La loi de l'Union européenne sur l'intelligence artificielle et son impact sur le TPRM

L'Union européenne a approuvé aujourd'hui une réglementation ambitieuse en matière d'IA, qui entrera en vigueur en 2026. Nous examinons ici en détail l'impact que cela aura sur votre programme TPRM.

Matthew Delman
Matthew Delman Mars 13, 2024 9 min de lecture

Aujourd'hui, le Parlement européen a adopté l'un des premiers règlements régissant la technologie de l'intelligence artificielle (IA) et ses applications à travers le monde. Le «règlement du Parlement européen et du Conseil établissant des règles harmonisées en matière d'intelligence artificielle (loi sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union »de l'Union européenne a fait la une des journaux en 2021 lorsqu'il a été initialement proposé,et pas seulement en raison de son nom à rallonge.

Trois ans plus tard, elle a été approuvée par le Parlement européen. La loi devrait entrer en vigueur à la fin de la session législative en mai 2024 et deviendra pleinement applicable 24 mois après sa publication au journal officiel. Cette nouvelle réglementation devrait avoir un impact transformateur sur votre programme de gestion des risques liés aux tiers, en particulier pour les entreprises basées dans d'autres pays qui souhaitent faire des affaires en Europe.

Ce blog examine en détail la loi sur l'IA et fournit des informations contextuelles sur ce que cela signifie pour votre programme TPRM à l'avenir.

Qu'est-ce que la loi européenne sur l'IA ?

La loi européenne sur l'IA vise à fournir un cadre de gouvernance et de conformité pour l'IA au sein de l'Union européenne. L'objectif final est de définir des garde-fous concernant l'utilisation de l'IA dans l'UE et la responsabilité des entreprises opérant en Europe qui souhaitent développer un outil d'IA ou appliquer l'IA à leur technologie existante.

Les règles contenues dans la loi sur l'IA sont conçues pour :

  • Traiter les risques spécifiquement créés par les applications de l'IA ;
  • Proposer une liste d'applications à haut risque ;
  • Définir des exigences claires pour les systèmes d'IA destinés à des applications à haut risque ;
  • Définir des obligations spécifiques pour les utilisateurs d'IA et les fournisseurs d'applications à haut risque ;
  • Proposer une évaluation de la conformité avant que le système d'IA ne soit mis en service ou mis sur le marché ;
  • Proposer des mesures d'exécution après la mise sur le marché d'un tel système d'intelligence artificielle ;
  • Proposer une structure de gouvernance aux niveaux européen et national.

La loi définit des cas d'utilisation spécifiques qui seront interdits et/ou strictement réglementés en Europe une fois que la réglementation entrera en vigueur. Il s'agit notamment des cas suivants :

  • Systèmes de catégorisation biométrique basés sur des caractéristiques sensibles
  • Collecte non ciblée d'images faciales sur Internet ou à partir d'enregistrements de vidéosurveillance pour alimenter des bases de données de reconnaissance faciale.
  • Reconnaissance des émotions sur le lieu de travail et à l'école
  • Notation sociale
  • La police prédictive repose uniquement sur le profilage d'une personne ou l'évaluation de ses caractéristiques.
  • IA qui manipule le comportement humain ou exploite les vulnérabilités des personnes

Il existe des exceptions pour l'utilisation par les forces de l'ordre de l'identification biométrique en temps réel, mais celles-ci sont strictement limitées dans le temps et dans l'espace. Les forces de l'ordre doivent obtenir une autorisation judiciaire avant d'utiliser ces systèmes, ainsi que lorsqu'elles souhaitent utiliser ces systèmes biométriques après coup.

Comment la loi européenne sur l'IA réglemente-t-elle l'intelligence artificielle ?

L'Union européenne a adopté une approche fondée sur les risques pour élaborer sa législation. Celle-ci a pris la forme de quatre catégories distinctes de risques, comme le montre la pyramide ci-dessous.

