions personnalisées en langage naturel avec les clients et les assureurs.
Cependant, CleverBank doit encore adapter et entraîner le modèle pour qu'il soit aligné avec ses politiques de prêt spécifiques, ses tolérances au risque et les réglementations des services financiers (par exemple, la protection des consommateurs).
Cela positionne CleverBank en tant que fournisseur d'IA en aval, ce qui l’expose à des exigences de conformité strictes, y compris des évaluations de conformité et déclarations avant déploiement.
Alternativement, CleverBank pourrait envisager d’acquérir des solutions d'IA similaires, déjà adaptées aux services financiers et aux évaluations de crédit, auprès d'autres fournisseurs. Cette approche pourrait reclasser CleverBank en tant que déployeur d'IA, simplifiant ainsi la conformité.
Dans tous les cas, les processus d'approvisionnement de CleverBank doivent garantir que les fournisseurs sont conformes à l’AI Act et aux autres réglementations pertinentes, et qu’ils peuvent soutenir la conformité de la banque.
Opens in new window
Un nouveau cadre de supervision complexe – L'AI Act introduit un cadre de supervision complexe et multi-niveaux. Au niveau de l'UE, le nouveau Bureau de l'IA supervisera les fournisseurs de GPAI. Les États membres sont responsables de désigner des autorités nationales pour surveiller les systèmes d'IA. Certains États membres, comme l'Espagne5, créeront de nouvelles autorités dédiées à l'IA. D'autres, comme les Pays-Bas, utiliseront des organismes existants, en particulier les autorités de protection des données et les agences déjà chargées de défendre les droits fondamentaux. Ces désignations pourront varier en fonction de l'application spécifique du système d'IA (par exemple, recrutement versus évaluation de crédit). Il sera donc essentiel de surveiller de près les désignations nationales pour identifier les autorités pertinentes pour leurs systèmes d'IA. Une approche proactive facilitera également un engagement positif avec ces organes de supervision.
Capacités de veille stratégique – Bien que le texte principal de l'AI Act soit finalisé, sa mise en œuvre pratique dépendra du développement de nombreuses législations secondaires, de directives et de normes techniques harmonisées6. Les autorités nationales de l'AI Act pourraient également publier des informations sur leurs approches de supervision. Les autorités de l'UE continueront également à fournir des clarifications sur l'interaction de l'AI Act avec les cadres réglementaires existants, qu'il s'agisse de protection des données, de droits d'auteur ou de législations sectorielles spécifiques. Des capacités avérées de veille stratégique pour surveiller ces évolutions seront essentielles pour assurer des réponses stratégiques et opérationnelles en temps voulu, afin de garantir à la fois la conformité et la capacité de tirer parti des opportunités liées à l'IA.
Le Bureau de l'IA évaluera et classera le modèle GPAI de DataMeld, notamment pour déterminer s'il présente un risque systémique et, par conséquent, s’il doit répondre à des exigences supplémentaires en vertu de l'AI Act.
De manière plus générale, le bureau de l'IA sera également l'autorité principale chargée de surveiller et de superviser la conformité de DataMeld à l’AI Act.
DataMeld devra donc disposer de solides capacités de veille stratégique pour surveiller toutes les publications et communications du Bureau de l'IA, afin d'en évaluer l'impact et de déterminer les actions à entreprendre.
Établir une relation de supervision positive sera également important car le bureau de l'IA travaillera en étroite collaboration avec d'autres équipes et autorités qui supervisent DataMeld dans l'UE, par exemple, les régulateurs de la protection des données.
Les principales autorités de supervision des services financiers de CleverBank dans l’UE seront également désignées comme autorité principale, chargée de superviser la conformité de la banque à l’AI Act pour son système d’approbation de prêts basé sur l’IA.
Toutefois, l’autorité de supervision des services financiers collaborera étroitement avec les régulateurs de la protection des données et les autorités désignées de droits fondamentaux dans le cadre de l’AI Act.
De plus, si CleverBank utilise d’autres systèmes d’IA à haut risque non spécifiques aux services financiers, tels que ceux utilisés pour le recrutement ou la gestion du personnel, elle devra déterminer quelles autorités agiront comme superviseurs principaux.
Cela signifie que le nombre et la complexité des relations de supervision que CleverBank devra établir et maintenir, augmenteront probablement.
Opens in new window
L'AI Act inaugure une nouvelle ère de gouvernance de l'IA, exigeant des organisations une réponse réfléchie, documentée et stratégique. Les détails précis de la conformité sont encore en cours de clarification à travers des législations secondaires, des directives et des normes harmonisées. Cependant, une implication anticipée envers l'AI Act est crucial pour permettre aux organisations de naviguer avec succès dans ce nouveau paysage réglementaire.
