La réglementation des technologies d'intelligence artificielle est en cours dans le monde entier, notamment aux États-Unis, au Royaume-Uni, dans l'Union européenne et au Canada. Les organismes de réglementation de ces pays ont proposé ou finalisé des documents mettant l'accent sur des restrictions absolues, un développement consciencieux et des processus d'approbation. Les différents points de vue exprimés dans les différentes zones géographiques créent une mosaïque de réglementations complexes pour les gestionnaires de risques tiers et les professionnels de la cybersécurité qui cherchent à trouver un équilibre entre les gains d'efficacité et le développement responsable.
Dans ce billet, nous examinerons les développements réglementaires en matière d'IA et les déclarations d'intention de personnalités politiques et d'organismes de normalisation aux États-Unis, au Royaume-Uni, dans l'Union européenne et au Canada. En outre, nous examinerons l'impact de chaque réglementation sur le paysage de la gestion des risques des tiers.
L'UE a fait parler d'elle au début du mois de décembre lorsque le Parlement européen est parvenu à un accord sur l'adoption de la loi européenne sur l'IA, qui fait des régulateurs européens les premiers à disposer d'une législation complète régissant l'IA générative et tout autre développement futur de l'IA. Il n'est pas rare que l'Europe soit à la pointe de la réglementation. En 2016, elle a été la première à se doter de règles complètes en matière de confidentialité des données avec le règlement général sur la protection des données (RGPD ). Avec la loi sur l'IA, l'Union européenne poursuit sa tradition de leader mondial en matière de réglementation.
L'Acte sur l'intelligence artificielle de l'Union européenne, officiellement le "Règlement du Parlement européen et du Conseil fixant des règles harmonisées en matière d'intelligence artificielle (Acte sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union", a été proposé à l'origine en 2021.
Les règles de cette loi sont conçues pour :
Le Parlement européen a adopté une approche du règlement basée sur le risque. Il a défini quatre catégories de risques, qu'il a décrites à l'aide d'un modèle pyramidal, comme indiqué ci-dessous.
Source : Commission européenne Commission européenne
Ces quatre niveaux sont définis comme suit :
Les systèmes d'IA à haut risque sont soumis à des règles spécifiques et strictes auxquelles ils doivent se conformer avant de pouvoir être commercialisés. D'après l'exposé de l'UE sur la loi sur l'IA, les systèmes à haut risque suivent ces règles :
Tous les systèmes biométriques à distance, par exemple, sont considérés comme présentant un risque élevé. L'utilisation de la biométrie à distance dans les espaces publics à des fins d'identification (par exemple, la reconnaissance faciale) dans le cadre de l'application de la loi sera interdite en vertu de cette loi.
La loi sur l'IA établit un cadre juridique pour l'examen et l'approbation des applications d'IA à haut risque, dans le but de protéger les droits des citoyens, de minimiser les biais dans les algorithmes et de contrôler les impacts négatifs de l'IA.
Les entreprises situées dans l'UE ou celles qui font des affaires avec des organisations de l'UE doivent être au courant de la législation et s'y conformer après la période de préavis applicable. Compte tenu de la définition élargie de la notion de "risque élevé" dans la loi, il peut être judicieux de poser aux vendeurs et aux fournisseurs des questions plus concrètes sur la manière dont ils utilisent l'IA et sur la façon dont ils respectent les autres réglementations pertinentes.
Les organisations devraient également examiner en profondeur leurs propres pratiques de mise en œuvre de l'IA. D'autres lois européennes sur les technologies s'appliquent toujours, de sorte que les organisations qui doivent se conformer au GDPR devraient explorer les moyens d'intégrer la conformité à la loi sur l'IA dans leur flux de travail également.
Quel sera l'impact de l'IA sur votre programme de TPRM ?
Lisez notre rapport de 16 pages pour découvrir comment l'IA peut réduire les coûts de gestion des risques de tiers, ajouter de l'échelle et permettre une prise de décision plus rapide.
Bien qu'il n'y ait pas de réglementation officielle de l'IA aux États-Unis aujourd'hui, des personnalités politiques majeures et des organismes de normalisation ont publié de nombreuses orientations sous la forme de cadres de gouvernance et de déclarations d'intention. Il s'agit notamment du cadre de gestion des risques liés à l'IA (AI RMF) du National Institute of Standards and Technology (NIST) introduit en janvier 2023, du décret du président Biden sur le développement et l'utilisation sûrs, sécurisés et fiables de l'intelligence artificielle, et du cadre d'innovation SAFE du sénateur Chuck Schumer, qui est conçu pour informer la future législation du Congrès.
