IA Act – Spécificités pour Différents Types d’IA

Introduction

L’IA Act se base sur les risques. Les exigences varient donc selon le niveau de risque de chaque système d’IA. Au-delà de cette classification, certains types d’IA ont des spécificités. Celles-ci nécessitent une attention particulière.

Ce chapitre explore les spécificités de certains types d’IA. Nous verrons notamment les IA SaaS (comme ChatGPT), les systèmes développés en interne ou par un tiers, les agents IA et les modèles d’IA à usage général (GPAI). Pour chaque type, nous analyserons les enjeux de conformité et les points d’attention pour les fournisseurs et les déployeurs.

IA SaaS (ex. ChatGPT)

Les IA SaaS (Software as a Service) sont des systèmes d’IA fournis en tant que service en ligne. Les modèles de langage tels que ChatGPT en sont un exemple. Ils sont accessibles via une interface web ou une API. Ces systèmes posent des défis particuliers en termes de conformité. Ceci est dû à leur large diffusion, leur utilisation potentielle dans des contextes variés, et leur capacité à générer des contenus de manière autonome (source).

Obligations de transparence spécifiques

Les fournisseurs d’IA SaaS doivent respecter des obligations de transparence renforcées. C’est particulièrement vrai pour celles qui interagissent directement avec les utilisateurs. Ils doivent notamment s’assurer que les utilisateurs savent qu’ils interagissent avec un système d’IA et non avec un humain. Sauf si cela est évident compte tenu des circonstances et du contexte d’utilisation (source).

Analyse approfondie : Cette obligation de transparence est cruciale. Elle évite que les utilisateurs ne soient trompés ou manipulés par des IA conversationnelles. Elle contribue à instaurer un climat de confiance et à prévenir les utilisations abusives.

Étiquetage des contenus générés

Les IA SaaS peuvent être utilisées pour générer des contenus textuels, visuels ou audio. Ceux-ci peuvent être confondus avec des contenus authentiques. L’IA Act exige alors que ces contenus soient étiquetés. Ils doivent indiquer qu’ils ont été générés artificiellement. Cet étiquetage doit être clair, visible et non ambigu.

Conseil pratique : Les fournisseurs d’IA SaaS doivent mettre en place des mécanismes techniques. Ceux-ci doivent détecter et marquer automatiquement les contenus générés par leurs systèmes. Ils peuvent par exemple utiliser des filigranes numériques (watermarks) ou des métadonnées spécifiques.

Respect du RGPD

Les IA SaaS traitent des données personnelles. Elles doivent donc respecter les exigences du Règlement Général sur la Protection des Données (RGPD), comme tout système d’IA. Cela inclut notamment les principes de licéité, de loyauté, de transparence, de minimisation des données, d’exactitude, de limitation de la conservation et de sécurité.

Exemple concret : Un fournisseur d’IA SaaS collecte des données personnelles auprès de ses utilisateurs. Il le fait pour entraîner ou personnaliser ses modèles. Ensuite, il lui faudra alors s’assurer de disposer d’une base légale pour ce traitement (par exemple, obtenir le consentement de l’utilisateur). Il devra informer les utilisateurs de manière claire et transparente sur l’utilisation de leurs données. Enfin, il doit mettre en place des mesures de sécurité appropriées pour protéger ces données.

Gestion des risques liés à la manipulation et à la désinformation

Les IA SaaS, en particulier les modèles de langage, peuvent être utilisées à des fins malveillantes. Par exemple, pour générer de fausses informations, manipuler l’opinion publique ou usurper l’identité de personnes réelles. Les fournisseurs doivent donc mettre en place des mesures de gestion des risques spécifiques. Ceci pour prévenir ces abus (source).

Analyse approfondie : La gestion des risques de manipulation et de désinformation est un enjeu majeur pour les IA SaaS. Les fournisseurs doivent anticiper les usages détournés et mettre en place des garde-fous. Tout en préservant la liberté d’expression et les usages légitimes.

Documentation technique détaillée

Comme pour les systèmes d’IA à haut risque, les fournisseurs d’IA SaaS doivent constituer une documentation technique. Celle-ci doit être détaillée et décrire l’architecture du système, les algorithmes utilisés, les données d’entraînement et les mesures de sécurité. Cette documentation est essentielle. Elle permet aux autorités compétentes d’évaluer la conformité du système et de contrôler son utilisation (source).

