La loi sur l’intelligence artificielle de l’Union européenne et son impact sur la gestion des risques liés à la gestion des risques liés à la protection des données

Le Parlement européen a adopté aujourd'hui l'un des premiers règlements régissant la technologie de l'intelligence artificielle (IA) et ses applications dans le monde. Le "Règlement du Parlement européen et du Conseil fixant des règles harmonisées en matière d'intelligence artificielle (Acte sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union" de l'Union européenne a fait les gros titres en 2021 lorsqu'il a été proposé à l'origine - et pas seulement en raison de son long nom.

Aujourd'hui, trois ans plus tard, il a été approuvé par le Parlement européen. Il devrait entrer en vigueur à la fin de la session législative en mai 2024, et deviendra pleinement applicable 24 mois après sa publication au journal officiel. Cette nouvelle réglementation aura probablement un impact transformateur sur votre programme de gestion des risques liés aux tiers, en particulier pour les entreprises basées dans d'autres pays qui souhaitent faire des affaires en Europe.

Ce blog se penche en profondeur sur la loi sur l'IA et donne un aperçu de ce qu'elle signifie pour votre programme de TPRM à l'avenir.

Qu'est-ce que la loi européenne sur l'IA ?

La loi européenne sur l'IA est conçue pour offrir un cadre de gouvernance et de conformité pour l'IA au sein de l'Union européenne. En fin de compte, l'objectif est d'établir des garde-fous sur la manière dont l'IA peut être utilisée dans l'UE et sur la responsabilité des entreprises exerçant des activités en Europe qui souhaitent créer un outil d'IA ou appliquer l'IA à leur technologie existante.

Les règles de la loi sur l'IA sont conçues pour :

• Traiter les risques spécifiquement créés par les applications de l'IA ;
• Proposer une liste d'applications à haut risque ;
• Définir des exigences claires pour les systèmes d'IA destinés à des applications à haut risque ;
• Définir des obligations spécifiques pour les utilisateurs d'IA et les fournisseurs d'applications à haut risque ;
• Proposer une évaluation de la conformité avant que le système d'IA ne soit mis en service ou mis sur le marché ;
• Proposer des mesures d'exécution après la mise sur le marché d'un tel système d'intelligence artificielle ;
• Proposer une structure de gouvernance aux niveaux européen et national.

La loi définit des cas d'utilisation spécifiques qui sont interdits et/ou très réglementés en Europe lorsque le règlement entrera en vigueur. Il s'agit notamment des cas suivants

• Systèmes de catégorisation biométrique basés sur des caractéristiques sensibles
• Récupération non ciblée d'images faciales sur l'internet ou de séquences de vidéosurveillance pour les bases de données de reconnaissance faciale
• Reconnaissance des émotions sur le lieu de travail et dans les écoles
• Notation sociale
• La police prédictive se fonde uniquement sur le profilage d'une personne ou l'évaluation de ses caractéristiques.
• L'IA qui manipule le comportement humain ou exploite les vulnérabilités des personnes

Il existe des exceptions pour l'utilisation par les forces de l'ordre de l'identification biométrique en temps réel, mais elles sont strictement limitées dans le temps et dans l'espace. Les forces de l'ordre doivent obtenir une autorisation judiciaire avant d'utiliser ces systèmes, et lorsqu'elles souhaitent utiliser ces systèmes biométriques après coup également.

Comment la loi européenne sur l'IA régit-elle l'intelligence artificielle ?

L'Union européenne a adopté une approche fondée sur le risque pour élaborer sa législation. Cette approche s'est traduite par la définition de quatre catégories de risques distinctes, comme le montre la pyramide ci-dessous.

