Le Cigref et Numeum, deux acteurs majeurs du numérique en France, ont publié un guide détaillé visant à accompagner les entreprises et administrations dans l’application du Règlement européen sur l’intelligence artificielle (AI Act). Ce document offre une cartographie des obligations imposées par cette nouvelle réglementation, en fonction des types de systèmes d’IA, des niveaux de risques et des rôles des acteurs impliqués.
Ce guide permet aux organisations d’anticiper leurs obligations et d’adopter une approche proactive pour se conformer à l’AI Act, qui entrera en application progressivement au cours des prochaines années.
L’adoption de l’AI Act marque un tournant dans la régulation de l’intelligence artificielle en Europe. Ce règlement vise à garantir un développement éthique et sécurisé des technologies d’IA, en imposant des règles spécifiques en fonction du niveau de risque des systèmes.
Le guide publié par Numeum et le Cigref a pour but de :
Clarifier les obligations légales pour chaque type d’acteur.
Fournir une cartographie des exigences selon les niveaux de risques définis par l’AI Act.
Proposer des recommandations pratiques pour anticiper la mise en conformité.
L’AI Act repose sur une approche basée sur les risques, classant les systèmes d’intelligence artificielle en quatre catégories :
Certains usages de l’IA sont strictement prohibés, notamment :
La manipulation cognitive inconsciente (par exemple, IA influençant des comportements sans consentement explicite).
La notation sociale par les gouvernements.
L’identification biométrique en temps réel dans l’espace public, sauf exceptions pour des motifs de sécurité.
Ces systèmes ont un impact significatif sur les droits fondamentaux et la sécurité. Ils concernent des domaines comme :
L’éducation : outils d’évaluation des élèves.
L’emploi : systèmes de recrutement automatisés.
La justice : algorithmes d’aide à la décision judiciaire.
La santé : diagnostics assistés par IA.
Les infrastructures critiques : systèmes influant sur la sûreté des citoyens.
Obligations clés : mise en place d’un système de gestion des risques, documentation technique détaillée, transparence et auditabilité.
Ces IA doivent respecter des exigences de transparence, notamment :
Informer les utilisateurs lorsqu’ils interagissent avec un chatbot.
Mentionner l’usage de deepfakes ou de contenus générés par IA.
Ces IA, représentant la majorité des cas d’usage, ne sont pas soumises à des obligations spécifiques au titre de l’AI Act.
L’AI Act impose des obligations différenciées selon la place des organisations dans la chaîne de valeur de l’IA. Le guide de Numeum et du Cigref distingue trois profils principaux :
Assurer la conformité avec les exigences techniques et de gouvernance.
Mettre en place une documentation détaillée et une évaluation des risques.
Garantir la transparence et l’explicabilité des systèmes.
Appliquer des mesures de cybersécurité et de protection des données.
Vérifier que les systèmes d’IA utilisés sont conformes.
Fournir aux utilisateurs des informations claires sur les fonctionnalités et limites de l’IA.
Former les équipes à une utilisation responsable.
Être informés lorsque des décisions sont influencées par une IA.
Pouvoir exercer leurs droits, notamment en matière de RGPD et d’accès aux explications.
Pour aider les organisations à anticiper les obligations du règlement, Numeum et le Cigref recommandent la mise en place d’une gouvernance de l’IA robuste, reposant sur plusieurs piliers :
Identifier les systèmes à haut risque et établir une cartographie des impacts.
Mettre en place des audits réguliers et une surveillance continue.
Documenter précisément les bases de données utilisées et les critères de décision des algorithmes.
Donner aux utilisateurs les moyens de comprendre comment les décisions sont prises.
Assurer une conformité stricte avec le RGPD, notamment sur l’usage des données d’entraînement.
Appliquer des techniques de minimisation et d’anonymisation des données.
Sécuriser les modèles pour éviter les détournements ou manipulations malveillantes.
Définir des mécanismes de réponse en cas d’attaque ou de défaillance.
Le guide souligne l’importance de bien définir les responsabilités contractuelles entre fournisseurs et utilisateurs d’IA. Il recommande de :
Clarifier les obligations de conformité dans les contrats.
Intégrer des clauses spécifiques sur la qualité des données et la traçabilité des décisions.
Anticiper les évolutions réglementaires en suivant les codes de conduite qui seront mis en place.
Le Cigref et Numeum rappellent que le règlement sera appliqué progressivement :
2024 : adoption officielle et phase de préparation.
2025 : mise en place des premières obligations (codes de conduite et gouvernance).
2026-2027 : entrée en vigueur complète pour les systèmes à haut risque.
D’ici là, des ajustements et précisions seront apportés, notamment via la gouvernance nationale et les initiatives de conformité sectorielles.
L’AI Act impose de nouvelles contraintes, mais il représente aussi une opportunité pour structurer une approche éthique et sécurisée de l’intelligence artificielle. Ce guide permet aux entreprises d’anticiper ces évolutions et d’adopter dès aujourd’hui les bonnes pratiques pour une IA responsable.
Cartographier les obligations selon le niveau de risque et le rôle des acteurs.
Renforcer la gouvernance de l’IA en interne.
Anticiper les enjeux contractuels et techniques pour assurer la conformité.
Suivre les évolutions réglementaires et les recommandations nationales.
👉 Un document clé pour toutes les organisations qui développent ou utilisent de l’intelligence artificielle en Europe.
Pour retrouver la première partie du guide en entier, cliquez ici.
Pour retrouver l’intégralité de nos articles sur la protection des données, cliquez ici.