Règlement sur l’IA de l’UE : Normalisation : Équilibrer l’innovation, la conformité et la concurrence

Quels sont les objectifs fondamentaux de l’IA Act de l’UE ?

L’IA Act européen vise à établir des règles juridiques harmonisées pour le développement et le déploiement sûrs de l’IA au sein de l’UE. La normalisation technique joue un rôle essentiel, traduisant les exigences juridiques abstraites en lignes directrices concrètes et exploitables. Cela est censé réduire les incertitudes juridiques et renforcer la compétitivité sur le marché intérieur.

Notamment, les normes visent à :

• Établir des conditions de concurrence équitables et cohérentes.
• Rationaliser les processus afin de réduire les coûts de mise en œuvre réglementaire.
• Faciliter un développement et des opérations de produits plus efficaces.

Principales préoccupations réglementaires

L’IA Act de l’UE cherche à opérationnaliser les exigences juridiques à haut risque, en les rendant plus prescriptives grâce à des normes techniques. L’alignement sur ces normes offre une «présomption de conformité», simplifiant la conformité et réduisant le besoin de solutions personnalisées nécessitant beaucoup de ressources. Cependant, il impose le respect rigoureux des exigences couvrant des domaines tels que la gestion des risques, la gouvernance des données, la transparence et la cybersécurité.

Implications pratiques

Pour atteindre les objectifs de l’IA Act, l’impact sur diverses industries et participants au marché doit être pris en compte. L’IA Act pourrait devenir un instrument crucial pour mettre en œuvre des normes techniques en tant que barrières à l’entrée sur le marché, ce qui aurait un impact particulier sur les startups et les PME qui n’ont pas les ressources nécessaires pour participer aux processus de normalisation. Cela pourrait remodeler la concurrence en matière d’IA et nécessiter des ajustements politiques pour garantir un accès équitable et éviter d’imposer une charge excessive aux petits acteurs.

Quels sont les principaux acteurs impliqués dans le processus de normalisation de l’IA ?

Le processus mondial de normalisation de l’IA implique de nombreux acteurs clés. Ceux-ci peuvent principalement être classés comme des organismes de normalisation, des acteurs de l’industrie, des groupes de la société civile et des organisations scientifiques.

Organismes de normalisation

Il existe trois comités notables axés sur la normalisation de l’IA :

• ISO/IEC JTC 1/SC 42 (AI) – Organisé par l’Organisation internationale de normalisation (ISO) en collaboration avec la Commission électrotechnique internationale (CEI). A publié 34 normes, dont 40 sont encore en cours d’élaboration.
• IEEE AI Standards Committee – Organisé au sein de l’Institute of Electrical and Electronics Engineers (IEEE). A produit 12 normes et travaille sur 59 normes supplémentaires.
• CEN-CENELEC JTC 21 (AI) – Un comité conjoint du Comité européen de normalisation (CEN) et du Comité européen de normalisation électrotechnique (CENELEC). A publié 10 normes, dont 33 sont encore en cours d’élaboration.

Au niveau des États membres de l’UE, les organismes nationaux de normalisation ont mis en place des comités de travail reflétant principalement les travaux de l’ISO/IEC JTC 1/SC 42 (AI) et du CEN-CENELEC JTC 21 (AI). Cela permet d’équilibrer les efforts nationaux et internationaux (par exemple, européens) et garantit la mise en œuvre coordonnée des normes européennes dans les États membres de l’UE.

Acteurs de l’industrie et organisations scientifiques

Les acteurs de l’industrie et les organisations scientifiques contribuent à la normalisation de l’IA, notamment par le biais de normes industrielles, de catalogues d’audit de l’IA et de cadres de test. Les exemples notables incluent :

• AI HLEG ALTAI – La liste d’évaluation de l’IA digne de confiance du groupe d’experts de haut niveau sur l’IA, opérationnalisant les lignes directrices éthiques du groupe d’experts de haut niveau sur l’IA.
• NIST AI RMF – Le cadre de l’US National Institute of Standards and Technology pour gérer les risques liés à l’IA.
• Mission KI Standard – Une initiative allemande développant une norme de qualité volontaire pour les applications d’IA.
• Catalogue Fraunhofer IAIS – Le catalogue d’évaluation de l’IA de l’Institut Fraunhofer d’analyse intelligente et de systèmes d’information (IAIS). Offre une ligne directrice structurée qui peut être utilisée pour définir des normes de qualité abstraites de l’IA en critères d’évaluation spécifiques à l’application couvrant six dimensions de la fiabilité.
• BSI AIC4 – Le catalogue de conformité des services de cloud d’IA de l’Office fédéral allemand de la sécurité de l’information, spécifiant les exigences minimales pour l’apprentissage automatique sécurisé dans les services de cloud.

Comment les normes verticales en matière d’IA influencent-elles la mise en œuvre de l’AI Act ?

Bien que l’AI Act soit conçu comme une réglementation horizontale, indépendante du secteur d’activité, la Commission européenne a envisagé des spécifications verticales particulières pour certains secteurs. Voici l’essentiel de la manière dont ces normes verticales influent sur le déploiement de l’AI Act :

L’harmonisation sectorielle est essentielle : La participation des acteurs des secteurs ayant des exigences techniques existantes – tels que les machines, les dispositifs médicaux, l’aviation, l’automobile et la finance – est essentielle pour le développement réussi de normes harmonisées dans le cadre de l’AI Act. Cette approche collaborative garantit que les nouvelles réglementations sont bien informées et pratiquement applicables.

Les actes délégués intégreront les exigences de l’AI Act : L’article 102 et suivants de l’AI Act impose que ses exigences en matière d’IA à haut risque soient intégrées dans les réglementations existantes d’accès au marché pour des secteurs tels que l’automobile, l’aviation et le ferroviaire. Comment cela se fera-t-il ? Par le biais d’actes délégués s’appuyant sur des spécifications techniques. Il faut s’attendre à ce que les organismes de normalisation soient chargés d’ajouter les stipulations de l’AI Act aux normes sectorielles existantes liées à l’homologation.

Des normes sectorielles spécifiques sont en train d’émerger : Bien que la plupart des secteurs ne disposent pas actuellement de normes spécifiques à l’IA, certains sont pionniers en la matière. Citons par exemple la norme BS 30440:2023 du British Standards Institute (BSI) pour l’IA dans les soins de santé et la norme ISO/PAS 8800 pour les systèmes d’IA critiques pour la sécurité dans les véhicules routiers. Cette dernière pourrait jouer un rôle essentiel dans l’intégration des exigences de l’AI Act via la loi sur la réception par type (Règlement (UE) n° 168/2013), conformément à l’article 104 de l’AI Act. De même, la Society of Automotive Engineers (SAE) est en train de développer la norme SAE ARP6983 pour les produits de sécurité aéronautique pilotés par l’IA.

Considérations relatives au secteur de la défense : Bien qu’il soit largement exclu du champ d’application direct de l’AI Act (Art. 2(3) AI Act), le secteur de la défense reconnaît la nécessité de normes d’IA spécifiques au secteur et travaille activement à leur élaboration.

Conformité volontaire : Les secteurs qui ne sont pas directement couverts par les normes de l’AI Act ou les normes d’IA spécifiques à un secteur manifestent de l’intérêt. Certains ont l’intention de se conformer volontairement aux normes correspondantes, anticipant que leurs clients pourraient être soumis à des exigences de l’AI Act en matière d’IA à haut risque à l’avenir.

Effets induits

Les secteurs de la mobilité/automobile et de la défense, bien que partiellement en dehors du champ d’application direct de l’AI Act (tel que défini par l’art. 103 et suivants de l’AI Act), anticipent des implications majeures de l’AI Act. Les fournisseurs d’IA dans le secteur de la mobilité considèrent les normes comme une arme à double tranchant, offrant des gains en matière de transparence et de sécurité, mais imposant des charges opérationnelles importantes, en particulier pour les systèmes complexes exigeant des fonctions d’explicabilité et de cybersécurité avancées.

Les entreprises de défense, bien qu’explicitement exclues pour des raisons de sécurité nationale, sont confrontées à des pressions indirectes dues aux impacts sur l’écosystème et aux considérations relatives au double usage. Ces entreprises suivent de près l’impact de l’AI Act sur la disponibilité des modèles d’IA open-source et les normes générales en matière d’IA, en adhérant souvent à des normes de sécurité strictes comparables à celles des applications civiles.

