Quelles sont les principales caractéristiques du paysage de la normalisation de l’IA ?
Le paysage européen de la normalisation de l’IA est actuellement façonné par plusieurs facteurs clés. Les normes harmonisées en vertu de la loi européenne sur l’IA (EU AI Act) sont conçues pour fournir une voie claire vers le marquage CE et faciliter l’accès au marché de l’UE pour les systèmes d’IA. Cependant, le processus de normalisation implique des dynamiques complexes entre les parties prenantes, des obstacles techniques à la mise en œuvre et des coûts potentiellement importants, en particulier pour les startups et les PME. Les normes techniques remodèlent la concurrence mondiale en matière d’IA et constituent des barrières à l’entrée sur le marché, en particulier pour les startups et les PME en raison de la limitation des ressources et de la participation inégale aux processus d’établissement des normes.
Principales parties prenantes et comités
Le paysage est peuplé de multiples acteurs clés, notamment des organismes de normalisation, des acteurs de l’industrie, des groupes de la société civile et des organisations scientifiques. Les principaux comités de normalisation comprennent :
- ISO/IEC JTC 1/SC 42 (IA) : Un comité international avec de nombreuses normes publiées et en développement.
- IEEE AI Standards Committee : Un autre acteur important avec des normes existantes et à venir.
- CEN-CENELEC JTC 21 (IA) : Un comité européen conjoint travaillant sur l’élaboration de normes conformément à la loi européenne sur l’IA.
En outre, les organismes nationaux de normalisation, comme DIN en Allemagne, collaborent avec les organismes internationaux pour équilibrer les efforts nationaux et internationaux.
Normes horizontales vs. verticales
Les principaux défis de la normalisation dépendent du type de norme considéré :
- Normes horizontales : Les normes sectorielles agnostiques définies dans la loi sur l’IA s’appliquent de manière générale. Toutefois, l’ambiguïté et la complexité apparaissent dans la mise en conformité en raison de la diversité des interprétations entre les secteurs et les États membres.
- Normes verticales : Des normes sectorielles spécifiques peuvent être requises en plus des normes horizontales, en fonction de la législation existante. Ceci est particulièrement pertinent pour les machines, les dispositifs médicaux et autres industries avec des réglementations sectorielles établies.
L’interaction entre les normes horizontales et verticales présente d’importants défis de conformité, notamment en ce qui concerne la transparence, l’interopérabilité et les exigences de confidentialité différentes entre les États membres de l’UE.
Défis et préoccupations concernant le processus de normalisation de la loi sur l’IA
Plusieurs défis entravent le processus de normalisation, notamment :
- Délais critiques : Les délais serrés fixés par la Commission européenne peuvent être difficiles à respecter compte tenu de la complexité de la formation d’un consensus et de la nécessité de s’aligner sur les besoins de normalisation mondiaux et sectoriels.
- Dynamiques complexes entre les parties prenantes : Les grandes entreprises, en particulier les géants américains de la technologie et du conseil, dominent souvent les comités de normalisation, ce qui entraîne une sous-représentation des PME, des startups et des organisations de la société civile.
- Coûts injustifiables : Le coût d’accès aux normes soulève des inquiétudes, notamment à la lumière de l’affaire Malamud, qui examine si les normes harmonisées devraient être librement accessibles en tant que partie intégrante du droit de l’UE.
- Obstacles à la mise en œuvre opérationnelle : Transformer les normes en étapes concrètes est difficile. Cela peut être résolu par des Smart Standards lisibles par machine pour automatiser les capacités de test.
Les courts délais de mise en œuvre entre les publications finales des normes et l’application de la loi sur l’IA constituent une préoccupation majeure.
Quel est l’état actuel du processus de normalisation de l’IA en Europe ?
La loi européenne sur l’IA repose fortement sur les normes techniques pour opérationnaliser ses exigences à haut risque, mais le processus de normalisation rencontre certains obstacles. La Commission européenne a adressé une demande de normalisation au CEN et au CENELEC en mai 2023, visant à définir des exigences concrètes pour les systèmes d’IA. Cependant, la date limite initiale était initialement fixée à avril 2025 ; elle a maintenant été reportée à août 2025. Même avec cette prolongation, le respect des délais est incertain. Une fois les normes finalisées, elles devront passer par un autre examen et pourront être publiées au JOUE, ce qui est actuellement prévu pour début 2026, puis les fournisseurs d’IA n’auront qu’environ 6 à 8 mois pour les mettre en œuvre d’ici août 2026.
