IA Act – Rôles et Responsabilités dans la Chaîne de Valeur de l’IA

Introduction

L’IA Act ne se limite pas à définir des exigences techniques et des sanctions. Il structure l’ensemble de la chaîne de valeur de l’IA. Il définit les rôles et les responsabilités des différents acteurs. Ceux qui développent, mettent sur le marché, distribuent et utilisent les systèmes d’IA (source).

Ce chapitre explore les rôles et responsabilités définis par l’IA Act. Nous analyserons les obligations spécifiques des fournisseurs, des intégrateurs, des importateurs, des distributeurs et des mandataires. Nous aborderons aussi la notion de chaîne de valeur et les interactions entre ces acteurs.

Fournisseurs de Systèmes d’IA

Les fournisseurs développent ou font développer des systèmes d’IA. Ils les mettent sur le marché ou les mettent en service sous leur propre nom ou marque. À titre onéreux ou gratuit. Ils occupent une place centrale dans la chaîne de valeur de l’IA. Ils assument la responsabilité principale de la conformité des systèmes d’IA avec les exigences de l’IA Act.

Responsabilité principale de la conformité

Les fournisseurs sont responsables de la conformité de leurs systèmes d’IA. Avec l’ensemble des exigences applicables. Qu’il s’agisse d’exigences techniques, de documentation, de transparence ou de gestion des risques. Cette responsabilité s’étend sur tout le cycle de vie du système. Depuis sa conception jusqu’à son éventuel retrait du marché.

Analyse approfondie : La responsabilité principale des fournisseurs est un principe structurant de l’IA Act. Elle vise à garantir que les acteurs qui ont la plus grande maîtrise technique des systèmes d’IA soient responsables de leur sécurité. Et de leur conformité avec les droits fondamentaux.

Évaluation de la conformité et marquage CE

Avant de mettre un système d’IA à haut risque sur le marché, les fournisseurs doivent effectuer une évaluation de la conformité. Ils doivent aussi apposer le marquage CE, attestant que le système respecte les exigences de l’IA Act.

Conseil pratique : Intégrez l’évaluation de la conformité dans votre processus de développement. Ceci afin de ne pas découvrir des non-conformités majeures en fin de parcours. Documentez soigneusement l’ensemble du processus d’évaluation.

Documentation technique et instructions d’utilisation

Les fournisseurs doivent constituer et conserver une documentation technique détaillée. Pour chaque système d’IA à haut risque. Ils doivent fournir des instructions d’utilisation claires et complètes aux utilisateurs.

Exemple concret : La documentation technique d’un système d’IA de diagnostic médical doit inclure des informations sur les données d’entraînement. Mais aussi sur les performances du système pour différents groupes de population et les mesures de gestion des risques mises en place. Sans oublier des instructions précises sur la manière d’interpréter les résultats et sur les limites du système.

Surveillance après commercialisation

Les fournisseurs doivent mettre en place un système de surveillance après commercialisation. Ceci pour collecter, analyser et évaluer les données d’expérience relatives à l’utilisation de leurs systèmes d’IA. L’objectif est de détecter d’éventuels problèmes de conformité, des risques émergents ou des possibilités d’amélioration.

Analyse approfondie : La surveillance après commercialisation est essentielle. Elle garantit que les systèmes d’IA restent sûrs et conformes tout au long de leur cycle de vie. Elle permet d’identifier les défaillances, les biais ou les effets indésirables. Qui n’auraient pas été détectés lors des phases de développement et de test.

Système de gestion de la qualité

Les fournisseurs de systèmes d’IA à haut risque doivent mettre en place un système de gestion de la qualité (SGQ). Proportionné à la taille de leur organisation. Ce SGQ doit couvrir l’ensemble du cycle de vie des systèmes d’IA. Il doit garantir le respect des exigences de l’IA Act. Il doit inclure des aspects tels que la gestion des risques, la gouvernance des données, la documentation technique, la traçabilité. Mais aussi la surveillance après commercialisation et la gestion des modifications. Le respect d’une norme harmonisée entraîne une présomption de conformité à l’exigence de SGQ.