Conseil pratique : Même si les IA SaaS ne sont pas systématiquement classées comme à haut risque, préparez une documentation technique similaire. Cela vous permettra de justifier des choix de conception. Vous pourrez aussi démontrer la mise en place de mesures de gestion des risques appropriées.

Systèmes d’IA Développés en Interne

De nombreuses organisations choisissent de développer leurs propres systèmes d’IA en interne. Elles ne recourent pas à des solutions externes. Cette approche présente des avantages. On peut citer la maîtrise technologique et l’adaptation aux besoins spécifiques. Mais elle implique aussi des responsabilités accrues en matière de conformité (source).

Maîtrise complète du processus de développement

Une organisation développe un système d’IA en interne. Elle a alors une maîtrise complète du processus de développement, de la conception au déploiement. Cela lui permet de mieux contrôler la qualité, la sécurité et la conformité du système.

Analyse approfondie : Cette maîtrise est un atout pour la mise en conformité avec l’IA Act. Elle permet d’intégrer les exigences réglementaires dès les premières phases de conception. On parle de « conformity by design ». On s’assure ainsi que le système est développé en conformité avec les principes de l’IA responsable.

Responsabilité accrue du fournisseur

En tant que développeur interne, l’organisation assume l’entière responsabilité du fournisseur. Ceci au sens de l’IA Act. Elle doit donc respecter l’ensemble des obligations applicables à ce rôle. Y compris pour les systèmes qui ne sont pas destinés à être commercialisés.

Conseil pratique : Mettez en place une gouvernance interne de l’IA. Elle supervisera le développement et le déploiement des systèmes d’IA. Assurez-vous que les équipes de développement sont formées aux exigences de l’IA Act.

Importance de la gouvernance des données

La gouvernance des données est cruciale pour les systèmes d’IA développés en interne. L’organisation est responsable du cycle de vie des données, de la collecte à l’utilisation dans les modèles. Il est donc essentiel de mettre en place des politiques et des procédures rigoureuses. Elles doivent garantir la qualité, la sécurité et la conformité des données.

Exemple concret : Vous développez un système d’IA pour analyser les données de vos clients. Vous devez alors vous assurer que vous collectez ces données de manière licite et transparente. Vous devez les stocker de manière sécurisée. Enfin, vous devez les utiliser uniquement pour les finalités prévues et autorisées.

Documentation complète et à jour

Comme pour tout système d’IA, une documentation technique est essentielle. Elle doit être complète et à jour pour les systèmes développés en interne. Cette documentation décrit le fonctionnement du système, les choix de conception, les données utilisées et les mesures de conformité.

Analyse approfondie : La documentation technique des systèmes d’IA développés en interne est d’autant plus importante. Elle constitue la principale source d’information sur le système. En effet, il n’y a pas de documentation fournie par un tiers. Elle doit permettre une évaluation indépendante de la conformité du système.

Systèmes d’IA Fournis par un Tiers

Beaucoup d’organisations font appel à des fournisseurs tiers pour leurs systèmes d’IA. Il peut s’agir de solutions clés en main ou de composants spécifiques intégrés dans des systèmes plus complexes. Cette approche permet de bénéficier de l’expertise de spécialistes et d’accélérer le déploiement. Cependant, elle implique aussi de clarifier les responsabilités en matière de conformité (source).

Vérification de la conformité du fournisseur

Une organisation utilise un système d’IA fourni par un tiers. Elle doit alors s’assurer que le fournisseur respecte les exigences de l’IA Act. Notamment en vérifiant la déclaration UE de conformité et le marquage CE pour les systèmes à haut risque.

Conseil pratique : Intégrez des clauses sur la conformité avec l’IA Act dans vos contrats avec les fournisseurs. Demandez-leur les documents attestant de la conformité (déclaration UE, documentation technique, etc.). Demandez aussi d’être informé en cas de modification de la situation de conformité.

Examen de la documentation technique fournie

L’organisation utilisatrice doit examiner la documentation technique fournie par le fournisseur. Elle doit s’assurer qu’elle est complète, compréhensible et qu’elle démontre la conformité du système.

