Parcourir le paysage législatif en matière d'IA

L'intelligence artificielle (IA) transforme rapidement les secteurs et les sociétés, entraînant des avancées et des défis sans précédent. À mesure que les systèmes d'IA s'intègrent de plus en plus à nos activités commerciales et à notre vie quotidienne, la nécessité d'une législation rigoureuse pour en régir le développement et l'utilisation se fait de plus en plus pressante.

La plupart des cadres réglementaires visent à trouver un équilibre entre le besoin d'innovation et la protection des droits fondamentaux comme de la sécurité publique. Cet article examine la situation actuelle de la législation sur l'IA, ses implications et la voie à suivre.

L'essor de la législation en matière d'IA

L'Union européenne (UE) a récemment introduit la Loi européenne sur l'IA. Ce cadre global vise à garantir que les systèmes d'IA sont sécurisés, transparents et respectent les droits fondamentaux. Davantage à la pointe de la technologie de l'IA, des pays comme les États-Unis et la Chine, par exemple, se sont dotés plus tôt de cadres législatifs pour relever les défis uniques posés par l'IA.  Quelle que soit la rapidité de la progession, il est nécessaire de réglementer le paysage technologique de l'IA afin de promouvoir l'innovation et d'instaurer la confiance.

Une voie à suivre en toute confiance

La mise en œuvre de la législation sur l'IA présente plusieurs défis. Le rythme rapide du développement de l'IA peut dépasser la capacité des cadres réglementaires à suivre la cadence. De plus, l'équilibre entre l'innovation et la réglementation doit être soigneusement étudié afin d'éviter de freiner le progrès technologique. Cependant, la législation sur l'IA offre également des opportunités significatives. En établissant des lignes directrices et des normes claires, la législation peut encourager l'innovation, renforcer la confiance du public et garantir que les systèmes d'IA sont développés et utilisés de manière responsable.  En outre, en donnant la priorité à la sécurité, à la transparence et aux considérations éthiques, nous pouvons exploiter tout le potentiel de l'IA tout en préservant les intérêts des individus et de la société.

La législation complétée par les normes internationales

Les initiatives législatives sont complétées par des normes internationales telles que la norme ISO/IEC 42001. Cette norme certifiable définit les exigences relatives à la mise en œuvre d'un système de management de l'IA et transcende les frontières géographiques. Bien qu'il ne s'agisse pas d'une législation à proprement parler, la norme ISO/CEI 42001 devrait jouer un rôle important dans la promotion d'une IA fiable en établissant les meilleures pratiques pour la gouvernance de l'IA. Conçue pour garantir un développement, une mise en œuvre et une utilisation sécurisés, fiables et éthiques de l'IA, elle est mentionnée dans les législations comme un moyen efficace de garantir la mise en place de processus de gouvernance adéquats

Principaux éléments de la législation en matière d'IA

La législation en matière d'IA comprend généralement plusieurs éléments clés :

  1. Sécurité et fiabilité : Il est primordial de veiller à ce que les systèmes d'IA fonctionnent de manière sécurisée et fiable. La législation prévoit généralement des exigences en matière de management des risques, des essais et des vérifications afin d'éviter que les individus et la société ne soient affectés par d’éventuels dommages.
  2. Transparence et responsabilité : La transparence des processus décisionnels en matière d'IA est essentielle pour instaurer la confiance. La législation impose aux développeurs d'IA de fournir des explications claires sur le fonctionnement de leurs systèmes et de mettre en place des mécanismes de responsabilité.
  3. Considérations éthiques : Les principes éthiques, tels que l'équité, la non-discrimination et le respect de la vie privée, font partie intégrante de la législation sur l'IA. Ces principes orientent le développement et le déploiement des systèmes d'IA afin de s'assurer qu'ils sont conformes aux valeurs de la société.
  4. Conformité et mise en œuvre : Des mécanismes de mise en œuvre efficaces sont essentiels pour garantir le respect de la législation en matière d'IA. Les organismes de réglementation sont chargés d'assurer la supervision des systèmes d'IA, en réalisant des audits et en imposant des sanctions en cas de non- conformité.

