La Régulation de l’IA devient sérieuse en 2025 : Votre organisation est-elle prête ?
Au cours des 12 à 18 prochains mois, les organisations seront confrontées à un paysage de plus en plus complexe en matière de conformité aux réglementations de l’IA. Alors que l’adoption de l’IA s’accélère dans divers secteurs, les gouvernements du monde entier avancent des législations pour faire face aux risques et à l’utilisation de l’IA.
Pour les dirigeants en sécurité, ces cadres réglementaires présentent des défis significatifs en matière de gouvernance, de gestion des risques et de planification de la conformité.
Début février 2025 : Le lancement de la loi sur l’IA de l’UE
Semblable au RGPD, la loi sur l’IA de l’UE adoptera une approche phasée pour sa mise en œuvre. Le premier jalon arrive le 2 février 2025, date à laquelle les organisations opérant dans l’UE doivent garantir que les employés impliqués dans l’utilisation, le déploiement ou la supervision de l’IA possèdent une littératie en IA adéquate.
Ensuite, à partir du 1er août, tout nouveau modèle d’IA basé sur les normes GPAI doit être entièrement conforme à la loi. À l’instar du RGPD, des amendes considérables pour non-conformité sont à prévoir : 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial, selon le montant le plus élevé.
Applications à haut risque et défi des inventaires d’actifs IA
Les phases ultérieures de la loi sur l’IA de l’UE, prévues pour fin 2025 et début 2026, introduiront des exigences plus strictes concernant les applications d’IA prohibées et à haut risque. Pour les organisations, cela soulèvera un défi de gouvernance majeur : maintenir visibilité et contrôle sur les actifs d’IA.
Le concept de Shadow IT — utilisation d’outils non approuvés par les employés — n’est pas nouveau, mais les outils d’IA générative ont amplifié ce problème. En comparaison avec les logiciels traditionnels, les outils d’IA sont souvent plus attrayants pour les utilisateurs finaux, qui peuvent contourner les contrôles pour tirer parti de leurs avantages perçus en termes de productivité.
Comprendre les cas d’utilisation de l’IA : Au-delà du suivi des outils
La complexité croissante des cadres comme la loi sur l’IA de l’UE réside dans leur attention portée aux cas d’utilisation à haut risque. La conformité nécessitera que les organisations aillent au-delà de l’identification des outils d’IA utilisés ; elles devront également évaluer comment ces outils sont utilisés, quelles données sont partagées et quelles tâches l’IA effectue.
Par exemple, un employé utilisant un outil d’IA générative pour résumer des documents internes sensibles présente des risques très différents de quelqu’un utilisant le même outil pour rédiger du contenu marketing.
Trois étapes pour le succès
Avec l’accélération de la réglementation à l’échelle mondiale, la préparation dès aujourd’hui sera essentielle pour éviter les perturbations demain. Voici ce que les organisations peuvent faire dès maintenant :
- Établir un comité IA – si ce n’est pas déjà fait, constituer une équipe interfonctionnelle pour relever le défi de l’IA. Cela devrait inclure des représentants de la gouvernance, mais aussi des parties prenantes en sécurité et en affaires.
- Obtenir de la visibilité – comprendre ce que vos employés utilisent et à quelles fins.
- Former les utilisateurs pour qu’ils comprennent l’IA et les risques associés.
Les 12 à 18 prochains mois nécessiteront une attention et une collaboration soutenues entre les équipes de sécurité, de conformité et de technologie pour rester en avance sur ces développements.