Conseil pratique : Si vous êtes déjà certifié ISO 9001, vous pouvez appuyer votre démarche sur votre système de management de la qualité existant. Adaptez-le pour y intégrer les exigences spécifiques de l’IA Act.

Actions correctives en cas de non-conformité

Un fournisseur constate qu’un système d’IA mis sur le marché n’est pas conforme. Il doit alors prendre immédiatement des actions correctives pour y remédier. Cela peut inclure la correction du système, sa mise à jour, son retrait du marché ou son rappel.

Exemple concret : Un fournisseur découvre qu’un système d’IA de recrutement présente des biais discriminatoires. Il doit prendre des mesures pour corriger ces biais. Par exemple, en modifiant l’algorithme ou en utilisant des données d’entraînement plus représentatives. Si le fournisseur ne peut pas corriger les biais, il peut devoir retirer le système du marché.

Coopération avec les autorités

Les fournisseurs ont un devoir de coopération avec les autorités nationales compétentes. Ils doivent leur fournir, sur demande, toutes les informations et la documentation nécessaires. Ceci pour évaluer la conformité de leurs systèmes d’IA. Ils doivent aussi coopérer avec les autorités dans le cadre des enquêtes et des mesures correctives.

Analyse approfondie : La coopération avec les autorités est essentielle. Elle vise à garantir l’efficacité de la surveillance du marché. Mais aussi à instaurer un climat de confiance entre les régulateurs et les acteurs de l’IA.

Obligations spécifiques pour les fournisseurs de GPAI

Les fournisseurs de modèles d’IA à usage général (GPAI) ont des obligations spécifiques (détaillées au chapitre 6.5). Ils doivent notamment fournir une documentation technique détaillée. Mettre en place une politique de respect du droit d’auteur. Et, pour les GPAI à risque systémique, réaliser des évaluations des risques et mettre en œuvre des mesures d’atténuation.

Fournisseurs établis hors UE : désignation d’un mandataire

Les fournisseurs établis en dehors de l’UE doivent désigner un mandataire autorisé établi dans l’UE. Ce mandataire agit au nom du fournisseur pour toutes les questions relatives à la conformité avec l’IA Act.
Il peut partager la responsabilité avec le fournisseur en cas de non-conformité (source).

Conseil pratique : Si vous êtes un fournisseur établi hors UE, choisissez avec soin votre mandataire autorisé. Assurez-vous qu’il a une bonne compréhension de l’IA Act. Et qu’il dispose des ressources nécessaires pour remplir ses obligations.

intégrateurs de Systèmes d’IA

Les intégrateurs sont les acteurs qui utilisent des systèmes d’IA sous leur autorité, dans un cadre professionnel. Il peut s’agir d’entreprises, d’administrations publiques, d’associations, etc. Les intégrateurs ont aussi des responsabilités importantes en matière de conformité. En particulier lorsqu’ils utilisent des systèmes d’IA à haut risque (source).

Respect des instructions du fournisseur

Les intégrateurs doivent utiliser les systèmes d’IA conformément aux instructions d’utilisation fournies. Ils doivent s’assurer que les données d’entrée sont pertinentes et appropriées. Et que le système est utilisé dans les conditions prévues par le fournisseur.

Analyse approfondie : Le respect des instructions du fournisseur est essentiel pour garantir la sécurité et la fiabilité des systèmes d’IA. Une utilisation non conforme aux instructions peut entraîner des dysfonctionnements. Des erreurs ou des biais. Et peut engager la responsabilité du déployeur.

Analyse d’impact sur les droits fondamentaux (pour certains cas)

Les intégrateurs qui sont des organismes du secteur public ou des opérateurs de services essentiels doivent effectuer une analyse d’impact. Ceci avant de mettre en service un système d’IA à haut risque. Cette analyse vise à identifier les risques potentiels pour les droits fondamentaux. Tels que la non-discrimination, la protection de la vie privée, la liberté d’expression, etc. Et à définir des mesures d’atténuation appropriées. L’analyse doit être notifiée à l’autorité de surveillance du marché. Celle-ci peut formuler des recommandations ou exiger des modifications.