Certaines entreprises de mobilité envisagent de s’implanter sur des marchés où la charge réglementaire est moins lourde en raison de difficultés financières et opérationnelles. Les entreprises de défense, à l’inverse, voient des avantages concurrentiels potentiels dans l’adoption de normes à haut risque, favorisant la collaboration civilo-militaire et la confiance dans les systèmes de collaboration homme-IA.

Quels sont les principaux défis du calendrier de la normalisation de l’AI Act ?

Les normes techniques sont essentielles pour la conformité à l’AI Act, mais le processus de normalisation est confronté à des pressions critiques sur le calendrier, à des dynamiques complexes entre les parties prenantes et à des préoccupations concernant les coûts et l’opérationnalisation.

Compression critique du calendrier

La date limite initiale pour l’élaboration des normes était avril 2025, mais elle sera probablement prolongée jusqu’en août 2025. Même avec cette prolongation, le calendrier reste serré, ne laissant potentiellement que 6 à 8 mois aux entreprises pour se conformer après la publication des normes au Journal officiel de l’Union européenne, prévue début 2026. C’est nettement moins que les 12 mois minimum dont la plupart des entreprises, en particulier les startups et les PME, disent avoir besoin pour une mise en œuvre efficace.

Déséquilibre de la représentation des parties prenantes

La composition des comités de normalisation, tels que le CEN-CENELEC JTC 21, est fortement biaisée en faveur des grandes entreprises, les grandes entreprises technologiques et de conseil américaines détenant souvent une présence majoritaire. Cela crée un déséquilibre, limitant la participation et l’influence des PME, des startups, des organisations de la société civile et du monde universitaire. Cette disparité peut conduire à des normes qui ne répondent pas adéquatement aux besoins et aux préoccupations des petits acteurs du marché, créant potentiellement des obstacles disproportionnés à l’entrée.

Préoccupations relatives aux coûts

Les entreprises sont également confrontées à des difficultés liées au coût de la compréhension et de la mise en œuvre des normes techniques applicables. L’affaire « Malamud » de la Cour de justice européenne a mis en lumière la question de savoir si les normes harmonisées devraient être librement accessibles, soulevant des questions sur le droit d’auteur et la monétisation. Selon les futures affaires judiciaires, la normalisation européenne pourrait perdre des contributions essentielles des organismes internationaux de normalisation. Si les entreprises n’ont pas les moyens d’acheter les normes techniques pertinentes, elles risquent une « présomption de non-conformité négative », ce qui signifie que leurs efforts alternatifs de conformité pourraient être considérés avec partialité par les autorités de surveillance. La non-conformité peut entraîner de lourdes amendes (jusqu’à 35 millions d’euros), une restriction de l’accès au marché et une atteinte à la réputation.

Obstacles à l’opérationnalisation

Un défi important est la nécessité d’une plus grande opérationnalisation des normes techniques. Actuellement, ces normes sont principalement disponibles sous forme de fichiers PDF, ce qui nécessite une interprétation et une application manuelles. Pour résoudre ce problème, les organismes de normalisation allemands tels que DIN et DKE s’efforcent de mettre en place des « normes SMART » lisibles, interprétables, exécutables et contrôlables par machine. Le succès de cet objectif pourrait déterminer la possibilité d’une réduction des coûts associés à l’application des normes.

Comment la dynamique des parties prenantes affecte-t-elle le processus de normalisation de l’AI Act ?

Les efforts de normalisation pour l’AI Act impliquent plus de 1 000 experts au sein des comités miroirs nationaux, révélant un défi structurel en matière de représentation des parties prenantes. Principalement, les grandes entreprises, y compris les principales entreprises technologiques et de conseil américaines, dominent ces comités. Cela crée une disparité, affectant les PME, les startups, la société civile, les institutions indépendantes et le monde universitaire.

La participation à la normalisation offre aux entreprises des avantages stratégiques via le transfert de connaissances et l’établissement de relations. Cependant, la sous-représentation des petites parties prenantes découle des ressources nécessaires à la participation aux comités. Les associations industrielles sont apparues comme des intermédiaires, regroupant et représentant les intérêts de ces parties prenantes au sein des organismes de normalisation.

Ce déséquilibre structurel génère des avantages compétitifs pour les grandes entreprises sur le marché européen, leur permettant d’influencer le développement des normes techniques. L’influence substantielle des entreprises américaines soulève également des préoccupations quant à la représentation des valeurs et des perspectives européennes. La participation limitée des petites entités exclut potentiellement des connaissances cruciales, compromettant ainsi le développement complet de la sécurité.

Défis dans la dynamique des parties prenantes :

• Participation asymétrique : Les petits acteurs sont souvent éclipsés par les grandes entreprises.
• Contraintes de ressources : Les PME et les startups ont du mal à allouer les ressources nécessaires à la participation.
• Représentation des valeurs : Des inquiétudes existent quant à la représentation adéquate des valeurs de l’UE compte tenu de l’influence des entreprises américaines.

Le manque d’inclusion souligne la nécessité de processus de normalisation plus équilibrés qui intègrent efficacement diverses perspectives et expertises afin d’éviter des normes qui affectent de manière disproportionnée les petits acteurs du marché.

Quelles sont les implications financières potentielles liées à l’accès aux normes d’IA ?

Le paysage des normes d’IA ne se limite pas aux spécifications techniques ; il est profondément lié à des considérations financières qui pourraient avoir un impact significatif sur les fournisseurs d’IA, en particulier les startups et les PME. Voici une ventilation des principales implications financières :

Coûts directs de la conformité

Bien que les documents de normes eux-mêmes devraient être gratuits, grâce à une décision de la plus haute juridiction européenne, le coût de la mise en œuvre de ces normes est loin d’être négligeable. Les entreprises prévoient des charges financières importantes :

• Personnel dédié : les entreprises pourraient devoir allouer environ 100 000 € par an pour le personnel dédié à la conformité.
• Temps de gestion : les fondateurs et la direction pourraient consacrer 10 à 20 % de leur temps aux questions liées aux normes.
• Coûts de certification : certaines estimations chiffrent les dépenses de certification des systèmes d’IA à plus de 200 000 €.

Coûts indirects et accès au marché

Les ramifications financières vont au-delà de l’évidence :

• Impact potentiel sur le délai de commercialisation et la part de marché concurrentielle

Les entreprises qui ne respectent pas les délais de conformité risquent des amendes allant jusqu’à 7 % du chiffre d’affaires mondial ou 35 millions d’euros, ce qui pourrait être paralysant, en particulier pour les petites entreprises. La non-conformité peut également restreindre l’accès au marché de l’UE, ce qui place les entreprises conformes dans une position plus forte.

Risque de réputation

Au-delà des sanctions financières directes, il existe un risque d’atteinte à la réputation. Une couverture médiatique négative et une perte de confiance des clients peuvent compromettre les relations commerciales à long terme, en particulier dans les secteurs averses au risque.

Participation asymétrique à la normalisation

Les petites entreprises manquent souvent de ressources pour participer efficacement aux comités de normalisation. Les grandes entreprises peuvent influencer le développement des normes à leur avantage, ce qui pourrait entraîner des coûts de conformité plus élevés pour les PME :

• Influence : les acteurs les plus importants peuvent « intégrer » des normes techniques favorisant leurs objectifs commerciaux.
• Connaissances : une influence asymétrique peut signifier que des perspectives cruciales sont exclues des normes qui définissent le marché.

L’affaire Malamud et l’accessibilité des normes

L’affaire « Malamud » exige que les normes harmonisées soient librement accessibles. Cependant, l’ISO et la CEI contestent cette décision devant les tribunaux, ce qui soulève des inquiétudes quant à la monétisation potentielle des normes techniques. Cela a soulevé des préoccupations majeures concernant la viabilité financière des organisations européennes de normalisation, qui dépendent des revenus tirés des ventes de normes pour soutenir leurs opérations.

Quelle est l’importance de l’opérationnalisation des normes techniques dans le contexte de la loi sur l’IA ?

La loi européenne sur l’IA, en tant que premier ensemble complet de règles régissant le développement et le déploiement de l’IA, s’appuie sur la normalisation technique comme outil clé de mise en œuvre. Les exigences relatives à l’IA à haut risque dans la loi sur l’IA sont délibérément abstraites, ce qui rend leur mise en œuvre directe difficile pour les organisations. Les normes techniques sont essentielles pour opérationnaliser ces exigences légales, en les transformant en lignes directrices plus prescriptives et exploitables.

