AI Sigil Logo
Contact Us
Retour à tous les articles

Gouvernance de l’IA à l’ère de la réglementation : se préparer à la loi sur l’IA

A broken chain link symbolizing the fight against discrimination
Les systèmes d’intelligence artificielle transforment rapidement les industries, promettant une efficacité accrue et des solutions innovantes. Cependant, l’adoption généralisée de l’IA pose également des défis importants, notamment en ce qui concerne les considérations éthiques, la confidentialité des données et les impacts sociétaux potentiels. De nouvelles réglementations émergent pour répondre directement à ces préoccupations, obligeant les organisations à s’adapter et à s’assurer que leurs pratiques en matière d’IA sont responsables et conformes. Cette enquête se penche sur le réseau complexe de la gouvernance de l’IA, offrant des informations cruciales aux entreprises qui s’efforcent d’exploiter la puissance de l’IA tout en atténuant ses risques inhérents et en explorant l’impact et les changements sur la fonction d’audit.

Quel est l’objectif principal de la législation sur la loi sur l’IA ?

L’objectif principal de la loi sur l’IA de l’UE est de protéger les droits fondamentaux et les données personnelles dans le contexte de l’intelligence artificielle. Parallèlement, la législation vise à promouvoir l’innovation et à favoriser la confiance dans les technologies d’IA à travers l’Union européenne.

Principales préoccupations réglementaires abordées par la loi sur l’IA :

  • Considérations éthiques : S’assurer que les systèmes d’IA sont développés et utilisés de manière non discriminatoire, en promouvant l’égalité et en encourageant la diversité culturelle.
  • Gestion des risques : Catégoriser les systèmes d’IA en fonction de leur niveau de risque, avec des obligations et des exigences croissantes en conséquence. Cela va des systèmes à risque minimal sans exigences spécifiques aux systèmes à risque inacceptable qui sont interdits.
  • Transparence : Exiger la transparence dans l’utilisation de l’IA, en particulier pour les systèmes qui génèrent du contenu synthétique ou interagissent avec des individus.

Implications pratiques pour les organisations :

  • Projets de conformité : Considérer la conformité à la loi sur l’IA comme un projet similaire à d’autres en termes d’évaluation des risques, d’audits de processus et d’évaluation de la gouvernance.
  • Culture générale en matière d’IA : S’assurer d’un niveau suffisant de compréhension de l’IA parmi le personnel traitant des systèmes d’IA.
  • Inventaire et classification : Maintenir un inventaire à jour des systèmes d’IA, classés selon les catégories de risque de la loi sur l’IA.
  • Connaissance des rôles : Comprendre le rôle de l’organisation dans la chaîne de valeur de l’IA (par exemple, fournisseur, déployeur, distributeur) car les exigences varient en fonction de ce rôle. Un déployeur peut, par des modifications d’un système d’IA, devenir un fournisseur, ce qui déclenche des exigences différentes en fonction de ce nouveau rôle.

Comment les organisations peuvent-elles se préparer à remplir les exigences de conformité en vertu de la loi sur l’IA ?

La loi européenne sur l’IA, désormais en vigueur, présente une approche à plusieurs niveaux axée sur le risque, qui a un impact sur les organisations déployant des systèmes d’IA au sein du marché européen. Les entreprises doivent se préparer de manière proactive à une mise en œuvre progressive, en ajustant leurs stratégies en fonction de leur rôle spécifique dans la chaîne de valeur de l’IA et du niveau de risque associé à leurs systèmes d’IA.

Principales étapes de préparation

Les organisations peuvent aborder la conformité à la loi sur l’IA comme un projet de conformité standard, en se concentrant sur les processus et la gouvernance. Voici une feuille de route :

  • Culture de l’IA : Veiller à ce que le personnel interagissant avec les systèmes d’IA possède une compréhension adéquate.
  • Inventaire de l’IA : Établir une liste exhaustive de tous les systèmes d’IA utilisés au sein de l’organisation et de ses filiales.
  • Classification des risques : Catégoriser les systèmes d’IA en fonction des catégories de risque de la loi sur l’IA, en comprenant qu’il s’agit de définitions juridiques.
  • Systèmes interdits : Cesser immédiatement l’utilisation des systèmes d’IA considérés comme présentant un « risque inacceptable ». Retirer ces systèmes d’IA du marché de l’UE.
  • Mise en œuvre de politiques : Établir des politiques robustes pour évaluer correctement les futurs systèmes d’IA.

Gérer les calendriers

La mise en œuvre de la loi sur l’IA comprend des échéances échelonnées, chacune introduisant des obligations de conformité spécifiques. Voici une ventilation simplifiée pour que les auditeurs internes guident la préparation de leur organisation :

  • 2 février 2025 : Les restrictions sur les systèmes d’IA interdits entrent en vigueur. Les déployeurs doivent cesser leur utilisation, et les fournisseurs doivent les retirer du marché de l’UE.
  • 2 août 2025 : Les réglementations concernant les modèles d’IA à usage général (GPAI) et la gouvernance/l’application de la loi publiques entrent en jeu. Les fournisseurs de GPAI présentant un risque systémique doivent notifier la Commission et mettre en œuvre des politiques de conformité. Les fournisseurs et les déployeurs ont besoin de mécanismes de transparence appropriés.
  • 2 août 2026 : La majeure partie de la loi sur l’IA s’applique (à l’exception de l’article 6, paragraphe 1). Les fournisseurs et les déployeurs doivent établir des systèmes d’évaluation des risques, de gestion des risques et de responsabilisation pour les modèles à haut risque et mettre en place des politiques de transparence pour les systèmes d’IA à risque limité.
  • 2 août 2027 : L’article 6, paragraphe 1, s’applique. Les mesures GPAI établies en 2025 s’étendent à tous les systèmes. Les fournisseurs de produits contenant des composants d’IA (conformément au chapitre 6, paragraphe 1) doivent s’assurer de la conformité aux obligations relatives à l’IA à haut risque.

