Réguler la conception et l’usage de l’IA est au cœur de tous les débats. Est-il nécessaire d’anticiper l’AI Act ? En quoi consiste ce texte ?
L’AI Act prévoit une approche par les risques. Les grands principes de l’IA (contrôle humain, sécurité, protection de la vie privée, transparence, non-discrimination…) devront systématiquement être pris en compte lors de la conception, mais aussi de l’utilisation des systèmes d’IA (SIA). Des obligations graduelles s’ajoutent concernant les SIA à haut risque (les plus règlementés) et certains SIA spécifiques (ex. : IA à usage général, IA génératives, chatbots…), à la charge des fournisseurs et des utilisateurs professionnels. Leur non-respect est assorti d’amendes importantes (jusqu’à 6 % du CA annuel mondial). Certains secteurs (infrastructures critiques, banques…) sont visés en priorité. Mais aucun n’y échappe. Les activités des ressources humaines sont particulièrement concernées.
Concrètement, les fournisseurs de SIA à haut risque devront mettre en place des systèmes de gestion des risques et de la qualité, une documentation technique, des évaluations de conformité avant mise sur le marché, et assurer cette conformité dans la durée. Les utilisateurs de leur côté devront garantir, notamment, un contrôle humain, une information des personnes concernées, et une surveillance.
L’adoption de l’AI Act est imminente. Anticiper son application, prévue courant 2025/2026, est indispensable. Rappelez-vous le RGPD ! Une mise en conformité s’impose pour tous. D’ailleurs sont qualifiés de fournisseurs non seulement les prestataires informatiques, mais aussi toute entité qui ferait développer un SIA par un tiers, pour le distribuer sous son propre nom. Par exemple, l’assureur qui propose un SIA à ses courtiers ou la société qui fournit un SIA à ses distributeurs. Vigilance donc.
Quelles actions initier en priorité ?
La priorité est de réaliser systématiquement une analyse d’impact pour chaque projet IA. Ceci permettra de qualifier le SIA et les acteurs, de prévoir les obligations de chacun, d’identifier les risques et de les minorer.
Entrer dans une démarche de mise en conformité permet de sélectionner des produits, partenaires et offres adaptés au sens de l’AI Act. De plus en plus de normes et certifications (ex. : Laboratoire national de métrologie et d’essais) voient le jour, permettant de se tourner vers des IA de confiance. L’adhésion à un code de conduite est également une alternative utile.
Les spécificités de l’IA exigent de personnaliser ses contrats. La complexité du fonctionnement de l’IA implique une obligation d’information, de conseil et de mise en garde renforcée à la charge des fournisseurs. Recourir à une IA générative requiert la révision des clauses de propriété intellectuelle et de garantie pour intégrer la question des résultats générés. Le contour des impératifs de conformité, de recette et de garantie doit être retravaillé à l’aune de l’aléa plus ou moins important des résultats générés. Tout comme la prévision de SLA adaptés. Enfin, les grands principes de l’AI Act doivent impérativement être relayés sur un plan contractuel. Préciser les obligations relatives à l’explicabilité et la transparence (du fonctionnement du SIA voire des résultats) est essentiel, à l’instar du contrôle humain et de la gouvernance des données. Pour être en mesure de respecter les obligations règlementaires à votre charge, il sera souvent nécessaire de reporter une partie d’entre elles sur vos partenaires, prestataires et utilisateurs. Le contrat est clé.
En interne, les équipes (legal, métier, IT) doivent être sensibilisées à l’AI Act. La compliance est à initier dès maintenant, impliquant des formations, politiques, documentations et contrôles adaptés, tout comme la mobilisation de budgets.
En pratique, les contrats sont rarement adaptés. Quels leviers de négociation activer ?
La standardisation jouera un rôle clé pour assurer la conformité à la règlementation. Des normes techniques existent déjà pour encadrer la conception, l’entraînement, le déploiement et la maintenance des SIA. De la même manière, des référentiels juridiques émergent, à commencer par la norme ISO-Afnor Contractualisation des systèmes d’IA (SPEC Z77-100-0). Cette norme, issue d’un travail de collaboration entre l’AFNOR et un groupe d’experts dirigé par le cabinet Derriennic & Associés, fournit une série de recommandations pour adapter vos contrats aux enjeux de l’IA.
Plus récemment, le 29 septembre 2023, pour anticiper l’AI Act, la Commission européenne a proposé des modèles de clauses contractuelles types pour la passation de marchés publics. Deux corpus sont publiés concernant les systèmes d’IA à haut risque et les autres SIA. Si ces clauses apparaissent relativement génériques, elles pourraient à terme servir de base de travail ou de levier aux acteurs privés. Elles devront dans tous les cas être retravaillées pour prendre en compte les cas d’usage envisagés, la nature de l’intervention du prestataire et le rôle plus ou moins actif du client.
