Quelle conformité pour l'IA dans l’attente de l’IA Act ?

Selon le Mapping 2023 des startups françaises de l’IA publié par France Digitale, on dénombre déjà 590 startups dans ce secteur dont 76 dans le domaine de l’IA générative et 3,2 Mds d’euros de levée de fonds.
Pour pérenniser ces activités florissantes encore faut-il s’assurer de leur conformité juridique.
Or, à ce jour l’IA ne fait pas l’objet d’une règlementation spécifique répertoriant l’ensemble des dispositions contraignantes à prendre en compte pour lancer une telle activité.
Il convient toutefois d’observer que certains textes plus généraux tels que le règlement n°2016/679 du 27 avril 2016 dit Règlement Général sur la Protection des Données (RGPD) lui sont déjà applicable. Cet encadrement sera prochainement renforcé avec le règlement visant à l’encadrement de l’IA (IA Act), d’ores et déjà adopté par le Parlement de l’Union européenne.
Dans une logique anticipative, il apparait stratégique pour tous ces acteurs d’envisager une démarche de conformité pragmatique. Il s’agit en clair de capitaliser sur la mise en conformité immédiate de l’IA au RGPD en identifiant les adhérences existantes entre cette règlementation entrée en vigueur en 2018 et le futur IA Act qui devrait intervenir d’ici la fin 2023.

Qui est concerné par l'IA Act ?

Les différentes dispositions de l’IA Act qui seront présentées ci-après ne s’appliquent pas à tous les systèmes d’IA. En effet, la majorité de ces règles ne sont applicables qu’aux IA dites à haut risque ou aux systèmes d’IA qui interagissent avec des personnes physiques.
Sont dites à haut risque les systèmes d’IA destinés à être utilisés comme composant de sécurité d’un produit couvert par un acte législatif d’harmonisation de l’Union européenne et qui sont soumis à une évaluation de conformité avant mise sur le marché. En dehors de ces conditions, l’IA Act liste en son annexe 3 actuelle des systèmes d’IA qui sont par nature à haut risque.
Par exemple, les systèmes d’IA intégrés à des dispositifs médicaux ou des dispositifs de diagnostic in vitro seront considérés comme à haut risque. Il en est de même de systèmes d’IA destinés à être utilisés pour l’identification biométrique à distance « en temps réel » et « a posteriori » des personnes physiques. Cela pourrait être par exemple le cas d’un système d’évaluation à distance de risques d’accident du travail via des dispositifs de surveillance continue et suivi des constantes vitales des employés.

Exemples de points communs pertinents entre le RGPD et l'IA Act

Disposition IA Act

• L’article 8 de l’IA Act « Respect des exigences » prévoit au point 2 que les exigences du règlement doivent être adaptées à la destination de l’IA. Un usage particulier doit donc être prévu dès la phase de développement. Cette destination devra ensuite être prise en compte par l’organisme dans sa démarche de mise en conformité avec ce règlement.
• L’article 9 de l’IA Act « Système de gestion des risques » dispose que les mesures de gestion des risques doivent être appropriées au niveau de risque de l’IA.
• L’article 10 « Données et gouvernance des données » et l’article 15 « Exactitude, robustesse et cybersécurité » de l’IA Act imposent diverses mesures pour assurer que les jeux de données utilisés pour l’entraînement de l’IA soient de haute qualité
• L’article 11 « Documentation technique », l’article 13 « Transparence et fourniture d’informations aux utilisateurs » et l’article 52 « Obligations de transparence pour certains systèmes d’IA » de l’IA Act imposent une obligation d’information à travers une documentation technique détaillée et une notice d’utilisation à destination des utilisateurs.

Similarité avec le RGPD

• Cette disposition apparaît similaire au principe de finalité contenu dans le RGPD. La finalité détermine des exigences du RGPD comme la minimisation, la durée de conservation ou encore l’exactitude des données. Selon la CNIL, cette finalité doit être déterminée dès la phase de développement pour un système IA. A ce titre, cette finalité sera en réalité la destination du système.
• Cette disposition est similaire au principe selon lequel les données doivent être traitées de façon à garantir une sécurité appropriée. Les systèmes d’IA traitant des données, les développeurs doivent prendre des mesures techniques et organisationnelles pour la protection du système d’information et des données personnelles.
• Ces dispositions sont similaires au principe d’exactitude du RGPD. Ce principe impose d’ores et déjà d’utiliser que des données de haute qualité, ce qui sera renforcé sous l’empire de l’IA Act.

• Ces dispositions sont similaires à l’obligation d’information à la charge du responsable de traitement et du principe de transparence. Sous l’empire du RGPD, le développeur d’IA doit d’ores et déjà entamer une démarche de transparence et mettre à disposition des personnes une politique de confidentialité dont l’objet est d’informer sur le traitement.

Au regard de ces dispositions, il apparaît dès lors qu’un développeur de système IA qui entame une démarche de conformité au RGPD se préparera de manière pertinente à l’entrée en vigueur prochaine de l’IA Act.
Au-delà d’une sécurisation juridique de son activité, une telle démarche permettra de renforcer la confiance des clients, utilisateurs, partenaires et autres financeurs tout en apportant des éléments pertinents de différentiation concurrentielle sur le marché.

Par Gérard Haas et Stéphane Astier
Cabinet Haas
Paris, France