Aux États-Unis, les orientations existantes en matière d'IA sont axées sur la promotion d'un développement responsable et la prise en compte des risques commerciaux. Le cadre du NIST illustre cette approche en fournissant une méthodologie pour élaborer une stratégie de gouvernance de l'IA au sein de votre organisation. Le décret du président Biden et le cadre d'innovation SAFE du sénateur Schumer sont des documents d'orientation politique destinés au pouvoir exécutif et au Congrès, qui débattent de lois destinées à régir le développement de l'IA.
Le cadre de l'IA du NIST fournit des conseils sur la manière d'élaborer une stratégie de gouvernance de l'IA dans votre organisation. Le RMF est divisé en deux parties. La première partie présente une vue d'ensemble des risques et des caractéristiques de ce que le NIST appelle les "systèmes d'IA dignes de confiance". La partie 2 décrit quatre fonctions pour aider les organisations à faire face aux risques des systèmes d'IA : Gouverner, Cartographier, Mesurer et Gérer. L'illustration ci-dessous passe en revue les quatre fonctions.
Les fonctions du cadre de gestion des risques liés à l'IA. Avec l'aimable autorisation du NIST
Les organisations doivent prendre en compte les principes de gestion des risques afin de minimiser les effets négatifs potentiels des systèmes d'IA, tels que les hallucinations, la confidentialité des données et les menaces pour les droits civils. Cette considération s'étend également à l'utilisation de systèmes d'IA de tiers ou à l'utilisation de systèmes d'IA par des tiers. Les risques potentiels d'une mauvaise utilisation de l'IA par des tiers sont les suivants :
Selon le NIST, le RMF aidera les organisations à surmonter ces risques potentiels.
Le président Biden a publié son décret sur le développement de l'IA à la fin du mois d'octobre 2023. L'objectif de ce décret est de définir des orientations sur ce que M. Biden appelle le développement et l'utilisation responsables de l'IA, ainsi que d'exposer les principes spécifiques que le pouvoir exécutif - et idéalement l'ensemble du gouvernement fédéral des États-Unis - appliquera pour garantir un développement responsable.
M. Biden souligne huit principes directeurs et priorités dans le décret destiné à guider le développement de l'IA. Dans le tableau suivant, nous décrivons les principes directeurs et ce qu'ils pourraient signifier pour votre programme de TPRM.
Principe directeur |
Ce que dit le ME à ce sujet |
Ce que cela signifie pour vous |
L'intelligence artificielle doit être sûre et sécurisée. |
Le président Biden souhaite mettre en place des garde-fous autour du développement de l'IA, afin de s'assurer que les produits développés à l'aide de cette technologie sont résistants aux attaques, peuvent être facilement évalués et sont aussi sûrs que possible à utiliser. |
Le gouvernement fédéral devrait fournir davantage de conseils sur la manière d'utiliser l'IA dans vos produits et sur ce qu'il faut rechercher dans l'utilisation de l'IA dans les travaux de vos fournisseurs. Dans l'intervalle, le RMF AI du NIST peut servir de guide. |
La promotion d'une innovation, d'une concurrence et d'une collaboration responsables permettra aux États-Unis d'être à la pointe de l'IA et de libérer le potentiel de la technologie pour résoudre certains des défis les plus difficiles de la société. |
M. Biden a l'intention d'investir dans l'éducation, la formation et la recherche en matière d'IA afin de donner aux États-Unis une longueur d'avance dans la course mondiale à l'armement en matière d'IA. L'objectif est également d'encourager la concurrence, afin que les grandes entreprises aux poches bien garnies ne s'emparent pas du marché. |
À l'avenir, un grand nombre de petits éditeurs de logiciels et de fournisseurs pourraient tirer parti des outils d'IA. Sachez quelles entreprises de votre chaîne d'approvisionnement intègrent des capacités d'IA et préparez-vous à les évaluer en conséquence. |
Le développement et l'utilisation responsables de l'IA requièrent un engagement à soutenir les travailleurs américains. |
L'administration Biden veut s'assurer que les outils d'IA n'entraînent pas un chômage généralisé ou des difficultés sur le marché du travail. |
Commencez à élargir vos examens des risques liés à l'IA au-delà de la cybersécurité et de la confidentialité des données. Il s'agit notamment d'examiner comment l'IA est utilisée dans les pratiques d'embauche ou d'autres opérations quotidiennes telles que le support client et la gestion des stocks. L'IA aura probablement un impact sociétal important. Dans le cadre de votre suivi ESG, vous devez comprendre comment les fournisseurs utilisent la technologie aujourd'hui et comment ils ont l'intention de l'utiliser à l'avenir. |