Normes harmonisées et présomption de conformité

Les normes harmonisées, élaborées par des organisations européennes de normalisation telles que le CEN, le CENELEC et l’ETSI sur la base des demandes de la Commission européenne, représentent un cadre essentiel pour la conformité à la loi sur l’IA. Ces normes, après leur publication au Journal officiel de l’Union européenne (JOUE), offrent une « présomption de conformité » aux systèmes d’IA à haut risque qui les respectent. Cela simplifie la conformité, offre une sécurité juridique et, idéalement, réduit la charge administrative pesant sur les fournisseurs d’IA.

Impact sur l’accès au marché et la concurrence

Des normes techniques correctement conçues et mises en œuvre peuvent aider à:

• Établir des règles du jeu équitables pour la conception et le développement des systèmes d’IA.
• Réduire les coûts de mise en œuvre réglementaire.
• Rationaliser les processus et potentiellement éliminer le besoin de solutions de R&D personnalisées.
• Rendre le développement et les opérations des produits plus efficaces.

Cependant, la montée en puissance des normes d’IA remodèle également la concurrence mondiale en matière d’IA et pourrait soulever des barrières à l’entrée sur le marché, en particulier pour les start-ups et les petites et moyennes entreprises (PME).

Défis et préoccupations

Bien que les normes techniques soient conçues pour faciliter la conformité à la loi sur l’IA, plusieurs défis doivent être relevés:

• Pression temporelle : Le calendrier actuel pour l’élaboration et la mise en œuvre des normes pourrait être trop ambitieux, laissant aux fournisseurs un temps insuffisant pour s’adapter.
• Représentation des parties prenantes : Les grandes entreprises, y compris les entreprises technologiques et de conseil américaines, dominent souvent les comités de normalisation, ce qui entraîne une sous-représentation des PME, des start-ups et de la société civile.
• Accessibilité et coût : Le coût de l’identification des normes techniques applicables et de leur accès pourrait désavantager les petites entreprises. Une affaire pendante devant la Cour de justice européenne pourrait modifier la question de savoir si les normes harmonisées doivent être librement accessibles.
• Opérationnalisation : Les normes techniques doivent être davantage opérationnalisées afin de rationaliser la conformité et de garantir que les organisations peuvent appliquer efficacement les normes à leurs cas d’utilisation spécifiques.

Quel est l’état actuel du processus de normalisation de l’AI Act ?

La demande de normalisation de la Commission européenne pour l’AI Act a défini dix livrables essentiels abordant les principales exigences réglementaires. Ces livrables sont la base du travail de normalisation au sein du CEN-CENELEC JTC 21, la plupart des travaux en cours étant axés sur la satisfaction de ce mandat. Dans la mesure du possible, les éléments de travail sont basés sur les normes ISO/IEC ou codéveloppés avec elles (environ 2/3 des éléments de travail).

Domaines clés de la normalisation

Le travail de normalisation s’appuie sur environ 35 normes, la plupart traitant des livrables individuels de la demande de normalisation. D’autres livrables, tels que le cadre de confiance en l’intelligence artificielle et les normes de soutien sur la terminologie, touchent à plusieurs livrables de la demande de normalisation. Ces normes formeront un cadre intégré par le biais de diverses interrelations, telles que l’intégration hiérarchique ou les dépendances opérationnelles.

Voici une ventilation de l’état d’avancement des travaux de normalisation à la fin de 2024 :

• Gestion des risques : ISO/IEC 23894 déjà publiée, mais une norme européenne « maison » de gestion des risques liés à l’IA est en cours d’élaboration (WI : JT021024), avec une date de vote prévue le 30 septembre 2026. Cette norme européenne comblera les lacunes de l’autre, notamment en ce qui concerne la conformité à l’AI Act.
• Gouvernance et qualité des ensembles de données : Six éléments de travail sont en cours, y compris les normes ISO/IEC et les normes européennes. Les normes encore en cours d’élaboration/d’approbation seront axées sur des mesures quantifiables de la qualité des données et des propriétés statistiques tout au long du cycle de vie du système d’IA.
• Tenue de registres : Deux éléments de travail sont en cours : ISO/IEC 24970 sur la journalisation des systèmes d’IA et le cadre européen de confiance en l’intelligence artificielle (WI : JT021008).
• Transparence et information aux utilisateurs : Deux éléments de travail du CEN-CENELEC JTC 21 sont prévus. ISO/IEC 12792 déjà en cours de consultation.
• Supervision humaine : Abordée par le seul cadre de confiance en l’intelligence artificielle (WI : JT021008).
• Spécifications de précision pour les systèmes d’IA : Sept éléments de travail sont en cours, y compris les normes ISO/IEC et les normes « maison », qui établiront des exigences allant au-delà des mesures de performance de base.
• Spécifications de robustesse pour les systèmes d’IA : Le CEN-CENELEC JTC 21 a affecté quatre éléments de travail aux normes européennes et à l’IA.
• Spécifications de cybersécurité pour les systèmes d’IA : Avec (au moins) deux normes « maison » prévues.
• Système de gestion de la qualité : Se réfère aux exigences de l’art. 17 de l’AI Act (système de gestion de la qualité) et devrait être complété par 2 normes.
• Évaluation de la conformité des systèmes d’IA : Avec une publication prévue de 5 normes ou documents, ce livrable complète les travaux existants avec les spécificités demandées dans l’AI Act de l’UE.

Cependant, il convient de noter que certains éléments de travail avaient des dates de vote prévues au milieu de l’année 2026, dépassant de plus d’un an le délai initial de la demande de normalisation.

Défis et critiques

La Commission européenne a déjà exprimé des critiques concernant le travail de normalisation du CEN-CENELEC, en particulier en ce qui concerne la portée et le nombre de normes référencées. L’état d’avancement des travaux souligne la nature ambitieuse du processus de normalisation de l’AI Act et les difficultés à respecter les délais imposés. Des évaluations plus récentes sont attendues au cours de l’été et de l’automne 2025.

Quelles sont les principales caractéristiques des normes relatives à la transparence pour les utilisateurs de systèmes d’IA ?

Des normes techniques sont en cours d’élaboration pour soutenir les exigences de l’article 13 de la loi européenne sur l’IA, qui se concentrent sur la transparence et la fourniture d’informations aux utilisateurs. Les efforts de normalisation visent à résoudre le problème de la « boîte noire », où les processus de prise de décision internes des systèmes d’IA sont opaques.

Normes clés en cours de développement

• ISO/IEC 12792 (Taxonomie de la transparence des systèmes d’IA) : Cette norme établit des exigences pour les artefacts de transparence afin de garantir que les informations connexes soient complètes, significatives, accessibles et compréhensibles pour les publics cibles.
• Cadre de confiance pour l’intelligence artificielle (WI : JT021008) : Ce cadre fournit un cadre général pour les exigences de confiance et de transparence.

Pour la norme ISO/IEC 12792, une attention particulière est accordée aux exigences réglementaires européennes. Ces normes visent à rendre les résultats des systèmes d’IA compréhensibles pour les utilisateurs en précisant quelles informations doivent être divulguées et comment elles doivent être accessibles.

Quel est le rôle des normes dans la garantie de la supervision humaine des systèmes d’IA ?

Les normes jouent un rôle essentiel dans la spécification des exigences de l’article 14 de la loi européenne sur l’IA, qui se concentre sur la supervision humaine des systèmes d’IA. Ces normes sont principalement traitées par le cadre de confiance de l’intelligence artificielle (élément de travail : JT021008) en cours d’élaboration par le CEN-CENELEC JTC 21.

Voici une ventilation des aspects clés :

L’objectif primordial est d’assurer un contrôle humain efficace sur les systèmes d’IA dans divers contextes opérationnels :

• Dans la fabrication, les normes doivent permettre l’intervention humaine sans sacrifier l’efficacité de la production.
• Dans le secteur financier, les mécanismes de surveillance sont essentiels pour les systèmes algorithmiques fonctionnant à des vitesses dépassant les temps de réaction humains. Cela implique la mise en place d’interfaces de surveillance et de mécanismes de contrôle, ainsi que des mesures organisationnelles telles que les protocoles de formation.

Plus précisément, ces normes doivent établir des critères clairs pour sélectionner les mesures de supervision appropriées qui sont alignées sur l’utilisation prévue d’un système d’IA et les risques identifiés.

