Que nous y soyons prêts ou non, l’intelligence artificielle a pris le monde d’assaut. L'IA a été adoptée par 78% d'entreprises mondiales, ce qui représente une forte augmentation par rapport à 55% en 2023. Son potentiel énorme indique que son taux d'adoption continuera de grimper.
Mais dans cet essor technologique se cache une préoccupation et un besoin croissants d’utilisation éthique de l’IA, d’autant plus qu’elle a déjà montré son potentiel pour biais, discrimination et erreur.
En raison de cela, et de nombreux autres problèmes concernant la confidentialité des données, les décideurs politiques du monde entier élaborent de nouvelles réglementations et règles pour contrôler le développement et l’utilisation de l’IA.
Examinons de plus près la conformité réglementaire de l’IA et son impact sur le paysage commercial actuel.
Comment nous définissons la conformité réglementaire de l'IA
En tant que Gouvernance de l'IA experts, nous définissons la conformité réglementaire de l'IA comme un ensemble de pratiques qui maintiennent l'utilisation et la gestion des technologies d'IA par une organisation en conformité avec les lois, réglementations et politiques applicables.
Et en parlant de confiance, la mise en œuvre de réglementations sur l’IA nécessite également une cybersécurité et une gestion des risques stratégies visant à garantir que les systèmes d’IA restent protégés contre toute exploitation malveillante.
De l'IA fantôme aux failles de conformité, la plupart des organisations évoluent à l'aveuglette et sont exposées. Examinons de plus près l'état actuel de la gouvernance de l'IA : ses principaux risques, la réglementation en vigueur, les difficultés spécifiques à chaque secteur, et bien plus encore.
Pourquoi nous devrions nous soucier de l'IA et de la conformité réglementaire
Responsable et utilisation éthique de l'IA et le développement sont au cœur de ces politiques de conformité.
La conformité réglementaire (IA en particulier) est conçue pour aider les entreprises à atténuer les risques (juridiques, financiers, etc.) associés à l'utilisation de modèles d'IA, tels que :
- Violations de données
- Mauvaise gestion des données personnelles
- Biais humains dans les données de formation
Les cadres de conformité en matière d'IA protègent les entreprises contre d'éventuelles sanctions et responsabilités, qui peuvent être lourdes. L'un des exemples les plus célèbres d'amendes liées à l'IA est celui concernant Clearview AI, une entreprise de technologie de reconnaissance faciale qui a collecté des photos de visages sur Internet sans leur consentement pour créer une base de données biométriques. L'entreprise a été condamnée à une amende de 22 millions d'euros.
Les entreprises ne doivent pas seulement se soucier des lourdes amendes. La mise en conformité et le maintien de ces normes protègent leur réputation, car elles démontrent leur engagement envers des pratiques éthiques.
Réglementations existantes sur l'IA
Dans le paysage réglementaire, l'IA peut être difficile à contrôler en raison de la rapidité de l'innovation. Créer des lois complètes est un défi pour les régulateurs, ce qui complique également la tâche des entreprises.
Certaines réglementations spécifiques à l'IA sont déjà en vigueur, mais les entreprises doivent également être informées des exigences réglementaires supplémentaires, notamment celles régissant la cybersécurité et la confidentialité des données. Comme pour de nombreuses lois sur la protection des données, la conformité ne dépend pas toujours du lieu d'implantation de votre entreprise, mais plutôt de votre lieu d'activité.
Examinons de plus près certaines exigences de conformité réglementaire existantes pour les systèmes d’IA :
Aux États-Unis
Le Loi de 2024 sur la recherche, l'innovation et la responsabilité en matière d'intelligence artificielle (AIRIAA) fournit un cadre permettant d’équilibrer la transparence, la responsabilité et l’atténuation des risques avec l’innovation en matière d’IA.
La première loi d’État exigeant la divulgation des données de formation pour les systèmes d’IA générative entrera en vigueur en 2026. Loi californienne sur la transparence des données de formation à l'IA générative favorisera le développement transparent de l’IA, créera des protections spécifiques concernant les informations personnelles et donnera aux utilisateurs une meilleure compréhension du fonctionnement de l’IA.
Au Colorado, le Loi sur la protection des consommateurs en matière d'IA, qui vise à protéger les résidents contre la discrimination algorithmique, entrera en vigueur en 2026.