Obligations basées sur le risque et le rôle

Les exigences de conformité varient en fonction de la catégorie de risque du système d’IA et du rôle de l’organisation au sein de la chaîne de valeur de l’IA. Les principaux rôles comprennent le fournisseur, le déployeur, le distributeur, l’importateur et le représentant autorisé.

Les auditeurs internes doivent évaluer la conformité sur l’ensemble de la chaîne de valeur et se montrer particulièrement vigilants quant aux changements de rôles. Un déployeur peut devenir un fournisseur s’il modifie considérablement un système d’IA ou le commercialise sous sa propre marque, ce qui entraîne des obligations de conformité plus strictes.

Transparence et documentation

Les fournisseurs et les déployeurs de systèmes GPAI doivent clairement indiquer le contenu généré par l’IA (par exemple, les images, les deepfakes, le texte) avec des indicateurs lisibles par machine. Ils doivent également fournir aux déployeurs des informations sur les capacités et les limites du modèle et partager publiquement un résumé du contenu utilisé pour la formation.

La documentation technique du modèle, son processus de formation et de test, et les résultats de son évaluation doivent être élaborés et tenus à jour.

Quelles sont les principales obligations et exigences pour les entités en vertu de la loi sur l’IA ?

La loi européenne sur l’IA introduit une approche à plusieurs niveaux pour réglementer l’IA, en classant les systèmes en fonction des niveaux de risque : inacceptable, élevé, limité et minimal. Les obligations des organisations varient considérablement en fonction de cette classification et de leur rôle dans la chaîne de valeur de l’IA en tant que fournisseurs (ceux qui développent et mettent des systèmes d’IA sur le marché), déployeurs (ceux qui utilisent les systèmes d’IA) ou d’autres rôles tels que les importateurs et les distributeurs.

Principales obligations basées sur le risque

  • Systèmes d’IA à risque inacceptable : Ils sont totalement interdits. Les exemples incluent les systèmes d’IA qui manipulent le comportement humain pour causer des dommages, ou ceux impliqués dans le scoring social ou l’identification biométrique dans les espaces publics.
  • Systèmes d’IA à haut risque : Ils sont soumis aux exigences les plus strictes. Cette catégorie comprend l’IA utilisée dans les infrastructures critiques, l’éducation, l’emploi, l’application de la loi et les services essentiels comme l’assurance et la notation de crédit. Les principales obligations comprennent :
    • Établir et maintenir un système de gestion des risques tout au long du cycle de vie du système d’IA.
    • Adhérer à des normes strictes de gouvernance des données, en assurant la qualité et en minimisant les biais dans les ensembles de données d’entraînement, de validation et de test.
    • Élaborer une documentation technique complète avant le déploiement.
    • Tenir des registres détaillés (journaux) pour la traçabilité.
    • Fournir aux déployeurs des informations transparentes pour comprendre et utiliser correctement le résultat de l’IA.
    • Mettre en œuvre des mécanismes de supervision humaine.
    • Assurer la précision, la robustesse et la cybersécurité.
    • Établir un système de gestion de la qualité pour assurer la conformité continue.
    • Coopérer avec les autorités et démontrer la conformité sur demande.
    • Effectuer une évaluation de la conformité et établir une déclaration UE de conformité.
    • Apposer le marquage CE pour démontrer la conformité, qui doit être enregistré dans la base de données de l’UE avant la mise sur le marché.
    • Réaliser une évaluation d’impact sur les droits fondamentaux.
    • Désigner des personnes responsables et formées pour assurer une utilisation appropriée de la supervision, de la compétence et de l’autorité.
    • Effectuer une surveillance post-marché à l’aide d’un plan documenté.
    • Signaler les incidents graves aux autorités de surveillance.
  • Systèmes d’IA à risque limité : Ils sont soumis à des exigences de transparence. Les utilisateurs doivent être informés qu’ils interagissent avec un système d’IA, en particulier pour le contenu généré par l’IA. Ceci s’applique aux systèmes d’IA générant du contenu audio, image, vidéo ou textuel synthétique.
  • Systèmes d’IA à risque minimal : Aucune exigence spécifique n’est définie pour les systèmes d’IA qui présentent un risque minimal.

Modèles d’IA à usage général (GPAI)

La loi sur l’IA aborde également les modèles d’IA à usage général (GPAI), qui sont entraînés sur de vastes ensembles de données et peuvent effectuer un large éventail de tâches. Les fournisseurs de GPAI doivent se conformer aux obligations de transparence et respecter les lois sur le droit d’auteur. Les modèles GPAI sont classés après calcul et respect des exigences énoncées à l’article 42 bis de la loi sur l’IA.

