La loi européenne sur l’intelligence artificielle (IA) établit des règles pour le développement, la commercialisation et l’utilisation de systèmes d’IA au sein de l’Union européenne afin de promouvoir une IA responsable et centrée sur l’humain. Il s’agit du premier règlement de ce type au monde, ce qui garantit à l’UE un rôle de pionnier dans la création de normes mondiales pour la gouvernance de l’IA. Il se concentre sur les impacts plus larges de l’IA sur la société et les droits individuels.
Dans cet article, nous allons vous expliquer pourquoi l’UE a mis en place cette loi, ce qu’elle implique et ce que vous devez savoir en tant que développeur ou fournisseur d’IA, y compris les meilleures pratiques pour simplifier la conformité. Nous aborderons également ce que l’avenir réserve à la réglementation de l’IA et, alerte spoiler, il pourrait y avoir de nombreuses lois similaires bientôt.
Pourquoi l’UE a-t-elle introduit la loi sur l’IA ?
Vous avez probablement vu des films de science-fiction sur la technologie hors de contrôle. La technologie prend le dessus et se déchaîne, causant toutes sortes de dévastations.
L’IA ne peut pas faire cela, du moins pas encore. Mais il fait ont déjà le potentiel de faire beaucoup de mal.
Pour que l’IA fonctionne correctement, elle repose sur deux éléments cruciaux : Modèle sont conçus par des développeurs pour fournir les résultats que vous souhaitez obtenir. Ensuite, les développeurs entraînent les modèles à l’aide de données C’est aussi proche que possible des données que le modèle utilisera dans le monde réel.
Mais si le modèle ou les données ne sont pas fiables, ou si quelqu’un les falsifie, votre IA ne fonctionnera pas correctement. Les données et les modèles qui ne répondent pas à la triade de la CIA – confidentialité, disponibilité et intégrité – pourraient avoir des conséquences catastrophiques dans le monde réel :
Imaginez une voiture autonome propulsée par un modèle d’IA entraîné sur des données insuffisantes ou biaisées. La voiture pourrait mal interpréter une situation de circulation, entraînant un accident grave avec des blessés ou des morts.
Ou peut-être qu’un système d’IA diagnostique des maladies sur la base d’images médicales. Si ce modèle est entraîné sur des données biaisées ou incomplètes, ou si quelqu’un falsifie le modèle, cela pourrait entraîner un diagnostic erroné, un retard de traitement ou même des décès.
Bien sûr, un scénario moins catastrophique est plus probable. Imaginez que votre chatbot de vente commence à mentir aux visiteurs du site. Cela pourrait nuire aux ventes, aux opérations ou même à votre réputation. (Comme s’il commençait à recommander le produit d’un concurrent !)
Risque lié à l’IA a également un impact sérieux sur le retour sur investissement de l’IA, en faisant grimper les coûts et en réduisant les revenus.
Il est reconnu depuis longtemps que nous avons besoin de normes de sécurité pour l’IA. Aujourd’hui, l’UE a décidé d’agir.
GenAI Security Best Practices [Cheat Sheet]
Discover the 7 essential strategies for securing your generative AI applications with our comprehensive GenAI Security Best Practices Cheat Sheet.
Download Cheat Sheet
Quelles étaient les raisons de la législation européenne sur l’IA ?
La loi européenne sur l’IA vise à aider les personnes qui créent des applications d’IA à utiliser cette technologie de manière éthique. Il protège les personnes et les entreprises contre la collecte, la surveillance et la manipulation non autorisées des données, en prévenant la discrimination et en veillant à ce que l’IA soit utilisée de manière transparente. Il vise également à minimiser le « risque systémique », c’est-à-dire le potentiel d’impact généralisé et grave sur la société si quelque chose ne va pas avec un modèle d’IA. Plus bénin, ces mesures augmenteront également la confiance dans l’IA, ce qui pourrait être une très bonne chose pour les développeurs et les fournisseurs d’IA.