Au Texas, le Loi sur la gouvernance responsable de l'IA, qui supervisera le développement, le déploiement et l’utilisation des systèmes d’intelligence artificielle dans l’État, sera également inscrit dans la loi en 2026.
En termes de lois sur la confidentialité des données, la Loi californienne sur la protection de la vie privée des consommateurs (CCPA) et le Loi sur la protection des données des consommateurs de Virginie (VCDA) Jusqu'à récemment, les États-Unis étaient les seuls à disposer de lois officielles protégeant les données des consommateurs. Au moment de la rédaction de cet article, 20 États disposent désormais de lois complètes sur la protection de la vie privée, et d'autres devraient en adopter prochainement.
En Europe
Dans l’UE, il existe deux réglementations principales qui régissent l’IA : La loi européenne sur l'IA et le RGPD.
La loi européenne sur l'IA
L'Europe abrite le premier cadre complet de l'IA et impacte les fournisseurs et les déployeurs d'IA, tant au sein de l'Union européenne qu'à l'extérieur (si leurs systèmes d'IA sont commercialisés sur le marché européen). Connue simplement sous le nom de « Loi européenne sur l'IA », cette loi classe l'IA en quatre catégories :
Risque inacceptable : Toutes les pratiques d’IA qui entrent dans cette catégorie sont interdites au sein de l’UE.
Il existe actuellement huit applications d'IA interdites en Europe, notamment :
- Manipulation subliminale pour modifier le comportement
- Exploitation des vulnérabilités (par exemple, l'âge ou le handicap)
- Notation sociale qui conduit à un traitement injuste.
- Prédire l'activité criminelle
- Déduire les états émotionnels dans les écoles ou sur les lieux de travail.
- Extraction d'images de personnes à partir d'Internet ou de vidéosurveillance pour étendre une base de données de reconnaissance faciale
- Identification biométrique et catégorisation en temps réel des personnes en fonction d’attributs sensibles tels que la race, la religion ou l’orientation sexuelle.
Risque élevé : Il s'agit des systèmes les plus réglementés de l'UE. L'IA à haut risque comprend tout système susceptible d'avoir des conséquences négatives sur la santé et la sécurité des personnes, leurs droits et l'environnement. Cette catégorie est considérée comme présentant plus d'avantages que de risques, c'est pourquoi elle n'est pas interdite.
Risque limité : Un sous-ensemble plus restreint d'applications d'IA entre dans cette catégorie. L'IA à risque limité est considérée comme tout système présentant néanmoins un risque de manipulation ou de tromperie. Les déployeurs et les développeurs doivent également fournir une documentation aux législateurs et aux utilisateurs afin de maintenir un niveau de transparence et de garantir que les utilisateurs comprennent les risques liés à l'utilisation de l'IA.
Risque minimal : Tous les autres systèmes d'IA entrent dans cette catégorie. Ces systèmes ne sont actuellement pas réglementés, mais une surveillance humaine et une non-discrimination sont recommandées.
Où se situent ChatGPT (IA générative) et l'IA à usage général (GPAI) ? Il a toujours été difficile de classer cette forme d'intelligence artificielle, car son risque dépend de son cas d'utilisation.
GDPR
Le RGPD est un règlement majeur qui encadre la collecte, le traitement, le stockage et la gestion des données personnelles des résidents européens. Il confère aux personnes concernées (résidents de l'UE) certains droits et contrôles sur leurs données, notamment le droit à :
- Refuser et retirer le consentement au traitement des données personnelles
- Savoir quelles informations sont collectées à leur sujet
- Modifier les informations collectées à leur sujet
- Être oublié
- Refuser certains processus automatisés
Les entreprises qui traitent les données personnelles des citoyens de l'UE doivent être conformes au RGPD et répondre à certaines exigences, telles que :
Disposer d'une base juridique (dont le consentement est l'une) pour la collecte et le traitement des données personnelles ; collecter uniquement la quantité minimale nécessaire à leur finalité (limitation de la finalité) ; et ne pas conserver les données plus longtemps que nécessaire (minimisation des données)
- Être transparent sur l'utilisation qui sera faite des données
- Maintenir des données exactes et à jour
- Permettre aux personnes concernées d'exercer leurs droits sans préjudice
- Documenter leurs politiques de tenue de dossiers pour les processus d'audit
- En cas de violation de données, notification aux autorités dans les 72 heures
- Embaucher des délégués à la protection des données (DPD) lorsqu'ils sont impliqués dans le traitement de données à haut risque
- Faciliter la gestion du consentement pour les utilisateurs
- Mise à jour des politiques de confidentialité pour inclure les exigences du RGPD
- Désignation d'un représentant de l'UE si l'entreprise est située en dehors de l'UE
Même si le RGPD n’est pas explicitement un règlement sur l’IA, le développement et le déploiement de modèles d’IA doivent respecter les exigences du RGPD en termes de droits des personnes concernées et de minimisation des données.