Obligations par rôle

Les fournisseurs (qu’ils soient situés à l’intérieur ou à l’extérieur de l’UE) supportent le plus gros du fardeau de la conformité. Ils sont responsables de s’assurer que leurs systèmes d’IA répondent à toutes les exigences pertinentes avant d’être placés sur le marché de l’UE. Ceux qui ne sont pas établis dans l’UE doivent désigner un représentant autorisé au sein de l’UE.

Les déployeurs doivent utiliser les systèmes d’IA de manière responsable et conformément aux instructions du fournisseur. Cela comprend l’attribution d’une supervision humaine, la garantie de la compétence du personnel et la surveillance du fonctionnement du système d’IA.

Calendrier de mise en œuvre

La loi sur l’IA sera déployée par étapes. Les étapes suivantes sont les plus importantes :

  • 2 février 2025 : Les réglementations sur les systèmes d’IA interdits s’appliquent.
  • 2 août 2025 : Les réglementations qui s’appliquent aux modèles GPAI et aux organismes publics qui appliquent la loi sur l’IA devraient entrer en vigueur.
  • 2 août 2026 : La plupart des dispositions de la loi sur l’IA s’appliquent, à l’exception de l’article 6, paragraphe 1.
  • 2 août 2027 : L’article 6, paragraphe 1, s’applique, régissant la classification des produits avec des composants de sécurité de l’IA comme étant à haut risque.

Les organisations doivent également tenir compte de la manière dont la loi sur l’IA interagit avec la législation européenne existante et à venir, telle que DORA et CSRD/CSDDD, en particulier en ce qui concerne les risques liés aux tiers, les impacts environnementaux et les préoccupations de cybersécurité.

french

Comment les obligations et les exigences évoluent-elles en fonction de la catégorie de risque d’un système d’IA ?

En tant que journaliste spécialisé dans la gouvernance de l’IA, je suis plongé dans l’AI Act de l’UE. Voici la ventilation de la manière dont les obligations évoluent en fonction du niveau de risque d’un système d’IA, selon l’AI Act :

Niveaux de risque

L’AI Act emploie une approche basée sur le risque, ce qui signifie que la charge réglementaire est proportionnelle au préjudice potentiel qu’un système d’IA pourrait causer. Voici comment cela fonctionne :

  • Risque inacceptable : Ces systèmes d’IA sont tout simplement interdits. Pensez à l’IA qui manipule les gens pour causer du tort, qui permet des pratiques discriminatoires ou qui crée des bases de données de reconnaissance faciale. La liste figure à l’article 5, alors vérifiez-la !
  • Risque élevé : Cette catégorie est soumise aux exigences les plus strictes. Ces systèmes ont le potentiel de causer des dommages importants, dans des domaines tels que les infrastructures critiques, l’éducation, l’emploi, l’application de la loi, les décisions liées à l’assurance, etc.

    Les systèmes à haut risque nécessitent :

    • Un système de gestion des risques.
    • La gouvernance des données et des contrôles de qualité.
    • Une documentation technique.
    • La conservation des enregistrements (journaux).
    • La transparence et des informations claires pour les déployeurs.
    • Des mécanismes de contrôle humain.
    • Des normes de précision, de robustesse et de cybersécurité.
    • Un système de gestion de la qualité.
    • La conservation de la documentation pendant au moins 10 ans.
    • La coopération avec les autorités compétentes.
    • Une déclaration de conformité UE.
    • Le marquage CE.
    • Une évaluation de la conformité avant la mise sur le marché.
    • L’enregistrement dans la base de données de l’UE.
    • La surveillance post-commercialisation.
    • Le signalement des incidents graves.
    • Une évaluation de l’impact sur les droits fondamentaux.
  • Risque limité : Pour les systèmes d’IA comme les chatbots, l’accent est mis principalement sur la transparence. Les utilisateurs doivent savoir qu’ils interagissent avec une IA. Pour les contenus tels que l’audio, les images, la vidéo ou le texte synthétiques, les fournisseurs doivent également fournir un marquage lisible par machine indiquant qu’ils ont été générés artificiellement.
  • Risque minimal : Cela inclut des éléments tels que les jeux vidéo basés sur l’IA ou les filtres anti-spam. Il n’y a pas d’exigences spécifiques en vertu de l’AI Act.

IA à usage général (GPAI)

L’AI Act aborde également les modèles GPAI. Des exigences de transparence sont définies pour les fournisseurs et les déployeurs, et les modèles GPAI présentant un risque systémique sont soumis à un examen encore plus rigoureux.
Un modèle GPAI est considéré comme un risque systémique lorsque la quantité de calcul utilisée pour son entraînement est supérieure à 10^25 FLOPs.

Principaux points à retenir pour la conformité

Pour les professionnels de la legal-tech qui conseillent des clients, ou pour les responsables de la conformité au sein des organisations :

  • La classification est essentielle : Comprendre comment l’AI Act classe les systèmes et effectuer des évaluations approfondies des risques. La méthode de classification des risques est prescrite dans l’AI Act.
  • La documentation est cruciale : Conserver des enregistrements détaillés de vos systèmes d’IA, de leurs évaluations des risques et des mesures que vous prenez pour vous conformer.
  • La transparence renforce la confiance : Soyez honnête avec les utilisateurs sur le moment où ils interagissent avec l’IA.
  • Restez informé : L’AI Act est complexe, et les interprétations évolueront. Surveillez en permanence les orientations de la Commission européenne et des autres organismes de réglementation.