À l’heure actuelle, plus de 300 experts de plus de 20 États membres de l’UE travaillent à la spécification des exigences à haut risque de la loi sur l’IA et, actuellement, le JTC 21 CEN-CENELEC travaille sur environ 35 activités de normalisation pour répondre à la demande. La plupart des éléments de travail sont basés sur ou co-développés avec les normes ISO/CEI, mais de nombreux aspects de la loi sur l’IA nécessitent de nouvelles normes européennes pour l’alignement avec les valeurs de l’UE et la protection des droits fondamentaux.
La demande de normalisation de la Commission européenne a défini dix livrables essentiels traitant des principales exigences réglementaires – de la gestion des risques à l’évaluation de la conformité. Les livrables comprennent :
- Gestion des risques pour les systèmes d’IA
- Gouvernance et qualité des données des ensembles de données
- Conservation des enregistrements grâce à des capacités de consignation intégrées
- Transparence et information aux utilisateurs
- Supervision humaine des systèmes d’IA
- Spécifications de précision pour les systèmes d’IA
- Spécifications de robustesse pour les systèmes d’IA
- Spécifications de cybersécurité pour les systèmes d’IA
- Gestion de la qualité pour les fournisseurs de systèmes d’IA, y compris le processus de surveillance après la mise sur le marché
- Évaluation de la conformité des systèmes d’IA
Les travaux sont en cours, mais les dates de vote prévues pour une bonne partie des éléments de travail sont attendues pour mi-2026, dépassant de plus d’un an la date limite de la demande de normalisation. Bien que des progrès aient été réalisés dans l’établissement de normes d’IA, les retards pourraient avoir un impact sur la capacité des fournisseurs d’IA à déployer des systèmes sûrs et conformes.
Quelles conclusions peut-on tirer des implications intersectorielles et sectorielles des normes en matière d’IA ?
Sur la base d’entretiens avec des organisations de l’UE développant et déployant des systèmes d’IA, plusieurs implications intersectorielles et sectorielles des normes en matière d’IA se dégagent, découlant principalement de la future réglementation de la loi européenne sur l’IA.
Constatations intersectorielles
Plusieurs défis et opportunités généraux recoupent différents secteurs :
- Ambiguïté et complexité de la conformité : Il est difficile de définir les limites de la conformité, en particulier lorsque les systèmes intègrent plusieurs composants ou modèles tiers. Les exigences divergentes en matière de confidentialité entre les États membres de l’UE exacerbent ces problèmes, créant des conflits opérationnels. L’ambiguïté de la classification (par exemple, les systèmes évoluant d’un support de conception à un contrôle opérationnel) est également une préoccupation essentielle. Même les organisations connaissant les cadres réglementaires existants ont du mal à aligner les exigences de la loi sur l’IA.
- Demandes de ressources : La loi sur l’IA exige des ressources importantes. Les fournisseurs d’IA prévoient des coûts de conformité annuels d’environ 100 000 € pour le personnel et de 10 à 20 % du temps de gestion. Les coûts de certification peuvent dépasser 200 000 € dans des secteurs comme la technologie médicale et la technologie juridique. Ces coûts pèsent sur les startups qui recherchent volontairement la certification afin de minimiser l’incertitude réglementaire.
- Impact sur la réputation du marché : Les acteurs établis dans les domaines de la santé et de la technologie juridique considèrent la réglementation comme potentiellement bénéfique pour la confiance du marché, tandis que d’autres craignent des barrières à l’innovation fondées sur la normalisation. Les PME craignent que les exigences de conformité n’affectent de manière disproportionnée leur capacité à se développer, ce qui pourrait les faire perdre du terrain au profit des juridictions où les charges réglementaires sont moins lourdes.
