Aperçu de la loi européenne sur l'IA

Le dernier jalon législatif de l'Union européenne - le règlement sur l'intelligence artificielle - est pressenti comme étant le cadre juridique le plus étendu consacré à l'Intelligence Artificielle à ce jour. Le 8 décembre 2023, un accord provisoire sur le règlement européen sur l'IA a été conclu par les législateurs européens. Selon le calendrier prévu, le règlement sur l'IA entrera en vigueur en 2026.

La loi sur l'IA est comparée au Règlement général sur la protection des données (RGPD), étant donné l'impact considérable du RGPD sur l'influence des lois régionales sur la confidentialité des données au-delà de l'Union européenne. La loi sur l'IA représente une étape importante dans la gouvernance et la réglementation des technologies d'IA au sein de l'UE et établit un précédent avec des implications mondiales.

Quelle est la définition des systèmes d’IA ?

Pour établir une définition uniforme qui pourrait être appliquée aux futurs systèmes d'IA et éviter les interprétations erronées, le Parlement européen a adopté la définition d'un système d'IA de l'OCDE :

« Un système d’IA est un système basé sur une machine qui [...] déduit à partir des données qu’il reçoit comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant affecter des environnements physiques ou virtuels. »

Quel est le champ d'application de l'AI Act de l'UE ?

La loi sur l’IA est extraterritoriale et s’applique aux entités qui créent, manipulent ou déploient des systèmes d’IA concernés, quel que soit leur lieu d’implantation. Cela signifie que les entreprises et les particuliers doivent se conformer à la loi dès lors que ces systèmes sont utilisés ou ont un impact au sein de l’Union européenne. Par exemple, une entreprise basée aux États-Unis qui met en œuvre un système d’IA utilisant des données d’entraînement provenant de citoyens européens comme entrée est tenue de respecter la loi sur l’IA.

Il est important de noter que la loi exclut certains systèmes d'IA de son champ d'application, notamment :

• Systèmes utilisés uniquement à des fins militaires ou de défense
• Systèmes dédiés exclusivement aux activités de recherche et d'innovation
• Systèmes exploités par des particuliers à des fins personnelles et non professionnelles

L'objectif principal du Parlement européen en introduisant la loi sur l'IA est de garantir que les systèmes d'IA ayant un impact direct au sein de l'UE soient sûrs, transparents, traçables, non discriminatoires et respectueux de l'environnement. De plus, une attention particulière est portée à la supervision humaine de ces systèmes afin de réduire le risque d'effets indésirables et de prévenir des conséquences néfastes.

Comment le risque lié à l'IA est-il catégorisé ?

Pour commencer, l'AI Act de l'UE est un cadre juridique basé sur le risque, car il existe différentes règles selon les niveaux de risque. Ces risques sont classés en fonction du niveau de menace qu'ils représentent pour la société : risque inacceptable, risque élevé et risque limité.

Systèmes d'IA à risque inacceptable

Les systèmes d'IA considérés comme présentant un risque inacceptable sont strictement interdits. Ceux-ci incluent :

• Notation sociale : catégorisation des individus en fonction de leur comportement, de leur milieu socio-économique ou de leurs traits personnels.
• Utilisation de l'identification biométrique : y compris la reconnaissance faciale, les empreintes digitales et d'autres données biométriques à diverses fins. Des exceptions existent pour la poursuite de crimes graves, mais uniquement avec une autorisation judiciaire préalable.
• Manipulation par le biais du comportement cognitif : des scénarios tels que des jouets à commande vocale pouvant inciter les enfants à adopter des comportements à risque ou cibler des groupes vulnérables.

Systèmes d'IA à haut risque

L'Union européenne considère également les systèmes d'IA comme présentant un risque élevé en raison de leur impact potentiel sur la sécurité ou les droits fondamentaux. Ils se répartissent en deux grandes catégories : les systèmes d'IA utilisés dans des produits réglementés par l'UE, comme les équipements aéronautiques, les voitures, les jouets et les dispositifs médicaux, et ceux déployés dans huit domaines spécifiques, dont l'application de la loi, les infrastructures critiques, ainsi que la gestion de la migration, de l'asile et du contrôle aux frontières.

Il est important de noter que les systèmes d'IA à haut risque doivent faire l'objet d'une évaluation approfondie avant d'être mis sur le marché. De plus, leurs performances et leur conformité aux normes doivent être continuellement surveillées tout au long de leur cycle de vie, afin de garantir qu'ils restent sûrs et respectueux des droits fondamentaux.