Quelles sont les distinctions entre les différents rôles définis par l’IA Act et leurs responsabilités correspondantes ?

L’IA Act définit plusieurs rôles clés dans la chaîne de valeur de l’IA, chacun ayant des responsabilités distinctes. Comprendre ces rôles est crucial pour la conformité et la gestion des risques. Ces rôles peuvent également évoluer avec le temps, entraînant de nouvelles obligations pour l’organisation.

Rôles et responsabilités clés

  • Fournisseur (UE) : Développe des systèmes d’IA ou des modèles d’IA à usage général et les met sur le marché de l’UE. Il supporte la charge de conformité la plus importante en vertu de l’IA Act.
  • Fournisseur (hors UE) : S’il est situé en dehors de l’UE, il peut utiliser un importateur ou un distributeur pour placer le modèle d’IA sur le marché de l’UE.
  • Déploiement : Utilise le système d’IA, par exemple, en le mettant à la disposition des employés ou en le proposant aux clients. Ses obligations sont moins nombreuses, mais comprennent la garantie d’une utilisation appropriée et le respect des directives du fournisseur.
  • Représentant autorisé : Une personne au sein de l’UE, mandatée par le fournisseur, pour agir en son nom, servant d’intermédiaire entre les fournisseurs d’IA non européens et les autorités/consommateurs européens.
  • Distributeur : Aide à placer le modèle d’IA sur le marché de l’UE.
  • Importateur : Utilisé par les fournisseurs pour placer le modèle d’IA sur le marché de l’UE.

Les auditeurs internes doivent déterminer le rôle que joue leur entreprise pour chaque système d’IA et être conscients que ces rôles peuvent évoluer. Un utilisateur peut devenir un fournisseur en apportant des modifications importantes au système d’IA ou en le renommant, ce qui déclenche de nouvelles exigences de conformité.

Il est également important de prendre en compte l’ensemble de la chaîne de valeur lors de l’évaluation du processus d’IA ; les auditeurs doivent prendre en compte les risques de l’ensemble de la chaîne de valeur.

Quel est le calendrier de mise en œuvre des réglementations de l’AI Act ?

Les réglementations de l’AI Act seront déployées en plusieurs phases. Voici un aperçu des dates clés à marquer sur votre calendrier de conformité :

  • 1er août 2024 : L’AI Act est officiellement entrée en vigueur. Considérez cela comme le coup d’envoi : il est temps de mettre en place votre stratégie de gouvernance en matière d’IA.
  • 2 février 2025 : Les réglementations relatives aux systèmes d’IA interdits commencent à s’appliquer. Cela signifie que toute IA considérée comme un « risque inacceptable » (violant les droits et valeurs fondamentaux de l’UE) est interdite. Il est temps de vérifier vos systèmes et de garantir leur conformité.
  • 2 août 2025 : Les réglementations pour les modèles d’IA à usage général (GPAI) et la gouvernance publique/l’application de la loi entrent en vigueur. Si vous travaillez avec de grands modèles d’IA, attendez-vous à un examen minutieux et à des exigences de conformité accrues.
  • 2 août 2026 : Presque toutes les autres parties de l’AI Act entrent en vigueur, à l’exclusion de l’article 6(1). Cela englobe l’essentiel des évaluations des risques, de la gestion et des politiques de responsabilité que votre organisation doit mettre en place pour les modèles d’IA à haut risque. Il est maintenant temps d’appliquer la réglementation sur l’IA et de mettre en place des politiques de transparence pour les systèmes d’IA à risque limité.
  • 2 août 2027 : L’article 6(1) commence à s’appliquer. Cela régit la qualification des produits contenant des composants de sécurité de l’IA en tant que produits à haut risque. De plus, les mesures GPAI de 2025, sont maintenant appliquées à tous les systèmes concernés.
  • Note : Les fournisseurs de modèles GPAI déjà utilisés avant août 2025 doivent être conformes à l’AI Act au plus tard/à partir d’août 2025.

french

Que doit prendre en compte l’audit interne lors de l’évaluation du processus d’IA ?

Les auditeurs internes sont désormais confrontés au défi et à l’opportunité d’évaluer les systèmes d’IA au sein de leurs organisations, en particulier à la lumière de la loi européenne sur l’IA. Il ne s’agit plus seulement des risques financiers traditionnels, mais aussi de la conformité, de l’éthique et de l’impact sociétal.

Considérations clés pour les auditeurs internes :