Europe : La loi européenne sur l'IA

L'Union européenne (UE) a franchi une étape importante dans la régulation de l'intelligence artificielle (IA). La loi européenne sur l'IA vise à garantir que les systèmes sont sécurisés, transparents et respectent les droits fondamentaux, tout en favorisant l'innovation. Parue le 12 juillet 2024, elle est entrée en vigueur le 1er août 2024. Ses dispositions seront progressivement mises en œuvre, les obligations relatives aux pratiques interdites s'appliquant à partir du 2 février 2025 et les exigences relatives aux systèmes d'IA à haut risque à partir du 2 août 2026.

 

La Loi européenne sur l'IA classe les systèmes d'IA en fonction de leur niveau de risque :

  • Les pratiques inadmissibles, comme par exemple, la notation sociale, sont interdites.
  • Les pratiques à haut risque, comme le recrutement ou les dispositifs médicaux, sont autorisées sous réserve d'exigences et d'évaluations de la conformité.
  • Les pratiques avec risque lié à la “Transparence”, par exemple les chatbots ou les deep fakes, est autorisé sous réserve d'obligations d'information/transparence.
  • Les pratiques à risque minimal ou nul sont autorisées sans aucune restriction.

Les systèmes d'IA à risque inadmissible, tels que ceux qui manipulent le comportement humain ou exploitent des vulnérabilités, sont interdits. Les systèmes d'IA à haut risque, qui incluent des applications dans les secteurs sensibles, de l'éducation et de l'emploi, doivent faire l'objet d'évaluations de conformité rigoureuses avant d'être déployés. La Loi européenne sur l'IA établit également des exigences en matière de transparence et de responsabilité. Les développeurs d'IA doivent fournir des informations claires sur le fonctionnement de leurs systèmes et veiller à ce qu'ils puissent être contrôlés. Ils doivent notamment tenir une documentation et des registres détaillés afin de faciliter la supervision et la conformité. La loi s'applique également aux entreprises qui exploitent ou vendent des produits d'IA dans l'UE. Les entreprises exportatrices doivent s'assurer que leurs systèmes d'IA répondent aux normes prescrites et se soumettent aux évaluations nécessaires.

La législation sur l'IA aux États-Unis

Tout en adoptant une approche légèrement différente de celle de l'UE, les États-Unis ont reconnu très tôt la nécessité d'une législation détaillée pour encadrer le développement et l'utilisation de l'IA. Cela s'est traduit par plusieurs textes de loi au niveau fédéral et au niveau de chaque État : plus de 40 projets de loi ont été déposés en 2023. Le paysage législatif américain est assez complexe, mais il reflète largement le besoin croissant d'équilibrer l'innovation avec des garanties visant à protéger les individus et la société des risques liés à l'IA.

Certains textes législatifs et mesures réglementaires clés façonnent le paysage de l'IA aux États-Unis. Le Blueprint for an AI Bill of Rights, publié en octobre 2022, énonce des principes visant à protéger les individus contre les dangers potentiels de l'IA. Il se concentre sur des droits tels que la protection de la vie privée, la protection contre la discrimination algorithmique et la garantie de la transparence.

Le Décret présidentiel de grande envergure sur l'IA signé par le président Joe Biden en 2023 souligne la nécessité d'une IA sûre, sécurisée et fiable. Il charge également les administrations fédérales d'adopter des mesures garantissant que les systèmes d'IA sont développés et utilisés de manière responsable. Quelques textes visent à promouvoir l'innovation de manière sécurisée, fiable, éthique et transparente, tels que le National AI Initiative Act of 2020 et le Future of AI Innovation Act. La loi pionnière du Colorado sur l'IA (Colorado AI ACT) a été signée en mai 2024. Première du genre aux États-Unis, elle comprend une loi transversale sur la gouvernance de l'IA qui couvre le secteur public. Divers projets de loi du Congrès sont en cours d'élaboration, comme le projet de loi californien SB 1047 sur la sécurité de l'IA, qui vise à réglementer davantage le modèle d'IA le plus puissant.

La législation chinoise en matière d'IA 

Jusqu'à présent, la Chine n'a pas promulgué de loi globale sur l'IA, mais elle a émis des réglementations sur les applications de l'IA. Toutefois, contrairement à l'Union européenne où la loi sur l'IA sert de cadre réglementaire général pour tous les systèmes d'IA, la Chine adopte une approche verticale pour réglementer certains services d'IA.

