Se préparer à l’AI Act en tirant les enseignements de la mise en conformité du RGPD
Le consultant Vincent Maret et l'avocat Patrick Amouzou, associés au sein du groupe KPMG, reviennent sur les enseignements à tirer de la mise en conformité du règlement sur la protection des données personnelles afin de préparer la mise en application du futur règlement sur l'intelligence artificielle, adopté par les eurodéputés le 14 juin dernier.
Si l’intelligence artificielle (IA) connait un essor impressionnant, le sujet pose de nombreuses questions depuis plusieurs années : biais, usages dits à "haut risque", manque de robustesse… On se souvient de l’expérience malheureuse d’Amazon qui avait mis au point en 2014 une IA pour le recrutement mais avait dû finalement y renoncer après avoir découvert que le système pénalisait les candidatures des femmes. Ces expériences ont eu pour effet de montrer l’intérêt, voire la nécessité d’un cadre réglementaire pour favoriser une IA de confiance.
A l’instar du RGPD, les législateurs européens se sont emparés du sujet à partir de 2021. Cette démarche est sur le point d’aboutir, avec le vote, le 14 juin dernier, de la position du Parlement européen sur la proposition de règlement de la Commission sur l’intelligence artificielle, "l’AI Act". Prochaine étape : l'examen par les États Membres du Conseil du texte amendé par les eurodéputés, avec un texte final qui devrait être adopté d’ici fin 2023 et une application pleine deux ans après.
Une opportunité de créer les conditions d’une IA de confiance
L’AI Act va avoir un impact important au sein des organisations publiques et privées, à l’instar du RGPD en 2016. Les deux règlements présentent des similitudes. Ils s’appliquent ainsi aux organisations situées sur le territoire de l’UE, ou hors UE si leurs activités sont susceptibles d’affecter des Européens. Les deux textes se donnent comme objectif principal de protéger les personnes contre les risques engendrés par l’utilisation des technologies, et accordent de ce fait des droits aux individus. On peut s’attendre à ce que des particuliers ou des associations se saisissent de l’AI Act pour faire valoir ces droits et demander des comptes, comme on a pu le voir dans le cas du RGPD.
En outre, tout comme le RGPD exige une analyse d'impact sur la protection des données pour les traitements à risque élevé, l'AI Act demande des évaluations d'impact pour les systèmes d'IA à "haut risque".
La transparence est également un principe central du RGPD et de l’AI Act. Les organisations sont tenues de fournir aux personnes concernées des informations et explications sur la manière dont leurs données sont utilisées ou dont l'IA pourrait les affecter. De même que les organisations ont dû, pour se conformer au RGPD, inventorier leurs traitements de données personnelles, elles devront avec l’AI Act avoir une vision exhaustive et détaillée des IA qu’elles développent et/ou mettent en œuvre.
Enfin, en France, c’est la CNIL, déjà en charge de superviser l’application du RGPD, qui tiendra ce même rôle pour l’AI Act.
Un texte plus contraignant que le RGPD
Mais l’AI Act se différencie du RGPD dans plusieurs domaines. Le RGPD définit des catégories de données sensibles, mais n’identifie pas de traitements a priori sensibles. L’AI Act va plus loin en catégorisant des typologies d’IA dites à "haut risque", soumises de ce fait à des exigences particulières.
En outre, là où le RGPD ne concerne que les organisations qui traitent des données, qu’il s’agisse de responsable de traitement ou de sous-traitants, l’AI Act s’applique aux éditeurs de solutions logicielles basées sur des algorithmes d’IA. Le règlement demande notamment que les organisations qui fournissent des IA à haut risque assurent une surveillance "post commercialisation". Elles devront donc régulièrement contrôler et évaluer la sécurité et l'efficacité des leurs produits après leur mise sur le marché pour identifier tout problème potentiel et afin de garantir le maintien dans le temps de leur conformité aux exigences du règlement.
Quand le RGPD se contente d’exiger du responsable du traitement "des mesures techniques et organisationnelles appropriées" pour assurer la protection des données personnelles, l’AI Act est beaucoup plus prescriptif et demande, pour les IA à haut risque, des garanties portant sur la qualité et l’intégrité des données d’apprentissage, l’absence de biais, la robustesse face aux attaques, la surveillance, la documentation ainsi que le contrôle humain sur les IA.
Enfin, le régime de sanction de l’AI Act est renforcé, les amendes pouvant aller jusqu’à 6% du chiffre d’affaires mondial, contre 4% pour le RGPD.
Pas de poste similaire à celui de DPO
Le RGPD a été promulgué alors que la loi Informatique et Liberté était en vigueur depuis 40 ans, et a instauré le rôle du DPO (Délégué à la Protection des Données), inspiré de celui du CIL (Correspondant Informatique et Liberté) qui préexistait. Quand l’AI Act sera promulgué, il s’agira de la première réglementation sur l’IA, et les organisations devront se mettre en conformité sans pouvoir bénéficier de l’expérience accumulée grâce à une règlementation antérieure.
En outre, ce règlement ne définit pas de rôle similaire à celui du DPO. Le sujet de la mise en place d’une gouvernance sera donc majeur. Les organisations doivent mettre à profit les quelques mois qui nous séparent de la promulgation de l’AI Act pour se mettre en ordre de bataille, en commençant par la cartographie des parties prenantes et la mise en place d’un cadre de gouvernance.
Les projets de mise en conformité au RGPD se sont souvent révélés plus longs que prévu, mais les enseignements que l’on peut en tirer seront très utiles pour anticiper et accélérer la mise en conformité à l’AI Act et créer les conditions d’une IA de confiance.
Vincent Maret, partner Cyber & Privacy chez KPMG Advisory, et Patrick Amouzou, partner & co-head of IP/IT chez KPMG Avocats.
Les avis d'experts sont publiés sous l'entière responsabilité de leurs auteurs et n'engagent en rien la rédaction.
