Artificial Intelligence

Philippe Gilliéron

posted on

Gouvernance de l’IA – Le Code de Pratique comme Feuille de Route vers la Conformité et la Confiance ?

Le 19 décembre 2024, le deuxième projet du Code de Pratique pour l’IA a été publié, définissant les exigences de conformité pour les modèles d’IA à usage général en vertu de l’article 51 et suivants de l’AI Act de l’UE. Ce document propose un cadre structuré de gouvernance de l’IA destiné aux fournisseurs, visant à faciliter la conformité réglementaire, améliorer la transparence de l’IA et atténuer les risques systémiques liés à l’IA.

Cet article propose un résumé de ce document de 65 pages, mettant en lumière son impact sur la conformité juridique de l’IA, l’évaluation des risques et les politiques en matière de droits d’auteur. Pour celles et ceux intéressés à lire une analyse plus détaillée mais néanmoins digeste de cette seconde version, vous pouvez lire l’article récemment publié sur le blog de BMG Avocats, disponible ici en anglais.

Comprendre l’article 56 de l’AI Act : Conformité et Gouvernance de l’IA

En vertu de l’article 56, l’AI Office est chargé de faciliter l’élaboration des Codes de Pratique pour aider les fournisseurs de modèles d’IA à se conformer aux articles 53 et suivants de l’AI Act. Les dispositions s’appliquant aux modèles d’IA à usage général entreront en vigueur le 2 août 2025, et le Code de Pratique final devra être examiné par l’AI Office et l’AI Board avant le 2 mai 2025.

Points Clés sur la Conformité Réglementaire de l’IA :

  • Non obligatoire mais fortement recommandé : Bien que non contraignant, le respect du Code de Pratique de l’IA servira de référence en matière de conformité réglementaire.
  • Transparence et Documentation : Les fournisseurs doivent maintenir une documentation technique couvrant les données d’entraînement de l’IA, l’évaluation des modèles, la gestion des risques et les mesures de cybersécurité.
  • Classification des Risques : Le Code distingue les modèles d’IA open source, les modèles propriétaires et ceux présentant des risques systémiques, chacun ayant des obligations spécifiques en matière de gouvernance.

Domaines Clés de Conformité du Code de Pratique de l’IA

Le Code de Pratique pour l’IA introduit 21 engagements clés, classés en transparence, conformité au droit d’auteur, évaluation des risques systémiques, atténuation des risques et gouvernance de l’IA.

1. Transparence et Conformité au Droit d’Auteur de l’IA

Le Code de Pratique impose :

  • Une documentation complète de l’IA couvrant les processus d’entraînement, les sources de données et l’évaluation des modèles.
  • Conformité aux Politiques de Droit d’Auteur de l’IA : Les fournisseurs doivent garantir un accès légal aux données protégées et éviter les risques de sur-apprentissage de l’IA, pouvant conduire à des infractions.
  • Transparence de la Conception des Systèmes d’IA : La structure, les données d’entraînement et les conditions de licence doivent être divulguées pour garantir la validation de la conformité.

2. Gestion des Risques et Risques Systémiques de l’IA

Pour se conformer à l’article 55 de l’AI Act, les fournisseurs doivent mettre en œuvre des mesures robustes d’évaluation et d’atténuation des risques. Cela inclut :

  • Identification et Classification des Risques de l’IA : Catégorisation des risques liés à la cybersécurité, aux biais de données et aux défaillances à grande échelle des systèmes IA.
  • Évaluation des Risques à Chaque Étape du Cycle de Vie de l’IA : De la pré-formation au déploiement et à la surveillance post-déploiement.
  • Évaluation et Test des Modèles d’IA : Utilisation de techniques avancées d’évaluation pour garantir la sécurité et la conformité de l’IA.

3. Normes de Sécurité et de Protection de l’IA

Le Code impose l’adhésion à des cadres de cybersécurité internationaux tels que ISO/IEC 27001, NIST 800-53 et le Cyber Resilience Act de l’UE. Principales obligations de sécurité :

  • Mesures de Cybersécurité de l’IA : Mise en place de chiffrement robuste, détection des menaces internes et surveillance des vulnérabilités.
  • Signalement des Incidents liés à l’IA : Mise en place de procédures de signalement des incidents de sécurité.
  • Protection des Lanceurs d’Alerte dans l’IA : Assurer un canal sécurisé pour signaler les violations de gouvernance de l’IA.

Meilleures Pratiques de Gouvernance de l’IA pour les Entreprises

Au-delà des fournisseurs de modèles d’IA, le Code de Pratique pour l’IA offre un cadre de gouvernance applicable à toute organisation exploitant l’IA. Les entreprises devraient :

  • Mettre en place des normes de transparence et de documentation de l’IA
  • Adopter des mesures de conformité au droit d’auteur de l’IA
  • Développer des stratégies d’évaluation et d’atténuation des risques
  • Renforcer la cybersécurité et la protection des données
  • Se préparer aux audits juridiques et réglementaires sur l’IA

Le Code de Pratique final, attendu en mai 2025, affinera encore ces principes. Bien qu’il soit conçu pour les modèles d’IA à usage général, ses lignes directrices offrent un cadre de confiance et de conformité applicable à tous les secteurs.

Conclusion : Pourquoi le Code de Pratique de l’IA est Essentiel

Le Code de Pratique de l’AI Act de l’UE deviendra une référence incontournable en matière de gouvernance et de conformité de l’IA. Pour les fournisseurs d’IA, les juristes et les décideurs politiques, la compréhension et la mise en œuvre des exigences réglementaires de l’IA seront essentielles pour garantir la confiance, la transparence et la responsabilité des systèmes d’IA.

Alors que le paysage réglementaire de l’IA évolue, les entreprises doivent anticiper en intégrant les meilleures pratiques de gestion des risques IA et en alignant leurs systèmes avec les normes de gouvernance de l’UE.

Besoin d’accompagnement pour aligner votre stratégie IA avec les cadres réglementaires ? Contactez Prof. Philippe Gilliéron à philippe.gillieron@bmglaw.ch pour un accompagnement en conformité et expertise juridique en IA.