  • Compréhension du paysage de l’IA : Les auditeurs doivent acquérir une solide compréhension des technologies d’IA. Cela inclut les différents niveaux d’autonomie des systèmes d’IA, leurs capacités à générer des résultats et leur influence sur différents environnements. Mettre l’organisation au défi sur la façon dont elle définit l’IA et assure la cohérence dans toutes les unités commerciales.
  • Catégorisation des risques : Se concentrer sur la façon dont l’organisation classe les systèmes d’IA selon les catégories de risque de la loi sur l’IA (inacceptable, élevé, limité, minimal et IA à usage général). Il est essentiel de comprendre que ces catégories représentent des définitions juridiques, et pas seulement des évaluations internes des risques.
  • Rôles et responsabilités : Reconnaître les différents rôles au sein de la chaîne de valeur de l’IA (fournisseur, utilisateur, distributeur, importateur, etc.) et les obligations associées en vertu de la loi sur l’IA. Déterminer comment le rôle de l’organisation pour chaque système d’IA affecte les exigences de conformité. Garder à l’esprit que ces rôles peuvent évoluer avec le temps, entraînant de nouvelles obligations.
  • La conformité comme un projet : Traiter la conformité à la loi sur l’IA comme un projet avec des étapes et des jalons définis pour garantir que l’organisation se prépare de manière ordonnée. Adapter les exigences de haut niveau au contexte spécifique de l’organisation.
  • Gestion des risques et responsabilité : S’assurer que des systèmes d’évaluation des risques, de gestion des risques et de responsabilité sont établis pour les modèles d’IA à haut risque. Examiner attentivement les pratiques de gouvernance des données pour les ensembles de données d’entraînement, de validation et de test, en accordant une attention particulière à la qualité des données et à la minimisation des biais.
  • Transparence et surveillance : Évaluer les politiques de transparence pour les systèmes d’IA à risque limité et les garanties de contrôle humain. S’assurer que les fournisseurs de systèmes d’IA à usage général présentant un risque systémique notifient la commission et disposent de politiques de conformité appropriées. Sonder les mécanismes de transparence pour les utilisateurs et les fournisseurs.

De plus, voici un calendrier que l’audit interne doit garder à l’esprit :

  • 2 février 2025 S’assurer que du matériel de formation approprié à la littératie en IA du personnel est disponible, qu’il existe un inventaire des systèmes d’IA, que ceux-ci ont été classés en fonction des risques, que les systèmes d’IA présentant un risque inacceptable ont été interdits et qu’il existe des politiques en place pour garantir que les futurs systèmes d’IA sont évalués de manière appropriée.
  • 2 août 2025 Vérifier les protocoles de transparence des modèles d’IA à usage général. S’assurer que l’organisation sait avec quels organismes de réglementation et de surveillance elle interagira. Les fournisseurs de modèles d’IA générale présentant un risque systémique doivent notifier la commission.
  • 2 août 2026 Auditer les politiques de gestion des risques, d’évaluation des risques et de systèmes de responsabilisation appropriés pour les modèles à haut risque, ainsi qu’évaluer les politiques de transparence.
  • 2 août 2027 S’assurer que les mesures d’IA à usage général prêtes à partir de 2025 sont désormais appliquées à tous les systèmes. Les fournisseurs de produits contenant des composants d’IA doivent s’assurer que leurs produits sont conformes aux obligations relatives à l’IA à haut risque.

french

Quelles actions spécifiques les organisations doivent-elles entreprendre concernant l’IA ?

À mesure que les systèmes d’IA se généralisent, les organisations sont confrontées à un examen réglementaire de plus en plus minutieux, en particulier avec l’application de la loi européenne sur l’IA. Les actions spécifiques requises dépendront de leur rôle (fournisseur, utilisateur, etc.) et de la classification des risques de leurs systèmes d’IA.

Principaux domaines d’action :

  • Établir une culture de l’IA :

    Les entreprises doivent s’assurer que le personnel traitant les systèmes d’IA possède un niveau suffisant de culture de l’IA pour comprendre et gérer les risques associés et assurer la conformité.

  • Tenir un registre de l’IA :

    Les entreprises doivent créer et tenir un inventaire exhaustif de tous les systèmes d’IA utilisés au sein de l’organisation et de ses filiales, en les classant en fonction des classifications de risque de la loi sur l’IA (inacceptable, élevé, limité, minimal, GPAI).

  • Effectuer des évaluations des risques liés à l’IA :

    Effectuer des évaluations approfondies des risques sur tous les systèmes d’IA, en respectant la méthode de classification des risques prescrite par la loi sur l’IA, et pas seulement une analyse des risques traditionnelle.

  • Mettre en œuvre des systèmes de gestion des risques (IA à haut risque) :

    Pour les systèmes d’IA à haut risque, établir, documenter, maintenir et mettre en œuvre un système de gestion des risques pour gérer les risques raisonnablement prévisibles tout au long du cycle de vie du système.

  • Assurer la gouvernance des données et des données (IA à haut risque) :

    Mettre en œuvre des pratiques robustes de gouvernance des données pour les ensembles de données de formation, de validation et de test, en se concentrant sur la qualité des données et l’atténuation des biais.

  • Préparer la documentation technique (IA à haut risque) :

    Établir une documentation technique complète avant la mise en service du système, comme indiqué dans l’annexe de la loi sur l’IA.

  • Mettre en œuvre la tenue de registres (IA à haut risque) :

    Tenir des registres détaillés des événements (journaux) pour assurer la traçabilité du fonctionnement du système d’IA.

  • Assurer la transparence et la fourniture d’informations (IA à haut risque) :

    Fournir aux utilisateurs des informations transparentes et compréhensibles sur l’utilisation des sorties de l’IA.

  • Mettre en œuvre la surveillance après la mise sur le marché (IA à haut risque) :

    Mettre en œuvre un plan qui collectera des données pertinentes sur les performances du système d’IA pendant toute sa durée de vie.

  • Mettre en place une supervision humaine (IA à haut risque) :

    Concevoir des systèmes d’IA avec des dispositions pour une supervision humaine efficace par des personnes physiques.

  • Respecter les lois sur le droit d’auteur :

    Les lois sur le droit d’auteur doivent être respectées conformément aux exigences du RGPD.

  • Garantir la précision, la robustesse et la cybersécurité (IA à haut risque) :

    Garantir des normes élevées de précision, de robustesse et de cybersécurité pour des performances homogènes du système d’IA.