Conseil pratique : Impliquez des juristes et des experts en éthique dans la réalisation de l’analyse d’impact. Ceci afin de vous assurer que tous les aspects pertinents sont pris en compte. Consultez les lignes directrices et les bonnes pratiques publiées par les autorités compétentes.

Transparence et information des utilisateurs finaux

Des personnes physiques sont concernées par une décision prise par un système d’IA à haut risque. Celle-ci produit des effets juridiques à leur égard ou les affecte de manière significative. Les intégrateurs doivent alors les informer du fait qu’elles font l’objet d’une telle décision. Ils doivent aussi leur fournir des explications claires et compréhensibles. Sur le rôle joué par le système d’IA et les principaux éléments pris en compte.

Exemple concret : Une banque utilise un système d’IA pour évaluer les demandes de crédit. Elle doit informer les demandeurs du fait que leur demande a été évaluée par un système d’IA. Elle doit aussi leur fournir des explications sur les raisons d’une éventuelle décision de refus. En mentionnant les principaux facteurs pris en compte par le système.

Mise en place du contrôle humain

Les intégrateurs doivent s’assurer qu’un contrôle humain approprié est mis en place pour les systèmes d’IA à haut risque. Cela implique de désigner des personnes qualifiées. Celles-ci sont chargées de superviser le fonctionnement du système, de détecter les éventuels problèmes et d’intervenir si nécessaire.

Analyse approfondie : Le contrôle humain est une exigence essentielle pour les systèmes d’IA à haut risque. Il permet de prévenir les erreurs, les biais et les dérives. Et de garantir que les décisions importantes ne sont pas laissées à la seule appréciation d’une machine.

Tenue de registres

Les intégrateurs de systèmes d’IA à haut risque doivent conserver les registres (logs) générés automatiquement. Pendant une durée d’au moins six mois, ou pour une durée alignée avec les obligations de conservation des données à caractère personnel en vertu du droit applicable. Ces registres sont importants pour assurer la traçabilité du système. Et pour permettre d’enquêter sur d’éventuels incidents.

Conseil pratique : Mettez en place des procédures pour collecter, stocker et archiver les registres de vos systèmes d’IA à haut risque. Assurez-vous que ces registres sont facilement accessibles en cas de besoin.

Surveillance du fonctionnement des systèmes

Les intégrateurs doivent surveiller le fonctionnement des systèmes d’IA à haut risque qu’ils utilisent. Ceci afin de détecter d’éventuels dysfonctionnements, des erreurs ou des comportements non conformes aux exigences de l’IA Act.

Exemple concret : Vous utilisez un système d’IA pour la maintenance prédictive de vos équipements. Vous devez surveiller régulièrement les prédictions du système et les comparer avec l’état réel des équipements. Ceci afin de détecter d’éventuelles erreurs ou dérives.

Coopération avec les fournisseurs et les autorités

En cas de problème avec un système d’IA, les intégrateurs doivent coopérer avec le fournisseur pour y remédier. Ils doivent aussi informer le fournisseur et les autorités compétentes s’ils constatent un risque grave. Ou une non-conformité qui n’aurait pas été identifié par le fournisseur.

Analyse approfondie : La coopération entre les intégrateurs, les fournisseurs et les autorités est essentielle. Elle vise à garantir la sécurité et la conformité des systèmes d’IA tout au long de leur cycle de vie. Elle permet de partager les informations sur les risques et les incidents. Et de coordonner les actions correctives.

Importateurs

Les importateurs sont les acteurs qui mettent sur le marché de l’UE des systèmes d’IA provenant d’un pays tiers. Ils ont des obligations spécifiques pour s’assurer que ces systèmes sont conformes aux exigences de l’IA Act.

Vérification de la conformité des systèmes importés

Avant de mettre un système d’IA sur le marché, les importateurs doivent vérifier que le fournisseur étranger a effectué l’évaluation de la conformité. Que le système porte le marquage CE et qu’il est accompagné de la documentation requise. Notamment la documentation technique, les instructions d’utilisation, la déclaration UE de conformité.