La loi interdit l’utilisation de l’IA à des fins malveillantes, telles que les deepfakes et autres désinformations générées par l’IA. Pour ce faire, il rend obligatoire la divulgation des sources d’IA. Si vous n’informez pas les utilisateurs, vous risquez une amende ou d’autres conséquences négatives. Elle exige également que chaque État membre mette en place une autorité nationale compétente qui supervisera le déploiement local de la législation européenne sur l’IA.
Plus important encore, la loi européenne sur l’IA classe l’utilisation de l’IA en quatre niveaux de risque (dont nous parlerons plus tard), interdisant toutes les utilisations présentant un « risque inacceptable ».
Quel était le contexte de la loi européenne sur l’IA ?
Le schéma suivant illustre la chronologie qui a conduit à l’adoption de la loi européenne sur l’IA. Comme vous pouvez le constater, la Loi est entrée en vigueur dans un délai assez court.
Calendrier de mise en œuvre
Alors que la législation européenne sur l’IA est déjà entré en vigueur, les entreprises disposent d’une période de grâce de trois ans, à compter d’août 2024, pour s’assurer qu’elles se conforment pleinement.
Voici un calendrier prévu :
Ce que cela signifie pour vous est en fait assez simple. Même si vous pensez que la législation européenne sur l’IA ne s’applique pas à vous, vous devez vous assurer que… Et le temps presse.
Ce que cela signifie pour vous est en fait assez simple. Même si vous pensez que la législation européenne sur l’IA ne s’applique pas à vous, vous devez vous assurer que… Et le temps presse.
Que comprend la loi européenne sur l’IA ?
La première et la plus importante chose à savoir sur la loi européenne sur l’IA est qu’elle a une portée extraterritoriale.
Cela signifie que toute personne fournissant des systèmes d’IA qui seront utilisés ou affecteront les consommateurs ou les entreprises au sein de l’UE devra probablement s’y conformer.
La législation européenne sur l’IA définit un certain nombre de types différents de systèmes d’IA, notamment :
Modèles d’IA à usage général (GPAI) : Grands modèles de langage et générateurs d’images et de vidéos
Modèles d’IA à usage spécifique : L’IA est conçue pour des tâches spécifiques telles que le diagnostic médical, les véhicules autonomes ou l’évaluation des risques financiers
Systèmes d’IA embarqués : Appareils alimentés par l’IA comme les appareils électroménagers intelligents ou les robots industriels
Les quatre niveaux de risque pour l’IA prévus par la législation européenne sur l’IA
La législation européenne sur l’IA ne réglemente pas les applications de l’IA à « risque inacceptable », et c’est parce qu’elles sont désormais interdites en Europe. Cela inclut la reconnaissance faciale en temps réel dans les espaces publics ou le « scoring social », qui consiste à classer des individus ou des groupes pour un traitement inégal, et l’identification biométrique en temps réel à des fins d’application de la loi (parfois appelée police prédictive).
Risque inacceptable : Les activités qui représentent une menace trop grande et qui sont carrément interdites
Risque élevé : Activités susceptibles d’affecter négativement la sécurité ou les droits fondamentaux
Risque limité : Les activités qui ne sont pas trop risquées mais qui comportent tout de même des exigences de transparence (c’est-à-dire que les utilisateurs doivent être informés qu’ils interagissent avec une IA)
Risque minimal : Activités généralement bénignes qui n’ont pas besoin d’être réglementées
La législation européenne sur l’IA ne réglemente pas les applications de l’IA à « risque inacceptable », et c’est parce qu’elles sont désormais interdites en Europe. Cela inclut la reconnaissance faciale en temps réel dans les espaces publics ou le « scoring social », qui consiste à classer des individus ou des groupes pour un traitement inégal, et l’identification biométrique en temps réel à des fins d’application de la loi (parfois appelée police prédictive).
Il ne réglemente pas non plus les activités « à risque minimal » comme les filtres anti-spam ou les jeux vidéo activés par l’IA. À l’heure actuelle, cela inclut la majorité des applications d’IA actuellement disponibles sur le marché de l’UE.