En Asie
En Chine, le Mesures provisoires pour la gestion des services d'intelligence artificielle générative (2023) propose un équilibre similaire à celui de l'AIRIAA américaine dans la mesure où il cherche à équilibrer l'innovation avec la transparence et l'utilisation responsable des services d'IA générative destinés au public.
En Corée du Sud, le Loi fondamentale sud-coréenne sur l'IA (SKAIA) Elle vise à atténuer les risques liés à l'IA et à promouvoir des pratiques d'IA fiables, tout en stimulant l'innovation et les exportations du secteur. La loi s'articule autour de trois points principaux :
- Il crée le Comité national de l’IA et un Institut de recherche sur la sécurité de l’IA.
- Il favorise le développement de l’IA.
- Elle établit des mesures de sécurité concernant l’utilisation de l’IA à haut risque et générative.
Peu importe quand vous lisez ceci, la gouvernance de l’IA continuera d’être une cible mouvante. La première étape de la création de politiques internes pour vos systèmes d’IA devrait donc être de vous familiariser avec les réglementations les plus récentes qui s’appliquent à votre organisation.
Étapes pour répondre aux exigences de conformité en matière d'IA
Maintenant que nous avons exploré certaines des principales réglementations en matière d'IA et de confidentialité des données dans le monde, discutons de la manière dont les entreprises peuvent renforcer leurs efforts de conformité en matière d'IA :
Identifier et inventorier les données existantes et les systèmes basés sur l'IA
La première étape pour utiliser l'IA de manière responsable au sein de votre organisation est de réaliser un audit de l'IA. L'objectif est de garantir que l'utilisation de l'IA par l'entreprise est conforme aux principes établis.
Cela comprend également un audit de la manière dont votre organisation collecte, gère et catalogues de données non structurées, ou des informations qui manquent de formatage standard, comme les e-mails et les documents.
Comprendre quelles données vous possédez et où les trouver peut vous aider à atténuer les risques et à éviter les violations de conformité.
Établir des cadres de gouvernance de l'IA
La gouvernance de l'IA établit les cadres, les processus et les politiques qui permettent de maintenir les systèmes d'IA d'une entreprise conformes aux réglementations en matière d'IA.
Dans un secteur connu pour sa complexité et son potentiel d'abus éthique, la meilleure façon de garantir que les systèmes d'IA sont développés et utilisés légalement, éthiquement et dans le meilleur intérêt des personnes est de créer un Cadre de gouvernance de l'IACela encourage la transparence, ce qui, à son tour, renforce la confiance dans l’IA.
Votre cadre doit clairement décrire les valeurs, les principes et les politiques de votre entreprise en matière de développement responsable de l'IA, et doit fournir des lignes directrices pour la gestion des risques, la confidentialité des données, la responsabilité, etc.
Investir dans les outils de sécurité et de gouvernance de l'IA
Pourquoi compliquer la protection et la gouvernance des données avec des processus manuels et des flux de travail obsolètes alors que vous pouvez investir dans une solution simple qui gère les systèmes d'IA et les données dans l'ensemble de votre environnement ?
L'intégration de l'IA dans les solutions de conformité réglementaire offre à votre entreprise un système de gouvernance des données plus dynamique et plus précis. Par exemple, BigID Sécurité et gouvernance de l'IA La solution gère la confiance, le risque et la sécurité avec des fonctionnalités et des capacités avancées telles que :
- Découverte automatique des données et des ressources d'IA
- Protection et gouvernance
- Amélioration de l'hygiène des données
- Catalogage et conservation
- Identification et correction des risques
- Réduction des risques pour Microsoft Copilot
Nos solutions placent la confidentialité, la sécurité et la conformité des données au premier plan de vos initiatives de conformité réglementaire en matière d’IA.
Découvrez comment sécuriser et gérer vos données d’IA avec un contexte et un contrôle tenant compte des risques.
Téléchargez la fiche de solution
Auteur
