Skip to Content (custom)

Angle

Quand l’IA se mondialise, la réglementation de l’IA s’étend aussi

Quand l’IA se mondialise, la réglementation de l’IA s’étend aussi

  • 1 Min

Point clé à retenir: Les règles encadrant l’IA évoluent en continu. L’Union européenne montre la voie avec DORA, l’AI Act et le Digital Services Act. Ces cadres s’appliquent au-delà des frontières et créent des défis de conformité pour les entreprises partout dans le monde. Rester informé, mettre en place une gouvernance proactive et s’appuyer sur des experts réduit les risques et permet d’exploiter l’IA de manière responsable.

Toute entreprise qui utilise l’IA est désormais dans le champ de vision des régulateurs. Trois nouveaux règlements européens annoncent un changement profond du cadre réglementaire. Partout dans le monde, les gouvernements appliquent des lois sur l’IA au-delà de leurs frontières et parfois de manière rétroactive, avec des sanctions financières élevées. Se conformer uniquement à la réglementation de son pays ne suffit plus. Cette approche appartient au passé. Une nouvelle vision de la conformité s’impose.

De nombreuses organisations pensent encore que leur éloignement géographique les protège des autorités européennes. La réalité est tout autre. L’analyse de ces nouvelles réglementations européennes met en lumière les principes de conformité que les entreprises doivent adopter pour répondre à ces exigences et se préparer à un cadre de régulation de l’IA sans frontières.

Trois réglementations européennes clés à l’origine des défis mondiaux de conformité

L’Union européenne est à l’avant garde de la réglementation en matière de protection des données et d’IA. Trois nouveaux textes, chacun couvrant des dimensions distinctes de la technologie et de la conformité, forment ensemble un cadre inédit aux implications majeures. Ils imposent un ensemble complexe d’obligations et des sanctions élevées.

Digital Operational Resilience Act

Le Digital Operational Resilience Act, DORA, renforce la résilience numérique des entités financières au sein de l’Union européenne. Il définit un cadre de gestion des risques liés aux technologies de l’information et de la communication afin de garantir que les organisations puissent résister aux incidents opérationnels, y répondre et s’en remettre, y compris en cas de cyberattaque.

DORA ne s’applique pas uniquement aux établissements financiers. Il couvre également leurs fournisseurs et prestataires tiers. Par exemple, lorsqu’un établissement financier utilise un système d’IA comme ChatGPT pour des fonctions métiers critiques, l’établissement comme le fournisseur d’IA peuvent relever du champ d’application de DORA.

EU AI Act

L’EU AI Act instaure un cadre complet pour encadrer le développement et l’utilisation de l’IA. Il repose sur une approche fondée sur le niveau de risque et classe les systèmes d’IA en quatre catégories, risque minimal, limité, élevé et inacceptable. Les exigences varient selon le niveau de risque et le règlement prévoit des règles spécifiques pour les modèles d’IA à usage général comme ChatGPT. Les systèmes classés à haut risque sont soumis à des obligations renforcées.

  • Mettre en place un dispositif de gestion des risques sur l’ensemble du cycle de vie du système d’IA à haut risque.
  • Fournir une documentation technique démontrant la conformité et permettant aux autorités d’en évaluer le respect.
  • Concevoir le système pour assurer la traçabilité et l’enregistrement automatique des événements pertinents pour l’identification des risques au niveau national.
  • Mettre en œuvre un système de management de la qualité afin de garantir la conformité.

Un niveau de risque inacceptable concerne les systèmes considérés comme une menace manifeste pour la sécurité, les moyens de subsistance et les droits des personnes concernées. L’AI Act interdit huit pratiques, dont les suivantes.

  1. Le scoring social.
  2. L’évaluation ou la prédiction du risque d’infraction pénale individuelle.
  3. La reconnaissance des émotions sur le lieu de travail et dans les établissements d’enseignement.
  4. La catégorisation biométrique visant à déduire certaines caractéristiques protégées.

Digital Services Act

Le Digital Services Act, DSA, encadre la modération des contenus en ligne et confère aux autorités le pouvoir d’évaluer et de retirer les contenus qu’elles jugent faux ou préjudiciables. Ses critères d’appréciation soulèvent des questions complexes.

  • Qui est responsable de l’examen des contenus générés par l’IA, le rédacteur de la requête, la personne qui publie, le propriétaire du modèle ou la source des données.
  • Si votre contenu est utilisé par un modèle d’IA sans votre intention, votre responsabilité peut elle néanmoins être engagée.

