Aperçu de la loi européenne sur l'IA

Dec 19, 2023
Share

La dernière étape législative de l'Union européenne - Loi sur l'intelligence artificielle Ce texte devrait constituer le cadre juridique le plus ambitieux jamais élaboré en matière d'intelligence artificielle. Le 8 décembre 2023, les législateurs européens sont parvenus à un accord provisoire sur la loi européenne relative à l'IA. Selon le calendrier prévu, cette loi entrera en vigueur en 2026.

La loi sur l'intelligence artificielle est comparée au Règlement général sur la protection des données (RGPD), compte tenu de l'influence considérable de ce dernier sur les législations régionales en matière de protection des données, même au-delà de l'Union européenne. Cette loi représente une avancée majeure dans la gouvernance et la réglementation des technologies d'IA au sein de l'UE et crée un précédent aux implications mondiales.

Qu’est-ce qu’une définition des systèmes d’IA ?

Afin d'établir une définition uniforme applicable aux futurs systèmes d'IA et d'éviter les malentendus, le Parlement européen a adopté la définition de l'OCDE. définition d'un système d'IA:

« Un système d'IA est un système automatisé qui [...] déduit des données qu'il reçoit comment générer des résultats tels que des prédictions, du contenu, des recommandations ou des décisions pouvant affecter des environnements physiques ou virtuels. »

Quel est le champ d'application de la loi européenne sur l'IA ?

La loi sur l'IA est extraterritoriale et s'applique aux entités qui créent, manipulent ou déploient des systèmes d'IA pertinents, quel que soit leur lieu d'établissement. Cela signifie que les entreprises et les particuliers doivent s'y conformer dès lors que ces systèmes sont utilisés ou ont un impact au sein de l'Union européenne. Par exemple, une entreprise américaine qui met en œuvre un système d'IA utilisant des données d'entraînement provenant de citoyens européens est tenue de respecter la loi sur l'IA.

Il est important de noter que la loi exclut certains systèmes d'IA de son champ d'application, notamment :

  • Systèmes utilisés exclusivement à des fins militaires ou de défense
  • Systèmes dédiés exclusivement aux activités de recherche et d'innovation
  • Systèmes exploités par des particuliers à des fins personnelles et non professionnelles

L’objectif principal du Parlement européen, en présentant la loi sur l’IA, est de garantir que les systèmes d’IA ayant un impact direct au sein de l’UE soient sûrs, transparents, traçables, non discriminatoires et respectueux de l’environnement. De plus, une surveillance humaine stricte de ces systèmes est mise en place afin d’atténuer les risques d’effets indésirables et de prévenir les conséquences néfastes.

Comment les risques liés à l'IA sont-ils catégorisés ?

Tout d'abord, la loi européenne sur l'IA est un cadre juridique fondé sur les risques, puisqu'elle prévoit des règles différentes selon le niveau de risque. Ces risques sont classés en fonction du niveau de menace qu'ils représentent pour la société : inacceptables, à haut risque et à risque limité.

Systèmes d'IA à risque inacceptable

Les systèmes d'IA considérés comme présentant un risque inacceptable sont absolument interdits. Il s'agit notamment des systèmes suivants :

  • Évaluation sociale : catégorisation des individus en fonction de leur comportement, de leur milieu socio-économique ou de leurs traits de personnalité.
  • Utilisation de l'identification biométrique : notamment la reconnaissance faciale, les empreintes digitales et d'autres données biométriques à diverses fins. Des exceptions sont prévues pour la poursuite des crimes graves, mais uniquement avec une autorisation judiciaire préalable.
  • Manipulation par le biais du comportement cognitif : scénarios tels que les jouets à commande vocale qui pourraient inciter les enfants à adopter des comportements à risque ou cibler des groupes vulnérables.

Systèmes d'IA à haut risque

L’Union européenne considère par ailleurs les systèmes d’IA comme présentant un risque élevé en raison de leur impact potentiel sur la sécurité ou les droits fondamentaux. Ils se répartissent en deux grandes catégories : les systèmes d’IA utilisés dans des produits réglementés par l’UE, tels que les équipements aéronautiques, les automobiles, les jouets et les dispositifs médicaux, et ceux déployés dans huit domaines spécifiques, notamment l’application de la loi, les infrastructures critiques et la gestion des migrations, de l’asile et des frontières.

Il est important de noter que les systèmes d'IA à haut risque doivent faire l'objet d'une évaluation approfondie avant leur mise sur le marché. De plus, leurs performances et leur conformité aux normes doivent être surveillées en permanence tout au long de leur cycle de vie, afin de garantir leur sécurité et le respect des droits fondamentaux.