Conseil pratique : Demandez à vos fournisseurs étrangers de vous fournir tous les documents attestant de la conformité de leurs systèmes d’IA. Si ces documents ne sont pas disponibles ou ne sont pas satisfaisants, n’importez pas le système.

Contrôle de la documentation et du marquage CE

Les importateurs doivent conserver une copie de la déclaration UE de conformité pendant 10 ans après la mise sur le marché. Ils doivent aussi s’assurer que la documentation technique peut être mise à la disposition des autorités nationales compétentes, sur demande.

Analyse approfondie : Les importateurs jouent un rôle de « filtre ». Ils s’assurent que seuls les systèmes d’IA conformes à l’IA Act sont mis sur le marché de l’UE. Ils constituent un maillon essentiel de la chaîne de contrôle et de surveillance.

Responsabilité en cas de mise sur le marché de systèmes non conformes

Si un importateur a des raisons de penser qu’un système d’IA n’est pas conforme aux exigences de l’IA Act, il ne doit pas le mettre sur le marché. S’il se rend compte, après la mise sur le marché, qu’un système n’est pas conforme, il doit prendre des mesures correctives. Ou, si nécessaire, retirer ou rappeler le système.

Exemple concret : Un importateur constate que la documentation technique d’un système d’IA est incomplète. Ou que le système ne porte pas le marquage CE. Il ne doit pas le mettre sur le marché tant que le fournisseur n’a pas remédié à ces manquements.

Distributeurs

Les distributeurs sont les acteurs qui mettent des systèmes d’IA à disposition sur le marché. Sans être ni des fournisseurs ni des importateurs. Il peut s’agir de grossistes, de détaillants, de revendeurs, etc. Les distributeurs ont aussi un rôle à jouer pour garantir la conformité des systèmes d’IA.

Vérification du marquage CE et de la documentation

Avant de mettre un système d’IA à disposition sur le marché, les distributeurs doivent vérifier que le système porte le marquage CE. Et qu’il est accompagné des documents requis (instructions d’utilisation, déclaration UE de conformité).

Conseil pratique : Mettez en place des procédures de contrôle à la réception des systèmes d’IA. Ceci pour vous assurer qu’ils sont correctement marqués et documentés. Formez votre personnel à ces procédures.

Contrôle des conditions de stockage et de transport

Les distributeurs doivent s’assurer que les conditions de stockage et de transport des systèmes d’IA ne compromettent pas leur conformité. Aux exigences de l’IA Act.

Analyse approfondie : Même si les distributeurs ne sont pas responsables de la conception ou de la fabrication des systèmes d’IA, ils ont un rôle important. Ils doivent garantir que seuls des systèmes conformes parviennent aux utilisateurs finaux.

Obligation de ne pas mettre à disposition des systèmes non conformes

Un distributeur a des raisons de penser qu’un système d’IA n’est pas conforme aux exigences de l’IA Act. Il ne doit pas le mettre à disposition sur le marché. Il doit en informer le fournisseur ou l’importateur, ainsi que les autorités nationales compétentes.

Exemple concret : Si un distributeur constate qu’un système d’IA ne porte pas le marquage CE. Ou qu’il n’est pas accompagné des instructions d’utilisation requises. Il ne doit pas le proposer à la vente tant que ces manquements n’ont pas été corrigés.

Mandataires

Comme mentionné précédemment, les fournisseurs de systèmes d’IA établis en dehors de l’UE doivent désigner un mandataire autorisé. Celui-ci doit être établi dans l’UE. Ce mandataire a des obligations spécifiques en matière de conformité.

Représentation des fournisseurs établis hors UE

Le mandataire autorisé agit au nom du fournisseur étranger. Pour toutes les questions relatives à la conformité avec l’IA Act. Il est le point de contact des autorités nationales compétentes et des utilisateurs dans l’UE.