Les politiques en matière d'intelligence artificielle doivent être cohérentes avec l'engagement de l'administration Biden à faire progresser l'équité et les droits civils. |
Ce principe directeur vise à prévenir les préjugés dans les algorithmes d'IA et à s'assurer que les organisations n'utilisent pas l'IA pour désavantager davantage les groupes historiquement sous-représentés. |
L'IA deviendra bientôt une préoccupation ESG encore plus importante. Il faut s'attendre à ce que les questions sur l'utilisation de l'IA se concentrent sur l'aspect non technique de la gestion des risques des tiers au cours de l'année à venir. Veillez à ce que votre programme de gestion des risques des tiers comprenne une bibliothèque de contenus d'évaluation actualisés afin de recueillir ces informations importantes auprès des vendeurs et des fournisseurs. |
Les intérêts des Américains qui, de plus en plus, utilisent, interagissent ou achètent des produits d'IA et des produits compatibles avec l'IA dans leur vie quotidienne doivent être protégés. |
Le gouvernement fédéral prévoit de renforcer les protections des consommateurs contre l'utilisation de la technologie de l'IA. Il prévoit également d'examiner de nouvelles réglementations potentielles pour cette technologie. |
Examinez attentivement la manière dont vos fournisseurs entendent utiliser l'IA dans leurs activités. Les réglementations fédérales actuelles s'appliquent toujours à ce secteur technologique en pleine croissance, et vous devriez demander à vos fournisseurs quels sont leurs plans concernant les éventuels problèmes de conformité à venir - y compris la confidentialité des données. |
La vie privée et les libertés civiles des Américains doivent être protégées à mesure que l'IA progresse. |
L'administration Biden souhaite mettre l'accent sur la confidentialité des données. Cela est d'autant plus pertinent que l'IA peut être très puissante pour extraire des données personnelles. |
Portez une attention stricte à la manière dont vos fournisseurs se conforment aux lois sur la confidentialité des données. Les grands modèles de langage et autres outils d'IA pourraient devenir des risques pour la vie privée s'ils ne sont pas correctement régis. |
Il est important de gérer les risques liés à l'utilisation de l'IA par le gouvernement fédéral lui-même et d'accroître sa capacité interne à réglementer, gouverner et soutenir l'utilisation responsable de l'IA afin d'obtenir de meilleurs résultats pour les Américains. |
Ce principe consiste à s'assurer que le gouvernement fédéral dispose dans ses rangs de professionnels compétents en matière d'IA. M. Biden indique qu'il a l'intention de mettre l'accent sur la formation du personnel fédéral à la technologie de l'IA. |
Si vous travaillez avec des fournisseurs fédéraux ou si vous êtes vous-même un fournisseur fédéral, sachez que le gouvernement va s'attacher à améliorer les compétences de son personnel en matière d'IA. |
Le gouvernement fédéral devrait montrer la voie du progrès sociétal, économique et technologique à l'échelle mondiale, comme l'ont fait les États-Unis lors des précédentes périodes d'innovation et de changement perturbateurs. |
L'administration Biden prévoit de collaborer avec l'industrie et les alliés internationaux pour élaborer un "cadre permettant de gérer les risques liés à l'IA, de libérer le potentiel bénéfique de l'IA et de promouvoir des approches communes face à des défis partagés". |
Il faut s'attendre à ce que le gouvernement fédéral produise davantage de documents sur la gestion des risques liés à l'IA. Comme indiqué plus haut, le RMF AI du NIST doit être considéré comme un guide. |
Le décret est surtout important pour les entrepreneurs fédéraux et les entreprises qui les approvisionnent. Ce qu'il faut retenir ici, c'est que le président Biden aborde les défis de l'utilisation de l'IA de manière plus générale. Cela pourrait être le signe d'un intérêt futur pour la technologie également.
Pour ne pas être en reste, le sénateur Chuck Schumer (D-NY) a dévoilé en juin 2023 ce qu'il a appelé le "cadre d'innovation SAFE" pour l'intelligence artificielle. Ce cadre vise à établir une réponse politique à l'inévitable législation et aux orientations réglementaires concernant la technologie de l'IA. Le mot SAFE dans le nom du cadre signifie :
Ce qui ressort clairement de ce cadre, c'est l'intention du Sénat américain d'envisager plus concrètement la réglementation de la technologie de l'IA au niveau fédéral. Cela sort du cadre du décret pris par le président Biden et pourrait influencer la législation future.