Source : Commission européenne Commission européenne

Ces catégories de risques sont expliquées comme suit :

• Risque inacceptable - Ce niveau concerne les systèmes d'IA que l'UE considère comme une menace claire pour la sécurité, les moyens de subsistance et les droits des citoyens de l'UE.
• Risque élevé - Les systèmes d'IA à risque élevé sont ceux qui peuvent fonctionner dans des cas d'utilisation cruciaux pour la société. Il peut s'agir de l'IA utilisée dans l'accès à l'éducation, les pratiques d'emploi, l'application de la loi, le contrôle des frontières et l'immigration, les infrastructures critiques, l'accès à l'éducation et d'autres situations où les droits d'une personne pourraient être enfreints. Nombre de ces systèmes devront être enregistrés dans une base de données de l'UE.
• Risque limité - Cette catégorie concerne les applications d'IA dont l'impact global est limité. Pensez à un chatbot d'IA sur un site web.
• Risque minimal - Également appelés "sans risque", ces systèmes d'IA sont utilisés dans des médias tels que les jeux vidéo ou les filtres anti-spam des courriers électroniques dotés d'une IA. Il semble qu'il s'agisse là de l'essentiel de l'IA utilisée dans l'UE aujourd'hui.

Risque inacceptable

Les applications d'IA définies comme présentant un risque inacceptable sont interdites d'utilisation dans l'ensemble de l'Union européenne. Ces types de systèmes sont les suivants

• Manipulation de personnes ou de groupes vulnérables spécifiques, comme les jouets à commande vocale mentionnés précédemment, qui encouragent les comportements dangereux chez les enfants.
• Cotation sociale : classification des personnes sur la base de leur comportement, de leur statut socio-économique ou de leurs caractéristiques personnelles.
• Identification biométrique et catégorisation des personnes.
• Systèmes d'identification biométrique en temps réel et à distance, tels que la reconnaissance faciale.

Risque élevé

En revanche, les systèmes d'IA à haut risque sont soumis à des règles spécifiques et strictes auxquelles ils doivent se conformer avant de pouvoir être commercialisés. Ces règles obligent les systèmes à haut risque à inclure :

• Des systèmes adéquats d'évaluation et d'atténuation des risques ;
• Haute qualité des ensembles de données alimentant le système afin de minimiser les risques et les résultats discriminatoires ;
• Enregistrement des activités pour assurer la traçabilité des résultats ;
• Documentation détaillée fournissant toutes les informations nécessaires sur le système et sa finalité pour que les autorités puissent évaluer sa conformité ;
• Des informations claires et adéquates pour l'utilisateur ;
• Des mesures de surveillance humaine appropriées pour minimiser les risques ;
• Niveau élevé de robustesse, de sécurité et de précision.

La loi sur l'IA établit un cadre juridique pour l'examen et l'approbation des applications d'IA à haut risque, dans le but de protéger les droits des citoyens, de minimiser les biais dans les algorithmes et de contrôler les impacts négatifs de l'IA. L'objectif est d'appliquer la gouvernance au développement de l'IA et de veiller à ce que les droits des citoyens européens soient protégés tout en permettant la poursuite du développement.

L'UE attire également l'attention sur l'IA générative à usage général, telle que ChatGPT, qui devrait se conformer à des exigences de transparence :

• Révéler que le contenu a été généré par l'IA
• Concevoir le modèle pour éviter qu'il ne génère des contenus illégaux
• Publication de résumés de données protégées par le droit d'auteur utilisées pour la formation

L'IA généraliste à fort impact comme ChatGPT-4 doit faire l'objet d'une évaluation approfondie et tout incident doit être signalé.

Risque limité

En revanche, les systèmes à risque limité doivent se conformer à des exigences de transparence qui permettent aux utilisateurs de prendre des décisions éclairées. Le chatbot d'un site web en est un exemple. Les utilisateurs doivent être informés qu'ils utilisent un système d'IA et avoir la possibilité de s'y opposer.

Que signifie la loi européenne sur l'IA pour la gestion des risques liés aux tiers ?

Dans le contexte de la gestion des risques liés aux tiers, l'adoption de la loi européenne sur l'IA signifie que les entreprises ayant des vendeurs et des fournisseurs tiers situés dans l'UE ou celles qui font des affaires en Europe doivent être conscientes des restrictions qui leur sont imposées. Tout comme les entreprises multinationales ou basées aux États-Unis doivent continuer à se conformer aux réglementations du GDPR sur la confidentialité des données depuis l'adoption de cette loi, les entreprises qui veulent faire des affaires à l'intérieur des frontières de l'Union européenne doivent se conformer aux exigences de transparence de la loi sur l'IA.