  • Mettre en œuvre un système de gestion de la qualité (IA à haut risque) :

    Mettre en œuvre un SMQ pour assurer la conformité à la loi sur l’IA.

  • Transparence pour l’IA à risque limité :

    Informer les utilisateurs finaux qu’ils interagissent avec un système d’IA.

  • Marquer le contenu généré par l’IA :

    Les fournisseurs et les utilisateurs doivent marquer le contenu de l’IA, par exemple les images et les vidéos.

Les entreprises doivent assurer la conformité à la loi sur l’IA par le biais de contrôles internes ou d’évaluations du système de gestion de la qualité, impliquant potentiellement des organismes notifiés. Les fournisseurs doivent créer une déclaration de conformité de l’UE et apposer le marquage CE. Les utilisateurs ont également des responsabilités, notamment celle de garantir une utilisation responsable de l’IA avec la formation, les compétences et l’autorité nécessaires.

De plus, si les fournisseurs ont des raisons de soupçonner une non-conformité à la loi sur l’IA, ils doivent prendre des mesures correctives.

french

Quel est l’objectif principal du questionnaire et de l’enquête ?

Le questionnaire et l’enquête décrits dans ce document servent un objectif spécifique et essentiel : évaluer l’état actuel de l’adoption de l’IA et des pratiques d’audit au sein des entreprises, en particulier dans le contexte de la loi européenne sur l’IA (EU AI Act). Ces informations cruciales permettent de comprendre dans quelle mesure les organisations sont préparées aux exigences de la loi sur l’IA et de recenser les lacunes potentielles dans leurs cadres de gouvernance de l’IA.

L’enquête vise à :

  • Comprendre l’application de la loi sur l’IA au sein des organisations.
  • Évaluer l’utilisation actuelle de l’IA dans divers processus opérationnels.
  • Évaluer les approches d’audit interne actuelles des systèmes d’IA.

Détails de l’enquête et profil des participants

L’enquête a inclus des réponses de plus de 40 entreprises, dont une part importante (39 %) opère dans le secteur financier (banque, assurance) et une large majorité (70 %) ayant des activités exclusivement ou également en Europe. Étant donné que 70 % des entreprises interrogées avaient de petites équipes d’audit interne (moins de 10 ETP), dont près de la moitié ne disposait pas d’auditeurs informatiques spécialisés, l’accent est clairement mis sur la nécessité accrue de renforcer les capacités informatiques au sein desdites fonctions d’audit interne.

Principales conclusions exploitables

  • L’adoption de l’IA est généralisée : Une part importante des entreprises (57 %) a déjà déployé ou est en train de mettre en œuvre des systèmes d’IA.
  • Lacune en matière de culture de l’IA : Bien qu’une majorité (85 %) des répondants aient une bonne ou juste compréhension de l’IA, un pourcentage plus faible (71 %) comprend l’audit de l’IA spécifiquement, et seulement 56 % reflètent une vision claire de la loi européenne sur l’IA, ce qui implique un besoin global de formation accrue sur la loi européenne sur l’IA afin que les services d’audit puissent effectuer des processus d’assurance de l’IA efficacement.
  • Efforts de conformité en cours : 60 % des entreprises concernées par la loi sur l’IA lancent des projets pour assurer la conformité aux nouvelles exigences réglementaires.
  • Faible utilisation de l’IA par l’audit interne : La majorité (72 %) des services d’audit interne n’utilisent pas activement les systèmes d’IA dans leurs processus d’audit. Lorsque l’IA est utilisée, c’est principalement pour l’évaluation des risques (33 %).
  • Adoption de l’IA générative : 64 % des entreprises utilisent ou mettent en œuvre des systèmes d’IA générative, et 44 % ont des réglementations internes régissant leur développement et leur utilisation.

Ces données soulignent la nécessité pour les organisations de renforcer leurs efforts de conformité, de fournir une formation adéquate sur la loi sur l’IA et d’envisager d’intégrer l’IA dans leurs processus d’audit interne. Pour les auditeurs internes, l’enquête souligne l’importance de développer des cadres pour évaluer et auditer l’utilisation de l’IA au sein de leurs organisations, apporter des avantages et réduire efficacement les risques.

french

Quelles sont les principales conclusions concernant l’adoption de l’IA par les entreprises, basées sur les résultats de l’enquête ?

Une récente enquête met en lumière l’état actuel de l’adoption de l’IA au sein des entreprises, en particulier dans le contexte de la loi européenne sur l’IA. Les résultats révèlent un usage généralisé de l’IA, mais soulignent également des points d’inquiétude concernant la préparation à la conformité et les capacités d’audit interne.

Taux d’adoption de l’IA et domaines d’intérêt

  • Adoption généralisée : Environ 57 % des entreprises interrogées ont déjà déployé des systèmes d’IA (39 %) ou ont des projets de mise en œuvre en cours (18 %).
  • Nécessité de mieux connaître la loi sur l’IA : Bien que la majorité soient des entreprises financières opérant en Europe et donc soumises à la loi sur l’IA (60 %), la compréhension des exigences de la loi européenne sur l’IA reste faible (56 %). Cela met en évidence la nécessité d’initiatives de formation dédiées au sein des organisations.
  • Dynamique de l’IA générative : Il existe un intérêt substantiel pour l’IA générative, avec 64 % des entreprises interrogées qui utilisent ou mettent en œuvre ces systèmes. Environ 44 % de ces entreprises ont mis en place des réglementations internes concernant cette technologie.
  • Support des processus : Les systèmes d’IA standard et générative sont principalement déployés pour soutenir :
    • Le service client, les ventes et le marketing.
    • L’intelligence économique et l’analyse, la finance et la comptabilité.
    • L’informatique et la cybersécurité (plus important avec l’IA générative).

