L’Acte sur l’IA de l’UE : Qu’est-ce qui ne va pas selon le plan
L’Acte sur l’IA de l’UE est sur le point de devenir la première grande réglementation au monde axée entièrement sur l’intelligence artificielle. Il vise à garantir que les systèmes d’IA utilisés en Europe soient sûrs, justes et respectent les droits des personnes. Cependant, alors que les règles commencent à prendre forme, de nombreuses entreprises—en particulier les startups et les petites entreprises—se demandent : quel est l’état actuel et que devons-nous faire pour nous préparer ?
Où en sommes-nous maintenant ?
L’UE a demandé à un groupe d’experts (sous le comité CEN-CENELEC JTC 21) de rédiger environ 35 normes techniques qui soutiendront l’Acte sur l’IA. Celles-ci couvrent des domaines comme la gestion des risques, la qualité des données et les préjugés, la transparence pour les utilisateurs, la surveillance humaine, la cybersécurité et l’exactitude.
Cependant, la plupart de ces normes sont encore en cours d’écriture. Initialement, elles devaient être prêtes d’ici avril 2025, mais des retards ont repoussé cette date limite à août 2025—et même cela semble optimiste.
Une fois terminées, les normes devront être examinées et publiées officiellement, probablement au début de 2026. Cela laisse aux entreprises quelques mois seulement pour les mettre en œuvre avant que l’Acte sur l’IA ne commence à s’appliquer aux systèmes à haut risque en août 2026.
Défis à venir
Le rapport identifie plusieurs défis clés pour les entreprises qui se préparent à la conformité. Tout d’abord, le calendrier est serré. Avoir seulement six à huit mois pour digérer, mettre en œuvre et valider des dizaines de nouvelles normes techniques est une préoccupation majeure, en particulier pour les petites équipes sans départements juridiques ou de conformité.
Deuxièmement, il y a la question des coûts. L’accès à toutes les normes pertinentes peut rapidement atteindre des milliers d’euros, ce qui peut être un fardeau sérieux pour les startups et les PME. Même savoir quelles normes s’appliquent à votre système d’IA peut être un défi en soi.
Une autre préoccupation majeure est l’accès aux normes. Jusqu’à récemment, de nombreuses normes harmonisées n’étaient pas disponibles publiquement, même si les entreprises étaient censées s’y conformer. Un récent jugement de la Cour de justice de l’UE dans l’affaire Malamud a confirmé que ces normes doivent être accessibles gratuitement. Bien que ce soit un développement positif, cela a déclenché des réactions de la part des organismes de normalisation internationaux qui dépendent de la vente d’accès à ces documents.
Enfin, il y a la question de qui a une voix à la table. Le processus de normalisation a été dominé par de grandes entreprises technologiques et de conseil—beaucoup basées en dehors de l’UE. Pendant ce temps, de plus petits acteurs européens, des institutions académiques et des groupes de la société civile ont du mal à participer en raison de contraintes de temps, de financement ou d’expertise. Ce déséquilibre pourrait aboutir à des normes qui reflètent les priorités des grands acteurs de l’industrie plutôt que l’écosystème plus large de l’IA.
Que peut-on faire ?
Les auteurs du rapport suggèrent plusieurs manières d’améliorer le processus :
- Accorder plus de temps aux entreprises pour se conformer.
- Rendre les normes accessibles gratuitement et plus faciles à comprendre.
- Offrir une aide financière et technique, en particulier pour les startups et les PME.
- Assurer une plus grande diversité de voix dans l’élaboration des normes.
- Développer des outils numériques (comme des « normes intelligentes ») pour aider à automatiser la conformité.
Si vous développez ou déployez des systèmes d’IA dans l’UE, il est important d’examiner si vos cas d’utilisation relèvent de la catégorie haut risque décrite dans l’Acte sur l’IA. Garder un œil sur l’évolution du processus de normalisation est également essentiel, car ces documents constitueront la colonne vertébrale de la conformité future.
Enfin, c’est le bon moment pour commencer à réfléchir à vos processus internes : Quelle est la transparence de vos modèles ? Quel type de gouvernance des données avez-vous en place ? Vos systèmes sont-ils testés pour le préjugé, l’exactitude et la cybersécurité ?
