Le 22 janvier 2024, le texte final de l’AI Act de l’Union européenne (la « AIA ») a été divulgué au public. Il introduit de nombreuses nouvelles obligations pour l’ensemble de l’écosystème de l’IA et, avec de lourdes sanctions en cas de non-conformité, il est temps pour les organisations de passer à l’action.

Ce blog vous guidera à travers certains des points clés à prendre en compte afin de garantir la conformité de votre organisation.

Les obligations

L’article 16 énonce les principales obligations des fournisseurs de systèmes d’IA à haut risque. L’essentiel de ces obligations de conformité pour les organisations réside dans l’établissement d’un système de management de la qualité, d’un système de gestion des risques, dans la préparation et la tenue d’une documentation technique détaillée, ainsi que dans la réalisation d’évaluations de conformité. Nous allons examiner ces exigences successivement afin de fournir des conseils pratiques que les organisations peuvent utiliser pour se mettre rapidement au niveau attendu.

Bien que l’obligation juridique de se conformer aux exigences exposées dans ce blog s’applique principalement aux systèmes d’IA entrant dans la définition de « haut risque » de l’UE, cela ne signifie pas que les systèmes d’IA qui ne relèvent pas de ces spécifications ne présenteront pas également un risque substantiel pour votre entreprise (ou qu’ils ne pourront pas ultérieurement être concernés par cette définition à mesure qu’ils évoluent). L’AIA encourage les organisations à adopter volontairement certaines exigences spécifiques du cadre législatif et, de notre point de vue, il est judicieux de le faire afin de garantir que toutes les formes de risque soient efficacement maîtrisées.

Qu’est-ce qu’un système de management de la qualité au titre de l’AI Act de l’UE ?

L’une des premières étapes de votre parcours vers la conformité consiste à mettre en place votre système de management de la qualité de l’IA (« QMS »). Le rôle du QMS est de garantir que votre organisation est bien préparée à gérer les risques que l’IA peut présenter. Il est global et doit prendre la forme de politiques, de procédures et d’instructions établissant les règles régissant les interactions de votre organisation avec l’IA.

Le QMS doit notamment comprendre les éléments suivants :

1. une stratégie de conformité réglementaire (et, point crucial, elle doit également inclure des plans et des procédures pour gérer les modifications apportées au système d’IA et/ou à la réglementation) ;

2. des exigences relatives aux systèmes de gestion des risques (voir ci-dessous) ;

3. une documentation technique détaillée (voir également ci-dessous) ;

4. des techniques de conception, de contrôle de la conception et de vérification de la conception ;

5. des procédures de contrôle qualité et d’assurance qualité ;

6. des systèmes et procédures relatifs à la gestion des données ; et

7. la mise en place, la mise en œuvre et la maintenance d’un système de surveillance après commercialisation afin de garantir que le système d’IA demeure conforme à l’AIA tout au long de sa durée de vie.

Dans un premier temps, vous devriez chercher à établir une politique d’IA pour couvrir les points énumérés ci-dessus. Nous avons préparé un guide gratuit et complet sur la manière de rédiger ces politiques d’IA, accessible ici.

‍

‍

Qu’est-ce qu’un système de gestion des risques au titre de l’AI Act de l’UE ?

Les obligations du QMS exigent que les organisations adoptent un système de gestion des risques (« RMS ») en ce qui concerne leur IA.

Il existe ici une différence clé, mais subtile, entre le QMS et le RMS : un QMS couvre la manière dont vous gérez le risque et vous conformez à la réglementation dans l’ensemble de votre organisation, tandis qu’un RMS couvre la manière dont vous gérez le risque et vous conformez à la réglementation pour un système d’IA donné.

Le RMS est un processus continu et itératif qui s’applique tout au long du cycle de vie d’un système d’IA à haut risque et qui nécessite une révision et une mise à jour systématiques. Il doit comprendre les étapes suivantes :

1. l’identification et l’analyse des risques raisonnablement prévisibles que le système d’IA peut présenter pour la santé, la sécurité ou les droits fondamentaux lorsqu’il est utilisé conformément à sa finalité prévue ;

2. une estimation et une évaluation des risques susceptibles d’apparaître lorsque le système d’IA est utilisé dans des conditions d’utilisation détournée raisonnablement prévisible ;

3. l’évaluation des risques sur la base de l’analyse des données recueillies par le système de surveillance après commercialisation ; et

4. l’adoption de mesures de gestion des risques appropriées et ciblées, conçues pour traiter l’ensemble des risques identifiés conformément aux exigences ci-dessus.

En définitive, les risques identifiés au moyen du RMS doivent être tels que tout risque résiduel pertinent associé à chaque danger, ainsi que les risques résiduels globaux du système d’IA à haut risque, soient jugés acceptables. Le cas échéant, des mesures adéquates d’atténuation et de contrôle devraient être adoptées lorsque les risques ne peuvent être éliminés. Des exigences supplémentaires s’appliquent également aux essais, ainsi qu’à l’impact du système sur les personnes de moins de 18 ans.

Quelles sont les nouvelles obligations en matière de documentation ?

