Règlement européen sur l’IA : une opportunité pour mieux investir ?

Adopté le 13 juin 2024, l’IA Act, le règlement sur l’intelligence artificielle (IA), doit entrer progressivement en vigueur pendant les trois prochaines années. L’objectif avoué de ce texte est de trouver un équilibre entre innovation et droits fondamentaux. Toutefois, à la différence de certains textes européens assez théoriques, le règlement IA propose une classification concrète des IA selon leur nature et leur niveau de risque et des obligations clairement alignées sur des standards internationaux de gouvernance tels que ceux promus par les normes ISO. Bien maitrisé, ce texte peut devenir un atout pour les investisseurs du domaine de l’IA.

Tout d’abord, le texte adopte une définition précise de l’IA, qui actionne les concepts d’autonomie, d’inférence et de potentielles évolutions. Dans un marché submergé de solutions innovantes, qui ont parfois une vision un peu extensive de ce qu’est l’IA, cette clarification des concepts pose un cadre bienvenu, qui doit permettre aux investisseurs d’identifier plus aisément les «véritables» IA.

Ensuite, et surtout, ce nouveau texte suit l’approche éprouvée de la législation de sécurité des produits. Les systèmes et modèles d’IA sont classés selon les risques qu’ils entrainent (risque inacceptable, haut risque et risque limité, ainsi que deux régimes spécifiques pour les IA à risque de transparence et les IA à usage général, dites «modèles de fondation»). De façon similaire aux machines, aux voitures, aux ascenseurs, aux jouets, aux dispositifs médicaux, les systèmes et modèles d’IA présentant un haut niveau de risque devront respecter des exigences rigoureuses pour être mis sur le marché ou mis en service, via une gouvernance interne (système de management des risques et de la qualité, documentation d’utilisation et technique, gouvernance des données, traçabilité, cybersécurité, etc.). Cette conformité sera attestée par une certification sous la forme d’un marquage CE.

L’IA à haut risque certifiée

Les systèmes d’IA «à haut risque» deviennent ainsi des produits réglementés et certifiés, ce qui constitue un élément aisément auditable pour les investisseurs et qui place également une part de la responsabilité sur le mécanisme de certification. Le niveau exigeant de gouvernance qui en découle doit renforcer les possibilités de due diligence des fournisseurs d’IA et de toute la supply chain, grâce à des points de contrôle.

Le fait que le règlement s’appuie également sur des notions connues de fournisseur, importateur et de distributeur, toujours dans la logique de la législation relative à la sécurité des produits, assure une certaine clarté des rôles et responsabilités de chaque opérateur dans la supply chain de l’IA. Les clients utilisateurs de l’IA, dénommés les déployeurs, sont cependant eux aussi soumis à des obligations nouvelles de vérification de la conformité et d’information de leurs propres utilisateurs.

Le règlement IA offre ainsi aux investisseurs une grille nouvelle d’analyse et d’audit des sociétés produisant ou utilisant l’IA de façon intensive. Aux termes du règlement mais également au regard des recommandations des autorités et des risques inhérents à l’IA, les points de contrôle les plus importants concernent :

• la détermination du rôle de la structure cible dans la supply chain de l’IA ;
• l’identification de la nature des systèmes ou des modèles d’IA, leur classe de risque et le respect des obligations essentielles attachées aux IA à haut risque, aux IA à risque de transparence et aux modèles de fondation ;
• des contrats correctement négociés, sur les aspects responsabilité, propriété intellectuelle, confidentialité, protection des données personnelles et sécurité, en tant que fournisseur d’IA ou en tant que client déployeur d’IA ;
• la mise à niveau de la gouvernance RGPD, pour toutes les solutions d’IA entrainées et fonctionnant sur des bases de données personnelles.
  

Grille d’analyse pour les investisseurs ou feuille de route pour les entreprises de l’IA, le règlement IA doit ainsi être utilisé comme un atout, promoteur d’une gouvernance saine, d’une standardisation accélérée et d’une bonne «auditabilité» des solutions.