Les principales considérations comprennent :

• Mesures techniques : interfaces de surveillance et mécanismes de contrôle.
• Mesures organisationnelles : protocoles de formation.
• Procédures de vérification : s’assurer que les mécanismes de supervision humaine sont efficaces.

Les normes doivent également définir des résultats vérifiables concernant la supervision du système. Les personnes physiques doivent être en mesure de maintenir efficacement le contrôle opérationnel et d’intervenir lorsque cela est nécessaire, même avec des systèmes d’IA de plus en plus complexes et rapides.

En bref, les normes visent à fournir un cadre pour garantir que les humains conservent un contrôle et des capacités d’intervention significatifs sur les systèmes d’IA, quels que soient leur application ou leur complexité.

Quel est l’objectif des spécifications de précision dans les systèmes d’IA ?

Les spécifications de précision dans les systèmes d’IA, telles que mandatées par l’article 15(1) et (3) de la loi européenne sur l’IA, ne se limitent pas à atteindre des objectifs de performance. L’objectif est de s’assurer que ces mesures sont manifestement appropriées et efficaces pour répondre aux objectifs réglementaires de la loi.

Voici ce que cela signifie en termes pratiques :

Définition de mesures et de seuils appropriés

Les entreprises peuvent s’attendre à ce que les normes offrent des instructions précises sur la sélection des mesures de précision et la fixation de seuils clairs. Attendez-vous à des protocoles de test rigoureux et à des pratiques de documentation détaillées.

Étalonnage pour un usage général

Les normes émergentes spécifient des processus et des cadres d’évaluation pour évaluer les modèles d’IA par rapport à des tâches standardisées, en particulier dans des domaines tels que l’étalonnage général, ce qui peut avoir un impact significatif sur l’applicabilité pratique et réduire les incertitudes réglementaires.

Mesures et atténuation des risques

L’élément clé, à mesure que ces normes se précisent, sera d’établir un lien démontrable entre les mesures de précision et les stratégies d’atténuation des risques. Cela implique de sélectionner, de mesurer et de valider les mesures en fonction de l’utilisation prévue du système d’IA et des risques identifiés.

Actuellement, le CEN-CENELEC JTC 21, le comité mixte travaillant sur les normes d’IA, a attribué sept éléments de travail à ce livrable. Ceux-ci incluent plusieurs normes qui sont co-développées avec ISO/IEC, ainsi que plusieurs normes « faites maison ». Ces normes devraient être finalisées fin 2025 ou début 2026.

Quel est l’objectif des spécifications de cybersécurité pour les systèmes d’IA ?

Les systèmes d’IA, en particulier ceux classés à haut risque par la loi européenne sur l’IA, sont de plus en plus vulnérables aux cyberattaques sophistiquées qui peuvent compromettre leur intégrité, leur fiabilité et leur sécurité. Reconnaissant cette menace croissante, la loi européenne sur l’IA impose des spécifications de cybersécurité pour protéger ces systèmes contre les interférences malveillantes.

L’objectif de ces spécifications, selon les efforts de normalisation en cours, est multiple :

Objectifs clés

• Définition des exigences de sécurité : Établir des normes claires et objectives pour la mise en œuvre d’une évaluation des risques de sécurité robuste et d’un plan d’atténuation spécifiquement adaptés aux systèmes d’IA à haut risque.
• Traitement des vulnérabilités spécifiques à l’IA : Les normes visent à capturer de manière proactive les aspects liés aux menaces spécifiques à l’IA, telles que l’empoisonnement des données, l’empoisonnement des modèles, l’évasion des modèles et les attaques de confidentialité – des domaines souvent négligés par les cadres de cybersécurité traditionnels.
• Définition des approches techniques et organisationnelles : Les spécifications engloberont à la fois les mesures techniques et les procédures organisationnelles nécessaires pour établir une posture de sécurité résiliente pour les systèmes d’IA.
• Établissement de méthodes de vérification : La définition d’objectifs de sécurité spécifiques à atteindre et à vérifier par le biais de tests est cruciale, en particulier au niveau du système, lorsque les mesures d’atténuation des vulnérabilités au niveau des composants peuvent ne pas être entièrement efficaces.

À mesure que le paysage de la normalisation évolue, les travaux en cours commencent à aborder les menaces spécifiques à l’IA, principalement sous forme de conseils. Cependant, comme de nouvelles menaces et contre-mesures émergent constamment, un objectif clé de la nouvelle normalisation sur la cybersécurité de l’IA sera de définir les exigences essentielles pour la mise en œuvre d’une évaluation des risques de sécurité et d’un plan d’atténuation pour les systèmes d’IA à haut risque.

Le respect de ces spécifications de cybersécurité ne consiste pas simplement à cocher une case ; il s’agit de bâtir la confiance et d’assurer le déploiement responsable de systèmes d’IA qui peuvent avoir un impact profond sur les individus et la société. Les entreprises qui ne respectent pas ces exigences risquent des amendes importantes (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial) et un accès restreint au marché européen.

Quel est l’objectif principal des normes relatives aux systèmes de management de la qualité ?

Les normes relatives aux systèmes de management de la qualité, en particulier dans le contexte de la législation européenne sur l’IA, visent à garantir que les fournisseurs de systèmes d’IA respectent des références de qualité spécifiques. Ces normes ne concernent pas seulement la qualité générale ; elles sont spécifiquement conçues pour traiter les risques associés à l’IA, en veillant à ce que les systèmes à haut risque soient fiables, robustes et sûrs pour les utilisateurs.

Voici à quoi se résume l’objectif :

• Conformité réglementaire : Les normes sont conçues pour rendre opérationnelles les exigences légales relatives aux systèmes d’IA à haut risque de la législation sur l’IA. Le respect de ces normes offre une présomption de conformité, simplifiant ainsi la conformité et réduisant idéalement la charge administrative pour les fournisseurs d’IA.

• Atténuation des risques : Les normes mettent l’accent sur une approche de la gestion des risques centrée sur le produit, dans le but de promouvoir la protection des droits individuels.

• Accès au marché : La conformité rationalise le processus de marquage CE (conformit´e europ´eenne), facilitant ainsi l’accès au marché européen.

• Établir des règles du jeu équitables : Les normes soutiennent l’établissement de conditions de concurrence égales et des règles du jeu équitables pour la conception technique et le développement des systèmes d’IA.

La norme la plus pertinente dans ce domaine est la norme ISO/IEC 42001, complétée par une norme « maison », AI – Système de management de la qualité à des fins réglementaires. Cette dernière norme s’appuie sur de multiples normes ISO/IEC et se concentre sur la conformité réglementaire et les risques spécifiques abordés par la législation sur l’IA d’un point de vue centré sur le produit.

Comment les normes d’évaluation de la conformité soutiennent-elles l’AI Act ?

Les normes d’évaluation de la conformité sont cruciales pour naviguer dans les exigences complexes de l’AI Act. Ces normes, principalement en cours d’élaboration par le CEN-CENELEC JTC 21, visent à préciser comment les systèmes d’IA peuvent être évalués pour garantir qu’ils respectent les obligations de l’Act. Cela comprend la définition des exigences pour les organismes effectuant des audits et des certifications des systèmes de gestion de l’IA.

Le rôle des normes ISO/IEC 42006 et 29119-11

Les normes existantes ISO/IEC 42006 (Exigences relatives aux organismes effectuant l’audit et la certification des systèmes de gestion de l’IA) et ISO/IEC 29119-11 (Tests des systèmes d’IA) servent de points de départ. Toutefois, de nouvelles normes sont nécessaires pour traiter les vulnérabilités spécifiques à l’IA et l’évaluation de la conformité.

Domaines où des normes sont en cours d’élaboration

Les principaux efforts en cours comprennent :

• Exigences en matière de compétences : Élaboration de normes pour les exigences en matière de compétences des auditeurs et des professionnels des systèmes d’IA.
• Cadre d’évaluation de la conformité de l’IA : Création d’un cadre spécifiquement destiné à évaluer la conformité de l’IA. (Élément de travail : JT021038)
• Traitement des vulnérabilités spécifiques à l’IA : Évaluation des solutions techniques pour traiter les vulnérabilités spécifiques à l’IA.

L’importance des normes harmonisées

Une fois ces normes harmonisées (publiées au Journal officiel de l’Union européenne), elles créent une « présomption de conformité ». Cela signifie que les systèmes d’IA qui respectent ces normes sont automatiquement considérés comme conformes aux exigences pertinentes de l’AI Act, ce qui simplifie la conformité et réduit la charge administrative pour les fournisseurs d’IA.