Principales préoccupations en matière de conformité et de réglementation

  • Lacunes en matière de normalisation : Une part importante des entreprises (72 %) n’utilisent pas l’IA pour les audits ou les activités internes.
  • Préparation à l’audit interne : Seuls 28 % ont défini une architecture technologique standard pour les systèmes d’IA existants. De plus, 44 % ont mis en place une structure de réglementation interne pour superviser l’utilisation, mais 85 % ont déclaré avoir une bonne ou une assez bonne compréhension de l’IA. Mais dans l’ensemble, seuls 56 % des personnes interrogées ont déclaré avoir une bonne ou une assez bonne compréhension de la loi sur l’IA. Cela révèle des défis potentiels lors de l’audit des systèmes d’IA sans une structure solide pour se conformer.

Implications pratiques pour les responsables de la conformité

  • Impératif de perfectionnement : Il semble y avoir un besoin constant de planifier et de déployer des activités de formation dédiées à l’IA pour la législation européenne sur l’IA. Ceci est nécessaire pour promouvoir une utilisation responsable et compétente.
  • Renforcement des compétences en matière d’audit interne : Les compétences des auditeurs internes pour l’audit de l’IA sont améliorées par une formation interne ou externe. Cependant, il est important de renforcer ces compétences pour continuer à se conformer correctement aux réglementations.

Quels sont les principaux enseignements de l’enquête concernant le rôle de l’audit interne vis-à-vis de l’IA ?

Une enquête récente met en lumière l’état actuel et l’orientation future de l’implication de l’audit interne dans l’IA, en particulier dans le contexte de la loi européenne sur l’IA. Les résultats révèlent à la fois les opportunités et les défis pour les auditeurs alors qu’ils naviguent dans ce paysage en évolution.

Adoption et compréhension de l’IA :

Les principaux enseignements sont les suivants :

  • Utilisation limitée de l’IA dans l’audit : Une majorité importante (72 %) des services d’audit interne n’utilisent pas actuellement de systèmes d’IA pour leurs activités d’audit.
  • Cas d’utilisation spécifiques : Parmi ceux qui utilisent l’IA, l’évaluation des risques est la principale activité prise en charge (33 %).
  • Compréhension des concepts de l’IA : Bien que la plupart des personnes interrogées déclarent avoir une bonne ou assez bonne compréhension des concepts généraux de l’IA (85 %) et de l’audit des systèmes d’IA (71 %), la compréhension de la loi européenne sur l’IA en particulier est plus faible (56 %). Cela indique un besoin crucial de formation ciblée.

Combler le déficit de compétences :

L’enquête souligne la nécessité d’améliorer les compétences au sein des services d’audit :

  • Développement des compétences : Les services d’audit s’attaquent principalement aux compétences en matière d’audit de l’IA par le biais d’une formation interne/externe (57 %) et du partage des connaissances (29 %), avec un recrutement dédié limité (14 %).
  • Petites équipes d’audit : Un nombre important de répondants (70 %) indiquent que leur fonction d’audit interne comprend moins de 10 employés à temps plein (ETP). Près de la moitié (48 %) n’ont pas d’auditeurs informatiques spécialisés. Combinées à l’évolution rapide de la technologie, ces données soulignent la nécessité de renforcer les équipes d’audit interne avec des compétences informatiques.

La loi européenne sur l’IA et la conformité :

La recherche révèle des informations essentielles sur la loi, les plans de conformité et le rôle de l’audit interne :

  • Applicabilité de la loi : 60 % des entreprises reconnaissent qu’elles seront soumises à la nouvelle loi sur l’IA.
  • Projets de conformité : Un peu plus de la moitié (53 %) des entreprises concernées ont lancé ou prévoient de lancer un projet de conformité pour se conformer aux nouvelles réglementations.

Informations sur l’IA générative :

Les informations spécifiques sur l’utilisation de l’IA générative comprennent :

  • Statistiques d’adoption : 64 % des entreprises utilisent ou prévoient de mettre en œuvre des systèmes d’IA générative.
  • Réglementations internes : 44 % des personnes interrogées ont des réglementations internes spécifiques à l’IA générative.
  • Processus pris en charge : L’application la plus fréquente de l’IA et de la GenAI se situe au niveau du service client, des ventes, du marketing et de la veille économique, de l’analyse, des finances et de la comptabilité.

Ces résultats soulignent la nécessité pour les fonctions d’audit interne de développer de manière proactive des cadres d’audit de l’IA et d’accroître leur compréhension de la loi sur l’IA. Alors que les organisations se lancent dans l’adoption de l’IA, les auditeurs jouent un rôle essentiel pour garantir une utilisation responsable de l’IA et la conformité.