Systèmes d'IA à risque limité

Les systèmes classés comme présentant un risque limité, tels que l’IA générative comme ChatGPT et les deepfakes, doivent respecter des normes de transparence de base. Ils doivent avertir les utilisateurs qu’ils interagissent avec un système d’IA, leur permettant ainsi de décider s’ils souhaitent continuer à utiliser ces applications après une première interaction. Cela s’applique tout particulièrement dans les cas où l’IA est utilisée pour générer ou manipuler des contenus d’image, d’audio ou de vidéo, comme les deepfakes.

Quelles sont les sanctions et les exigences en matière de conformité ?

Comme mentionné précédemment, les systèmes d'IA à risque inacceptable et à haut risque seront soumis à des exigences strictes. Toute intelligence artificielle présentant un niveau de risque inacceptable est strictement interdite et passible de lourdes sanctions financières. De plus, les systèmes à haut risque incluent des exigences de conformité rigoureuses telles que des évaluations obligatoires de l'impact sur les droits fondamentaux, l'enregistrement dans des bases de données publiques de l'UE, ainsi que des obligations de fournir des explications sur les décisions prises par l'IA affectant les droits des citoyens, entre autres.

D'autre part, les systèmes d'IA soumis à des obligations de risque limité sont relativement peu contraignants, se concentrant principalement sur la transparence, comme l'étiquetage approprié du contenu, l'information des utilisateurs lors de l'interaction avec l'IA, et la transparence via des résumés des données d'entraînement et une documentation technique.

Les amendes pour violation de la loi sont calculées en fonction d'un pourcentage du chiffre d'affaires annuel mondial de la partie en infraction lors du dernier exercice financier, ou d'une somme fixe, selon le montant le plus élevé :

• 35 millions d'euros ou 7 % pour l'utilisation d'applications d'IA interdites
• 15 millions d'euros ou 3 % pour violation des obligations de la loi
• 7,5 millions d'euros ou 1,5 % pour avoir fourni des informations incorrectes

À noter qu'il existe des plafonds proportionnels pour les amendes administratives applicables aux petites et moyennes entreprises (PME) et aux startups.

Comment Cyera peut-elle vous aider à vous préparer à l'AI Act de l'UE ?

La plateforme de sécurité des données de Cyera vous permet de découvrir, classifier et évaluer les risques liés aux données d'entraînement utilisées par les systèmes d'IA. Grâce à l'évaluation continue des données d'entraînement, Cyera aide les organisations à mieux comprendre et sécuriser leurs systèmes d'IA en préparation du règlement européen sur l'IA.

Visibilité holistique

Cyera identifie et analyse l’emplacement, la classification, la sensibilité et les risques associés des données d’entraînement. La plateforme localise où les données d’entraînement sont stockées à travers les silos organisationnels, vous aidant à établir une vue unifiée des données utilisées par les systèmes d’IA.

Évaluation des risques

Cyera évalue les risques en fonction du contenu et de l'environnement des données. Par exemple, Cyera vous indique si les données d'entraînement contiennent des informations personnelles identifiables (PII), si elles sont largement accessibles, et si les données sont à la fois réelles et exposées en clair, ce qui augmente le risque associé à ces données.

De plus, Cyera évalue le risque lié aux données d'entraînement en analysant l'environnement dans lequel ces données sont hébergées. Par exemple, les risques associés à ces données peuvent être accrus si elles sont mal stockées dans des environnements non sécurisés ou si la journalisation est désactivée.

Gouvernance

Cyera vous permet d’auditer les paramètres de configuration des bases de données contenant les données d’entraînement, ainsi que d’activer des politiques et de déclencher des alertes en cas de détection d’activités suspectes. Par exemple, si quelqu’un transfère les données vers un environnement non autorisé, une alerte sera envoyée aux analystes de sécurité concernés pour examen et intervention. Cyera fournit également un audit complet des personnes ayant accès aux données d’entraînement, en détaillant les autorisations de chaque utilisateur et la raison de leur accès aux données.

Conclusion

Alors que les développements autour de l’AI Act de l’UE continuent d’évoluer, cette loi, une fois officiellement adoptée, établira sans aucun doute une norme mondiale en matière de régulation de l’IA. Elle équilibre la nécessité d’innovation avec l’impératif de sécurité, de respect de la vie privée et de considérations éthiques. Les sanctions sévères prévues par cette loi obligent les opérateurs de systèmes d’IA à se conformer à ses dispositions.

Cyera permet aux équipes de sécurité de savoir où se trouvent leurs données, ce qui les expose à des risques et d’agir immédiatement pour remédier aux expositions et garantir la conformité sans perturber l’activité. Cyera propose une solution moderne à un problème moderne : aider les organisations à comprendre et à sécuriser les données utilisées et générées par les systèmes d’IA.

Pour en savoir plus sur la façon dont Cyera peut vous aider à gérer les données associées à vos systèmes d'IA, planifiez une démonstration dès aujourd'hui.