Défis liés à la mise en œuvre et à l’évaluation des normes

Cependant, plusieurs défis demeurent :

• Alignement : Ces normes s’appuient sur des travaux existants, tels que la boîte à outils ISO CASCO, qui fournit une base pour les principes et les orientations génériques en matière d’évaluation de la conformité. Toutefois, elles devront également définir la manière dont ces cadres d’évaluation de la conformité doivent être adaptés et appliqués spécifiquement aux caractéristiques uniques des systèmes d’IA à haut risque.
• Décalage dans la mise en œuvre : Une préoccupation majeure est le court délai dont disposeront les entreprises pour mettre en œuvre ces normes après leur finalisation et leur publication (probablement début 2026). Cela pourrait laisser aussi peu que 6 à 8 mois avant que les exigences en matière de risques élevés de l’AI Act ne deviennent applicables.
• Coordination : Il est nécessaire d’assurer une coordination étroite entre les éléments de travail de normalisation parallèles afin de garantir que les normes qui en résultent sont complémentaires et adaptées à l’objectif de soutenir la mise en œuvre du cadre réglementaire.

En fin de compte, le succès de l’AI Act dépend de l’élaboration et de la mise en œuvre efficace de ces normes d’évaluation de la conformité. Les parties prenantes doivent s’engager activement pour s’assurer que les normes sont pratiques, complètes et alignées sur les objectifs réglementaires.

Quels sont les défis communs à plusieurs secteurs pour la mise en œuvre des normes d’IA ?

Dans divers secteurs, la conformité aux normes émergentes en matière d’IA présente plusieurs difficultés communes. Les startups d’IA en phase de croissance dans les secteurs à haut risque ont déjà commencé à s’aligner sur les normes attendues, tandis que les jeunes entreprises ont du mal à le faire en raison de calendriers peu clairs et d’un manque d’orientations spécifiques.

Un obstacle majeur est l’ambiguïté d’interprétation de ces normes. La définition de la conformité peut être floue, en particulier lorsque les systèmes intègrent divers composants ou reposent sur des modèles tiers. Des lois divergentes sur le secret commercial entre les États membres de l’UE ajoutent une autre couche de complexité, créant des conflits opérationnels pour des secteurs tels que la legal tech. De plus, même les entreprises expérimentées des secteurs hautement réglementés comme la santé ont du mal à concilier les exigences de l’AI Act avec les réglementations existantes, en particulier lorsqu’elles combinent des techniques d’IA telles que le traitement d’images et l’analyse du langage.

Malgré l’attente que les normes techniques elles-mêmes soient gratuites, les fournisseurs d’IA se méfient des coûts indirects substantiels. La conformité peut exiger des investissements annuels d’environ 100 000 à 300 000 € par an, plus le temps dédié des principaux responsables. Même les fournisseurs qui ne sont pas considérés comme « à haut risque » pourraient se sentir obligés de se conformer volontairement afin de limiter leur responsabilité, ce qui pourrait entraîner des dépenses excessives.

L’analyse des fournisseurs d’IA interrogés brosse un tableau nuancé de la façon dont l’AI Act a un impact sur l’innovation, en distinguant les entreprises bien établies des entreprises émergentes. La tendance montre que pour les entreprises des secteurs où il existe déjà une réglementation, comme la santé, l’adaptation est facilitée par leur expérience préalable avec des dispositifs similaires. Alors que, pour celles qui n’ont pas d’expérience en matière de réglementation, la mise en œuvre de la conformité est beaucoup plus difficile.

En ce qui concerne l’intégration des cadres juridiques. Beaucoup signalent que les divergences entre les cadres juridiques dans l’UE retardent déjà l’entrée sur le marché de l’UE, faisant des États-Unis une option plus raisonnable pour commencer. Cela crée également des problèmes pour les cadres déjà établis tels que le RGPD, et est encore problématisé par des lois nationales et locales contradictoires qui varient selon les États membres.

La plupart des entreprises pensent que la date d’août 2026 n’est pas réaliste, notamment parce qu’il faut compter un an pour se conformer à une seule norme technique (par exemple, ISO/CEI 27001), même avec l’aide d’experts. Une meilleure option serait une introduction progressive, en particulier pour les PME, afin de permettre des périodes d’adaptation plus pratiques.

Participation asymétrique au processus d’élaboration des normes

La participation aux réunions du JTC 21, aux groupes de travail et aux comités miroirs des États membres semblait très faible par rapport au nombre de fournisseurs. La plupart des petits et moyens fournisseurs ont admis qu’ils sont « rarement » ou « irrégulièrement » impliqués dans les activités de normalisation en raison du manque de connaissances et de ressources. La normalisation favorise les grandes entreprises et ce déséquilibre crée un environnement disproportionné pour les petites entreprises, selon de nombreux fournisseurs.

Comment la complexité de la conformité à l’IA affecte-t-elle le marché ?

La complexité de la conformité à l’IA, en particulier en vertu de la loi européenne sur l’IA, devrait remodeler considérablement le paysage du marché. Les défis émergents, résultant des ambiguïtés dans les limites de la conformité, des exigences de secret divergentes et des règles de classification complexes, nécessitent une compréhension plus granulaire de la façon dont ces facteurs affectent les différents acteurs.

Principaux défis de la conformité

Voici une ventilation des principaux défis de conformité identifiés par les fournisseurs d’IA :

• Ambiguïtés d’interprétation : Définir les limites de la conformité est complexe, en particulier lorsque les systèmes d’IA intègrent plusieurs composants ou des modèles tiers.
• Divergences sectorielles : Les exigences de secret divergentes entre les États membres de l’UE créent des conflits opérationnels. La conciliation des lois sur le secret professionnel avec les exigences d’enregistrement réglementaires s’avère difficile.
• Incertitude de classification : Incertitude quant à la façon dont la classification des risques s’applique dans différents cas, soulignant les préoccupations concernant les technologies à double usage.
• Complexités d’intégration : L’alignement des exigences de la loi sur l’IA avec les réglementations existantes peut être difficile lorsque les systèmes combinent plusieurs modalités d’IA, telles que le traitement d’images et les modèles de langage.
• Incertitude de l’application : L’ambiguïté concernant les preuves spécifiques requises pour démontrer la conformité, en particulier en ce qui concerne les tests de biais et la robustesse du modèle, suscite l’inquiétude.

Impact sur les entreprises

Les données des entretiens suggèrent un point de vue préoccupant sur la façon dont la loi sur l’IA affecte l’innovation, soulignant en particulier un fossé entre les entreprises établies et les entreprises émergentes.

• Charges de coûts : Des coûts importants liés aux exigences de la loi sur l’IA sont attendus, ce qui amène les entreprises à s’inquiéter des coûts indirects.
• Exigences de personnel : Les flux de travail de conformité à la loi sur l’IA peuvent exiger le dévouement de ressources de personnel dédiées très importantes. Cela se traduit par des coûts opérationnels continus au-delà des investissements initiaux de conformité.
• Obstacles à l’innovation : Les PME craignent que les exigences de conformité n’affectent de manière disproportionnée leurs capacités de mise à l’échelle.
• Pressions concurrentielles : Les charges réglementaires de l’UE peuvent perdre du terrain face à des juridictions comme les États-Unis, où des charges réglementaires moins élevées permettent des cycles d’innovation plus rapides et une plus grande flexibilité.

D’autre part, les fournisseurs de technologies de soins de santé et juridiques semblent mieux placés pour s’adapter en raison de leur expérience avec les cadres existants et considèrent donc la réglementation comme potentiellement bénéfique pour la confiance du marché.

Il convient également de noter que la fragmentation entre les juridictions entraîne des retards dans les entrées sur le marché de l’UE.

Impact sur la normalisation

Il existe un modèle de participation asymétrique au processus d’élaboration des normes. Le processus de normalisation peut favoriser les grandes entreprises.

Dans l’ensemble, ces facteurs ont le potentiel de rendre la normalisation très difficile pour l’acteur moyen.

Quelles ressources sont nécessaires pour parvenir à la conformité en matière d’IA ?

Parvenir à la conformité en matière d’IA, en particulier en vertu de la loi européenne sur l’IA, exige une approche multidimensionnelle impliquant des ressources importantes et une planification stratégique. Le défi ne consiste pas seulement à comprendre la réglementation ; il s’agit de traduire les exigences abstraites en pratiques tangibles.

