Entré en vigueur début août, le règlement européen sur l’intelligence artificielle entrera en application par étapes au fil des années 2025, 2026 et 2027. Next a détaillé le texte dans trois précédents articles, mais en pratique, comment les entreprises s’emparent-elles du texte ?

« Notre plus gros challenge, c’est de le rendre plus concret », nous explique David Jan Mercado, en charge de la sécurité et de la conformité chez Giskard. Pour la start-up française dédiée à valider la robustesse, l’efficacité et la sécurité des systèmes d’IA de ses clients, le texte européen représente un réel enjeu.

L'AI Act expliqué :
> Comment fonctionne l'AI Act ?
> Systèmes à haut risque, modèles à usage général : ce que dit l’AI Act en pratique
> Gouvernance, sanctions : les outils de mise en conformité et de contrôle de l’AI Act

Or, pour le moment, l’AI Act n’est « pas écrit en termes techniques ». Sa première échéance est celle de l’interdiction des systèmes posant des risques inacceptables (systèmes de note sociale, de prédiction d’infraction, d’inférence des émotions sur le lieu de travail ou dans l’enseignement, etc). Celle-ci entre en application début février 2025. 



Des spécifications techniques encore en attente.

Pour les suivantes, en revanche, tout un travail de spécifications techniques est en cours. Déléguée aux affaires européennes de l’organisation professionnelle Numeum, Anissa Kemiche explique à Next avoir été au « cœur du réacteur » des négociations autour du texte. Désormais, le syndicat professionnel attend les fameuses précisions techniques.

Le bureau de l’IA vient par exemple de clore une consultation sur les modèles fiables d’IA à usage général. « Dans la mesure où ces technologies seront pluggées dans d’autres systèmes pour réaliser toute sorte d’usages, leurs fournisseurs auront de gros impacts à gérer, explique Anissa Kemiche. Les résultats de cette consultation devraient beaucoup nous aider à formaliser » la manière d’intégrer ce type de modèle aux activités de leurs utilisateurs entreprises.

À l’été, la Commission a aussi lancé un appel à manifestation d’intérêt (maintenant clos) pour participer à l’élaboration du code de bonnes pratiques en matière d’IA, pour lequel Numeum s’est manifesté. Après une plénière de lancement au mois de septembre, les participants sont désormais divisés en quatre groupes de travail destinés à se rencontrer à plusieurs reprises d’ici avril 2025. Le code doit être publié au terme de ces travaux, puis soumis à l’approbation du Bureau et du Comité de l’IA.

Fondateur du cabinet de conseil AI Builders, Stéphane Roder s’est exprimé à plusieurs reprises en défaveur de l’AI Act. En 2024, son avis sur le texte désormais en vigueur reste « toujours aussi mauvais ». Les risques d’amende sont « trop élevés », indique-t-il à Next, ce qui « limite la possibilité d’innover ». À tort ou à raison, le texte « crée une crainte, une réaction épidermique » dans certains grands groupes avec lesquels son cabinet travaille, ce qui se traduit par « une absence de stratégie à haut niveau », et des tests plus désordonnés.

Les travaux d’éthique en soutien

Pour autant, des sociétés comme Giskard sont déjà sur le pont. « Nos services sont plutôt destinés à des systèmes que le texte classifie comme à risque modéré, c’est pourquoi nous sommes plutôt concentrés sur l’article 50. » Le but : traduire la volonté législative en éléments concrets, anticiper même, les indications concrètes des entités comme le Bureau européen de l’intelligence artificielle devrait produire.

« On ne peut pas attendre que les standards soient prêts, et, d’ici là, laisser les gens paniquer, explique David Jan Mercado. Donc ce que nous leur proposons, ce sont des tests et des vérifications que nous avons construit à force d’étudier les textes relatifs à l’éthique de l’IA, de même les travaux législatifs en cours un peu partout sur la planète. »

« Une des questions que nous avons ajoutées à notre scan [leur plateforme de test de modèle, ndlr], consiste à demander si un système d’IA a été testé contre les attaques adverses. Ça n’est pas directement présent dans le règlement, mais on a déduit de son écriture que ce serait un élément important. »

• IA : Prompt injection, empoisonnement… de quoi on parle ?

