Le règlement sur l'IA a été publié aujourd'hui au Journal officiel de l'Union européenne.Pour les entreprises qui utilisent l'intelligence artificielle dans leurs processus d'entreprise, le compte à rebours a commencé. Le 1er août 2024, le règlement sur l'IA entrera en vigueur et la plupart des obligations pour les entreprises devront être respectées dans un délai de deux ans. Ce newsflash présente les principales lignes directrices et points d'action pour les entreprises.
1) L'essor de l'intelligence artificielle dans les processus d'entreprise
L'intelligence artificielle (IA) semble être devenue omniprésente ces derniers temps. Par exemple, une société de logiciels a récemment annoncé qu'elle pourrait passer à une semaine de travail de quatre jours, en partie grâce aux gains d'efficacité réalisés grâce à l'IA. Selon les chiffres d'Eurostat, la Belgique fait partie des pays leaders de l'UE avec 14% des répondants ayant déclaré avoir utilisé l'IA dans leur entreprise en 2023. Cela place la Belgique bien au-dessus de la moyenne européenne de 8 %. C'est également ce qui ressort de l'enquête Claeys & Engels HR Beacon, où 14 % des personnes interrogées ont également indiqué avoir déjà utilisé l'IA.
2) Objectif du règlement sur l'IA
L'objectif du règlement sur l'IA est d'établirun cadre juridique uniforme en Europe pour le développement, lamise sur le marché, la mise en service et l'utilisation desystèmes d'IA. Le règlement sur l'IA vise à promouvoir l'adoption de l'intelligence artificielle (IA) centrée sur l'hommeet digne de confiance, tout en garantissant un niveau élevé de protection de la santé, de la sécurité et des droits fondamentaux consacrés dans la Charte des droits fondamentaux de l'Union européenne.
3) Approche fondée sur les risques
Pour atteindre cet objectif, le règlement sur l'IA adopte une approche fondée sur les risques. Ainsi, les règles applicables sont adaptées à l'intensité et à la portée des risques générés par les systèmes d'IA.
Tout d'abord, le règlement sur l'IA interdit certaines pratiques inacceptables en matière d'IA. Par exemple, elle interdit fondamentalement l'utilisation de systèmes d'IA pour déduire les émotions de personnes sur le lieu de travail. Cette interdiction entre en vigueur dès février 2025.
Ensuite, un certain nombre de systèmes d'IA sont qualifiés de "à haut risque". Ces systèmes d'IA doivent satisfaire à un certain nombre d'exigences obligatoires. De nombreux systèmes d'IA utilisés à des fins de RH entrent dans la catégorie des systèmes à haut risque. Par exemple, dans un contexte de recrutement, il s'agit des systèmes d'IA utilisés pour le recrutement ou la sélection de personnes, en particulier pour publier des offres d'emploi ciblées, analyser et filtrer les candidatures et évaluer les candidats.
Enfin, il existe des systèmes d'IA qui présentent, en l'absence de transparence, un risque limité. Cette catégorie comprend, par exemple, les systèmes d'IA destinés à améliorer la façon dont un document est rédigé ou à répondre à des questions (par exemple avec ChatGPT). Dans ce contexte, les entreprises devront informer la personne concernée que le contenu est généré par l'IA.
4) Les acteurs du règlement sur l'IA
Le règlement sur l'IA prévoit des obligations différentes selon qu'une organisation est qualifiée de fournisseur, d'importateur, de distributeur, de fabricant de produits, de représentant autorisé ou de déployeur (deployer, ci-après dénommé "déployeur"). Dans la plupart des cas, les employeurs sont considérés comme des déployeurs.Toutefois, une qualification en tant que fournisseur (provider) n'est pas exclue. C'est le cas, par exemple, lorsqu'une entreprise ne se contente pas d'utiliser un système d'IA existant, maisfait également développer davantage ce systèmeet le meten servicesous son propre nom. Le seuil entre les déployeurset les fournisseurs peut être faible, mais les conséquences en termes d'obligations ne le sont pas.
5) Obligations des fournisseurs et des déployeurs
La plupart des obligations prévues par le règlement sur l'IA s'appliquent aux fournisseurs de systèmes d'IA, et ce d'autant plus lorsqu'il s'agit de systèmes d'IA à haut risque. Dans ce cas, les fournisseurs doivent notamment
- mettre en place des systèmes de gestion des risques et de la qualité tout au long du cycle de vie du système,
- mettre en Suvre des mesures de gouvernance des données,
- fournir une documentation technique et des instructions d'utilisation
- fournir des instructions d'utilisation aux déployeurs
- inclure le contrôle humain dans la conception du système, et
- fournir des garanties d'exactitude, de robustesse et de cybersécurité.