Analyse approfondie : Même si la responsabilité première incombe au fournisseur, l’organisation utilisatrice a un devoir de diligence. Elle doit s’assurer que le système utilisé est conforme et ne présente pas de risques inacceptables.

Clarification des responsabilités contractuelles

Il est essentiel de clarifier la répartition des responsabilités entre le fournisseur et l’organisation utilisatrice. Ceci en matière de conformité avec l’IA Act et de manière explicite dans le contrat.

Exemple concret : Le contrat peut préciser qui met à jour la documentation technique en cas d’évolution du système. Qui informe les utilisateurs des caractéristiques et des limites du système. Et qui met en place les mesures de contrôle humain, le cas échéant.

Intégration du système dans le processus de gestion des risques de l’entreprise

Même si un système d’IA est fourni par un tiers, l’organisation utilisatrice doit l’intégrer dans son propre processus de gestion des risques. Surtout si le système est classé comme à haut risque. Il faut évaluer les risques spécifiques liés à l’utilisation du système dans le contexte de l’organisation. Et mettre en place des mesures d’atténuation.

Conseil pratique : Ne vous fiez pas uniquement aux évaluations de risques fournies par le fournisseur. Menez votre propre analyse d’impact. Tenez compte des spécificités de votre organisation et de l’utilisation que vous faites du système.

Agents IA Autonomes

Les agents IA autonomes sont des systèmes capables d’agir de manière indépendante dans leur environnement. Sans intervention humaine directe. Ils posent des défis particuliers en termes de conformité. Notamment du fait de leur autonomie décisionnelle et de la difficulté à prédire leur comportement.

Transparence accrue sur le fonctionnement et les prises de décision

Pour les agents IA autonomes, la transparence est encore plus cruciale que pour les autres types de systèmes d’IA. Il est essentiel que les utilisateurs et les tiers puissent comprendre, dans la mesure du possible, comment l’agent prend ses décisions. Et quels sont les facteurs qui influencent son comportement.

Analyse approfondie : La transparence des agents IA autonomes est un défi technique majeur. Leur comportement résulte d’interactions complexes entre l’algorithme et l’environnement. Il peut ne pas être facilement explicable en termes simples. Des recherches sont en cours pour développer des techniques d’explicabilité.

Gestion des risques spécifiques liés à l’autonomie

Les agents IA autonomes présentent des risques spécifiques. Ils ont une capacité d’action indépendante. Par exemple, un agent autonome pourrait prendre une décision qui a des conséquences imprévues ou indésirables. Ou qui entre en conflit avec les instructions ou les attentes.

Conseil pratique : Mettez en place des mécanismes de supervision et de contrôle humain adaptés. Prévoyez la possibilité pour un opérateur humain d’intervenir en cas d’urgence. Ou de comportement anormal de l’agent. Définissez des limites claires à l’autonomie de l’agent.

Tests en conditions réelles et bacs à sable réglementaires

Avant de déployer un agent IA autonome, il est crucial de le tester dans des conditions aussi proches que possible de son environnement réel. Cela peut impliquer des tests en laboratoire, des simulations, voire des tests en conditions réelles encadrés. L’IA Act prévoit la possibilité de mener des tests en conditions réelles dans des bacs à sable réglementaires. Sous la supervision des autorités compétentes.

Exemple concret : Avant de déployer un robot livreur autonome sur la voie publique, testez-le dans un environnement contrôlé. Celui-ci doit reproduire les conditions de circulation réelles. Vous pourrez ainsi vérifier sa capacité à naviguer en toute sécurité et à interagir avec les autres usagers.

Mécanismes d’intervention humaine

Même pour les agents les plus autonomes, il faut prévoir des mécanismes d’intervention humaine. Un opérateur doit pouvoir reprendre le contrôle ou corriger le comportement de l’agent en cas de besoin.

Analyse approfondie : La question de l’intervention humaine est cruciale pour la sécurité et la responsabilité des agents IA autonomes. Il doit toujours être possible, en dernier ressort, pour un humain de reprendre le contrôle. Ou de mettre fin à l’action de l’agent si celui-ci présente un danger ou agit de manière non conforme.

Clarification des responsabilités en cas d’incident

En cas d’incident impliquant un agent IA autonome, la question de la responsabilité peut être complexe. Il est donc essentiel de clarifier en amont qui est responsable des actions de l’agent. Et dans quelles conditions.

