I. Introduction à la conformité avec la loi sur l’IA de l’UE
Au début de février 2025, un jalon important a été atteint en matière d’intelligence artificielle, particulièrement pertinent pour les responsables de la conformité des entreprises : le 2 février 2025, les cinq premiers articles de la loi sur l’IA de l’UE sont entrés en vigueur. Cela marque le début officiel de l’ère de la conformité en matière d’IA. Si votre entreprise utilise l’IA et opère en Europe, ou développe et vend des systèmes d’IA utilisés en Europe, elle pourrait être soumise à des mesures d’application réglementaire. Il est donc impératif d’incorporer des politiques et des procédures conscientes de la conformité dans votre stratégie d’adoption de l’IA, et ce, le plus tôt possible.
II. Article 4 de la loi sur l’IA de l’UE
L’article 4 stipule que tous les fournisseurs et utilisateurs de systèmes d’IA doivent :
“Prendre des mesures pour garantir, dans la mesure du possible, un niveau suffisant de culture de l’IA parmi leur personnel et d’autres personnes chargées de l’exploitation et de l’utilisation des systèmes d’IA en leur nom, en tenant compte de leurs connaissances techniques, de leur expérience, de leur éducation et de leur formation, ainsi que du contexte dans lequel les systèmes d’IA doivent être utilisés, et en considérant les personnes ou groupes de personnes sur lesquels les systèmes d’IA doivent être utilisés.”
II.1. La définition de la “culture de l’IA”
La culture de l’IA désigne les compétences, les connaissances et la compréhension qui permettent aux fournisseurs, utilisateurs et personnes concernées de déployer des systèmes d’IA de manière éclairée, ainsi que de prendre conscience des opportunités et des risques de l’IA et des éventuels dommages qu’elle peut causer.
En d’autres termes, votre entreprise doit former ses employés afin qu’ils comprennent les risques que l’IA peut engendrer – et à partir de cette exigence apparemment simple, une multitude de défis pratiques surgissent.
III. La conformité en matière d’IA commence par la gouvernance de l’IA
Le défi fondamental est le suivant : vous ne pouvez pas développer la culture de l’IA nécessaire dans votre organisation si vous ne savez pas comment l’entreprise utilise l’IA. Cela devient de plus en plus problématique, car il est désormais très facile pour les employés d’incorporer l’intelligence artificielle dans leurs workflows quotidiens.
Un exemple marquant est celui de DeepSeek, une application d’IA générative chinoise qui a semblé surgir de nulle part pour devenir l’une des applications les plus populaires sur Internet. Quels sont les risques en matière de confidentialité liés à DeepSeek ? Quels risques en matière de sécuité informatique pourrait-elle introduire dans votre organisation ? Personne ne le sait. (Bien que presque tous les régulateurs de la confidentialité en Europe essaient de le découvrir.)
Avant de commencer à envisager les politiques, les procédures et la formation nécessaires pour atteindre la culture de l’IA que vous êtes censé avoir, votre équipe de direction doit d’abord établir un mécanisme de gouvernance pour guider l’utilisation de l’IA par les employés.
Par exemple, une grande entreprise pourrait établir un “comité d’utilisation de l’IA”, où les responsables de diverses fonctions opérationnelles se réunissent avec les fonctions de gestion des risques pour définir les règles que les employés doivent adopter à propos de l’IA.
IV. Article 5 de la loi sur l’IA de l’UE
L’article 5 introduit des pratiques d’IA interdites. C’est un élément crucial de la loi sur l’IA de l’UE car il établit l’idée de “niveaux” d’utilisation acceptable de l’IA, en commençant par les cas d’utilisation les plus graves, qui ne seront pas autorisés.
Bon nombre de ces cas d’utilisation interdits ne surprendront pas les dirigeants occidentaux. Par exemple, la loi interdit l’IA qui :
- Déploie des techniques subliminales au-delà de la conscience d’une personne ou des techniques délibérément manipulatrices ou trompeuses visant à altérer de manière significative le comportement d’une personne en réduisant sa capacité à prendre une décision éclairée.
- Surveille une personne et prédit le risque pour cette personne de commettre un crime, “basé uniquement sur le profilage d’une personne physique ou sur l’évaluation de ses traits et caractéristiques de personnalité.”
- Infère les émotions d’une personne au travail ou à l’école, sauf pour des raisons médicales ou de sécurité.
Il n’est pas nécessaire de passer en revue tous les usages interdits ici. Le point important pour les responsables de la conformité est que votre organisation aura besoin de politiques claires concernant les usages de l’IA que vous ne souhaiterez pas adopter, soutenues par des procédures pour s’assurer que personne ne les adopte.
Avec le temps, la loi sur l’IA de l’UE introduira d’autres niveaux d’utilisation de l’IA ; moins un cas d’utilisation présente des risques, moins vous aurez besoin de contrôle. Cela mettra à l’épreuve les équipes d’éthique et de conformité des entreprises de nouvelles manières, alors que vous développerez des processus pour évaluer les risques associés à ces usages et mettre en œuvre des contrôles appropriés.
De nombreuses façons, votre programme de conformité à l’IA reposera toujours sur les fondamentaux d’un solide programme d’éthique et de conformité. Mais d’autres aspects relèvent d’un nouveau monde audacieux – et que vous soyez prêt ou non, ce monde est déjà là.
