En avril 2022, la Commission Européenne (CE) a voté la décision de mettre en place le premier cadre juridique mondial pour réguler la commercialisation et l’usage de l’Intelligence Artificielle (IA). Après des mois de discussions pour les législateurs, la proposition de loi devrait être votée au Parlement Européen prochainement. Avec la présence grandissante de l’IA dans tous les aspects de la vie quotidienne, et celle des applications telles que ChatGPT, qui a connu une croissance spectaculaire, les risques et dérives qui s’y rapportent sont plus que jamais au cœur des débats, et ce projet de loi devenu nécessaire.
Pour Neil Thacker, RSSI EMEA chez Netskope, règlementer l’usage de l’Intelligence Artificielle est essentiel pour protéger les données, mais cela doit se faire avec des préceptes légaux précis et transparents, qui évoluent avec les technologies, afin d’éviter les vides juridiques, tout en respectant des principes éthiques.
« Avec l’IA Act, les législateurs tendent à mesurer l’impact potentiel de l’intelligence artificielle sur la société, plus particulièrement sur les droits des citoyens, et le cadre législatif inhérent pour les protéger. La loi permettra aux organismes de surveillance d’exiger le retrait ou la modification d’un modèle d’IA s’il présente un risque élevé. Le schéma est donc similaire à celui du RGPD. Si ce dernier se concentre sur les données personnelles, leur utilisation et leur traitement responsables, l’IA Act le complètera en garantissant le respect des exigences et de la législation existante en matière de droits fondamentaux par les nouvelles technologies génératives. De ce fait, les organisations devront se conformer aux deux, et pourront potentiellement subir des répercussions conjointes : par exemple, une mauvaise hygiène en matière de protection des données entraînerait une négligence aussi en termes d’IA, si elle utilisait des données auxquelles elle ne devrait pas avoir accès.
La nouvelle législation devrait ainsi garantir l’établissement, la mise en œuvre, la documentation et le maintien de systèmes, de processus et de la gestion des risques. Les entreprises devront déterminer si leurs systèmes d’IA sont catégorisés à risque élevé, et pourront faire l’objet d’une évaluation régulière. Certains systèmes, notamment s’ils exploitent les personnes vulnérables en raison de leur situation sociale ou économique, ou mettent en place des “scores sociaux”, comme représenté dans un épisode de la série TV Black Mirror, sont d’ores et déjà interdits par la proposition discutée en ce moment même au Parlement Européen. De plus, ce règlement devrait également obliger les organisations à communiquer quand et comment l’IA a été intégrée dans la prise de décisions, et leur influence sur ces dernières.