LEBIGDATA.FR I.A, Cloud & Cybersécurité
Et si votre prochain outil d’IA vous coûtait des millions d’euros en amende ? Le 13 mars 2024, l’Union européenne a adopté l’AI Act. Ce règlement est un cadre juridique unique au monde. Son objectif est de garantir une IA sûre. Les sanctions financières prévues sont colossales. Elles surpassent même celles du RGPD. Ignorer ces obligations n’est pas une option. Pour les entreprises, il est urgent de comprendre les risques liés aux sanctions AI Act.
Les sanctions AI Act représente un risque financier de premier ordre
Le AI Act (UE 2024/1689) établit un barème financier dissuasif pour les entreprises. Les amendes varient donc selon la gravité de l’infraction commise. Elles se divisent en trois niveaux distincts et les montants peuvent être très élevés. Ce système est comparable à celui du RGPD.
Le premier niveau de sanctions AI Act concerne les techniques de manipulation
Dans cette catégorie, les sanctions AI Act visent les manquements les plus graves. Cela concerne l’utilisation d’un système d’IA interdit. Dans ce cas, la pénalité peut atteindre 35 millions d’euros. Le montant peut aussi correspondre à 7 % du chiffre d’affaires annuel mondial. C’est la somme la plus élevée qui sera retenue par les régulateurs.
Cette pénalité s’applique aux pratiques jugées inacceptables dont un système de notation sociale. Il s’agit de systèmes d’IA qui notent ou classent les individus. Cette classification s’évalue sur leur comportement social ou leur statut économique. Un gouvernement ne peut pas utiliser une telle IA pour évaluer la fiabilité de ses citoyens. Ce type de pratique est contraire aux valeurs démocratiques européennes.
La manipulation cognitive ou émotionnelle des individus est interdite. Cela se fait à travers des techniques subliminales. Un outil qui exploite les vulnérabilités de groupes spécifiques reste aussi proscrit par le règlement. La loi peut viser l’âge, un handicap ou une situation sociale. Une solution qui pousse des personnes vulnérables à adopter un comportement dangereux s’expose à un risque de lourdes sanctions AI Act.
Abonnez-vous à notre chaîne YouTube AI Bootcamp pour plus d’actualitté IA :
Des sanctions AI Act pour le manque de documentation ou de surveillance
Pour les systèmes d’IA à haut risque, le montant de l’amende est de 15 millions d’euros. Ou bien, la sanction représente 3 % du chiffre d’affaires annuel global. Encore une fois, la plus grande des deux sommes s’applique. Cette amende frappe les entreprises qui ne respectent pas leurs obligations. Ces devoirs sont liés à la documentation et touchent la traçabilité.
Pour plus de clarté, je vous invite à lire l’article de notre ami et collègue Oliva R. intititulé Les IA à haut risque selon l’AI Act.
La non-conformité aux exigences de surveillance humaine constitue un motif de sanction AI Act. Il s’agit de règles de bonne gestion des risques qui sont essentielles pour les systèmes avec un réel impact sur la vie des citoyens.
Un autre niveau de sanctions concerne des infractions moins graves. Cela touche la communication d’informations inexactes. Le montant de la pénalité est de 7,5 millions d’euros. Ou bien, l’amende représente 1,5 % du chiffre d’affaires mondial. Les autorités pourront imposer des amendes prennent en compte plusieurs facteurs. La gravité de l’infraction constitue, par exemple, un critère. La durée du manquement est aussi importante, tout comme le nombre de personnes touchées par le manquement.
Les sanctions non-financières de l’AI Act
Outre les amendes, les sanctions AI Act présentent des risques plus larges. Le premier risque est la réputation. Une entreprise sanctionnée perd la confiance de ses clients. La sanction peut faire les gros titres. Les consommateurs peuvent fuir l’entreprise. La marque en sortirait affaiblie. La perte de confiance est difficile à regagner. Elle est souvent irréversible.
Le second risque est juridique. Les individus peuvent engager des poursuites. Un citoyen qui se sent lésé par une décision d’IA peut attaquer l’entreprise en justice. Les tribunaux peuvent imposer des réparations. Ils peuvent aussi demander l’arrêt de l’utilisation de l’IA incriminée. Ces actions en justice peuvent prendre du temps. Elles sont très coûteuses. Elles mobilisent des ressources de l’entreprise. La non-conformité peut donc paralyser une partie de l’activité.
La suspension du service constitue une ménace en cas de non conformité aux règles éuropéennes AI Act. Les autorités de régulation ont le pouvoir de suspendre un système d’IA après constatation de non respect des directives de l’Union. Cela peut avoir un impact dévastateur sur les opérations. Imaginez un système de transport qui est mis à l’arrêt. Ou un outil de recrutement qui ne fonctionne plus. Les conséquences financières indirectes seraient immenses. La suspension du service peut aussi affecter les fournisseurs. C’est un risque qui touche toute la chaîne de valeur intelligence artificielle.
Un énième risque pour les entreprises du secteur IA est directement lié au marché. Les clients exigeront bientôt des garanties de conformité. Un partenaire commercial peut refuser de travailler avec une entreprise non conforme. Il est vital de montrer que son système d’IA est sûr. Il faut prouver qu’il respecte les règles. La conformité est un avantage concurrentiel. Elle devient une condition pour faire des affaires en Europe.
