Impact de la loi sur l’IA de l’UE sur les équipes de cybersécurité et de confidentialité
La loi sur l’IA de l’UE représente un changement réglementaire significatif, établissant de nouvelles normes pour le développement, le déploiement et l’utilisation de l’intelligence artificielle au sein de l’Union européenne. Cette législation a des implications de grande portée pour diverses fonctions, en particulier pour les équipes de cybersécurité et de confidentialité. Cet article explore les domaines critiques sur lesquels ces équipes doivent se concentrer pour garantir la conformité et tirer parti des opportunités offertes par la loi sur l’IA de l’UE.
Gouvernance
De nombreuses organisations doivent encore établir une collaboration multi-parties prenantes et cross-fonctionnelle pour les tâches liées à la conformité à la loi sur l’IA de l’UE, y compris la gouvernance, la gestion des risques et la sécurité. Gérer les risques liés à l’IA nécessite des connaissances spécialisées en matière de sécurité, de confidentialité, de conformité et d’éthique. Les équipes de cybersécurité et de confidentialité doivent proactivement établir de telles collaborations pour garantir leur participation aux bonnes discussions au bon moment. Cette approche proactive est essentielle pour intégrer les considérations de cybersécurité et de confidentialité dès le départ et s’aligner sur des objectifs organisationnels plus larges.
Visibilité
Dans un monde où de grandes entreprises ne sont même pas conscientes de l’existence de l’ensemble des centres de données, assurer une visibilité sur tous les systèmes d’IA développés et acquis au sein de l’entreprise est primordial. La première étape pour se préparer à respecter la loi sur l’IA est de garantir une visibilité complète. Cette visibilité doit être traduite en un processus d’inventaire. Adapter les processus d’approvisionnement pour soutenir cet inventaire facilitera les efforts de conformité. Pour les équipes de cybersécurité, cela inclut tous les outils de cybersécurité, même si l’IA n’est utilisée qu’à des fins de marketing. Assurer la visibilité et établir des processus d’inventaire permettra une préparation avancée, même en attendant des orientations supplémentaires sur les exigences de conformité.
IA explicable
Dans toutes les réglementations, les équipes de confidentialité doivent s’assurer que les outils et algorithmes d’IA sont aussi clairs et transparents que possible, en les rendant au moins explicables. Une intelligence artificielle explicable signifie que le raisonnement derrière une décision doit être suffisamment clair pour que ses utilisateurs humains puissent le comprendre. La transparence est atteinte grâce à la documentation des hypothèses et de la logique derrière le modèle d’apprentissage automatique. Cela aide à éviter le défi du « black box », où les mécanismes internes de l’IA sont flous ou cachés. Garder l’IA explicable ne signifie pas qu’elle sera exempte d’erreurs ou de biais ; cela signifie simplement que les hypothèses faites lors de la création de l’outil ou de l’algorithme peuvent être expliquées. Avoir des informations bien documentées sur le modèle (d’apprentissage automatique), y compris ses entrées, ses sorties attendues et ses objectifs, soutiendra la confiance et l’utilisation par les parties prenantes et les utilisateurs.
Directives pour l’estimation des systèmes d’IA à haut risque
La prochaine étape consiste à estimer les systèmes d’IA à haut risque potentiels en tenant compte de facteurs tels que l’utilisation prévue, les dommages potentiels et le traitement des données. Le défi réside dans le fait que des directives spécifiques pour cette classification ne sont pas encore publiques et ne seront publiées que 18 mois après l’entrée en vigueur de la loi sur l’IA de l’UE. En attendant, les organisations doivent développer et appliquer des critères et des cadres internes pour évaluer efficacement les niveaux de risque des systèmes d’IA.
Développement de l’IA
La loi sur l’IA de l’UE constitue une occasion en or pour les équipes de cybersécurité et de confidentialité de devenir des partenaires clés dans le développement des systèmes d’IA. Ces systèmes, souvent considérés comme des terrains de jeu d’innovation, contournent fréquemment les meilleures pratiques du développement logiciel, y compris les contrôles de sécurité. La réglementation sensibilise à la nécessité d’intégrer les contrôles de sécurité dès la phase de conception et souligne l’importance d’impliquer les équipes de cybersécurité en tant que parties prenantes. Cela offre également une opportunité supplémentaire pour les équipes de cybersécurité d’investir dans l’éducation des parties prenantes sur les contrôles et mesures nécessaires en amont. En tant qu’équipe de confidentialité, il est important de veiller à ce que ces intégrations soient non seulement conformes aux exigences réglementaires, mais qu’elles dépassent également les normes les plus élevées de protection des données et de confidentialité des utilisateurs, protégeant ainsi contre d’éventuelles responsabilités légales et des risques de réputation.
Déploiement de l’IA
Même si une entreprise ne développe pas de systèmes d’IA mais les utilise simplement, elle doit tout de même remplir plusieurs obligations. Une obligation cruciale est de prouver que l’entreprise a utilisé le système d’IA à haut risque conformément aux instructions du fournisseur en cas de responsabilité potentielle. Les entreprises utilisant des systèmes d’IA, estimés à haut risque, doivent s’assurer qu’elles ont des accords solides avec les fournisseurs. Idéalement, ces accords incluront des engagements similaires à l’engagement de copyright de Microsoft Copilot, où Microsoft a promis de soutenir les utilisateurs dans d’éventuelles réclamations de responsabilité en raison de violations de droits d’auteur. D’autres obligations incluent des exigences pour fournir une surveillance humaine et surveiller les données d’entrée et le fonctionnement du système.
Pour les équipes de cybersécurité, l’obligation pour les utilisateurs d’IA signifie qu’elles doivent également commencer par estimer les risques associés aux systèmes d’IA déployés, tels que l’analyse du comportement des utilisateurs et des entités (UEBA), dans leur pratique. Les équipes devraient engager des discussions avec les fournisseurs si nécessaire et évaluer l’impact potentiel sur l’architecture et les feuilles de route.
Les équipes de confidentialité peuvent envisager de mettre en œuvre des principes de confidentialité dès la conception et de réaliser des évaluations d’impact sur la vie privée (PIA) régulières pour identifier et, si nécessaire, atténuer les risques potentiels pour la confidentialité des données des individus.
Conclusion
La loi sur l’IA de l’UE impose de nouveaux défis et responsabilités aux organisations, en particulier à leurs équipes de cybersécurité et de confidentialité, tout en offrant également des opportunités significatives. En établissant une gouvernance robuste, en assurant la visibilité et en se préparant et en gérant proactivement les systèmes d’IA à haut risque, les équipes de cybersécurité peuvent non seulement se conformer aux nouvelles réglementations, mais aussi saisir l’occasion de devenir intégrales aux processus de développement et de déploiement de l’IA. Prendre des mesures précoces et décisives dans ces domaines est la clé pour naviguer avec succès dans les exigences réglementaires liées à l’IA. Pour les équipes de confidentialité, garantir que l’IA est explicable, ajouter des principes de confidentialité dès la conception et réaliser des évaluations d’impact sur la vie privée régulières pour se conformer est essentiel. Prendre des mesures précoces et décisives dans ces domaines est la clé pour naviguer avec succès à travers toutes les exigences réglementaires liées à l’IA.