- Participation asymétrique à l’établissement des normes : La participation limitée des PME et des startups à la normalisation signifie que les petites entreprises pourraient être désavantagées. Les efforts de normalisation au sein des comités JTC 21 sont souvent dominés par les grandes entreprises.
- Juridictions fragmentées : Les divergences entre les cadres réglementaires retardent l’entrée sur le marché de l’UE, ce qui rend d’autres marchés (par exemple, les États-Unis) plus attrayants. Des interprétations variables entre les États membres de l’UE créent des difficultés de mise en œuvre. Les entreprises s’inquiètent des retards et des incohérences dans les processus de certification, sur la base de leurs expériences passées.
- Délais de mise en œuvre courts : Les entreprises estiment que la date limite d’août 2026 est irréalisable et estiment avoir besoin de 12 mois par norme. Les calendriers pourraient considérablement détourner les ressources des activités de développement.
Constatations sectorielles
Certains secteurs sont confrontés à des défis particuliers et tirent des avantages spécifiques :
- Santé et technologie médicale : Ces secteurs tirent parti de l’expérience existante en matière de conformité au MDR. La normalisation offre une valeur ajoutée potentielle pour améliorer l’interopérabilité.
- Fabrication : La normalisation prévoit un alignement étroit entre les normes techniques, les normes ISO 9001, ISO 31000 et les protocoles de l’industrie 4.0. Une documentation complète est nécessaire pour les décisions fondées sur l’IA.
- Technologie juridique : Le maintien de pistes d’audit détaillées pour les résultats de l’IA est gourmand en ressources, en particulier lors du traitement de données client sensibles. Ils prévoient que le respect des normes à haut risque peut les établir comme des leaders en matière d’IA éthique et améliorer la confiance des clients.
- Technologie financière : Des préoccupations existent quant aux exigences trop prescriptives qui pourraient favoriser les institutions établies, et sont particulièrement préoccupées par le fait qu’elles ressemblent aux expériences vécues lors de la mise en œuvre de la DSP2. La normalisation est considérée comme un moyen de renforcer la confiance, mais les petites entreprises craignent que des exigences de conformité complexes ne les accablent.
En outre, les normes techniques affecteront les secteurs de la mobilité/automobile et de la défense, même si certaines parties de ces secteurs ne relèvent pas directement du champ d’application de la loi sur l’IA. Les fournisseurs d’IA dans le domaine de la mobilité considèrent les normes comme une arme à double tranchant.
Le secteur de la défense, exclu pour des raisons de sécurité nationale, subit une pression indirecte en raison des impacts sur l’écosystème. Bien qu’elles ne soient pas directement réglementées, les entreprises de défense surveillent de près les impacts des normes sur la disponibilité des modèles d’IA open source et les normes générales en matière d’IA.
En conclusion, bien que les normes en matière d’IA offrent des possibilités d’amélioration de la transparence, de la sécurité et de l’interopérabilité, leur mise en œuvre efficace nécessite un examen attentif des défis auxquels sont confrontées les petites organisations, la nécessité de directives plus claires et le risque de fragmentation réglementaire qui pourrait entraver l’innovation dans l’écosystème de l’IA de l’UE.
Quelles recommandations politiques sont présentées pour relever les défis posés par la loi européenne sur l’IA ?
La loi européenne sur l’IA, aussi novatrice soit-elle, présente d’importants obstacles pour les développeurs d’IA, en particulier les startups et les PME. Une conclusion essentielle de l’analyse récente est la nécessité de politiques pratiques et réalisables pour faciliter la conformité. Voici une ventilation des recommandations :
Ajustements de calendrier : Plus de marge de manœuvre
Les délais actuels ne sont pas réalistes. L’écart entre la publication prévue des normes harmonisées (début 2026) et la date limite de conformité (août 2026) ne laisse que 6 à 8 mois pour la mise en œuvre. De nombreuses entreprises estiment avoir besoin d’au moins 12 mois par norme. La recommandation est claire : le législateur européen devrait reporter les dates limites de mise en œuvre afin de laisser des délais plus réalistes. Ceci est crucial pour permettre aux entreprises de choisir leur approche de conformité optimale, qu’il s’agisse de s’appuyer sur des normes harmonisées, des spécifications communes ou des avis d’experts. Il est également recommandé de réduire la complexité et le nombre de normes techniques référencées.
