IA Générative : quels sont les risques règlementaires ?

Data

Les menaces et risques liés à l’IA Générative sont nombreux et doivent être appréhendés au plus tôt par les entreprises. Après avoir décrit les biais cognitifs, regardons les risques règlementaires liés à l’IA Générative.

biais humains ia generative
Quels sont les 11 biais humains de l'IA Générative ?

Sommaire

Comprendre et maîtriser les enjeux règlementaires de l'IA Générative

La conformité avec le RGPD

L’IA Générative, au même titre que n’importe quel traitement de données personnelles, est soumise aux principes du Règlement Générale pour la Protection des Données de l’Union Européenne (RGPD). Le pré-traitement des données ainsi que l’entraînement et l’utilisation des modèles sont concernés et tout manquement est susceptible d’être sanctionné par une amende pouvant aller jusqu’à 20 millions d’euros ou 4% du chiffre d’affaires, en sus d’un potentiel risque réputationnel.

Il est donc crucial de s’assurer que le RGPD sera respecté de bout en bout avant de lancer une initiative d’IA Générative.

Quels sont les principes règlementaires que l'IA Générative doit respecter ?

Prendre en compte dès à présent l'AI Act

Une entrée en vigueur en 2026 qui doit être appréhendé dès aujourd'hui

Si le respect du RGPD dans le cadre de l’utilisation de l’IA Générative peut s’avérer challengeant pour les entreprises, le fait qu’elles soient contraintes de l’appliquer depuis le 25 mai 2018 leur donne le recul nécessaire pour s’adapter. Néanmoins, la conformité avec la prochaine réglementation européenne qui vise à encadrer non pas les traitements de données personnelles mais l’utilisation de l’IA elle-même, le AI Act, se révèlera sans doute beaucoup plus délicate.

En effet, l’AI Act, adopté à l’unanimité le 2 février 2024 et qui doit entrer en vigueur en 2026, a une portée beaucoup plus vaste que le RGPD et entend limiter au maximum les risques pour les droits fondamentaux en s’assurant que les IA sont sûres, transparentes, traçables, non discriminatoires, respectueuses de l’environnement et toujours supervisées par les humains.

Quels sont les risques règlementaires liés à l'AI Act ?

L’approche consiste à la définition des quatre niveaux de risques suivants, chacun nécessitant des mesures appropriées de remédiation ou limitation :

Que risquent les entreprises si elles ne respectent pas l'AI Act ?

Dans ce contexte, l’IA Générative devra respecter a minima les exigences de transparence. Sa classification en système à risques limités ou à hauts risques dépendra de son caractère ouvert ou fermé et de la puissance de calcul nécessaire pour l’entraîner. Dans tous les cas, les éditeurs devront publier un résumé des données utilisées pour l’entraînement et seront soumis aux droits d’auteurs

Les amendes encourues pour non-respect sont conséquentes et dépendent du niveau de risque :

La conformité by Design pour limiter les risques règlementaires liés à l'IA Générative

Prendre au sérieux les risques règlementaires dès la conception

Les risques réglementaires doivent être pris au sérieux par tous les Métiers et toutes les équipes techniques et leur limitation doit être une priorité absolue pour les entreprises ; ils doivent donc être anticipés

En effet, la mise en conformité de l’IA Générative ou de cas d’usage reposant sur son utilisation ne doit pas être faite a posteriori, au risque de coûts plus élevés ou d’une solution incomplète qui se révèlerait peut pertinente. Il est donc nécessaire de suivre une approche stratégique qui intègre les principes du RGPD et de l’AI Act à chaque étape du développement et du déploiement dans une logique de Privacy by Design et de Trustworthy AI by Design.

Cela nécessite un sponsorship fort qui veillera à ce que ces principes soient intégrés dans la culture de l’entreprise et un rôle actif des services de la conformité pour superviser, en collaboration avec les équipes de développement et les utilisateurs finaux, la mise en œuvre de la feuille.

Adapter les processus de conception

Des procédures doivent être établies afin de garantir des pratiques transparentes, notamment concernant l’explicabilité des algorithmes, un traitement sécurisé des données et une utilisation éthique. Le contrôle et la mise à jour continus sont de plus essentiels pour maintenir des normes élevées en matière de conformité des traitements.

Enfin, tous les utilisateurs doivent être parfaitement formés aux différentes réglementations en vigueur afin de bien identifier les limites qu’ils doivent s’imposer lors de l’utilisation d’une IA Générative mais aussi être capables d’identifier les risques résultants des traitements exécutés.

Data & IA

Découvrez nos expertises pour accompagner votre entreprise sur ces enjeux
christophe vallet associe cabinet conseil

Christophe VALLET

Associé iQo
son profil LinkedIn

jerome priouzeau associe cabinet conseil

Jérôme PRIOUZEAU

Associé iQo
son profil LinkedIn