Umanis (www.umanis.com), leader Français en data, transformation digitale, infrastructure et cloud, travaille d’ores et déjà à la nouvelle règlementation européenne relative à l’IA. Celle-ci devrait voir le jour courant 2022.
Un groupe d’experts missionné par la commission européenne a évalué que la technologie de l’IA même la plus innovante ou itérative ne peut garantir l’absence de faille ou faiblesse. L’utilisation de l’IA est en progression constante dans le quotidien de l’entreprise et de l’usager. Les experts ont constaté l’existence d’une règlementation déjà abondante et pour autant difficile à mettre en place et donc à contrôler. L’IA souvent accompagnée de grands volumes de données personnelles peut porter préjudices aux individus. L’usage de ces outils, peuvent engendrer des discriminations qui selon leurs usages peuvent porter atteinte à différents groupes de personnes : biais de nature sexiste et raciale, prédiction de récidive d'actes délictueux...
La commission européenne suivant les recommandations de ce groupe d’experts, a établi qu’il est essentiel d’instaurer ou réinstaurer la confiance en l’intelligence artificielle sans pour autant freiner son innovation. Le Parlement Européen a décidé de réglementer cette technologie en mettant en place l’AIA (Artificial Intelligence Act) qui vise à harmoniser les règles relatives aux systèmes d’intelligence artificielle.
Les acteurs concernés par l’IAA
Ce règlement définit trois grandes catégories d’acteurs : les fournisseurs, les distributeurs et les utilisateurs établis dans l’Union Européenne ou qui mettent en place un système d’IA sur un territoire de l’UE.
Le fournisseur est l’acteur principal. Il doit proposer et maintenir en exploitation un système d’IA conforme à la règlementation. Il s’y engage par une déclaration sur un registre européen dédié.
Le distributeur et l’utilisateur engagent leur responsabilité respective dès lors qu’ils distribuent ou utilisent un système d’IA non conforme, non enregistré, non documenté…
Les systèmes d’IA concernés par cette règlementation
Tous les systèmes d’IA ne sont pas concernés. Le règlement établit 4 catégories de systèmes d’IA :
Les interdits, les IA à hauts risques, les IA à risques acceptables et les IA à risques minimes. Il appartient aux acteurs de démontrer et documenter que leurs systèmes d’IA appartiennent à une catégorie ou une autre. La première urgence serait de démontrer qu’ils n’appartiennent pas à la première catégorie : les systèmes d’IA interdits. La règlementation s’applique aux systèmes d’IA de seconde catégorie : à hauts risques.
Sa mise en place entraînera plusieurs obligations comme la documentation des usages, l’intégration de dispositifs de cyber sécurité, la certification de la robustesse, être transparent sur les IA utilisées et la mise en place d’un contrôle humain. Ce règlement est directement applicable dans l’ordre juridique des États membres. Il s’impose à tous les sujets de droit : particuliers, personnes morales, États, institutions.
Les sanctions encourues
Le non-respect de ce règlement entrainera des sanctions 24 mois après la date de publication. Les contrevenants encourent une amende jusqu’à 6% de leur chiffre d’affaires annuel mondial ou 30 millions (le plus élevé des 2).
Les fondements de la règlementation
Cette règlementation est fondée sur une approche par le risque. Un rapprochement peut être fait avec le RGPD basé sur une même approche.
Quelques clés de conformité
L’AIA établit 7 principes fondamentaux (point de contrôle de conformité sujet à sanction) :
1) facteur humain et contrôle humain (traçabilité),
2) robustesse technique et sécurité,
3) respect de la vie privée et gouvernance des données,
4) transparence,
5) diversité, non-discrimination et équité,
6) bien-être sociétal et environnemental, et
7) responsabilisation.