Personnel et expertise

Un domaine clé est l’allocation de personnel qualifié. Les responsables de la conformité sont essentiels, mais de plus en plus, les organisations ont besoin d’une expertise juridique et technologique spécifique à l’IA et d’une compréhension approfondie du comportement des modèles d’IA. Le personnel technique doit adapter les outils de gestion des risques liés à l’IA, les systèmes de qualité et la surveillance après-commercialisation. Les organisations interrogées déclarent affecter du personnel spécifiquement à la conformité à la loi sur l’IA. Le niveau d’expertise en interne ou les ressources utilisées pour acquérir un soutien externe doivent être pris en compte dans le coût des ressources.

Le coût de l’expertise est en outre aggravé par l’état actuel de la normalisation de l’IA. Ceci est évident lorsque les organisations ont du mal à définir les limites de la conformité lors de l’intégration de plusieurs composants ou lorsqu’elles s’appuient sur des modèles tiers.

Considérations financières

La mise en œuvre et la maintenance de systèmes d’IA conformes à la loi sur l’IA créeront une charge financière pour les organisations. Les coûts comprennent le personnel dédié à la conformité, le temps consacré par la direction aux questions de conformité et les coûts de certification. Les startups et les PME de moins de 20 personnes seront considérablement affectées par les allocations de coûts, avec des estimations de 100 000 € par an consacrés au maintien de la conformité. Avec ces frais généraux, les fournisseurs d’IA prévoient des coûts annuels de conformité d’environ 100 000 € pour le personnel dédié à la conformité et de 10 à 20 % du temps du fondateur/de la direction consacré aux questions courantes.

Même les entreprises préparées à la mise en œuvre et à la maintenance des coûts, telles que les entreprises de technologie médicale, estiment que les coûts de certification peuvent dépasser 200 000 €, et les entreprises de technologie juridique signalent un coût annuel estimé entre 200 000 et 300 000 €.

Naviguer dans l’ambiguïté et l’incertitude

Une dernière ressource clé est la capacité d’investir dans un soutien réglementaire et juridique pour naviguer de manière proactive dans l’ambiguïté. Avec des interprétations divergentes du secret professionnel par rapport aux exigences de consignation entre les lois nationales et européennes, ce sont là autant de domaines à prendre en compte dans la planification.

Les entreprises doivent également s’attendre à des coûts liés à l’élaboration et à la mise en œuvre de protocoles de vérification clairs pour prouver la conformité. Pour démontrer la conformité, les preuves doivent démontrer le travail concernant les tests de biais et la robustesse du modèle.

Quel est l’impact de la loi sur l’IA sur la réputation du marché et l’innovation ?

L’impact de la loi sur l’IA sur la réputation du marché et l’innovation est une question complexe, en particulier pour les petites et moyennes entreprises (PME). Alors que les entreprises établies dans des secteurs tels que la santé et la technologie juridique considèrent la réglementation comme un moyen de renforcer la confiance du marché, les entreprises émergentes dans le domaine de l’IA s’inquiètent des obstacles à l’innovation liés à ces nouvelles normes.

Obstacles à l’innovation pour les PME

• Capacité de mise à l’échelle : La majorité des PME classées à haut risque en vertu de la loi sur l’IA craignent que la conformité n’affecte de manière disproportionnée leur capacité à se développer.
• Incertitude de la classification des risques : Les entreprises sont confrontées à l’incertitude quant à la classification des risques lors du passage d’un support de conception à des systèmes opérationnels.
• Désavantage concurrentiel : On craint de perdre du terrain face à des juridictions plus flexibles comme les États-Unis, où des charges réglementaires moins lourdes permettent des cycles d’innovation plus rapides.

Confiance du marché et préparation du secteur

Les entreprises des secteurs déjà réglementés, comme la santé, semblent mieux préparées à s’adapter en raison de leur expérience des cadres existants, tels que le règlement relatif aux dispositifs médicaux (RDM). En revanche, les entreprises des secteurs jusqu’à présent non réglementés sont confrontées à des difficultés d’adaptation plus importantes, ayant du mal à interpréter et à mettre en œuvre les normes en matière d’IA sans expérience réglementaire préalable.

Limitations de l’expérimentation

Les entreprises en phase de démarrage sont particulièrement frustrées par des conditions opaques et bureaucratiques qui limitent l’expérimentation.

Participation asymétrique à l’élaboration des normes

Les données des entretiens révèlent un schéma de participation limitée au processus d’élaboration des normes du JTC 21, de ses groupes de travail et des comités miroirs dans les États membres. Parmi les fournisseurs interrogés, seule une petite fraction fait état d’un engagement actif dans les efforts de normalisation de l’IA ou dans les consultations formelles, les niveaux de participation étant remarquablement bas parmi les petites entreprises.

• Contraintes de ressources : La plupart des petits et moyens fournisseurs reconnaissent être « rarement » ou « irrégulièrement » impliqués dans les activités de normalisation, citant les contraintes de ressources et les lacunes en matière de connaissances comme principaux obstacles.
• Favoritisme des grands acteurs : Plusieurs personnes interrogées décrivent le processus de normalisation comme favorisant les grandes entreprises, qualifiant les discussions de « partiales ». De nombreux fournisseurs craignent que ce déséquilibre n’entraîne des normes qui créent des obstacles disproportionnés pour les petits acteurs du marché.
• Manque de mécanismes de soutien : Bien que certaines entreprises se disent intéressées par une participation future, elles soulignent la nécessité de mécanismes de soutien structurés.

De quelles manières la fragmentation réglementaire crée-t-elle des défis en matière de conformité ?

La fragmentation réglementaire pose d’importants défis de conformité aux fournisseurs d’IA, en particulier ceux qui opèrent dans plusieurs juridictions. Cela découle de plusieurs problèmes clés :

Divergence des exigences en matière de secret professionnel : Différents États membres de l’UE ont des lois sur le secret professionnel variables, créant des conflits opérationnels pour des secteurs comme la technologie juridique. Il est donc difficile d’établir des pratiques de conformité cohérentes à travers les frontières.

Ambiguïté de la classification : La portée de l’AI Act peut être floue, en particulier pour les entreprises opérant dans plusieurs secteurs. Les technologies à double usage, servant à la fois des fins réglementées et non réglementées, créent une incertitude quant à la classification des risques. Il en va de même pour les modèles d’IA à usage général (GPAI).

Chevauchement des cadres réglementaires : Les entreprises sont confrontées à des conflits opérationnels en raison du chevauchement des lois européennes et nationales. Les interprétations divergentes d’exigences similaires d’un État membre à l’autre compliquent la mise en œuvre, comme lors des expériences précédentes avec PSD2.

Préparation des organismes de réglementation de l’UE : Des préoccupations existent quant à la capacité des organismes de réglementation de l’UE à gérer les certifications de manière cohérente. Les retards et les incohérences dans le processus de certification pourraient perturber l’accès au marché, même pour les systèmes d’IA conformes. Les interprétations fragmentées et les processus de certification posent des problèmes notables pour les startups qui n’ont pas les ressources nécessaires pour les surmonter.

Quelles sont les implications sectorielles de la mise en œuvre de normes horizontales ?

La mise en œuvre des normes horizontales de la loi européenne sur l’IA aura diverses implications en fonction de la maturité réglementaire existante d’un secteur et de la nature de ses applications d’IA.

Santé et MedTech

Bien que l’équilibre entre la confidentialité, la précision et la qualité des soins soit souvent évoqué, les organisations ayant une expérience réglementaire dans le secteur de la santé trouvent des solutions pratiques en tirant parti de leur conformité au règlement relatif aux dispositifs médicaux (RDM). Ce secteur bénéficie des normes de la loi sur l’IA, ce qui pourrait améliorer l’interopérabilité et intégrer de manière transparente les outils d’IA dans les systèmes existants, tout en se concentrant sur la précision clinique et la confiance du public.

Secteur manufacturier

Le secteur manufacturier prévoit un alignement étroit entre les normes techniques et les cadres établis (ISO 9001, ISO 31000 et protocoles de l’Industrie 4.0). Cette intégration offre des opportunités d’améliorer le contrôle de la qualité et de standardiser le traitement des données. Cependant, des défis se posent pour maintenir une documentation complète pour les décisions basées sur l’IA, en particulier dans les contextes de production à grande vitesse. De plus, des tests approfondis avant le déploiement pourraient ralentir l’adoption de solutions d’automatisation en temps réel, affectant les petits fabricants qui pourraient avoir du mal à supporter les coûts de conformité.