Les déployeurs de systèmes d'IA à haut risque ont les obligations suivantes :
- Prendre les mesures techniques et organisationnelles appropriées pour garantir qu'ils utilisent les systèmes d'IA conformément aux notices d'utilisation.
- Confier le contrôle humain des systèmes d'IA à des personnes disposant des compétences, de la formation et de l'autorité nécessaire, ainsi que du soutien nécessaire.
- Lorsque les déployeurs exercent un contrôle sur les données d'entrée, ils doivent veiller à ce qu'elles soient pertinentes et suffisamment représentatives.
- Les déployeurs doivent également surveiller le fonctionnement du système d'IA et conserver les journaux pendant au moins six mois.
Avant d'utiliser un système d'IA sur le lieu de travail, les employeurs devront informer les représentants des travailleurs et les travailleurs concernés qu'ils seront soumis à l'utilisation d'un système d'IA à haut risque.
En outre, les entreprises doivent prendre des mesures pour garantir un niveau suffisant de maîtrise de l'IA pour les personnes qui entrent en contact avec les systèmes d'IA. Cette obligation prendra effet dès février 2025.
6) Application
Le contrôle de l'application du règlement sur l'IA sera assuré par différentes autorités. Au niveau européen, l'IA-Office (Bureau de l'IA) et l'IA-Board (le Conseil de l'IA) assumeront ce rôle et publieront également des avis et des recommandations. Au niveau national, une ou plusieurs autorités locales veilleront à l'application du règlement. Celles-ci peuvent être créées au sein des autorités de protection des données existantes, mais cela n'est pas indispensable.
La violation des dispositions relatives aux systèmes d'IA interdits peut entraîner des amendes de 35 millions d'euros ou de 7 % du chiffre d'affaires annuel d'une entreprise. Les autres violations peuvent donner lieu à des amendes allant jusqu'à 15 millions d'euros ou 3 % du chiffre d'affaires annuel de l'entreprise. La délivrance d'informations inexactes, incomplètes ou trompeuses aux autorités peut entraîner des amendes allant jusqu'à 7,5 millions d'euros ou 1 % du chiffre d'affaires annuel d'une entreprise. Ces amendes peuvent être moins élevées pour les PME et les start-ups.
7) Application progressive dans le temps
Quelques dates sont d'ores et déjà à noter concernant l'applicationdurèglement sur l'IA pour les entreprises agissant en tant quefournisseurs oudéployeurs.Suite à sa publication le 12 juillet 2024, le règlement sur l'IA entrera en vigueur en août 2024.
À partir de février 2025, les systèmes d'IA présentant un risque inacceptable seront interdits. En outre, à partir de cette date, les entreprises devront également prendre des mesures pourgarantirun niveausuffisant de connaissances en matière d'IA.
À partir d'août 2026, la plupart des obligations relatives aux systèmes d'IA à haut risque devront être respectées et les obligations de transparence entreront en vigueur.
Commencez à vous préparer dès aujourd'hui
Il est essentiel de commencer à se préparer au règlement sur l'IA en temps utile. Il est préférable que les entreprises identifient dès à présent les systèmes d'IA qu'elles utilisent elles-mêmes et ceux de leurs partenaires. Pour chaque système d'IA, l'entreprise doit vérifier s'il remplit les conditions requises par le règlement sur l'IA, notamment en tant que fournisseur ou déployeur.
Ensuite, il convient de déterminer dans quelle catégorie de risque le système d'IA se situe. Il est préférable de procéder à cet exercice avant février 2025, date à laquelle les règles relatives aux systèmes d'IA interdits entreront en vigueur.
Sur la base de cet aperçu, l'entreprise peut identifier ses obligations et élaborer un plan d'action pour une mise en Suvre en temps utile. La plupart des obligations prennent effet à partir d'août 2026. Cependant, des mesures transitoires s'appliquent à certains systèmes d'IA.
Si vous avez d'autres questions, n'hésitez pas à contacter l'un des membres de notre équipe Data & Privacy!
The content of this article is intended to provide a general guide to the subject matter. Specialist advice should be sought about your specific circumstances.