Une petite partie de la loi européenne sur l’IA traite des systèmes à « risque limité ». Les développeurs et les déployeurs de ce type de systèmes doivent respecter des obligations de transparence. Il s’agit généralement de faire savoir aux utilisateurs finaux qu’ils interagissent avec l’IA (par exemple, les chatbots et les deepfakes).
L’écrasante majorité de la législation européenne sur l’IA concerne les systèmes d’IA « à haut risque » ainsi que les organisations et les individus qui les fournissent. Les applications à haut risque comprennent…
Évaluation de l’admissibilité au crédit
Évaluation des demandes d’assurance maladie, d’assurance vie ou d’assurance publique
Analyse des candidatures (ATS) ou évaluation des candidats
Une autre grande catégorie de systèmes d’IA à haut risque est celle des « composants de sécurité des produits ». Il s’agit de systèmes d’IA intégrés dans les produits et qui sont essentiels à la sécurité de ces produits. Par exemple, les systèmes d’IA embarqués dans des véhicules autonomes ou des dispositifs industriels ou médicaux.
State of AI in the Cloud 2024
Did you know that over 70% of organizations are using managed AI services in their cloud environments? See what else our research team uncovered about AI in their analysis of 150,000 cloud accounts.
Get PDF
Les huit règles essentielles de la législation européenne sur l’IA
Les développeurs et les fournisseurs d’applications d’IA sont appelés « fournisseurs » en vertu de la législation européenne sur l’IA. Toute personne morale ou physique qui utilise l’IA à titre professionnel est considérée comme un « utilisateur » ou un « déployeur ».
Les grandes lignes de la loi européenne sur l’IA Huit exigences fondamentales pour les systèmes à haut risque:
Gestion du risque tout au long du cycle de vie du système d’IA à haut risque
Gouvernance des données pour vérifier tous les ensembles de données d’entraînement, de validation et de test
Documentation technique pour démontrer et évaluer la conformité ;
Tenue de registres pour déterminer le risque et mettre à jour le niveau de risque tout au long du cycle de vie
Mode d’emploi Ainsi, les déployeurs en aval peuvent garantir une conformité totale tout au long de la chaîne d’approvisionnement
Les systèmes d’IA doivent permettre surveillance humaine par les utilisateurs (déployeurs)
Les systèmes d’IA doivent être conçus pour atteindre les objectifs suivants : Précision, robustesse et cybersécurité
Gestion de la qualité pour assurer la conformité et en rendre compte
Le non-respect de ces exigences pourrait entraîner une coupure du marché européen ainsi que de lourdes amendes. Les amendes varieront probablement, en fonction de la taille de l’entreprise, de 7,5 millions d’euros, soit 1,5 % du chiffre d’affaires annuel, à 35 millions d’euros, soit 7 % du chiffre d’affaires annuel.
Malgré le travail supplémentaire que la législation européenne sur l’IA crée, elle présente également des avantages. Par exemple, il prévoit la création de bacs à sable réglementaires, vous aidant à tester des applications en dehors du cadre réglementaire.
Et pour en revenir aux principes de base, la législation européenne sur l’IA vise à rendre l’IA moins vulnérable, en protégeant votre entreprise, vos clients et le public. Pour ce faire, il exige que la sécurité Pratiques de développement de l’IA, des évaluations régulières de la sécurité, ainsi que la transparence et la responsabilité des systèmes d’IA. Mais avec la complexité des environnements multicloud d’aujourd’hui, c’est plus facile à dire qu’à faire.
Quelles sont les bonnes pratiques pour se conformer à la législation européenne sur l’IA ?
Voici ce que vous devez faire pour vous assurer que vous respectez les exigences de la législation européenne sur l’IA :
Effectuez des évaluations approfondies des risques, y compris la cartographie de l’ensemble de votre environnement pour signaler les données fantômes et les en particulier l’IA fantôme.
Mettre en place des mesures solides de protection des données telle qu’une solution de gestion de la posture de sécurité des données (DSPM) pour protéger toutes les données utilisées par l’IA.
Vérifier la transparence et l’explicabilité, c’est-à-dire qu’il doit être possible d’interpréter et de comprendre les résultats des systèmes d’IA.