Vérification de la conformité des systèmes

Le mandataire doit vérifier que le fournisseur étranger a rempli ses obligations. En matière d’évaluation de la conformité, de documentation technique, de marquage CE et de déclaration UE de conformité. Il doit conserver une copie de la déclaration UE de conformité et de la documentation technique. Et les tenir à la disposition des autorités nationales compétentes.

Analyse approfondie : Le mandataire autorisé joue un rôle crucial. Il doit garantir que les systèmes d’IA importés dans l’UE respectent les exigences de l’IA Act. Il engage sa responsabilité conjointement avec celle du fournisseur étranger.

Responsabilité conjointe avec le fournisseur

Si le fournisseur étranger ne respecte pas ses obligations, le mandataire autorisé peut être tenu responsable. Et s’exposer aux mêmes sanctions que le fournisseur.

Conseil pratique : Si vous êtes un mandataire autorisé, assurez-vous d’avoir un mandat clair et précis de la part du fournisseur étranger. Mettez en place des procédures rigoureuses pour vérifier la conformité des systèmes d’IA que vous représentez.

Notion de Chaîne de Valeur et Interactions entre les Acteurs

L’IA Act vise à réguler l’ensemble de la chaîne de valeur de l’IA. Depuis le développement initial du système jusqu’à son utilisation finale et son éventuel retrait du marché. Cela implique une responsabilité partagée entre les différents acteurs. Ceux-ci doivent coopérer pour garantir la conformité des systèmes d’IA.

Responsabilité partagée et coopération

Chaque acteur de la chaîne de valeur a un rôle spécifique à jouer. Il doit assumer ses responsabilités en matière de conformité. La coopération et la communication entre les différents acteurs sont essentielles. Pour garantir la sécurité et la légalité des systèmes d’IA tout au long de leur cycle de vie.

Analyse approfondie : L’approche de l’IA Act en termes de chaîne de valeur vise à éviter les « trous dans la raquette ». À s’assurer qu’aucun acteur ne puisse se défausser de ses responsabilités sur un autre. Elle encourage une approche collaborative de la conformité, dans l’intérêt de tous.

Importance des relations contractuelles

Les relations entre les différents acteurs de la chaîne de valeur de l’IA doivent être encadrées par des contrats. Ceux-ci doivent être clairs et précis. Ils définissent les rôles, les responsabilités et les obligations de chacun en matière de conformité avec l’IA Act.

Conseil pratique : Rédigez des clauses spécifiques relatives à l’IA Act dans vos contrats avec les fournisseurs, les distributeurs, les importateurs et les mandataires. Précisez qui est responsable de l’évaluation de la conformité, de la documentation technique, de la surveillance après commercialisation, etc.

Communication et échange d’informations

Une communication fluide et transparente entre les acteurs de la chaîne de valeur est essentielle. Ceci pour garantir la conformité des systèmes d’IA. Les fournisseurs doivent informer les distributeurs, les importateurs et les utilisateurs des caractéristiques de leurs systèmes. Des risques potentiels et des mesures de précaution à prendre. Les intégrateurs doivent signaler aux fournisseurs les éventuels problèmes ou incidents rencontrés (source).

Exemple concret : Un fournisseur de système d’IA doit informer ses distributeurs et ses utilisateurs de toute mise à jour de sécurité. Ou de toute nouvelle information relative aux risques associés à son système. De même, un utilisateur qui constate un dysfonctionnement ou un biais dans un système d’IA doit en informer le fournisseur sans délai.

Conclusion

La définition des rôles et des responsabilités est un aspect essentiel de l’IA Act. En clarifiant les obligations de chaque acteur de la chaîne de valeur de l’IA, le législateur européen a voulu garantir une approche cohérente et efficace de la conformité. Impliquant l’ensemble des parties prenantes.

Pour les entreprises, il est crucial de bien identifier leur(s) rôle(s) dans la chaîne de valeur. Et d’assumer pleinement leurs responsabilités. Cela implique non seulement de respecter les exigences techniques et réglementaires. Mais aussi de mettre en place une véritable gouvernance de l’IA. Fondée sur la transparence, la coopération et la communication avec l’ensemble des partenaires et des utilisateurs.