Au Royaume-Uni, Lord Holmes of Richmond a présenté un projet de loi sur la réglementation de l'IA à la Chambre des Lords. Il s'agit du deuxième projet de loi présenté au Parlement visant à réglementer l'utilisation de l'intelligence artificielle au Royaume-Uni. Le projet de loi initial, portant à la fois sur l'IA et les droits des travailleurs, a été présenté à la Chambre des communes vers la fin de la session législative de 2022 à 2023, mais a été abandonné en mai 2023 en raison de la fin de la session.
Ce nouveau projet de loi sur l'IA, présenté en novembre 2023, a une portée plus large. Lord Holmes a introduit le règlement pour mettre des garde-fous autour du développement de l'IA et définir qui serait responsable de la définition des futures restrictions législatives sur l'IA au Royaume-Uni.
Le projet de loi, qui a été examiné en première lecture par la Chambre des Lords le 22 novembre 2023, présente quelques caractéristiques essentielles. Il s'agit notamment de
Cette proposition de règlement en est encore aux premières phases de négociation. Elle pourrait prendre une forme très différente après la deuxième lecture à la Chambre des Lords, suivie d'une lecture ultérieure à la Chambre des Communes.
En fonction de la partie du projet de loi qui survivra au processus législatif, il pourrait avoir un impact substantiel sur la façon dont l'IA est utilisée au Royaume-Uni, sur la façon dont les modèles sont formés et sur la transparence du processus plus large de collecte de données. Chacun de ces domaines a un impact direct sur l'utilisation des technologies d'IA par les vendeurs ou fournisseurs tiers.
En juin 2022, le gouvernement du Canada a entamé l'examen de la Loi sur l'intelligence artificielle et les données (AIDA) dans le cadre du projet de loi C-27, la Loi de mise en œuvre de la Charte numérique, 2022. Le projet de loi C-27, plus vaste, est conçu pour moderniser les lois existantes sur la protection de la vie privée et le numérique et comprend trois sous-lois différentes : la Loi sur la protection de la vie privée des consommateurs, la Loi sur l'intelligence artificielle et les données et la Loi sur le Tribunal de la protection des renseignements personnels et des données.
L'objectif principal de l'ACRA est de rendre plus cohérente la réglementation en matière d'IA dans l'ensemble du Canada. Quelques lacunes réglementaires ont été identifiées dans le document d'accompagnement de la loi :
La loi est actuellement en cours de discussion et le gouvernement canadien prévoit qu'il faudra environ deux ans pour qu'elle soit adoptée et mise en œuvre. Le document d'accompagnement de l'ACRA identifie six principes fondamentaux, présentés dans le tableau ci-dessous :
Principe directeur |
Comment AIDA le décrit |
Ce que cela pourrait signifier pour le TPRM |
Supervision et suivi humain |
La surveillance humaine signifie que les systèmes d'IA à fort impact doivent être conçus et développés pour permettre aux personnes qui gèrent les opérations du système d'exercer une surveillance significative. Cela implique un niveau d'interprétabilité adapté au contexte. Le contrôle, par la mesure et l'évaluation des systèmes d'IA à fort impact et de leurs résultats, est essentiel pour soutenir une surveillance humaine efficace. |
Les vendeurs et les fournisseurs doivent mettre en place des méthodes facilement mesurables pour contrôler l'utilisation de l'IA dans leurs produits et leurs flux de travail. Suite à l'adoption potentielle de l'ACRA, les organisations devront comprendre comment leurs tiers contrôlent l'utilisation de l'IA et intègrent l'IA dans leurs politiques plus larges de gouvernance et de surveillance. Un autre moyen d'assurer une supervision et un contrôle humains plus approfondis consiste à intégrer des examens humains dans les flux de travail des rapports afin de vérifier l'exactitude et la partialité. |
Transparence |
La transparence consiste à fournir au public des informations appropriées sur la manière dont les systèmes d'IA à fort impact sont utilisés. Les informations fournies doivent être suffisantes pour permettre au public de comprendre les capacités, les limites et les impacts potentiels des systèmes. |
Les organisations devraient demander à leurs vendeurs et fournisseurs comment ils utilisent l'IA et quel type de données est inclus dans les modèles. Il convient également d'être attentif à la manière dont ces données sont intégrées. |
Justice et équité |