Graphique représentant la pyramide des risques liés à l'IA dans l'UESource : Commission européenne Commission européenne

Ces catégories de risques sont expliquées comme suit :

  • Risque inacceptable – Ce niveau désigne tout système d'IA que l'UE considère comme une menace évidente pour la sécurité, les moyens de subsistance et les droits des citoyens de l'UE.
  • Risque élevé – Les systèmes d'IA classés comme présentant un risque élevé sont ceux qui peuvent être utilisés dans des cas d'utilisation cruciaux pour la société. Cela peut inclure l'IA utilisée dans l'accès à l'éducation, les pratiques en matière d'emploi, l'application de la loi, le contrôle des frontières et l'immigration, les infrastructures critiques, l'accès à l'éducation et d'autres situations dans lesquelles les droits d'une personne pourraient être violés. Bon nombre de ces systèmes devront être enregistrés dans une base de données de l'UE.
  • Risque limité – Cette catégorie désigne les applications d'IA dont l'impact global est limité. Pensez par exemple à un chatbot IA sur un site web.
  • Risque minimal – Également appelés « sans risque », il s'agit de systèmes d'IA utilisés dans les médias tels que les jeux vidéo ou les filtres anti-spam basés sur l'IA. Cela semble représenter la majeure partie de l'IA utilisée aujourd'hui dans l'UE.

Risque inacceptable

Les applications d'IA définies comme présentant un risque inacceptable sont interdites dans toute l'Union européenne. Ces types de systèmes comprennent:

  • Manipulation de personnes ou de groupes vulnérables spécifiques, comme les jouets à commande vocale mentionnés précédemment, qui encouragent les comportements dangereux chez les enfants.
  • Notation sociale : classification des personnes en fonction de leur comportement, de leur statut socio-économique ou de leurs caractéristiques personnelles.
  • Identification biométrique et catégorisation des personnes.
  • Systèmes d'identification biométrique en temps réel et à distance, tels que la reconnaissance faciale.

Risque élevé

En revanche, les systèmes d'IA à haut risque sont soumis à des règles spécifiques et strictes auxquelles ils doivent se conformer avant de pouvoir être commercialisés. Ces règles obligent les systèmes à haut risque à inclure :

  • Des systèmes adéquats d'évaluation et d'atténuation des risques ;
  • Haute qualité des ensembles de données alimentant le système afin de minimiser les risques et les résultats discriminatoires ;
  • Enregistrement des activités pour assurer la traçabilité des résultats ;
  • Documentation détaillée fournissant toutes les informations nécessaires sur le système et sa finalité pour que les autorités puissent évaluer sa conformité ;
  • Des informations claires et adéquates pour l'utilisateur ;
  • Des mesures de surveillance humaine appropriées pour minimiser les risques ;
  • Niveau élevé de robustesse, de sécurité et de précision.

La loi sur l'IA établit un cadre juridique pour l'examen et l'approbation des applications d'IA à haut risque, dans le but de protéger les droits des citoyens, de minimiser les biais dans les algorithmes et de contrôler les impacts négatifs de l'IA. L'objectif est ici d'appliquer une gouvernance au développement de l'IA et de garantir la protection des droits des citoyens de l'UE tout en permettant la poursuite du développement.

L'UE mentionne également les IA génératives à usage général, telles que ChatGPT, qui devraient se conformer aux exigences de transparence :

  • Indiquer que le contenu a été généré par une IA
  • Concevoir le modèle de manière à empêcher la génération de contenu illégal
  • Publication de résumés de données protégées par le droit d'auteur utilisées à des fins de formation

Les IA polyvalentes à fort impact telles que ChatGPT-4 doivent faire l'objet d'une évaluation approfondie et tout incident doit être signalé.

Risque limité

Comparez cela aux systèmes à risque limité, qui doivent se conformer à des exigences de transparence permettant aux utilisateurs de prendre des décisions éclairées. Un exemple est le chatbot IA d'un site web. Les utilisateurs doivent être informés qu'ils utilisent un système IA et avoir la possibilité de refuser de l'utiliser.

Que signifie la loi européenne sur l'IA pour la gestion des risques liés aux tiers ?

Dans le contexte de la gestion des risques liés aux tiers, l'adoption de la loi européenne sur l'IA signifie que les entreprises qui ont des fournisseurs tiers situés dans l'UE ou qui font des affaires en Europe doivent être conscientes des restrictions qui leur sont imposées. Tout comme les multinationales ou les entreprises basées aux États-Unis doivent continuer à se conformer aux réglementations du RGPD en matière de confidentialité des données depuis l'adoption de cette loi, les entreprises qui souhaitent exercer leurs activités au sein de l'Union européenne doivent se conformer aux exigences de transparence prévues par la loi sur l'IA.