Respecter les exigences réglementaires ne garantit pas à lui seul le développement et l'utilisation éthiques de l'IA. Les organisations auront encore besoin de cadres éthiques solides, surtout lorsque les réglementations sont sujettes à interprétation ou qu'elles imposent de trouver un équilibre entre des priorités concurrentes, comme la protection de la vie privée et l'exactitude des résultats produits par l'IA.
Même lorsque les règles sont claires, des politiques conformes peuvent ne pas toujours être alignées avec des préoccupations éthiques plus larges. Par exemple, des décisions entièrement automatisées ou l'utilisation extensive de données personnelles, même légalement autorisées, pourraient provoquer des tensions éthiques inacceptables pour les clients, la société ou être en décalage avec la politique de l'organisation en matière de protection de la vie privée.
Néanmoins, la conformité doit être le fondement de tout cadre éthique. L'AI Act, conçu pour promouvoir une IA de confiance, offre un vecteur puissant pour intégrer l'éthique à chaque étape du cycle de vie de l'IA. Cela commence par l'établissement d'une responsabilité et d'une imputabilité claires pour chaque projet d'IA, en considérant le risque et la conformité comme des leviers pour une stratégie d'IA durable et responsable.
Créer et maintenir des inventaires complets des modèles et systèmes d'IA est une priorité immédiate. Ces inventaires formeront la base des premières évaluations des risques, en cartographiant chaque système par rapport aux exigences de l'AI Act et en identifiant les domaines nécessitant une attention immédiate. Plus fondamentalement, l'AI Act souligne la nécessité d'investir dans les personnes, les compétences et la technologie à travers les équipes techniques, commerciales, de risque et de conformité.
Le développement des compétences, y compris une compréhension approfondie des éléments clés et des implications de l'AI Act, est également crucial pour les conseils d'administration et la direction. Cette connaissance leur permettra d'examiner plus efficacement les stratégies d'IA de leurs organisations, en garantissant la conformité tout en favorisant une culture de l'IA responsable. Une telle culture, associée à des compétences et capacités adéquates, sera essentielle pour libérer la valeur à long terme de la transformation par l'IA.
La réglementation sur l'IA de l'UE est désormais en vigueur. Bien que la conformité soit sans aucun doute une priorité, il est tout aussi critique pour les organisations impliquées dans l'IA à haut risque ou l'IA à usage général (GPAI) de réfléchir aux conséquences stratégiques de ce règlement.
A travers une étude de cas illustrative, cet article considère quatre domaines clés que les CxO et dirigeants doivent prendre en compte :
Donner la priorité à la gestion des risques et à la conformité dès la conception de l'IA peut réduire les retards et les coûts liés aux exigences réglementaires, accélérer la mise sur le marché, et éviter des coûts de remédiation souvent bien plus élevé lorsqu'ils sont traités à posteriori. La portée extraterritoriale du règlement affectant les stratégies des multinationales sur le marché de l'UE, certaines entreprises l'ont adopté comme norme globale interne pour simplifier la conformité à travers l'ensemble de leurs opérations.
L'interaction du règlement avec les régulations existantes crée un défi de conformité complexe. Adopter une stratégie holistique exploitant les synergies et traitant les interdépendances peut aider à optimiser les réponses des organisations aux exigences croisées et à optimiser les efforts de conformité. Les fournisseurs d’IA nécessitent une évaluation minutieuse. Utiliser des fournisseurs tiers peut simplifier les efforts à engager en vue de la conformité (sans réduire la responsabilité) mais peut également limiter la flexibilité. Une approche optimale équilibrera les facteurs réglementaires, les besoins de l'entreprise, la propension au risque et les capacités internes.
Les fournisseurs d'IA doivent également prendre une décision importante concernant la définition de leur marché cible : autoriser ou non l'utilisation de leurs systèmes dans des applications à haut risque en aval, en acceptant les responsabilités réglementaires et contractuelles associées, ainsi que leurs limites, et déterminer à quelles conditions et à quel prix.
S'engager tôt avec le nouveau réseau complexe des autorités européennes et nationales supervisant la réglementation sera clef pour établir des relations positives. Une veille stratégique rigoureuse sera essentielle pour anticiper et décliner les nouvelles législations secondaires et directives émergentes et les recommandations et doctrine des régulateurs.
L'AI Act de l'UE marque une nouvelle ère pour la régulation de l'IA, exigeant une réponse réfléchie et globale pour optimiser la valeur à long terme de l'IA.