« Le législateur européen évalue à 24 mois le temps nécessaire pour se mettre en conformité. Le retour d’expérience de projets de mise en conformité d’autres règlementations contraignantes nous incite à encourager l’anticipation. Umanis souhaite offrir à ses clients un support de haut niveau pour assurer une conformité aux exigences européennes en matière d’IA » déclare Patricia Chémali-Noël, GDPR Practice Manager « Umanis a développé une approche structurée et complète pour apporter de la simplicité et de la fluidité dans les processus métiers de ses clients.
Pour répondre à cette réglementation qui parfois peut paraitre complexe, Umanis a développé une approche suivant plusieurs axes :
La gestion et la réduction des risques
L’entreprise doit identifier, cartographier et qualifier ses systèmes d’IA, gérer, répartir et réduire les risques connus, prévisibles ou susceptibles d’apparaître.
La déclaration du ou des systèmes d’IA
Un registre doit référencer toutes les applications d’IA à hauts risques dont les systèmes d’IA autonomes. L’anticipation permettra de réunir la documentation requise auprès des autres acteurs identifiés en phase précédente.
Tenir un registre
Une documentation de conformité et de gestion des risques doit être tenu à jour. Cette documentation de conformité repose sur une obligation de transparence, la fourniture d’informations aux utilisateurs, la mise en place de contrôle humain de l’IA. Ce document devra en outre fournir la qualité de la robustesse, de l’exactitude et de la sécurité de son système d’IA.
La gestion de la gouvernance de données
L’entreprise doit démontrer que sa gouvernance des données est en adéquation avec les exigences de l’AIA. Afin de garantir le contrôle de l’exactitude des données, de la robustesse du système ainsi que la protection contre les cyber-attaques, l’entreprise doit justifier la mise en place de process efficaces. Enfin, les tests de fiabilité doivent être à la fois pertinents, représentatifs, exempts d’erreurs et complets.
La mise en place d’un processus de notification des incidents
Le fournisseur et l’utilisateur sont dans l’obligation d’informer les autorités nationales compétentes de tout incident ou dysfonctionnement grave qui constituent une violation des obligations en matière de droits fondamentaux des citoyens.
Un groupe d’experts missionné par la commission européenne a évalué que la technologie de l’IA même la plus innovante ou itérative ne peut garantir l’absence de faille ou faiblesse. L’utilisation de l’IA est en progression constante dans le quotidien de l’entreprise et de l’usager. Les experts ont constaté l’existence d’une règlementation déjà abondante et pour autant difficile à mettre en place et donc à contrôler. L’IA souvent accompagnée de grands volumes de données personnelles peut porter préjudices aux individus. L’usage de ces outils, peuvent engendrer des discriminations qui selon leurs usages peuvent porter atteinte à différents groupes de personnes : biais de nature sexiste et raciale, prédiction de récidive d'actes délictueux...
La commission européenne suivant les recommandations de ce groupe d’experts, a établi qu’il est essentiel d’instaurer ou réinstaurer la confiance en l’intelligence artificielle sans pour autant freiner son innovation. Le Parlement Européen a décidé de réglementer cette technologie en mettant en place l’AIA (Artificial Intelligence Act) qui vise à harmoniser les règles relatives aux systèmes d’intelligence artificielle.
Les acteurs concernés par l’IAA
Ce règlement définit trois grandes catégories d’acteurs : les fournisseurs, les distributeurs et les utilisateurs établis dans l’Union Européenne ou qui mettent en place un système d’IA sur un territoire de l’UE.
Le fournisseur est l’acteur principal. Il doit proposer et maintenir en exploitation un système d’IA conforme à la règlementation. Il s’y engage par une déclaration sur un registre européen dédié.
Le distributeur et l’utilisateur engagent leur responsabilité respective dès lors qu’ils distribuent ou utilisent un système d’IA non conforme, non enregistré, non documenté…
Les systèmes d’IA concernés par cette règlementation
Tous les systèmes d’IA ne sont pas concernés. Le règlement établit 4 catégories de systèmes d’IA :
Les interdits, les IA à hauts risques, les IA à risques acceptables et les IA à risques minimes. Il appartient aux acteurs de démontrer et documenter que leurs systèmes d’IA appartiennent à une catégorie ou une autre. La première urgence serait de démontrer qu’ils n’appartiennent pas à la première catégorie : les systèmes d’IA interdits. La règlementation s’applique aux systèmes d’IA de seconde catégorie : à hauts risques.