Mettre à jour et tenir à jour la documentation technique dans le cadre d’un engagement de transparence.
Établissez une gouvernance et une surveillance efficaces, y compris des vérificateurs de conformité automatisés qui signaleront rapidement les problèmes potentiels.
Selon un rapport de KPMG, l’un des meilleurs moyens de réduire considérablement le travail impliqué dans les tests et la documentation est de « tirer parti des solutions automatisées de détection, d’analyse et de renseignement des menaces ». Ils recommandent une solution automatisée pour gérer « la cartographie de la conformité, le suivi des obligations et la gestion des flux de travail ».
Ce genre d’outils et bien d’autres peuvent être trouvés dans le cadre d’un plateforme de protection des applications cloud native, ou CNAPP. La recherche d’une CNAPP qui convient à votre organisation est donc l’une des meilleures décisions que vous puissiez prendre lorsqu’il s’agit de simplifier la conformité de l’UE en matière d’IA.
L’avenir de la réglementation de l’IA
D’autres juridictions en dehors de l’UE vont probablement adopter des lois similaires. Aux États-Unis, par exemple, les États et les agences fédérales explorent la réglementation de l’IA, en particulier autour des véhicules autonomes et des soins de santé. La Chine, le Canada, le Japon, le Royaume-Uni et d’autres pays envisagent également des mesures réglementaires. Mais la bonne nouvelle, c’est qu’une fois que vous serez en conformité avec la loi européenne sur l’IA, il sera probablement plus facile de répondre à d’autres normes.
Si vous utilisez déjà des solutions d’IA, ou si vous allez dans cette direction, la responsabilité d’une utilisation éthique et responsable de l’IA repose sur vos épaules. Vous devez atténuer les préjudices potentiels pour les utilisateurs finaux, pour votre propre organisation et pour les tiers.
À l’heure où la plupart des outils s’efforcent de rattraper l’avant-garde de l’IA, il y a une plateforme qui vous soutient déjà : Wiz. La plateforme Wiz propose un Solution AI-SPM qui fournit une approche unifiée des risques de sécurité et de la conformité de l’IA sous un seul toit facile à gérer.
Wiz trouve et surveille rapidement la sécurité et la conformité de tous vos services et technologies d’IA, comme Amazon SageMaker, OpenAI, TensorFlow Hub, etc.
Visibilité complète sur les pipelines d’IA
Détection rapide des erreurs de configuration de l’IA
Protection des données sensibles d’entraînement de l’IA
La loi européenne sur l’IA vise à faire en sorte que le scénario cauchemardesque – une technologie déchaînée, comme dans ces films de science-fiction – ne se réalise jamais. Et Wiz protège votre entreprise contre les plus grands risques d’aujourd’hui grâce à une visibilité complète, une évaluation des risques et des mesures de sécurité, le tout derrière une seule vitre.
Wiz ne s’arrête pas à la conformité. Grâce à un contexte approfondi provenant d’une gamme d’outils de sécurité, vous disposerez d’une vue d’ensemble complète des vulnérabilités, des identités, des expositions au réseau, des logiciels malveillants, des données et des secrets exposés, ainsi que de l’automatisation pour commencer à atténuer tout incident de sécurité avant qu’il ne devienne un problème.
La loi européenne sur l’IA vise à faire en sorte que le scénario cauchemardesque – une technologie déchaînée, comme dans ces films de science-fiction – ne se réalise jamais. Et Wiz protège votre entreprise contre les plus grands risques d’aujourd’hui grâce à une visibilité complète, une évaluation des risques et des mesures de sécurité, le tout derrière une seule vitre.
Ne laissez pas le risque ou la réglementation vous empêcher de profiter de tous les avantages que l’IA offre à votre entreprise. Obtenir une démo de Wiz pour voir à quel point il est facile de sécuriser l’IA dans l’ensemble de votre SDLC.
Accelerate AI Innovation, Securely
Learn why CISOs at the fastest growing companies choose Wiz to secure their organization's AI infrastructure.