Avec l'objectif ambitieux de devenir le leader mondial du développement et des applications de l'IA, le gouvernement de Pékin a publié en 2017 le « Plan de développement de l'IA de nouvelle génération », qui est le premier plan systémique et stratégique dans la sphère de l'IA. Il a suscité une véritable explosion de l'activité industrielle et du soutien politique au développement de l'IA.

Le paysage chinois de la gouvernance de l'IA est constitué de cinq catégories principales :

  1. Politiques et stratégies de gouvernance. Pékin a publié une série de directives, de plans, d'orientations et d'avis sur la gouvernance des technologies de l'IA au niveau national. Ces documents servent de base à la législation sur l'IA. Par exemple, le Conseil d'État a publié des « Avis sur le renforcement de la gouvernance éthique dans les sciences et les technologies », qui expriment les idées de Pékin sur les principes éthiques des technologies de l'IA.
  2. Lois. Certaines lois existantes traitent de certains aspects du développement, de la fourniture, du déploiement et de l'utilisation des systèmes d'IA, ce qui a un impact significatif sur la législation relative à l'IA. Parmi ces lois, trois sont mises en évidence, à savoir la « loi sur la protection des informations personnelles », la « loi sur la sécurité des données » et la « loi sur la cybersécurité 
  3. Réglementations administratives. Certaines réglementations administratives créent des conditions concrètes pour les algorithmes d'IA lorsqu'ils sont utilisés dans les services d'information sur l'internet, tels que les “contenus de synthèse intégrale“ (deepfake), les “systèmes de recommendation” et les “systèmes d'IA génératifs”.
  4. Réglementations municipales. Certaines villes chinoises (Shanghai et Shenzhen) ont également publié des réglementations municipales sur l'IA à contenu agnostique, qui visent à promouvoir le développement de l'industrie de l'IA. Les deux réglementations exigent que les risques engendrés par l'IA soient contrôlés de manière efficace, avec un examen plus approfondi des produits et services d'IA à haut risque que de ceux présentant un risque moindre.
  5. Normes nationales. Pour soutenir la réglementation du système d'IA, le China Electronics Standardization Institute mène actuellement l'élaboration d'une série de normes recommandées couvrant de multiples aspects des technologies de l'IA.
 

L'impact sur les activités

Le paysage législatif à travers le monde est assez complet, ajoutant un degré de complexité qui doit être géré par les entreprises, qu'elles opèrent dans une géographie spécifique ou en interne.  Le point commun à la plupart des initiatives est que les organismes gouvernementaux veulent tenir compte à la fois des opportunités et des défis que posent les technologies de l'IA. Il s'agit essentiellement de promouvoir l'innovation ainsi que le développement et l'utilisation responsables de l'IA, en veillant à ce qu'elle soit bénéfique pour la société tout en la protégeant contre les risques potentiels. La technologie de l'IA continuant d'évoluer rapidement, les organismes de régulation s'efforceront de suivre le mouvement, et les entreprises devront en faire autant pour se conformer à la réglementation.  
Pour gérer et assurer une gouvernance solide, les entreprises auraient tout intérêt à mettre en place un système de management de l'intelligence artificielle (SMIA) conforme à la norme ISO/CEI 42001, associé à des systèmes de management ciblant la sécurité de l'information (ISO/CEI 27001) ou la protection de la vie privée (ISO/CEI 27701). Ce type de système fournit une approche structurée du management des risques, y compris la conformité réglementaire, et établit des pratiques favorisant l'amélioration continue. Il permet également la certification par une tierce partie indépendante comme DNV, ce qui peut contribuer à garantir des systèmes d'IA sécurisés, fiables et éthiques, à favoriser la conformité réglementaire et à combler les déficits de confiance.  

Auto-évaluation et certification ISO/IEC 42001

Outil d'auto-évaluation en ligne

Outil d'auto-évaluation en ligne

L'outil d'auto-évaluation en ligne de DNV permet de mesurer votre propre compréhension d'une norme choisie et l'état de préparation réel de votre système de management.