Les sanctions en cas de non conformité peuvent atteindre plusieurs centaines de millions de dollars. Elles incitent fortement les plateformes à surveiller et à restreindre les contenus.

La portée étendue de l’Union européenne

Rien n’est plus déstabilisant pour les professionnels de la conformité que l’incertitude. Le fait d’être établi en dehors de l’Union européenne ne garantit plus une zone de sécurité. Partir du principe que votre localisation vous place hors de portée des autorités européennes peut constituer une erreur majeure. Une chose est claire. Les trois réglementations ont une portée extraterritoriale. Par exemple, au titre du DSA, dès lors qu’un résident de l’Union européenne peut accéder à votre contenu, le règlement s’applique. L’EU AI Act s’applique également même si votre entreprise n’est pas implantée dans l’Union européenne.

Dans un environnement numérique mondialisé, le simple fait de rendre du contenu accessible dans l’Union européenne peut déclencher des obligations de conformité. Des résistances existent, mais à ce stade, les entreprises doivent se conformer aux règles ou s’exposer à des risques significatifs.

Étapes pratiques pour la conformité

Malgré la complexité du cadre réglementaire, les entreprises peuvent agir de manière proactive pour répondre aux exigences des nouvelles réglementations mondiales.

  1. Former en continu les équipes grâce à des programmes de formation juridique ou professionnelle dédiés à l’IA et à la conformité afin de suivre l’évolution des obligations.
  2. S’appuyer sur un partenaire de confiance capable d’évaluer les technologies et de confirmer leur conformité aux exigences réglementaires afin de réduire les risques et renforcer la responsabilité.
  3. Désigner un délégué à la protection des données chargé de superviser la conformité et de piloter les initiatives en matière de protection des données.
  4. Faire appel à des conseils juridiques locaux spécialisés en protection des données dans les juridictions où l’entreprise opère ou où les données peuvent être accessibles, l’expertise locale étant essentielle pour interpréter des réglementations complexes.
  5. Mettre en place et faire appliquer des politiques internes claires encadrant l’usage de l’IA et la gestion des données, avec une communication, un suivi et des mises à jour régulières.

Enfin, familiarisez vous avec les politiques de vos clients et fournisseurs. Anticipez les conflits, assurez la transparence et renforcez la confiance dans toutes les relations en posant les bonnes questions.

  • Le LLM est il entraîné à partir des données clients.
  • Où les données sont elles stockées et consultées.
  • Quels dispositifs de sécurité sont en place.
  • Le modèle est il privé ou public.
  • Le système peut il détecter les hallucinations et citer ses sources.

Pour les équipes juridiques, les services d’eDiscovery managés offrent un avantage stratégique. La centralisation du stockage des données réduit le risque lié aux fournisseurs, améliore le contrôle des paramètres de sécurité et facilite la supervision des nouveaux outils et fonctionnalités. Cette approche permet de répondre plus efficacement aux exigences de conformité qui se chevauchent entre plusieurs réglementations.

Avancer avec claret

La technologie évolue rapidement et la réglementation tente de suivre le rythme. DORA, l’EU AI Act et le Digital Services Act illustrent une tendance mondiale vers un encadrement plus strict. L’adoption de l’IA crée des opportunités inédites mais expose aussi à de nouveaux risques. Rester informé, mettre en place une gouvernance solide et s’appuyer sur des experts sont des leviers essentiels pour maîtriser cet environnement tout en tirant parti des bénéfices de l’automatisation.

Brandon Hollinder
Brandon Hollinder, vice président eDiscovery et solutions cyber
En tant que vice président eDiscovery et solutions cyber chez Epiq, Brandon Hollinder accompagne les clients en tant qu’expert afin de créer de la valeur et de garantir des solutions conçues et déployées avec efficacité. Fort de plus de quinze ans d’expérience en eDiscovery et en solutions cyber, il pilote la stratégie de mise sur le marché d’Epiq pour les services managés d’eDiscovery et les activités de réponse aux incidents cyber.


Cet article est destiné à fournir des informations générales et non des conseils ou des avis juridiques.

Subscribe to Future Blog Posts

Related Content
Explorez l'avenir de la sténographie sans compromettre la précision
  • Article
  • Depositions and Trials
  • 1 Min
Read More
Comment sortir du purgatoire des pilotes d’IA
  • Article
  • 1 min
Read More
Pour les cabinets d’avocats de petite et moyenne taille, la récupération des coûts liés à la technologie eDiscovery est désormais critique
  • Article
Read More