Compte tenu de la définition élargie de la notion de "risque élevé" dans la loi, il sera judicieux de poser aux vendeurs et aux fournisseurs des questions plus concrètes sur la manière dont ils utilisent l'IA et sur la façon dont ils respectent les autres réglementations pertinentes. Les amendes pour non-conformité s'élèvent à 7 % du chiffre d'affaires mondial ou à 35 millions d'euros (environ 38 millions de dollars), le montant le plus élevé étant retenu, il incombe donc aux organisations d'être attentives. Les enquêtes telles que SIG et SIG Lite incluent déjà le contenu de l'IA dans les questionnaires des fournisseurs, il est donc utile de s'assurer que vous incluez ce contenu dans les questions que vous posez aux fournisseurs. Pensez également à la manière dont les organismes de normalisation (tels que le NIST aux États-Unis) abordent les risques liés à l'IA.

Les organisations devraient également examiner en profondeur leurs propres pratiques de mise en œuvre de l'IA. D'autres lois européennes sur les technologies s'appliquent toujours, de sorte que les organisations qui doivent se conformer au GDPR devraient explorer les moyens d'intégrer la conformité à la loi sur l'IA dans leur flux de travail. Cela est d'autant plus important que de plus en plus d'éditeurs de logiciels intègrent l'IA dans leurs offres.

Gardez à l'esprit que l'utilisation de l'IA présente plusieurs risques majeurs, indépendamment de ce que disent les régulateurs, notamment :

• Qualité des données et biais - La qualité des algorithmes d'IA dépend des données qu'ils ingèrent et dont ils tirent des enseignements. Des données de mauvaise qualité peuvent conduire à des évaluations de risques erronées, tandis que des données biaisées peuvent perpétuer un traitement injuste des fournisseurs ou des tiers.
• Manque de transparence et de compréhension - Le manque d'informations sur la manière dont les modèles d'IA prennent leurs décisions et sur les données qu'ils utilisent pour obtenir leurs résultats fait de ces algorithmes une "boîte noire" dans de nombreux cas. Méfiez-vous d'un modèle d'IA qui n'explique pas comment il est parvenu à une décision.
• Risques liés à la cybersécurité et à la confidentialité des données - Les systèmes d'IA qui traitent des données sensibles sur les risques et les fournisseurs deviennent des cibles attrayantes pour les attaques cyber et les violations de données. Il est primordial de veiller à ce que ces systèmes soient sécurisés et respectent toutes les lois applicables en matière de protection de la vie privée.
• Manque de collaboration et de supervision entre l'homme et l'IA - Une confiance excessive dans l'IA sans supervision humaine peut conduire à des erreurs ou à des conséquences involontaires qui peuvent passer inaperçues, en particulier pendant l'apprentissage du modèle.
• Rareté des talents en IA et déficit de compétences - Peu de personnes ont une expérience approfondie de l'IA et des modèles d'apprentissage automatique. Au fur et à mesure que l'IA gagne en importance et s'intègre à vos opérations ou à celles de vos fournisseurs, ce déficit de compétences va devenir de plus en plus prononcé.

Les équipes de TPRM auront du pain sur la planche à l'approche de l'entrée en vigueur de la loi sur l'IA en 2026. Veiller à ce que les fournisseurs respectent les lois sur la transparence concernant l'inclusion de l'IA dans leurs offres est une bonne première étape, mais d'autres orientations sur la conformité ne manqueront pas d'être publiées dans les prochains mois.

Prochaines étapes : Apprendre à exploiter et à gérer l'IA en toute sécurité

Les entreprises intègrent rapidement l'IA dans leurs opérations, et les gouvernements réagissent. Adopter une approche plus prudente et réfléchie de l'IA dans les opérations et poser des questions aux vendeurs et aux fournisseurs est le choix intelligent pour les gestionnaires de risques tiers.

Pour en savoir plus sur la façon dont Prevalent intègre les technologies d'IA dans notre plateforme de gestion des risques des tiers afin de garantir la transparence, la gouvernance et la sécurité, téléchargez le livre blanc Comment exploiter la puissance de l'IA dans la gestion des risques des tiers, ou demandez une démonstration dès aujourd'hui.