AI-Act : cinq recommandations pour que les entreprises réagissent dès maintenant

Avec l'AI-Act, l'UE a réglementé la branche actuellement la plus dynamique et la plus importante de l'industrie des données, comme elle l'a fait avec le RGPD en avril 2016 et le Digital Operational Resilience (DORA) en janvier de cette année. Bon nombre des nouvelles tâches prévues par l'AI-Act devraient être familières aux responsables de la protection des données et à tous les responsables de la conformité dans le cadre du RGPD.

La loi établit une définition de l'IA et définit trois niveaux de sécurité : minimal, élevé et inacceptable. Les applications d'IA que les entreprises souhaitent utiliser dans les secteurs de la santé, de l'éducation et des infrastructures critiques relèvent de la catégorie de sécurité la plus élevée, "à haut risque". Celles de la catégorie "inacceptable" seront interdites, car elles pourraient par exemple menacer la sécurité, les moyens de subsistance et les droits des personnes.

Par définition, ces systèmes d'IA doivent être dignes de confiance, transparents et responsables. Ils doivent procéder à des évaluations des risques, utiliser des données de qualité et documenter leurs choix techniques et éthiques. Ils doivent également enregistrer l'évolution des performances de leurs systèmes et informer les utilisateurs de la nature et de l'objectif de leurs systèmes. En outre, les systèmes d'IA doivent être supervisés par des humains et permettre des interventions. Ils doivent fonctionner de manière hautement robuste et atteindre un niveau élevé de cybersécurité.

Les entreprises ont maintenant besoin d'une orientation claire. Même les entreprises suisses sont actuellement incertaines quant aux conséquences concrètes de la nouvelle loi pour elles. Elles veulent en effet exploiter le grand potentiel de cette technique tout en étant préparées à l'avenir pour pouvoir mettre en œuvre les détails à venir du règlement. Il existe cinq recommandations claires sur la manière dont les entreprises peuvent s'y prendre sans créer de risques juridiques tout en ne gênant pas les utilisateurs. Et en même temps, être positionné de manière à pouvoir mettre pleinement en œuvre l'AI-Act sans mettre l'informatique sens dessus dessous :