Les exigences du QMS précisent également que les organisations doivent établir une documentation technique relative à un système d’IA à haut risque avant la mise sur le marché de ce système. L’annexe IV de l’acte énonce les éléments spécifiques que cette documentation doit couvrir. En définitive, la documentation doit être suffisante pour fournir aux autorités compétentes et aux organismes notifiés les informations nécessaires pour leur permettre d’obtenir une vision claire et exhaustive de la conformité du système d’IA aux exigences de l’AIA.  Cela comprend toute la documentation relative au QMS et au RMS, ainsi que la documentation technique propre à votre système.

Saviez-vous que certaines de ces exigences en matière de documentation peuvent être automatisées grâce à notre solution de gouvernance de l’IA ? Découvrez comment notre fonctionnalité de contrôles peut l’automatiser pour vous ici et contactez-nous pour en savoir plus.

‍

Le rôle des normes

Les normes joueront un rôle central dans la conformité à l’AIA et, chez Enzai, nous commençons déjà à observer une convergence du marché autour de certains cadres. Le National Institute for Standards in Technology (NIST) a publié son cadre de gestion des risques liés à l’IA et nous avons travaillé avec un certain nombre d’organisations pour élaborer des cadres conformes à ces exigences. Fin 2023, l’Organisation internationale de normalisation (ISO) et la Commission électrotechnique internationale (IEC) ont introduit leur norme 42001 et nous travaillons également avec des organisations à sa mise en œuvre. Notez que, ces normes n’ayant pas encore été adoptées par l’UE, elles ne garantissent pas à elles seules la conformité. L’AIA précise que lorsque les exigences de l’AIA ne sont pas appliquées dans leur intégralité, ou ne couvrent pas toutes les exigences pertinentes énoncées dans l’AIA, une organisation doit veiller à ce que son QMS intègre l’ensemble des spécifications techniques législatives.

Un mécanisme permettra d’approuver certaines normes par l’UE, et il existera une présomption de conformité à l’AIA si une organisation peut démontrer qu’elle respecte ces normes. Le CEN-CENELEC (le Comité européen de normalisation électrotechnique) a créé le comité technique mixte 21 « Intelligence artificielle » afin de préparer un ensemble de normes harmonisées. Bien qu’à la date de rédaction, en janvier 2024, aucune date de publication de ces normes ne soit précisée (ni de leur approbation par l’UE), nous prévoyons une date de publication au second semestre de l’année, compte tenu du rôle important que ces normes joueront dans la conformité à l’AIA.

Qu’est-ce qu’une évaluation de conformité ?

Une évaluation de conformité porte parfaitement son nom : il s’agit d’une évaluation visant à déterminer si un système d’IA est ou non conforme à l’AIA. La procédure d’évaluation de conformité dépend de quelques variables. Par exemple, comme indiqué ci-dessus, il existe une présomption de conformité si un système d’IA peut démontrer sa conformité à un ensemble de normes harmonisées. Pour certains types de systèmes, l’évaluation de conformité peut être effectuée sur la base de contrôles internes et, pour d’autres, elle impliquera un examen par un organisme notifié externe.

Un processus de certification sera également mis en place et les systèmes approuvés pourront apposer le marquage CE sur leurs produits. En outre, la plupart des types de systèmes d’IA à haut risque devront être enregistrés dans une base de données centrale de l’UE avant leur mise en service.

Certains de ces mécanismes opérationnels prendront un peu de temps à l’UE pour être mis en place. Ils arrivent toutefois, et en mettant en place votre QMS, vous pouvez vous assurer d’être prêt.

… N’ayez crainte, nous pouvons vous aider

L’ensemble de ces nouvelles exigences peut sembler légèrement écrasant, mais nous sommes là pour vous aider. Notre solution de gouvernance et de gestion des risques liés à l’IA a été conçue dès l’origine pour être conforme à l’ensemble de ces obligations, prête à l’emploi. Notre plateforme logicielle constitue le système de management de la qualité requis au titre de l’AIA, et notre ensemble de fonctionnalités vous permet de déployer rapidement et efficacement un système de gestion des risques pour l’ensemble de vos systèmes d’IA, sans rien laisser de côté. Nous avons conçu le système de manière à garantir que, même lorsque vous travaillez avec des normes qui pourraient ne pas vous rendre pleinement conforme, votre QMS sur Enzai sera facile à adopter et couvrira l’ensemble des besoins.

Pour en savoir plus sur la manière dont nous pouvons vous aider, n’hésitez pas à nous contacter ici.

‍

Enzai est la principale plateforme de gouvernance de l’IA pour les entreprises, conçue spécialement pour aider les organisations à passer d’une politique abstraite à une supervision opérationnelle. Notre plateforme de gestion des risques liés à l’IA fournit l’infrastructure spécialisée nécessaire pour gérer la gouvernance de l’IA agentique, maintenir un inventaire complet de l’IA, et garantir la conformité à l’AI Act de l’UE. En automatisant des flux de travail complexes, Enzai permet aux entreprises d’accélérer l’adoption de l’IA en toute confiance tout en maintenant leur alignement sur des normes mondiales comme ISO 42001 et NIST.