L’arrivée de la loi sur l’IA marque un tournant important, exigeant des organisations qu’elles fassent évoluer leur approche de la gouvernance et de la conformité. Si de nombreuses entreprises adoptent déjà l’IA, une compréhension claire des nuances de la loi, notamment dans le domaine réglementaire, reste un défi. Il est essentiel que les entreprises investissent du temps et des ressources dans la conformité, en reconnaissant que le succès futur de l’IA dépend d’une base de considérations éthiques, d’une gestion robuste des risques et de pratiques transparentes. L’audit interne doit rapidement développer les connaissances et les outils nécessaires pour assurer une supervision cruciale, en guidant leurs organisations vers une innovation responsable dans cet environnement technologique transformateur.

Articles

A bridge illustrating the connection between different jurisdictions in AI governance.

Impact de la loi européenne sur l’IA sur la gouvernance des entreprises

juin 30, 2025 Conformité IA UE,IA,Intégration des réglementations IA,Régulation IA EU
Ce projet de recherche examine comment la Loi sur l'intelligence artificielle de l'UE catalyse une transformation systémique dans les cadres de gouvernance et de responsabilité des entreprises. Il met...
Read More
A cybersecurity shield illustrating the defense mechanisms necessary to ensure accountability in AI technologies.

Réveil Cybernétique : L’Impact de l’IA sur la Sécurité

juin 30, 2025 AI Ethics,Conformité des pratiques IA,IA,Sécurité des systèmes IA
Les organisations doivent prendre en compte que l'IA transforme rapidement le paysage des menaces en cybersécurité, tout en offrant des opportunités pour améliorer la détection et la réponse...
Read More
A sturdy bridge

Vers une législation éclairée sur l’IA en Thaïlande

juin 30, 2025 AI Ethics,IA,Regulation IA
M. Sak déclare que la législation à venir vise à protéger les utilisateurs des risques potentiels liés à l'IA et à supprimer les obstacles juridiques que les lois existantes ne peuvent pas traiter. La...
Read More
A medical cross signifying healthcare-focused AI regulations.

Texas renforce la gouvernance de l’IA avec des lois ciblées pour le secteur de la santé

juin 30, 2025 IA,Régulation IA dans le secteur médical
Le Texas a franchi une étape importante dans la réglementation de l'intelligence artificielle (IA) avec l'adoption de la Loi sur la gouvernance responsable de l'IA (TRAIGA), qui établit un cadre pour...
Read More
A compass

Révolutionner la gouvernance de l’IA pour un avenir responsable

juin 29, 2025 AI Ethics,Conformité IA,IA,Regulation IA
Riskonnect a annoncé le lancement de sa nouvelle solution de gouvernance de l'IA, permettant aux organisations de gérer les risques et les obligations de conformité des technologies d'IA de manière...
Read More
A magnifying glass

L’Alignement de l’IA : Vers une Gouvernance Éthique

juin 29, 2025 AI Ethics,IA,Regulation IA
Gillian K. Hadfield a été nommée professeure distinguée Bloomberg en alignement et gouvernance de l'IA à l'Université Johns Hopkins. Elle se concentre sur la manière dont les systèmes d'IA peuvent...
Read More
A pair of scissors

Les dangers cachés du porno par échange de visages

juin 29, 2025 AI Fundamental Rights Protection,Éthique de l'IA,IA,Regulation IA
La technologie de remplacement de visage, alimentée par l'IA, permet aux utilisateurs de remplacer le visage d'une personne dans une vidéo de manière très réaliste. Cependant, son utilisation abusive...
Read More
A compass

L’Illusion Bruxelloise : L’Acte sur l’IA de l’UE et son Impact International

juin 29, 2025 Compliance des lois sur l'IA,Conformité IA UE,IA,Régulation IA EU
L'Acte sur l'IA de l'UE projette un modèle réglementaire qui, bien qu'influant sur d'autres juridictions, révèle un mirage en raison des valeurs légales et culturelles distinctes qui façonnent la...
Read More
A compass

L’Illusion Bruxelloise : L’Acte sur l’IA de l’UE et son Impact International

juin 28, 2025 Compliance des lois sur l'IA,Conformité IA UE,IA,Régulation IA EU
L'Acte sur l'IA de l'UE projette un modèle réglementaire qui, bien qu'influant sur d'autres juridictions, révèle un mirage en raison des valeurs légales et culturelles distinctes qui façonnent la...
Read More

Ready to become AI compliant?

Take the first steps in your transformation towards international AI compliance.

Book a Discovery Call See Frameworks

Explore

Aucun

Need More Assistance?

Our expert sales team is here to answer your questions, just leave your email and we’ll get in touch.

Research & Market Studies
A light bulb
Audits Algorithmiques : Un Guide Pratique pour l’Équité, la Transparence et la Responsabilité dans l’IA
La liste de contrôle d'audit de l'IA est un élément vital du Programme de soutien...
A compass
Explicabilité de l’IA : un guide pratique pour instaurer la confiance et la compréhension
Ce document de recherche explore le concept crucial de l'explicabilité de l'IA, en soulignant son...
A shield symbolizing protection against unregulated AI practices.
Gouvernance de l’IA : Transparence, Éthique et Gestion des Risques à l’Ère de l’IA
Ce document présente le troisième projet d'un Code de Pratiques complet pour l'IA à usage...
A magnifying glass over a document
Audit Éthique de l’IA : Du Poussoir Réglementaire à la Construction d’une IA Fiable
Ce document de recherche explore l'impact transformateur des grandes données sur la société, mettant en...
Latest News on AI Compliance
No posts found.

© 2023 AI Sigil

Medium Envelope