Comme Giskard, Numeum fournit des recommandations à ses adhérents en amont de la précision du règlement : « On promeut les principes éthiques de construction des systèmes, notamment ceux ancrés par le Groupe d’experts de la Commission européenne. »

En 2019, le Groupe d’experts de haut niveau sur l’IA avait dessiné sept principes éthiques non contraignants : action humaine et contrôle humain ; robustesse technique et sécurité ; respect de la vie privée et gouvernance des données ; transparence ; diversité, non-discrimination et équité ; bien-être sociétal et environnemental ; et responsabilité.

« Toutes les parties prenantes, y compris l’industrie, le monde universitaire, la société civile et les organismes de normalisation, sont encouragées à tenir compte, ainsi qu’il convient, des principes éthiques pour l’élaboration de bonnes pratiques et de normes volontaires », indiquent les motivations du Règlement sur l’IA (§27).

• À quoi ça ressemble, l’éthique de l’IA en entreprise ?

Spécifications par secteur et par types d’acteur

Quelles que soient les prévisions réalisées sur le terrain, les codes qui seront publiés faciliteront la mise en conformité, indique Anissa Kemiche. Avec 2 500 adhérents, Numeum compte parmi ses membres des entreprises de toutes tailles, endossant par ailleurs une variété de rôles tels que définis par l’AI Act. « L’enjeu, pour nous, c’est de clarifier qui fait quoi, des fournisseurs, déployeurs ou utilisateurs des systèmes. »

« Je suis une entreprise utilisatrice, j’intègre une solution Mistral dans ma chaîne de valeur, tout en la modifiant, illustre la déléguée aux affaires européennes. Comme je l’ai modifié, au regard de l’AI Act, est-ce que cela signifie que je deviens fournisseur à mon tour ? » D’autres questions concernent le fine-tuning de solutions intégrées dans les processus de travail internes.

Pour accompagner ses adhérents, Numeum travaille donc « avec les autorités publiques, on prépare un guide pratique avec le CIGREF (association de grandes entreprises et administrations publiques visant à faciliter l’intégration du numérique, ndlr) pour début 2025, on travaille avec plusieurs cabinets d’avocats… »

Les autres questions qu’il reste à éclaircir concernent la manière dont l’AI Act s’articule avec des enjeux plus sectoriels. « Dans la banque et l’assurance, par exemple, il y a déjà une réglementation et des problématiques communes, dont des questions sur l’adaptation de leurs obligations selon qu’ils sont fournisseurs ou utilisateurs de systèmes d’IA », explique Anissa Kemiche. De même, en santé, des systèmes à haut risque « sont déjà sur le marché, et les entreprises sont déjà en relation avec les autorités de contrôle de leur secteur. Cela crée de nouvelles questions sur les sujets de gouvernance. »

Tout cela implique des coûts (de certifications, de processus de conformité), dont Stéphane Roder s'inquiète du potentiel dissuasif, « aux dépens de la compétitivité ». Numeum, qui argumente en faveur d’un ralentissement des régulations, estime ce coût susceptible de grimper jusqu’à 300 000 euros pour certaines PME.

Pour autant, nuance Anissa Kemiche, l’AI Act sera vécu différemment selon les secteurs : « Dans la santé, la finance, le jouet, ceux qui ont déjà l’habitude de mettre des produits sur des marchés avec des règles strictes ont déjà des structures, sont déjà habitués à faire des prévisions. » Pour elle, les questions se poseront plus du côté « des entreprises les plus récentes, et puis d'autres secteurs, pour lesquels l’un des enjeux sera de mutualiser les audits », pour éviter doublons et surcoûts.

Elle souligne aussi l’importance des standards, qui arrivent « souvent tard dans les discussions, alors qu’il s’agit de points clés ». Pour elle, les travaux du CEN/CENELEC, outre leur caractère essentiel pour permettre la mise en conformité des entreprises à l'AI Act, « sont certainement une manière, pour l’Europe, d’affirmer sa souveraineté, de mettre sa pièce à l’édifice international ».