La justice et l'équité impliquent de construire des systèmes d'IA à fort impact en étant conscient du risque de résultats discriminatoires. Des mesures appropriées doivent être prises pour atténuer les conséquences discriminatoires pour les individus et les groupes. |
Les organisations devraient s'enquérir de la manière dont les tiers contrôlent les biais potentiels dans leur utilisation de l'IA. Il pourrait y avoir un impact supplémentaire en termes de nouvelles réglementations ESG nettes. |
Sécurité |
La sécurité signifie que les systèmes d'IA à fort impact doivent être évalués de manière proactive afin d'identifier les dommages qui pourraient résulter de l'utilisation du système, y compris en cas de mauvaise utilisation raisonnablement prévisible. Des mesures doivent être prises pour atténuer le risque de préjudice. |
L'ACRA pourrait introduire de nouvelles réglementations concernant l'utilisation des données dans le contexte de l'IA. Attendez-vous à de nouvelles exigences en matière de sécurité pour les outils d'IA et assurez-vous que les fournisseurs actuels et potentiels répondent aux questions sur la sécurité de leur utilisation de l'IA - y compris les contrôles de base tels que la sécurité des données, la gestion des actifs et la gestion des identités et des accès. |
Responsabilité |
La responsabilisation signifie que les organisations doivent mettre en place les mécanismes de gouvernance nécessaires pour garantir le respect de toutes les obligations légales des systèmes d'IA à fort impact dans le contexte dans lequel ils seront utilisés. Cela comprend la documentation proactive des politiques, des processus et des mesures mises en œuvre. |
De nouvelles réglementations sont probables, ce qui incitera les entreprises à se renseigner auprès de tiers sur le respect des nouvelles exigences en matière de rapports et de mandats. |
Validité et robustesse |
La validité signifie qu'un système d'IA à fort impact fonctionne de manière cohérente avec les objectifs visés. La robustesse signifie qu'un système d'IA à fort impact est stable et résilient dans diverses circonstances. |
Les organisations devraient interroger leurs tiers sur les éventuels problèmes de validité des modèles d'IA dans leurs opérations, une préoccupation qui peut concerner les fournisseurs de technologie et potentiellement s'étendre à la chaîne d'approvisionnement physique. |
En fin de compte, le gouvernement canadien se penche sérieusement sur la manière de réglementer l'utilisation de l'IA à l'échelle nationale. Il y aura de nouveaux mandats et de nouvelles lois à respecter quoi qu'il arrive. Il est donc logique que les entreprises qui font des affaires au Canada ou qui travaillent avec des entreprises canadiennes comprennent les exigences à venir au fur et à mesure que l'ACRA se rapproche de son adoption.
Les gouvernements du monde entier débattent activement de la manière de réglementer la technologie de l'intelligence artificielle et son développement. Les discussions sur la réglementation se sont jusqu'à présent concentrées sur des cas d'utilisation spécifiques identifiés comme étant potentiellement les plus impactants au niveau sociétal, suggérant que les lois sur l'IA se concentreront sur une combinaison de préoccupations relatives à la vie privée, à la sécurité et à l'ESG.
Les 12 à 18 prochains mois devraient offrir plus de clarté sur la façon dont les organisations du monde entier doivent adapter leurs programmes de gestion des risques de tiers à la technologie de l'IA. Les entreprises intègrent rapidement l'IA dans leurs opérations, et les gouvernements réagiront en conséquence. À ce stade, adopter une approche plus prudente et réfléchie de l'IA dans les opérations et poser des questions aux vendeurs et aux fournisseurs est le bon choix pour les gestionnaires de risques tiers.
Pour en savoir plus sur la façon dont Prevalent intègre les technologies d'IA dans notre plateforme de gestion des risques des tiers afin de garantir la transparence, la gouvernance et la sécurité, téléchargez le livre blanc Comment exploiter la puissance de l'IA dans la gestion des risques des tiers, ou demandez une démonstration dès aujourd'hui.
Prevalent continue de donner le ton en matière de gestion des risques de tiers grâce à des améliorations axées sur le client qui simplifient la...
06/12/2024
L’Union européenne a approuvé aujourd’hui une réglementation radicale en matière d’IA, qui devrait entrer en vigueur en 2026. Ici...
03/13/2024
Notre toute nouvelle capacité d'IA dote les clients de conseils et d'un contexte inégalés pour la gestion de leurs risques tiers.
10/17/2023