L’interdiction formelle de déployer des solutions IA à risque
Tout systèmes d’IA qui représente un risque pour les utilisateurs est purement et simplement interdit. Une entreprise qui commercialise, importe ou utilise une telle technologie s’expose à de lourdes conséquences. Ces dispositifs qui menacent la sécurité et les droits fondamentaux ne peuvent être ni commercialisés ni utilisés au sein de l’Union européenne.
La surveillance biométrique en temps réel est aussi interdite. Elle reste proscrite dans les espaces publics. Une exception existe pour des cas très spécifiques et graves. Cela peut concerner une menace terroriste. Mais l’usage doit être strictement encadré et proportionné. Une société ne peut pas déployer un système de reconnaissance faciale en temps réel. C’est interdit dans une rue ou un centre commercial, mais potentiellement toléré dans d’autres circonstances, notamment pour des raisons de sécurité ou lorsque le concerné est averti.
Pour une entreprise, l’utilisation de ces systèmes demeure un pari risqué. Le risque n’est pas seulement financier. Il touche aussi la réputation de l’entreprise qui sera détruite et la confiance des consommateurs perdue. Les entreprises doivent donc auditer leurs outils. Il faut s’assurer qu’aucun d’eux ne tombe dans cette catégorie. C’est une question de survie pour l’entreprise.
Les sanctions AI Act pour non-conformité
Les obligations pour les systèmes à haut risque sont strictes. Ces dispositifs peuvent avoir un impact significatif sur la santé et les droits fondamentaux. Ils sont listés dans une annexe du règlement. On y trouve des IA utilisées dans des secteurs critiques. Les infrastructures de transport et les dispositifs médicaux sont ainsi concernés. Les outils de recrutement et les systèmes d’éducation le sont aussi.
Les fournisseurs de ces systèmes ont de nombreuses responsabilités. Ils doivent mettre en place un système de gestion des risques. Ce système doit être actif pendant tout le cycle de vie de l’IA. Son objectif est d’identifier les dangers prévisibles. Il faut adopter des mesures pour les réduire. La gouvernance des données est un autre point clé. Il faut s’assurer que les jeux de données d’entraînement sont de haute qualité. Ils doivent être pertinents et les données ne doivent pas contenir de biais.
Un humain doit superviser l’IA et décider à sa place
Les fournisseurs doivent créer un dossier technique détaillé. Ce dossier décrit le fonctionnement du système d’IA. Il explique sa logique et ses performances. Il faut aussi prévoir une surveillance humaine efficace. Un humain doit pouvoir intervenir pour corriger les erreurs. L’objectif est d’éviter une prise de décision entièrement autonome et potentiellement biaisée.
Les utilisateurs de ces systèmes, appelés « déployeurs« , ont aussi des obligations. Ils doivent s’assurer d’utiliser le système d’IA conformément aux instructions et former leur personnel. Ces utilisateurs sont responsables de la qualité des données qu’ils entrent dans le système. Les déployeurs doivent tenir des registres d’activité. Il faut enregistrer toutes les décisions prises par l’IA. Ces registres sont utiles en cas de contrôle ou d’incident. Un « marquage CE » est nécessaire pour un système d’IA à haut risque. Cela prouve que le système respecte les exigences. Les sanctions AI Act s’appliquent si ces règles ne sont pas suivies.
Les règles sont encore plus strictes pour l’IA générative
Un risque moins évident est lié à la transparence. L’AI Act crée une nouvelle catégorie de règles. Elles concernent les modèles d’IA à usage général. Ce sont les modèles comme GPT-4. Ils ne sont pas destinés à un usage précis. Ces outils peuvent servir à de nombreuses applications. Le règlement établit des règles de transparence pour eux.
Les entreprises qui utilisent ces modèles d’IA générative ont des obligations. Elles doivent informer clairement les utilisateurs. Il faut leur dire quand ils interagissent avec un système d’IA. Le contenu généré ou altéré par une IA doit être mentionné. Les « deepfakes » artistiques sont un exemple. Il faut les étiqueter comme créés par une IA. Cette obligation de transparence vise à protéger le public.
Les fournisseurs de ces grands modèles d’IA ont des responsabilités accrues. Si le modèle présente un risque systémique, les obligations sont plus lourdes. Un modèle a un risque systémique s’il a un grand nombre d’utilisateurs. Il faut alors réaliser des évaluations de risques. Les fournisseurs doivent aussi tester le modèle. Ils doivent évaluer les risques potentiels. Un rapport de synthèse sur les données d’entraînement est aussi nécessaire. Cette mesure vise à assurer la qualité des modèles.
La responsabilité est partagée entre plusieurs acteurs du secteur. Un importateur doit s’assurer que le fournisseur non-européen respecte les règles. Un distributeur doit vérifier le marquage CE d’un système à haut risque. La chaîne de valeur de l’IA est entièrement couverte. Personne ne peut se dérober à ses responsabilités. Les sanctions pour défaut de transparence sont importantes. Elles peuvent atteindre 15 millions d’euros ou 3 % du chiffre d’affaires mondial. Les entreprises doivent être très vigilantes sur ce point.
Restez à la pointe de l'information avec LEBIGDATA.FR !
- Partager l'article :