Compte tenu de la définition large du terme « haut risque » dans la loi, il serait judicieux de poser aux fournisseurs et prestataires des questions plus concrètes sur leur utilisation de l'IA et leur respect des autres réglementations applicables. Les amendes pour non-conformité s'élèvent à 7 % du chiffre d'affaires mondial ou à 35 millions d'euros (environ 38 millions de dollars), le montant le plus élevé étant retenu. Les organisations ont donc tout intérêt à y prêter attention. Des enquêtes telles que SIG et SIG Lite incluent déjà des questions sur l'IA dans leurs questionnaires destinés aux fournisseurs. Il est donc utile de veiller à inclure ce contenu dans les questions que vous posez aux fournisseurs. Réfléchissez également à la manière dont les organismes de normalisation (tels que le NIST aux États-Unis) abordent les risques liés à l'IA.

Les organisations doivent également examiner minutieusement leurs propres pratiques en matière de mise en œuvre de l'IA. D'autres lois européennes relatives aux technologies restent applicables, de sorte que les organisations qui doivent se conformer au RGPD doivent explorer les moyens d'intégrer la conformité à la loi sur l'IA dans leur flux de travail. Cela est particulièrement important, car de plus en plus de fournisseurs de logiciels intègrent l'IA dans leurs offres.

Gardez à l'esprit qu'il existe plusieurs risques majeurs liés à l'utilisation de l'IA, indépendamment de ce qu'en disent les régulateurs, notamment :

  • Qualité et biais des données – Les algorithmes d'IA ne sont efficaces que dans la mesure où les données qu'ils ingèrent et dont ils tirent des enseignements sont de bonne qualité. Une mauvaise qualité des données peut conduire à des évaluations de risques erronées, tandis que des données biaisées peuvent perpétuer un traitement injuste des fournisseurs ou des tiers.
  • Manque de transparence et de compréhension – Le manque d'informations sur la manière dont les modèles d'IA prennent leurs décisions et sur les données qu'ils utilisent pour obtenir leurs résultats fait souvent de ces algorithmes une « boîte noire ». Méfiez-vous des modèles d'IA qui n'expliquent pas comment ils sont parvenus à une décision.
  • Risques liés à la cybersécurité et à la confidentialité des données – Les systèmes d'IA qui traitent des données sensibles relatives aux risques et aux fournisseurs deviennent des cibles attrayantes pour les cyberattaques et les violations de données. Il est primordial de veiller à ce que ces systèmes soient sécurisés et respectent toutes les lois applicables en matière de confidentialité.
  • Lacunes dans la collaboration entre l'homme et l'IA et dans la supervision – Une dépendance excessive à l'IA sans supervision humaine peut entraîner des erreurs ou des conséquences imprévues qui peuvent passer inaperçues, en particulier pendant la phase d'apprentissage du modèle.
  • Pénurie de talents en IA et déficit de compétences – Peu de personnes possèdent une expérience approfondie des modèles d'IA et d'apprentissage automatique. À mesure que l'IA prendra de l'importance et s'intégrera dans vos opérations ou celles de vos fournisseurs, ce déficit de compétences deviendra de plus en plus prononcé.

Les équipes TPRM auront fort à faire avant l'entrée en vigueur de la loi sur l'IA en 2026. Veiller à ce que les fournisseurs respectent les lois sur la transparence concernant l'intégration de l'IA dans leurs offres est un bon premier pas, mais d'autres directives en matière de conformité seront certainement publiées dans les prochains mois.

Prochaines étapes : apprendre à exploiter et à gérer l'IA en toute sécurité

Les entreprises intègrent rapidement l'IA dans leurs activités, et les gouvernements réagissent. Adopter une approche plus prudente et réfléchie de l'IA dans les opérations et poser des questions aux fournisseurs et prestataires est le choix judicieux pour les gestionnaires de risques tiers.

Pour en savoir plus sur la manière dont Prevalent intègre les technologies d'IA dans sa plateforme de gestion des risques liés aux tiers afin de garantir la transparence, la gouvernance et la sécurité, téléchargez le livre blanc intitulé « Comment exploiter la puissance de l'IA dans la gestion des risques liés aux tiers » ou demandez une démonstration dès aujourd'hui.

 

Note de l'éditeur : cet article a été publié à l'origine sur Prevalent.net. En octobre 2024, Mitratech a fait l'acquisition de la société Prevalent, spécialisée dans la gestion des risques liés aux tiers et basée sur l'IA. Le contenu a depuis été mis à jour pour inclure des informations alignées sur nos offres de produits, les changements réglementaires et la conformité.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.

Responsabiliser. Automatiser. Élever. Mitratech

©2026 Mitratech, Inc. Tous droits réservés.