Les menaces et risques liés à l’IA Générative sont nombreux et doivent être appréhendés au plus tôt par les entreprises. Après avoir décrit les biais cognitifs, regardons les risques règlementaires liés à l’IA Générative.
Sommaire
Comprendre et maîtriser les enjeux règlementaires de l'IA Générative
La conformité avec le RGPD
L’IA Générative, au même titre que n’importe quel traitement de données personnelles, est soumise aux principes du Règlement Générale pour la Protection des Données de l’Union Européenne (RGPD). Le pré-traitement des données ainsi que l’entraînement et l’utilisation des modèles sont concernés et tout manquement est susceptible d’être sanctionné par une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, en sus d’un potentiel risque réputationnel.
Il est donc crucial de s’assurer que le RGPD sera respecté de bout en bout avant de lancer une initiative d’IA Générative.
Quels sont les principes règlementaires que l'IA Générative doit respecter ?
- Licéité : la collecte et le traitement des données personnelles doit avoir une base légale qui est difficile à définir pour toutes les données nécessaires pour entraîner ou utiliser une IA Générative.
- Minimisation : les traitements doivent utiliser la stricte quantité de données nécessaire. Cela a un impact négatif sur les performances d’une IA Générative, notamment au regard des hallucinations.
- Profilage automatisé : un traitement de données personnelles ayant une conséquence sur les personnes ne peut être uniquement automatisé, ce qui est en contradiction avec les IA Génératives sur le fonctionnement desquelles les utilisateurs ont peu de leviers de contrôle.
- Transparence : les utilisateurs doivent être informés de la manière dont leurs données sont utilisées et sur quelle source le modèle s’appuie.
- Droit à l’explication : il est nécessaire de pouvoir expliquer le fonctionnement de l’algorithme utilisé afin de pouvoir justifier un résultat, ce qui est extrêmement difficile avec une IA Générative.
- Droit à l’oubli : il est nécessaire de pouvoir expliquer le fonctionnement de l’algorithme utilisé afin de pouvoir justifier un résultat, ce qui est extrêmement difficile avec une IA Générative.
- Précision des données : les données doivent être précises et à jour. Avec les IA Générative, il y a un risque que les informations générées ou fournies soient inexactes ou trompeuses.
Prendre en compte dès à présent l'AI Act
Une entrée en vigueur en 2026 qui doit être appréhendé dès aujourd'hui
Si le respect du RGPD dans le cadre de l’utilisation de l’IA Générative peut s’avérer challengeant pour les entreprises, le fait qu’elles soient contraintes de l’appliquer depuis le 25 mai 2018 leur donne le recul nécessaire pour s’adapter. Néanmoins, la conformité avec la prochaine réglementation européenne qui vise à encadrer non pas les traitements de données personnelles mais l’utilisation de l’IA elle-même, le AI Act, se révèlera sans doute beaucoup plus délicate.
En effet, l’AI Act, adopté à l’unanimité le 2 février 2024 et qui doit entrer en vigueur en 2026, a une portée beaucoup plus vaste que le RGPD et entend limiter au maximum les risques pour les droits fondamentaux en s’assurant que les IA sont sûres, transparentes, traçables, non discriminatoires, respectueuses de l’environnement et toujours supervisées par les humains.
Quels sont les risques règlementaires liés à l'AI Act ?
L’approche consiste à la définition des quatre niveaux de risques suivants, chacun nécessitant des mesures appropriées de remédiation ou limitation :
- Risques inacceptables : Certaines IA seront interdites car considérées comme une menace pour les personnes. Les IA permettant le scoring social, l'identification biométrique ou la catégorisation des personnes font par exemple partie de cette catégorie.
- Risques élévés : Les IA qui affectent négativement la sécurité ou les droits fondamentaux seront considérées comme hautement risquées et devront être évaluées et mises en conformité avant leur mise sur le marché et tout au long de leur cycle de vie. Le scoring bancaire fait par exemple partie de cette catégorie.