Sa mise en place entraînera plusieurs obligations comme la documentation des usages, l’intégration de dispositifs de cyber sécurité, la certification de la robustesse, être transparent sur les IA utilisées et la mise en place d’un contrôle humain. Ce règlement est directement applicable dans l’ordre juridique des États membres. Il s’impose à tous les sujets de droit : particuliers, personnes morales, États, institutions.
Les sanctions encourues
Le non-respect de ce règlement entrainera des sanctions 24 mois après la date de publication. Les contrevenants encourent une amende jusqu’à 6% de leur chiffre d’affaires annuel mondial ou 30 millions (le plus élevé des 2).
Les fondements de la règlementation
Cette règlementation est fondée sur une approche par le risque. Un rapprochement peut être fait avec le RGPD basé sur une même approche.
Quelques clés de conformité
L’AIA établit 7 principes fondamentaux (point de contrôle de conformité sujet à sanction) :
1) facteur humain et contrôle humain (traçabilité),
2) robustesse technique et sécurité,
3) respect de la vie privée et gouvernance des données,
4) transparence,
5) diversité, non-discrimination et équité,
6) bien-être sociétal et environnemental, et
7) responsabilisation.
« Le législateur européen évalue à 24 mois le temps nécessaire pour se mettre en conformité. Le retour d’expérience de projets de mise en conformité d’autres règlementations contraignantes nous incite à encourager l’anticipation. Umanis souhaite offrir à ses clients un support de haut niveau pour assurer une conformité aux exigences européennes en matière d’IA » déclare Patricia Chémali-Noël, GDPR Practice Manager « Umanis a développé une approche structurée et complète pour apporter de la simplicité et de la fluidité dans les processus métiers de ses clients.
Pour répondre à cette réglementation qui parfois peut paraitre complexe, Umanis a développé une approche suivant plusieurs axes :
La gestion et la réduction des risques
L’entreprise doit identifier, cartographier et qualifier ses systèmes d’IA, gérer, répartir et réduire les risques connus, prévisibles ou susceptibles d’apparaître.
La déclaration du ou des systèmes d’IA
Un registre doit référencer toutes les applications d’IA à hauts risques dont les systèmes d’IA autonomes. L’anticipation permettra de réunir la documentation requise auprès des autres acteurs identifiés en phase précédente.
Tenir un registre
Une documentation de conformité et de gestion des risques doit être tenu à jour. Cette documentation de conformité repose sur une obligation de transparence, la fourniture d’informations aux utilisateurs, la mise en place de contrôle humain de l’IA. Ce document devra en outre fournir la qualité de la robustesse, de l’exactitude et de la sécurité de son système d’IA.
La gestion de la gouvernance de données
L’entreprise doit démontrer que sa gouvernance des données est en adéquation avec les exigences de l’AIA. Afin de garantir le contrôle de l’exactitude des données, de la robustesse du système ainsi que la protection contre les cyber-attaques, l’entreprise doit justifier la mise en place de process efficaces. Enfin, les tests de fiabilité doivent être à la fois pertinents, représentatifs, exempts d’erreurs et complets.
La mise en place d’un processus de notification des incidents
Le fournisseur et l’utilisateur sont dans l’obligation d’informer les autorités nationales compétentes de tout incident ou dysfonctionnement grave qui constituent une violation des obligations en matière de droits fondamentaux des citoyens.
Autres articles
-
Offre publique d’achat simplifiée : CGI détient désormais 91,54 % du capital d’Umanis
-
Quelles technologies pour une stratégie Big Data réussie en 2020 ?
-
Umanis nomme Pascal Janin Directeur du Développement Europe
-
Umanis lance « Cœur Umanis », son programme de mécénat de compétences
-
Umanis devient partenaire Gold de Cloudera en France
