Le 22 janvier 2024, le texte final de la loi européenne sur l'IA (le « AIA ») a été divulgué au public. Il introduit de nombreuses nouvelles obligations pour l'ensemble de l'écosystème de l'IA et avec de lourdes pénalités en cas de non-conformité, il est temps pour les organisations de se mettre au travail.

Ce blog vous guidera à travers certains des éléments clés à considérer pour garantir la conformité de votre organisation.

Les obligations

L'article 16 définit les obligations clés des fournisseurs de systèmes d'IA à haut risque. Le cœur de ces obligations de conformité pour les organisations réside dans l'établissement d'un système de gestion de la qualité, un système de gestion des risques, la préparation et le maintien d'une documentation technique détaillée et la réalisation d'évaluations de conformité. Nous allons décomposer ces exigences à tour de rôle pour fournir des conseils pratiques que les organisations peuvent utiliser pour se mettre à jour sur ce qu'elles doivent faire.

Bien que l'obligation légale de se conformer aux obligations énoncées dans ce blog s'attache principalement à ces systèmes d'IA qui correspondent à la définition de l'UE de haut risque, cela ne signifie pas que les systèmes d'IA qui ne relèvent pas de ces spécifications ne poseront pas également un risque important pour votre entreprise (ou qu'ils pourraient être pris en compte par la définition à mesure qu'ils évoluent). L'AIA encourage les organisations à adopter volontairement l'application de certaines exigences du cadre législatif et de notre point de vue, nous pensons qu'il est logique de le faire pour garantir que toute forme de risque est gérée avec succès.

Qu'est-ce qu'un système de gestion de la qualité selon la loi sur l'IA de l'UE ?

L'une des premières choses que vous pouvez faire sur votre chemin vers la conformité est de mettre en place votre système de gestion de la qualité de l'IA (« QMS »). Le but du QMS est de garantir que votre organisation est bien préparée à gérer les risques que l'IA peut poser. Il est global et doit prendre la forme de politiques, procédures et instructions qui établissent les règles sur la façon dont votre organisation interagit avec l'IA.

Le QMS doit inclure, entre autres, les éléments suivants :

1. une stratégie de conformité réglementaire (et il doit également inclure des plans et des procédures pour gérer les modifications du système d'IA et/ou des réglementations) ;

2. exigences concernant les systèmes de gestion des risques (voir ci-dessous) ;

3. documentation technique détaillée (encore une fois, voir ci-dessous) ;

4. techniques de conception, contrôle et vérification de conception ;

5. procédures de contrôle et d'assurance de la qualité ;

6. systèmes et procédures de gestion des données ; et

7. l'établissement, la mise en œuvre et le maintien d'un système de surveillance post-marché pour garantir que le système d'IA reste conforme à l'AIA tout au long de sa durée de vie.

Comme première étape, vous devriez viser à établir une politique d'IA pour couvrir les points énumérés ci-dessus. Nous avons préparé un guide gratuit et complet sur la façon dont vous pouvez rédiger ces politiques d'IA qui est accessible ici.

‍

‍

Qu'est-ce qu'un système de gestion des risques selon la loi sur l'IA de l'UE ?

Les obligations du QMS exigent que les organisations adoptent un système de gestion des risques (« RMS ») en ce qui concerne leur IA.

Il existe une différence clé mais subtile ici entre le QMS et le RMS – un QMS couvre comment vous gérez le risque et vous conformez aux réglementations à travers votre organisation, tandis qu'un RMS couvre comment vous gérez le risque et vous conformez aux réglementations en ce qui concerne un système d'IA individuel.

Le RMS est un processus continu et itératif qui se déroule tout au long du cycle de vie d'un système d'IA à haut risque et nécessite une révision et une mise à jour systématiques. Il doit inclure les étapes suivantes :

1. identification et analyse des risques raisonnablement prévisibles que le système d'IA peut poser à la santé, la sécurité ou aux droits fondamentaux lorsqu'il est utilisé conformément à son objectif prévu ;

2. une estimation et une évaluation des risques qui peuvent surgir lorsque le système d'IA est utilisé dans des conditions d'utilisation raisonnablement prévisibles mais incorrectes ;

3. évaluation des risques basée sur l'analyse des données recueillies par le système de surveillance post-marché ; et

4. adoption de mesures de gestion des risques appropriées et ciblées conçues pour aborder tous les risques identifiés conformément aux exigences ci-dessus.

En fin de compte, les risques identifiés par le RMS doivent être tels que tout risque résiduel pertinent associé à chaque danger, ainsi que les risques résiduels globaux du système d'IA à haut risque, soient jugés acceptables. Le cas échéant, des mesures de mitigation et de contrôle adéquates doivent être adoptées là où les risques ne peuvent pas être éliminés. Il existe également des exigences supplémentaires concernant les tests et des considérations supplémentaires concernant l'impact du système sur les personnes de moins de 18 ans.