• Faire agir l'IA en toute confiance Pour y parvenir, il faut apprivoiser complètement l'IA. Le seul moyen d'y parvenir est de contrôler étroitement les données et les flux de données entrant dans l'IA et sortant de l'IA. Ce contrôle étroit est similaire aux exigences du RGPD pour les données à caractère personnel. Les entreprises devraient toujours tenir compte de cette conformité lorsqu'elles utilisent et développent elles-mêmes l'IA. Celles qui souhaitent utiliser l'IA conformément au RGPD et à l'AI Act devraient demander l'avis d'un expert en protection des données avant de l'introduire.
• Connaître les données avec précisionUne grande partie de la loi se concentre sur le reporting du contenu utilisé pour former l'IA, c'est-à-dire sur les ensembles de données qui lui ont donné les connaissances nécessaires à sa performance. Les entreprises et leurs collaborateurs doivent savoir exactement avec quelles données ils alimentent l'IA et quelle est la valeur de ces données pour l'entreprise. Certains fournisseurs d'IA confient délibérément cette décision aux propriétaires de données, car ce sont eux qui connaissent le mieux les données. Ceux-ci doivent former l'IA de manière responsable et l'accès aux données ne doit être activé que pour les personnes autorisées.
• La question des droits d'auteur : Les modèles d'IA précédents utilisaient des explorateurs d'Internet et de livres disponibles pour entraîner leur IA. Il s'agissait de contenus contenant des éléments protégés - l'un des domaines que l'AI Act veut nettoyer. Si des entreprises ont utilisé de tels ensembles de données sans les avoir précisément identifiés, elles devront peut-être tout recommencer.
• Comprendre le contenu des données : C'est une tâche essentielle. Pour que les propriétaires de données puissent prendre les bonnes décisions, la valeur et le contenu des données doivent être clairs. Au quotidien, cette tâche est gigantesque et la plupart des entreprises ont accumulé des montagnes d'informations dont elles ne savent absolument rien. Dans ce domaine, l'IA et le Machine Learning peuvent apporter une aide massive et désamorcer l'un des problèmes les plus complexes en identifiant et en classant automatiquement les données des entreprises selon leur propre stratégie de Relevant Record. Des filtres prédéfinis repêchent immédiatement les données pertinentes en matière de conformité, comme les cartes de crédit, les données hypothécaires ou les plans de construction, et les marquent. Cette analyse permet également de clarifier certains paramètres de sécurité et de repérer par exemple les données non sécurisées. Dès que cette IA examine les données de l'entreprise, elle développe un langage spécifique à l'entreprise. Et plus elle travaille longtemps et plus elle examine de données d'entreprise, plus ses résultats deviennent précis. L'intérêt de cette classification pilotée par l'IA se révèle surtout lorsqu'il s'agit de respecter de nouvelles directives. Quelle que soit la nouveauté apportée par l'AI-Act à long terme, la classification guidée par la ML et l'IA pourra rechercher ces attributs supplémentaires et apportera à l'entreprise une certaine sécurité pour l'avenir.​​​​​​​
• Contrôler les flux de donnéesSi les données sont classées et classifiées avec les bonnes caractéristiques, la plateforme de gestion des données sous-jacente peut automatiquement appliquer des règles sans que le propriétaire des données n'ait à intervenir. Les chances d'erreurs humaines et de risques sont ainsi réduites. Une entreprise pourrait ainsi imposer que certaines données, telles que la propriété intellectuelle ou les données financières, ne soient jamais transmises à d'autres emplacements de stockage ou à des modules d'IA externes. Les plateformes modernes de gestion des données contrôlent l'accès à ces données en les chiffrant automatiquement et en exigeant que les utilisateurs s'autorisent par des contrôles d'accès et une authentification multifactorielle.

Les entreprises suisses inquiètes

L'AI Act aura également un impact sur la Suisse, car le règlement s'appliquera si un système d'IA est utilisé au sein de l'UE ou si sa production est "utilisée" dans l'UE. Cela signifie par exemple que les entreprises suisses peuvent être concernées si elles rendent leurs systèmes accessibles à d'autres entreprises, organismes publics ou personnes au sein de l'UE. De même, les prévisions, recommandations ou décisions prises par des systèmes basés sur l'IA en Suisse peuvent avoir un impact si elles sont "utilisées" au sein de l'UE.

La nouvelle loi européenne concerne les entreprises qui développent par exemple des logiciels pour les établissements d'enseignement, qui corrigent les examens automatisés ou qui décident des bourses d'études. Selon les experts, les entreprises qui analysent les données de santé de l'UE à l'aide de l'IA sont également concernées par la loi. De même, les banques suisses qui utilisent l'IA pour évaluer la solvabilité d'un citoyen de l'UE.

Les entreprises suisses sont actuellement dans l'incertitude. Les petites et moyennes entreprises ainsi que les start-ups, en particulier, ne disposent souvent pas des ressources humaines et financières nécessaires pour procéder à des clarifications réglementaires approfondies.

Quelles sont les sanctions possibles ?

L'UE présente une autre similitude avec le RGPD et DORA. Une fois en vigueur, des sanctions sont appliquées en cas de non-conformité. Les personnes qui enfreignent des dispositions importantes de l'AI Act s'exposent à des sanctions pouvant aller jusqu'à 35 millions d'euros ou 7 % du chiffre d'affaires mondial. La loi sur l'IA sera probablement publiée cet été et entrera en vigueur 20 jours après sa publication au Journal officiel de l'UE. La plupart de ses dispositions s'appliqueront après 24 mois. Les règles relatives aux systèmes d'IA interdits s'appliqueront après six mois, celles relatives aux GPAI après douze mois et celles relatives aux systèmes d'IA à haut risque après 36 mois.

Source : www.cohesity.com / www.srf.ch / www.infosec.ch