Technologie juridique

Les entreprises de technologie juridique craignent que le maintien de pistes d’audit pour les résultats de l’IA ne consomme beaucoup de ressources, en particulier lors de la gestion de données sensibles des clients. L’intégration des réglementations, y compris le RGPD, nécessite des mises à jour techniques et un examen attentif de la gouvernance des données. Cependant, ces entreprises considèrent la conformité comme une opportunité de s’établir comme des leaders dans les pratiques éthiques de l’IA et de renforcer la confiance des clients sur les marchés réglementés.

FinTech

Le secteur de la FinTech craint que des exigences trop contraignantes ne favorisent les institutions établies par rapport aux startups. Ces personnes interrogées établissent des parallèles avec leurs expériences avec la DSP2. Bien que la normalisation puisse catalyser la confiance et la clarté dans des domaines tels que l’authentification des clients, les entreprises craignent que des exigences de conformité complexes ne pèsent de manière disproportionnée sur les petites entreprises, comme dans les réglementations précédentes du secteur financier.

Mobilité (Automobile) et Défense

Bien que ces secteurs puissent partiellement échapper au champ d’application de la loi sur l’IA, ils seront toujours confrontés aux implications des exigences relatives à l’IA à haut risque découlant des normes harmonisées. Les fournisseurs d’IA dans le secteur de la mobilité considèrent ces normes comme améliorant la transparence et la sécurité tout en imposant des charges opérationnelles, en particulier pour les systèmes complexes nécessitant des mesures d’explicabilité et de cybersécurité. Le secteur de la défense, bien qu’explicitement exclu pour des raisons de sécurité nationale, subira une pression indirecte à travers les impacts de l’écosystème et les considérations de double usage, en particulier en ce qui concerne les systèmes autonomes fonctionnant dans des environnements à enjeux élevés.

Comment optimiser le calendrier de mise en œuvre de l’AI Act ?

L’objectif ambitieux de l’Union européenne de réglementer l’IA par le biais de l’EU AI Act se heurte à des difficultés en raison des calendriers de mise en œuvre serrés, de la complexité des dynamiques entre les parties prenantes et des coûts de mise en œuvre. Voici comment le calendrier peut être optimisé, selon les informations du secteur :

Ajustement des délais de mise en œuvre

Le rythme actuel de développement des normes en matière d’IA suscite des inquiétudes. L’écart entre la publication prévue des normes (début 2026) et la date limite de conformité (août 2026) ne laisse que 6 à 8 mois pour la mise en œuvre. Les organisations déclarent avoir besoin d’au moins 12 mois par norme. Les options comprennent :

• Action législative : Le législateur européen devrait envisager de reporter les délais de mise en œuvre afin de les aligner sur des calendriers d’adoption réalistes.
• Réduction de la portée des normes : Diminuer le nombre et la complexité des 35 normes techniques en cours d’élaboration.
• Publication anticipée : Publier rapidement les normes quasi définitives, mais en reconnaissant qu’elles peuvent évoluer.
• Portail de transparence : Créer une plateforme en ligne permettant d’accéder gratuitement aux projets de normes et de fournir un système de retour d’information, en particulier pour les PME.
• Dialogue permanent : L’AI Office et les autorités nationales devraient engager un dialogue continu avec les entreprises pendant la mise en œuvre, à l’instar des autorités de surveillance financière.

Réduction des obstacles à la participation

La représentation des parties prenantes au sein des comités de normalisation est irrégulière, les grandes entreprises dominant souvent. Selon l’arrêt Malamud de la Cour de justice de l’Union européenne (CJUE), les normes harmonisées doivent être accessibles gratuitement aux citoyens de l’UE. Voici d’autres stratégies pour améliorer l’engagement :

• Réseaux d’experts : La Commission européenne ou le CEN-CENELEC devraient créer des réseaux d’experts sectoriels pour guider la conformité spécifique à chaque secteur.
• Soutien financier : Mettre en place des mécanismes de financement importants aux niveaux européen et fédéral pour subventionner la participation des PME, à l’exclusion des grandes entreprises qui disposent de ressources suffisantes. Concentrer le financement sur les dépenses de personnel réelles liées à la participation aux comités.
• Programmes de mentorat : Mettre en œuvre des programmes de mentorat associant des experts à des représentants de startups et de PME.
• Accessibilité des comités : Transformer les comités de normalisation de l’IA en organes transparents qui fournissent des informations et rationalisent les procédures d’adhésion. Les membres expérimentés peuvent alors guider les nouveaux arrivants.

Aide pratique à la mise en œuvre

Fournir des outils de guidance pragmatiques pour la conformité à l’AI Act, l’AI Office de l’UE et les autorités ultérieures se concentrant sur les PME :

• Guidance pragmatique : Établir une guidance interprétative régulière, des conseils de mise en œuvre concrets et un soutien direct par le biais de personnes de contact dédiées, spécialement conçus pour les PME.
• Documentation de guidance spécifique : Fournir des documents de guidance sectoriels, des exemples concrets et des guides de mise en œuvre étape par étape, tout en assurant des mises à jour cohérentes du secteur compte tenu de l’évolution de l’IA.
• Communication opérationnelle : Afin de permettre la compréhension des défis et des besoins et de garantir que le soutien répond aux besoins réels du marché, un système de communication pratique devrait être mis en œuvre entre les organismes de réglementation et les principaux secteurs d’activité.
• Cadres d’évaluation : Créer un tel cadre pour mesurer les progrès, garantir la responsabilisation et suivre les améliorations grâce à des mesures quantifiables.

Considérations supplémentaires

Au-delà de ce qui précède, les bacs à sable réglementaires, tels que stipulés à l’art. 57 de l’AI Act, pourraient faciliter la communication et la collaboration entre la communauté des développeurs d’IA à haut risque et les organismes de réglementation de l’UE.

En tenant compte des contraintes de temps susmentionnées, du déséquilibre en matière de normalisation et des coûts élevés de conformité à l’IA, les ajustements politiques pour la mise en œuvre de l’EU AI Act sont optimisés.

Comment améliorer la participation à l’élaboration des normes d’IA ?

L’ambitieux règlement de l’UE sur l’IA dépend de normes techniques, ce qui rend leur élaboration efficace cruciale. Cependant, la participation aux comités de normalisation est biaisée en faveur des grandes entreprises, souvent avec une représentation importante des géants technologiques américains. Ce déséquilibre laisse les PME, les startups, la société civile et le monde universitaire sous-représentés, ce qui pourrait conduire à des normes qui ne répondent pas à leurs besoins et défis spécifiques.

Pour uniformiser les règles du jeu et encourager une participation plus large, plusieurs mesures concrètes peuvent être prises :

Soutien Financier

Mettre en place des mécanismes de financement solides au niveau européen et national pour subventionner la participation des PME et des startups à ces comités. Ce soutien devrait couvrir les coûts réels de la mise à disposition de personnel pour les travaux de normalisation, en leur garantissant les moyens de contribuer de manière significative.

Programmes de Mentorat

Mettre en œuvre des programmes de mentorat reliant des experts en normalisation expérimentés à des représentants de PME et de startups. Cela fournirait des conseils et un soutien précieux, les aidant à s’orienter dans ce processus complexe.

Simplifier l’Accès aux Comités

Remanier l’accessibilité des comités de normalisation en créant une plateforme centralisée et conviviale avec des informations transparentes et des processus d’inscription simplifiés. Un système de « guide de normalisation », où les membres expérimentés aident les nouveaux arrivants, faciliterait davantage le processus d’intégration et favoriserait une collaboration plus active entre les différentes parties prenantes.

Il est essentiel que l’industrie, et en particulier les entreprises issues de la communauté Safe AI, participe activement à l’élaboration des normes. La collaboration active entre les grandes et les petites entreprises devrait être encouragée par les organismes de normalisation afin de promouvoir une normalisation collaborative aux multiples facettes.

En éliminant ces obstacles pratiques, nous pouvons garantir que l’élaboration des normes d’IA soit plus inclusive, équilibrée et, en fin de compte, plus efficace pour favoriser une innovation responsable en matière d’IA dans le paysage européen.

Comment renforcer le soutien pratique à la mise en œuvre de l’IA ?

Pour les fournisseurs d’IA qui souhaitent se conformer aux exigences de normalisation de la loi européenne sur l’IA, une stratégie multidimensionnelle axée sur des conseils accessibles, une aide financière et des approches collaboratives est essentielle. Les recommandations suivantes répondent aux principaux défis identifiés lors d’entretiens avec des organisations de divers secteurs.