Réduire les barrières à la participation : Une place à la table pour tous
L’engagement des parties prenantes, en particulier des PME et des startups, est vital. Cependant, le processus de normalisation a tendance à être dominé par les grandes entreprises. Voici ce qui doit se passer : Des subventions pour que les petites organisations puissent participer aux comités sont essentielles. Une transparence et une accessibilité accrues pour les programmes de subventions existants sont nécessaires. Des efforts de normalisation collaboratifs entre les grands et les petits acteurs, favorisés par des groupes de travail inclusifs, peuvent aider à créer un processus plus équilibré et représentatif. De plus, les organismes de normalisation devraient être restructurés pour être plus transparents et conviviaux, simplifiant les processus d’entrée pour les nouveaux venus.
Aide à la mise en œuvre pratique : Un coup de main pour naviguer dans la complexité
Le Bureau européen de l’IA et les autorités de surveillance nationales devraient fournir des outils d’orientation pragmatiques pour la conformité à la loi sur l’IA, en ciblant spécifiquement les PME. Les recommandations incluent : La publication de boîtes à outils de mise en œuvre et de cadres d’évaluation clairs et spécifiques au secteur. La création de réseaux d’experts basés sur des canaux de communication bidirectionnels avec les industries d’IA à haut risque. Offrir un soutien dans des environnements institutionnalisés, tels que les bacs à sable réglementaires. L’objectif est de rendre le processus de conformité plus gérable et compréhensible, en particulier pour ceux qui ont des ressources limitées.
Soutien financier : Financer l’avenir de la conformité à l’IA
Un soutien financier direct est essentiel pour les startups en phase de pré-revenus qui cherchent à se conformer à la loi sur l’IA. Les programmes proposés devraient fournir un financement pour couvrir les coûts de conformité avant que les entreprises ne commencent à générer des revenus. Ce soutien peut être facilité par la participation à des bacs à sable réglementaires, permettant aux startups et aux régulateurs de tirer des leçons des expériences pratiques.
Lignes directrices pour la mise en œuvre technique : De la clarté là où elle est nécessaire
Des orientations de mise en œuvre rapides, pratiques et spécifiques à l’industrie sont essentielles, en particulier pour les petites startups qui ont du mal à déterminer si elles relèvent des catégories d’IA à haut risque de la loi sur l’IA. Les actions recommandées comprennent : L’élaboration de documents d’orientation détaillés et spécifiques au secteur, avec des exemples concrets et des scénarios du monde réel. Les organismes de normalisation devraient également s’efforcer de concevoir des normes qui ne nécessitent pas d’opérationnalisation supplémentaire, en se concentrant sur des exigences fondées sur des seuils et un accès numérique plus facile.
Intégration structurée des PME : Canaux de consultation directe
Mettre en place des forums consultatifs et des panels scientifiques, conformément à l’article 67 de la loi sur l’IA, en veillant à ce que ces organismes comprennent une représentation des startups, des PME et des experts sectoriels. Développer des canaux de consultation directe entre les startups/PME spécialisées dans l’IA et les organismes de réglementation, soutenus par des points de contact clairs au niveau de l’UE. Ces mesures visent à garantir que les perspectives et les défis des petits acteurs sont pris en compte dans les orientations de mise en œuvre et les discussions en cours. Les organes de l’UE devraient contacter plus activement les startups/PME.
Alignement des normes : La cohérence est essentielle
Enfin, il est recommandé que les organismes de normalisation alignent les normes verticales spécifiques à l’industrie sur l’article 40 de la loi sur l’IA pour les systèmes d’IA à haut risque. Les normes européennes et internationales en matière d’IA devraient être alignées le plus étroitement possible afin de rationaliser les efforts de conformité des entreprises. Les organismes de normalisation internationaux, européens et nationaux doivent coopérer plus étroitement. En outre, les présomptions négatives de conformité devraient être évitées, permettant les dérogations nécessaires aux catalogues de normes tout en garantissant la sécurité des produits. Tirez parti des normes existantes pour faciliter l’entrée sur les marchés internationaux en maintenant la cohérence et l’interopérabilité.