Quelles sont les nouvelles obligations documentaires ?

Les exigences du QMS spécifient également que les organisations doivent établir une documentation technique concernant un système d'IA à haut risque avant que ce système ne soit mis sur le marché. L'annexe IV de la loi énonce les éléments spécifiques que la documentation doit couvrir. En fin de compte, la documentation doit être suffisante pour fournir aux autorités compétentes et aux organismes notifiés les informations nécessaires pour se faire une vue claire et complète de la conformité du système d'IA aux exigences de l'AIA. Cela inclut toute la documentation concernant le QMS et le RMS, et la documentation technique concernant votre système.

Savez-vous que certaines de ces exigences documentaires peuvent être automatisées à l'aide de notre solution de gouvernance de l'IA? Découvrez comment notre fonction de contrôle peut automatiser cela pour vous ici et contactez-nous pour en savoir plus.

‍

Le rôle des normes

Les normes vont jouer un rôle central dans la conformité à l'AIA et chez Enzai, nous commençons déjà à voir le marché se regrouper autour de certains cadres. Le National Institute for Standards in Technology (NIST) a publié leur cadre de gestion des risques liés à l'IA et nous avons travaillé avec un certain nombre d'organisations pour développer des cadres qui répondent à ces exigences. Fin 2023, l'Organisation internationale de normalisation (ISO) et la Commission internationale de l'électronique (IEC) ont introduit leur norme 42001 et nous travaillons également avec des organisations pour la mettre en œuvre. Notez que parce que ces normes n'ont pas encore été adoptées par l'UE, elles ne garantiront pas à elles seules la conformité. L'AIA précise que lorsque les exigences de l'AIA ne sont pas appliquées dans leur intégralité ou ne couvrent pas toutes les exigences pertinentes énoncées dans l'AIA, une organisation doit s'assurer que son QMS intègre toutes les spécifications législatives techniques.

Il y aura un mécanisme par lequel certaines normes pourront être approuvées par l'UE et il y aura une présomption de conformité à l'AIA si une organisation peut démontrer qu'elle respecte ces normes. CEN-CENELEC (le Comité européen de normalisation électrotechnique) a établi le Comité technique commun 21 « Intelligence artificielle » pour préparer un ensemble de normes harmonisées. Bien qu'à la date de rédaction en janvier 2024, il n'y ait pas de date de publication spécifiée pour ces normes (ni pour leur approbation par l'UE), nous nous attendons à voir une date de publication dans la deuxième moitié de l'année compte tenu du rôle important que ces normes joueront dans la conformité à l'AIA.

Qu'est-ce qu'une évaluation de la conformité ?

Une évaluation de la conformité fait exactement ce qu’elle dit – il s'agit d'une évaluation pour déterminer si un système d'IA est conforme à l'AIA. La procédure pour évaluer la conformité dépend de quelques variables. Par exemple, comme mentionné ci-dessus, il y a une présomption de conformité si un système d'IA peut démontrer sa conformité avec un ensemble de normes harmonisées. Pour certains types de systèmes, l'évaluation de la conformité peut être effectuée sur des contrôles internes et pour d'autres, elle impliquera un examen par un organisme notifié extérieur.

Un processus de certification sera également établi et les systèmes approuvés pourront apposer la marque CE sur leurs produits. En outre, la plupart des types de systèmes d'IA à haut risque devront être enregistrés dans une base de données centrale de l'UE avant d'être mis en service.

Certaines de ces mécanismes opérationnels prendront un peu de temps à l'UE pour être établis. Ils arrivent cependant et en établissant votre QMS, vous pouvez vous assurer d'être prêt.

… Ne vous inquiétez pas, nous pouvons vous aider

Toutes ces nouvelles exigences peuvent sembler légèrement accablantes, mais nous sommes là pour vous aider. Notre solution de gouvernance et de gestion des risques de l'IA a été conçue dès le départ pour se conformer à toutes ces obligations dès sa sortie. Notre plateforme logicielle est ce système de gestion de la qualité requis par l'AIA, et notre ensemble de fonctionnalités garantit que vous pouvez déployer un système de gestion des risques pour tous vos systèmes d'IA rapidement et efficacement sans que rien ne passe à travers les mailles du filet. Nous avons conçu le système pour garantir que même lorsque vous travaillez avec des normes qui pourraient ne pas vous rendre totalement conforme, votre QMS sur Enzai sera facile à adopter et aura tout couvert.

Pour en savoir plus sur comment nous pouvons vous aider, n'hésitez pas à nous contacter ici.

‍