Systèmes d'IA à risque limité

Les systèmes classés à risque limité, tels que les IA génératives comme ChatGPT et les deepfakes, sont tenus de respecter des normes de transparence minimales. Ils doivent informer les utilisateurs qu'ils interagissent avec un système d'IA, leur permettant ainsi de décider de poursuivre ou non l'utilisation de ces applications après une première interaction. Ceci est particulièrement pertinent lorsque l'IA est utilisée pour générer ou manipuler du contenu image, audio ou vidéo, comme c'est le cas pour les deepfakes.

Quelles sont les sanctions et les obligations de conformité ?

Comme mentionné précédemment, les systèmes d'IA présentant un risque inacceptable ou élevé seront soumis à des exigences strictes. Toute intelligence artificielle présentant un niveau de risque inacceptable est formellement interdite et passible de lourdes sanctions financières. De plus, les systèmes à haut risque incluent des exigences rigoureuses. exigences de conformité comme les évaluations d'impact obligatoires sur les droits fondamentaux, l'inscription dans les bases de données publiques de l'UE et l'obligation de fournir des explications sur les décisions fondées sur l'IA qui affectent les droits des citoyens, entre autres.

En revanche, les systèmes d'IA avec des obligations de risque limitées sont relativement légers et se concentrent principalement sur la transparence, notamment par un étiquetage approprié du contenu, l'information des utilisateurs lors de leurs interactions avec l'IA et la transparence grâce à des résumés des données d'entraînement et à une documentation technique.

Les amendes pour infraction à la loi sont calculées en fonction d'un pourcentage du chiffre d'affaires annuel mondial de la partie contrevenante au cours de l'exercice financier précédent ou d'une somme fixe, selon le montant le plus élevé :

  • 35 millions d'euros, soit 7 %, pour utilisation d'applications d'IA interdites
  • 15 millions d'euros ou 3 % pour violation des obligations prévues par la loi
  • 7,5 millions d'euros, soit 1,5 %, pour avoir fourni des informations incorrectes.

À noter qu'il existe des plafonds proportionnels pour les amendes administratives des petites et moyennes entreprises (PME) et des startups.

Comment Cyera peut-elle vous aider à vous préparer à la loi européenne sur l'IA ?

La plateforme de sécurité des données de Cyera vous permet de découvrir, de classifier et d'évaluer les risques liés aux données d'entraînement utilisées par les systèmes d'IA. Grâce à une évaluation continue de ces données, Cyera aide les organisations à mieux comprendre et sécuriser leurs systèmes d'IA en prévision de la réglementation européenne sur l'IA.

Visibilité holistique

Cyera identifie et analyse l'emplacement, la classification, la sensibilité et les risques associés aux données d'entraînement. La plateforme localise le stockage des données d'entraînement au sein des différents silos organisationnels, vous aidant ainsi à établir une vue unifiée des données utilisées par les systèmes d'IA.

Évaluation des risques

Cyera évalue les risques en fonction du contenu et de l'environnement des données. Par exemple, Cyera vous indique si les données d'entraînement contiennent des informations personnelles identifiables (IPI), si elles sont largement accessibles et si elles sont à la fois réelles et exposées en clair, ce qui accroît le risque associé à ces données.

De plus, Cyera évalue le risque lié aux données d'entraînement en analysant l'environnement qui les héberge. Par exemple, les risques associés à ces données peuvent être accrus si elles sont stockées de manière inappropriée dans des environnements non sécurisés ou si la journalisation est désactivée.

Gouvernance

Cyera vous permet d'auditer la configuration des bases de données hébergeant les données d'entraînement, ainsi que d'activer des politiques et de déclencher des alertes en cas d'activités suspectes. Par exemple, si des données sont déplacées vers un environnement non autorisé, une alerte est envoyée aux analystes de sécurité compétents pour examen et intervention. Cyera fournit également un audit complet des accès aux données d'entraînement, détaillant les permissions de chaque utilisateur et la finalité de son accès.

Conclusion

Alors que le projet de loi européen sur l'IA continue d'évoluer, une fois promulgué, il établira sans aucun doute une norme mondiale en matière de réglementation de l'IA. Il concilie la nécessité d'innovation avec les impératifs de sécurité, de protection de la vie privée et de considérations éthiques. Les sanctions sévères prévues par ce texte contraignent les exploitants de systèmes d'IA à se conformer à ses dispositions.

Cyera permet aux équipes de sécurité de localiser leurs données, d'identifier les risques auxquels elles sont exposées et d'intervenir immédiatement pour y remédier et garantir la conformité sans perturber l'activité. Cyera propose une solution moderne à un problème moderne : aider les organisations à comprendre et à sécuriser les données utilisées et générées par les systèmes d'IA.

Pour en savoir plus sur la façon dont Cyera peut vous aider à gérer les données associées à vos systèmes d'IA, calendrier Une démo aujourd'hui.

Share