La transparence est au cœur du réacteur de la nouvelle réglementation sur l’intelligence artificielle. L’AI Act prévoit une période de transition jusqu’en 2026. L’occasion pour les entreprises européennes – et leurs DPO et RSSI – d’en faire un avantage concurrentiel de réputation et de regarder de près la norme ISO 42001.
par
Jean-Philippe Isemann et Yuksel Aydin, RSM France
Publié le: 13 déc. 2024
Le 1er août 2024, l’Union européenne a adopté l’AI Act, une législation ambitieuse qui vise à encadrer l’usage de l’intelligence artificielle (IA).
L’IA est le pilier central de la transformation digitale des entreprises. Elle s’impose aujourd’hui comme une (r)évolution technologique majeure. Le nouveau règlement encadre son usage au sein des organisations. Il prévoit une période de transition de 24 mois jusqu’en août 2026 pour permettre de s’y conformer.
Mais quelles implications concrètes va-t-il entraîner à l’horizon 2026 ?
Le RGPD, « ancêtre » de l’AI Act
À l’instar du Règlement Général sur la Protection des Données (RGPD), l’AI Act entend faire de l’Europe le garant d’une IA respectueuse des droits individuels.
Le RGPD constitue en quelque sorte le socle sur lequel repose l’AI Act. Ce texte permettait déjà (et permet encore) de traiter certains sujets liés à l’IA, comme l’utilisation des données, la transparence, la notion de consentement, la sécurité et les notifications, etc.
Pour autant, l’AI Act va plus loin. Il catégorise des systèmes d’IA liés au niveau de risque, et il précise l’information à donner aux consommateurs ou encore la documentation à élaborer sur la manière dont l’IA a été développée.
Une nouvelle fonction pour le DPO et le RSSI ?
Le cœur de cette législation repose sur le respect des valeurs européennes : respect des droits fondamentaux ; transparence ; responsabilité et protection des individus. Car l’intelligence artificielle, si elle n’est pas contrôlée, représente un risque pour ces valeurs, mais aussi pour les droits individuels.
L’AI Act impose ainsi une supervision humaine des systèmes d’IA, en particulier ceux classés « à haut risque ». Et il incite à la formation des collaborateurs pour en comprendre les rouages.
Il ne s’agit pas d’une option, mais d’une nécessité pour les entreprises. Aussi, la désignation d’un pilote et d’une équipe compétente pour l’IA en interne est cruciale pour assurer une gouvernance technologique adaptée.
Assistera-t-on à la création d’un nouveau métier ? En pratique, le DPO ou le RSSI pourrait être la personne naturellement désignée pour occuper cette nouvelle fonction.
L’AI Act, aussi un levier de compétitivité
« Une communication transparente auprès des consommateurs sera un réel atout stratégique pour gagner de nouvelles parts de marché. »
L’AI Act représente aussi un levier de compétitivité –, un véritable levier – pour les entreprises qui saisiront l’occasion de se démarquer par une transparence accrue.
En instaurant une intelligence artificielle, éthique et transparente, les entreprises européennes ont une chance unique de se positionner en tête de la course mondiale à l’innovation responsable. Une communication transparente auprès des consommateurs sera un réel atout stratégique pour gagner de nouvelles parts de marché.
La mise en conformité des entreprises aura un certain coût, notamment les processus, les certifications et les audits. C’est indéniable. Aussi, les PME et ETI vont rencontrer davantage de difficultés que les grandes entreprises. Sur ce point, il convient de trouver un juste équilibre selon la taille de la structure ainsi que les moyens humains et financiers disponibles.
La norme ISO 42001
Un cadre complémentaire est aussi fourni par la nouvelle norme ISO 42001.
Datant de fin 2023, cette jeune norme et l’AI Act peuvent agir de manière complémentaire.
L’AI Act établit un cadre réglementaire de base en Europe pour la conformité des systèmes d’IA, en identifiant les niveaux de risque et les obligations correspondantes.
ISO 42001, en revanche, fournit des lignes directrices de gestion de l’IA qui peuvent faciliter le respect de cette réglementation au niveau des processus internes, avec une attention particulière aux principes de gouvernance, d’éthique, et d’amélioration continue. Autant de domaines importants pour la conformité avec l’AI Act.
ISO 42001 prévoit en effet, comme pour chaque norme ISO, la mise en place d’un système de management et son maintien dans une logique d’amélioration continue : un SMIA (Système de Management de l’IA) ou AIMS en anglais (Artificial Intelligence Management System).
Les organisations, dans une démarche de rationalité, d’arbitrage entre coûts et avantages, sauront choisir s’il est utile de rentrer dans une logique de certification ou si le simple cadre offert par la norme leur suffira.
Conclusion
En tout état de cause, le prisme que chaque entreprise doit garder en tête demeure la notion de transparence, et in fine leur réputation vis-à-vis des clients, au-delà des aspects de conformité.
Certes, des sanctions sont prévues en cas de non-conformité (jusqu’à 7 % du chiffre d’affaires). Mais au-delà de l’enjeu financier, la réputation des entreprises sera la composante essentielle de ce vaste marché.
C’est une chance pour les entreprises françaises et européennes de montrer que l’innovation responsable peut être un facteur de succès à long terme. C’est aussi le symbole de l’engagement européen en faveur d’une technologie au service de l’humain – et non l’inverse.
Les auteurs
Jean-Philippe Isemann est associé de RSM France où il dirige l’activité IT & Risk Advisory. Yuksel Aydin, est RSSI de RSM France.
RSM est le 6e réseau mondial d’audit et de conseil.
Pour approfondir sur Réglementations et Souveraineté
