Le Parlement européen a adopté aujourd'hui l'un des premiers règlements régissant la technologie de l'intelligence artificielle (IA) et ses applications dans le monde. Le "Règlement du Parlement européen et du Conseil fixant des règles harmonisées en matière d'intelligence artificielle (Acte sur l'intelligence artificielle) et modifiant certains actes législatifs de l'Union" de l'Union européenne a fait les gros titres en 2021 lorsqu'il a été proposé à l'origine - et pas seulement en raison de son long nom.
Aujourd'hui, trois ans plus tard, il a été approuvé par le Parlement européen. Il devrait entrer en vigueur à la fin de la session législative en mai 2024, et deviendra pleinement applicable 24 mois après sa publication au journal officiel. Cette nouvelle réglementation aura probablement un impact transformateur sur votre programme de gestion des risques liés aux tiers, en particulier pour les entreprises basées dans d'autres pays qui souhaitent faire des affaires en Europe.
Ce blog se penche en profondeur sur la loi sur l'IA et donne un aperçu de ce qu'elle signifie pour votre programme de TPRM à l'avenir.
La loi européenne sur l'IA est conçue pour offrir un cadre de gouvernance et de conformité pour l'IA au sein de l'Union européenne. En fin de compte, l'objectif est d'établir des garde-fous sur la manière dont l'IA peut être utilisée dans l'UE et sur la responsabilité des entreprises exerçant des activités en Europe qui souhaitent créer un outil d'IA ou appliquer l'IA à leur technologie existante.
Les règles de la loi sur l'IA sont conçues pour :
La loi définit des cas d'utilisation spécifiques qui sont interdits et/ou très réglementés en Europe lorsque le règlement entrera en vigueur. Il s'agit notamment des cas suivants
Il existe des exceptions pour l'utilisation par les forces de l'ordre de l'identification biométrique en temps réel, mais elles sont strictement limitées dans le temps et dans l'espace. Les forces de l'ordre doivent obtenir une autorisation judiciaire avant d'utiliser ces systèmes, et lorsqu'elles souhaitent utiliser ces systèmes biométriques après coup également.
L'Union européenne a adopté une approche fondée sur le risque pour élaborer sa législation. Cette approche s'est traduite par la définition de quatre catégories de risques distinctes, comme le montre la pyramide ci-dessous.
Source : Commission européenne Commission européenne
Ces catégories de risques sont expliquées comme suit :
Les applications d'IA définies comme présentant un risque inacceptable sont interdites d'utilisation dans l'ensemble de l'Union européenne. Ces types de systèmes sont les suivants
En revanche, les systèmes d'IA à haut risque sont soumis à des règles spécifiques et strictes auxquelles ils doivent se conformer avant de pouvoir être commercialisés. Ces règles obligent les systèmes à haut risque à inclure :
La loi sur l'IA établit un cadre juridique pour l'examen et l'approbation des applications d'IA à haut risque, dans le but de protéger les droits des citoyens, de minimiser les biais dans les algorithmes et de contrôler les impacts négatifs de l'IA. L'objectif est d'appliquer la gouvernance au développement de l'IA et de veiller à ce que les droits des citoyens européens soient protégés tout en permettant la poursuite du développement.
L'UE attire également l'attention sur l'IA générative à usage général, telle que ChatGPT, qui devrait se conformer à des exigences de transparence :
L'IA généraliste à fort impact comme ChatGPT-4 doit faire l'objet d'une évaluation approfondie et tout incident doit être signalé.
En revanche, les systèmes à risque limité doivent se conformer à des exigences de transparence qui permettent aux utilisateurs de prendre des décisions éclairées. Le chatbot d'un site web en est un exemple. Les utilisateurs doivent être informés qu'ils utilisent un système d'IA et avoir la possibilité de s'y opposer.
Dans le contexte de la gestion des risques liés aux tiers, l'adoption de la loi européenne sur l'IA signifie que les entreprises ayant des vendeurs et des fournisseurs tiers situés dans l'UE ou celles qui font des affaires en Europe doivent être conscientes des restrictions qui leur sont imposées. Tout comme les entreprises multinationales ou basées aux États-Unis doivent continuer à se conformer aux réglementations du GDPR sur la confidentialité des données depuis l'adoption de cette loi, les entreprises qui veulent faire des affaires à l'intérieur des frontières de l'Union européenne doivent se conformer aux exigences de transparence de la loi sur l'IA.
Compte tenu de la définition élargie de la notion de "risque élevé" dans la loi, il sera judicieux de poser aux vendeurs et aux fournisseurs des questions plus concrètes sur la manière dont ils utilisent l'IA et sur la façon dont ils respectent les autres réglementations pertinentes. Les amendes pour non-conformité s'élèvent à 7 % du chiffre d'affaires mondial ou à 35 millions d'euros (environ 38 millions de dollars), le montant le plus élevé étant retenu, il incombe donc aux organisations d'être attentives. Les enquêtes telles que SIG et SIG Lite incluent déjà le contenu de l'IA dans les questionnaires des fournisseurs, il est donc utile de s'assurer que vous incluez ce contenu dans les questions que vous posez aux fournisseurs. Pensez également à la manière dont les organismes de normalisation (tels que le NIST aux États-Unis) abordent les risques liés à l'IA.
Les organisations devraient également examiner en profondeur leurs propres pratiques de mise en œuvre de l'IA. D'autres lois européennes sur les technologies s'appliquent toujours, de sorte que les organisations qui doivent se conformer au GDPR devraient explorer les moyens d'intégrer la conformité à la loi sur l'IA dans leur flux de travail. Cela est d'autant plus important que de plus en plus d'éditeurs de logiciels intègrent l'IA dans leurs offres.
Gardez à l'esprit que l'utilisation de l'IA présente plusieurs risques majeurs, indépendamment de ce que disent les régulateurs, notamment :
Les équipes de TPRM auront du pain sur la planche à l'approche de l'entrée en vigueur de la loi sur l'IA en 2026. Veiller à ce que les fournisseurs respectent les lois sur la transparence concernant l'inclusion de l'IA dans leurs offres est une bonne première étape, mais d'autres orientations sur la conformité ne manqueront pas d'être publiées dans les prochains mois.
Les entreprises intègrent rapidement l'IA dans leurs opérations, et les gouvernements réagissent. Adopter une approche plus prudente et réfléchie de l'IA dans les opérations et poser des questions aux vendeurs et aux fournisseurs est le choix intelligent pour les gestionnaires de risques tiers.
Pour en savoir plus sur la façon dont Prevalent intègre les technologies d'IA dans notre plateforme de gestion des risques des tiers afin de garantir la transparence, la gouvernance et la sécurité, téléchargez le livre blanc Comment exploiter la puissance de l'IA dans la gestion des risques des tiers, ou demandez une démonstration dès aujourd'hui.
Prevalent continue de donner le ton en matière de gestion des risques de tiers grâce à des améliorations axées sur le client qui simplifient la...
06/12/2024
Les gouvernements et les organismes de normalisation du monde entier ont commencé à réagir aux technologies de l'IA en adoptant de nouvelles règles de conformité...
01/04/2024
Notre toute nouvelle capacité d'IA dote les clients de conseils et d'un contexte inégalés pour la gestion de leurs risques tiers.
10/17/2023