Conseil pratique : Documentez les capacités et les limites de vos agents IA autonomes. Ainsi que les mécanismes de supervision et d’intervention humaine prévus. Cela facilitera la détermination des responsabilités en cas d’incident.

Modèles d’IA à Usage Général (GPAI)

Les modèles d’IA à usage général (GPAI) sont des systèmes d’IA capables d’effectuer une grande variété de tâches. Ils peuvent être adaptés à différents domaines d’application. Comme les grands modèles de langage (LLMs) ou les modèles de génération d’images. Ils constituent une catégorie spécifique dans l’IA Act, avec des exigences dédiées.

Obligations spécifiques pour les fournisseurs de GPAI

Les fournisseurs de GPAI doivent respecter des obligations spécifiques. Celles-ci s’ajoutent aux obligations générales prévues par l’IA Act. Ces obligations visent à garantir que ces modèles puissants et polyvalents soient développés et utilisés de manière responsable.

Documentation technique et informations aux utilisateurs

Les fournisseurs de GPAI doivent fournir une documentation technique détaillée sur leurs modèles. Elle doit inclure des informations sur les données d’entraînement, l’architecture du modèle, les processus de validation et les performances du modèle pour différentes tâches. Ils doivent aussi fournir des informations claires aux utilisateurs potentiels sur les capacités et les limites du modèle. Ainsi que sur les usages recommandés et déconseillés (source).

Analyse approfondie : La documentation technique des GPAI est essentielle. Elle permet aux utilisateurs de comprendre le fonctionnement de ces modèles complexes. Et de les adapter à leurs besoins spécifiques de manière sûre et efficace. Elle contribue aussi à la transparence et à la redevabilité des fournisseurs.

Politique de respect du droit d’auteur

Les fournisseurs de GPAI doivent mettre en place une politique de respect du droit d’auteur. Ils doivent documenter les données protégées utilisées pour l’entraînement de leurs modèles. Ils doivent aussi se conformer aux obligations de la directive sur le droit d’auteur dans le marché unique numérique. Ils doivent enfin publier un résumé détaillé du contenu utilisé pour l’entraînement du modèle. En utilisant un modèle fourni par le Bureau de l’IA.

Conseil pratique : Mettez en place des processus pour vérifier les droits d’utilisation des données d’entraînement. Documentez l’origine et le statut juridique de ces données.

Exigences supplémentaires pour les GPAI à risque systémique

L’IA Act introduit la notion de GPAI à risque systémique. Ce sont des modèles d’IA à usage général avec des capacités particulièrement élevées. Ou ayant un impact significatif sur le marché en raison de leur large diffusion. Ces modèles seront identifiés par la Commission européenne sur la base de critères quantitatifs (par exemple, la quantité de calcul utilisée pour l’entraînement) et qualitatifs.

Les fournisseurs de GPAI à risque systémique seront soumis à des exigences supplémentaires. Notamment :

• Réaliser des évaluations des risques systémiques liés à l’utilisation de leurs modèles. En tenant compte des risques pour la sécurité, la sûreté, la santé publique, les droits fondamentaux et le fonctionnement des services essentiels.
• Mettre en place des mesures d’atténuation des risques identifiés. Comme des restrictions d’utilisation, des mécanismes de filtrage des contenus ou des obligations de transparence renforcées.
• Signaler les incidents graves impliquant leurs modèles aux autorités compétentes.
• Mettre en œuvre des mesures de cybersécurité renforcées.
• Documenter et, le cas échéant, rapporter la consommation énergétique de leurs modèles.

Analyse approfondie : Les exigences spécifiques pour les GPAI à risque systémique visent à encadrer le développement et l’utilisation des modèles d’IA les plus puissants. Ceci afin de prévenir les risques majeurs pour la société. Elles reflètent la prise de conscience du potentiel de ces modèles à amplifier les biais, à propager la désinformation ou à être utilisés à des fins malveillantes.

Conclusion

Ce chapitre a mis en évidence les spécificités de certains types d’IA au regard de l’IA Act. Et les points d’attention particuliers pour les fournisseurs et les utilisateurs de ces systèmes. Que vous développiez une IA SaaS, un système interne, un agent autonome ou un modèle d’IA à usage général, adaptez votre approche de conformité. Tenez compte des caractéristiques propres à votre technologie.