- Risques limités : Les IA présentant un risque limité devront se conformer à des exigences minimales de transparence pour permettre aux utilisateurs de prendre des décisions éclairées. Les images artistiques générées par l’IAG font par exemple partie de cette catégorie.
- Risques minimes : Les IA qui ne font pas partie des trois autres catégories, telles que les filtres anti-spams. Elles doivent néanmoins faire l’objet d’un code de conduite.
Que risquent les entreprises si elles ne respectent pas l'AI Act ?
Dans ce contexte, l’IA Générative devra respecter a minima les exigences de transparence. Sa classification en système à risques limités ou à hauts risques dépendra de son caractère ouvert ou fermé et de la puissance de calcul nécessaire pour l’entraîner. Dans tous les cas, les éditeurs devront publier un résumé des données utilisées pour l’entraînement et seront soumis aux droits d’auteurs
Les amendes encourues pour non-respect sont conséquentes et dépendent du niveau de risque :
- 7% du chiffre d’affaires ou 35 millions d’euros pour une mise sur le marché d’une IA présentant des risques inacceptables.
- 3% du chiffre d’affaires ou 15 millions d’euros pour une IA non conforme présentant des risques élevés.
- 1% du chiffre d’affaires ou 7,5 millions d’euros pour une IA à risques limités ou minimes transmettant des informations fausses ou trompeuses.
La conformité by Design pour limiter les risques règlementaires liés à l'IA Générative
Prendre au sérieux les risques règlementaires dès la conception
Les risques réglementaires doivent être pris au sérieux par tous les Métiers et toutes les équipes techniques et leur limitation doit être une priorité absolue pour les entreprises ; ils doivent donc être anticipés
En effet, la mise en conformité de l’IA Générative ou de cas d’usage reposant sur son utilisation ne doit pas être faite a posteriori, au risque de coûts plus élevés ou d’une solution incomplète qui se révèlerait peut pertinente. Il est donc nécessaire de suivre une approche stratégique qui intègre les principes du RGPD et de l’AI Act à chaque étape du développement et du déploiement dans une logique de Privacy by Design et de Trustworthy AI by Design.
Cela nécessite un sponsorship fort qui veillera à ce que ces principes soient intégrés dans la culture de l’entreprise et un rôle actif des services de la conformité pour superviser, en collaboration avec les équipes de développement et les utilisateurs finaux, la mise en œuvre de la feuille.
Adapter les processus de conception
Des procédures doivent être établies afin de garantir des pratiques transparentes, notamment concernant l’explicabilité des algorithmes, un traitement sécurisé des données et une utilisation éthique. Le contrôle et la mise à jour continus sont de plus essentiels pour maintenir des normes élevées en matière de conformité des traitements.
Enfin, tous les utilisateurs doivent être parfaitement formés aux différentes réglementations en vigueur afin de bien identifier les limites qu’ils doivent s’imposer lors de l’utilisation d’une IA Générative mais aussi être capables d’identifier les risques résultants des traitements exécutés.
Christophe VALLET
Associé iQo
son profil LinkedIn
Jérôme PRIOUZEAU
Associé iQo
son profil LinkedIn
12 biais humains de l’IA Générative à comprendre et maîtriser
Les biais de l’IA Générative sont nombreux, aux premiers rangs desquels les biais humains. Nos experts Data & IA vous apportent leur décryptage pour comprendre
Quel impact environnemental pour l’intelligence artificielle (IA) ?
L’essor de l’intelligence artificielle ne se fait pas sans poser certains défis environnementaux majeurs. L’impact environnemental de l’IA est colossal et demeure probablement encore sous-évalué
Se former à l’IA : expliquer et démystifier avant de lancer ses démarches
Former ses collaborateurs à l’IA, ce n’est pas seulement répondre à une tendance actuelle mais bien accompagner la transformation des métiers. Tous les métiers sont