Ajustement des délais et de la portée de la mise en œuvre

Le calendrier actuel de mise en œuvre de la loi sur l’IA pose un défi concret. Une expertise technique doit être intégrée aux comités de normalisation. Il est nécessaire de reporter le délai de la loi d’au moins 12 mois, afin que davantage d’entreprises puissent se mettre en conformité.

• Réduire le volume considérable de normes techniques envisagées comme livrables.
• Fournir un accès précoce aux projets de normes quasi définitifs, en reconnaissant le risque de modifications ultérieures.
• Mettre en place un portail en ligne centralisé offrant un accès gratuit aux projets de normes et un système de retour d’information à faible seuil.
• Favoriser un dialogue permanent entre le bureau de l’IA, les autorités nationales et les entreprises concernées, en imitant les pratiques réglementaires axées sur le service.

Réduire les obstacles à la participation à la normalisation

La participation des PME à la normalisation doit être soutenue financièrement par, par exemple, la Commission européenne, en raison du manque de ressources des PME et des jeunes entreprises. Promouvoir ce que les jeunes entreprises peuvent retirer de leur participation à ces comités – une influence directe sur l’élaboration des réglementations régissant leurs technologies.

• Mettre en place des mécanismes de financement aux niveaux européen et national pour subventionner la participation des PME aux comités de normalisation.
• Mettre en œuvre des programmes de mentorat associant des experts en normalisation expérimentés à des représentants de jeunes entreprises et de PME afin de leur fournir des conseils et un soutien.
• Remanier l’accessibilité des comités de normalisation grâce à une plateforme centralisée et conviviale, à des processus transparents et à des priorités claires.

Fournir une aide pratique à la mise en œuvre

Voici quelques outils d’orientation pragmatiques et des points d’action qui faciliteront la conformité à la loi sur l’IA, en mettant l’accent sur les PME. Cela comprend une orientation interprétative régulière, des conseils de mise en œuvre concrets et un soutien direct par le biais de personnes de contact dédiées qui entretiennent des relations continues avec la communauté des fournisseurs d’IA.

• La Commission européenne et les États membres de l’UE devraient créer des programmes pour les jeunes entreprises pré-revenues, afin de se conformer à la loi sur l’IA.
• La Commission européenne et le bureau de l’IA pourraient fournir des lignes directrices pratiques et spécifiques au secteur pour aider les parties à déterminer si elles relèvent des catégories d’IA à haut risque de la loi sur l’IA.
• Pour plus d’efficacité, les exigences fondées sur des seuils devraient être davantage prises en compte pour la normalisation. En outre, un accès numérique plus facile est essentiel.

Intégration structurée des PME dans la mise en œuvre

Le forum consultatif et le groupe scientifique, mentionnés à l’art. 67 de la loi sur l’IA, doivent inclure une représentation des jeunes entreprises et des PME afin de garantir que leurs défis soient pris en compte dans les orientations de mise en œuvre. En outre, des canaux de consultation directe devraient être établis entre les petites entreprises et les organismes de réglementation, au-delà des structures consultatives formelles.

Harmonisation des normes

Les organismes de normalisation devraient aligner toutes les normes industrielles existantes sur la loi sur l’IA afin de rationaliser la conformité. Les normes européennes et internationales en matière d’IA devraient également être alignées afin de rationaliser les efforts de conformité des organisations.

• Des mesures devraient être prises rapidement par les industries pour s’assurer qu’elles respectent les exigences futures.
• Les organismes de normalisation internationaux, européens et nationaux doivent accroître leur niveau de coopération.

Comment améliorer l’intégration structurée des PME dans la mise en œuvre de l’IA ?

Les petites et moyennes entreprises (PME) qui développent et déploient des systèmes d’IA sont confrontées à des obstacles uniques pour se conformer à la loi européenne sur l’IA. Ces défis découlent de calendriers de mise en œuvre serrés, de dynamiques complexes entre les parties prenantes et de coûts de conformité importants. Par conséquent, une approche structurée de l’intégration des PME est essentielle pour favoriser l’innovation et garantir des règles du jeu équitables.

Principaux défis pour les PME :

• Temporel : L’écart entre la publication prévue des normes harmonisées (début 2026) et la date limite de conformité (août 2026) ne laisse qu’une fenêtre étroite pour la mise en œuvre, ce qui est insuffisant pour la plupart des PME.
• Structurel : La participation limitée au processus d’élaboration des normes (CEN-CENELEC JTC 21) empêche les PME de façonner les réglementations qui ont une incidence directe sur leurs activités.
• Opérationnel : Les coûts de conformité importants (estimés entre 100 000 et 300 000 € par an) et les complexités réglementaires représentent une charge disproportionnée, en particulier pour les petites entités.

Recommandations politiques pour une meilleure intégration des PME :

Pour relever ces défis, plusieurs recommandations politiques peuvent être mises en œuvre :

Ajuster les délais de mise en œuvre

Le législateur européen devrait envisager de prolonger le calendrier de mise en œuvre de la loi sur l’IA afin d’atténuer le goulot d’étranglement causé par les retards dans l’élaboration de normes harmonisées. Cela rétablirait l’équilibre et permettrait aux entreprises de choisir leur approche de conformité optimale, que ce soit par le biais de normes harmonisées, de spécifications communes ou d’avis d’experts.

Réduire les obstacles à la participation

L’accès aux comités de normalisation doit être mieux soutenu financièrement pour les petites PME et les jeunes entreprises, ce qui permettrait d’offrir un soutien spécialisé aux exigences de l’industrie et de relever efficacement les défis de conformité propres à chaque secteur.

La Commission européenne ou le CEN-CENELEC devraient établir des réseaux d’experts sectoriels au niveau de l’UE qui peuvent fournir des conseils ciblés pour les défis de conformité propres à chaque secteur.

Remanier l’accessibilité des comités de normalisation via une plateforme, des processus et des priorités centralisés et conviviaux.

Aide pratique à la mise en œuvre

Mettre en place des outils d’orientation pragmatiques pour la conformité à la loi sur l’IA, en mettant un accent particulier sur les PME. Cela correspondrait à l’obligation de l’Office de l’IA en vertu de l’article 62 de la loi sur l’IA, portant spécifiquement sur les modèles normalisés, une plateforme d’information unique et des campagnes de communication.

Créer des programmes de soutien financier conçus pour les jeunes entreprises qui ne génèrent pas encore de revenus et qui cherchent à se conformer à la loi sur l’IA. Ces programmes fourniraient un financement direct pour couvrir les coûts liés à la conformité avant que les jeunes entreprises n’aient établi des sources de revenus.

Les organismes de réglementation, y compris l’Office de l’IA et les autorités nationales, devraient agir en tant que fournisseurs de services, en surveillant et en analysant systématiquement la façon dont les organisations mettent en œuvre les normes techniques.

Intégration structurée des PME

Créer rapidement et doter en personnel le forum consultatif et le groupe scientifique, comme le prévoit l’article 67 de la loi sur l’IA. Ces organismes doivent comprendre une représentation des jeunes entreprises et des PME, ainsi qu’une connaissance du secteur.

Établir des voies de consultation directes entre les jeunes entreprises/PME spécialisées dans l’IA et les organismes de réglementation, appuyées par des points de contact clairs au niveau de l’UE et allant au-delà des structures consultatives officielles.

Harmonisation des normes

Les organismes de normalisation (en particulier l’ISO/CEI et le CEN-CENELEC) devraient harmoniser les normes verticales propres à chaque secteur avec l’article 40 de la loi sur l’IA pour les systèmes d’IA à haut risque. Cette approche s’aligne sur les conclusions selon lesquelles certains secteurs, comme les soins de santé et la fabrication, tirent déjà parti de l’expérience réglementaire existante pour relever les défis de l’IA.

Les charges de conformité peuvent être réduites en tirant parti systématiquement des normes existantes pour assurer la cohérence et l’interopérabilité et faciliter l’entrée sur les marchés internationaux.

Lors de l’élaboration et de la mise en œuvre de normes harmonisées, il est essentiel d’éviter de créer une présomption de conformité négative, ce qui peut augmenter considérablement la charge de conformité pour les fournisseurs.

En mettant en œuvre ces recommandations, les décideurs politiques peuvent assurer une intégration structurée des PME dans la mise en œuvre de l’IA, en favorisant l’innovation et en promouvant le développement éthique de l’IA au sein de l’UE.