Il n’est pas un dirigeant d’entreprise qui n’ait pas conscience que l’IA va changer beaucoup de choses mais nombreux sont ceux pour qui le sujet reste lointain et qui se demandent ce qui va changer et à quel point.
Ca n’est pas la première fois que face à une technologie dite émergeante (en fait celle-ci émerge depuis les années 70) on se dit « il va se passer quelque chose mais j’ai le temps« …jusqu’au jour où on n’a plus le temps.
A défaut de toujours avoir une idée claire des enjeux business de leur entreprise face à l’IA (Pourquoi l’IA d’entreprise ne peut pas suivre la vitesse de l’IA grand public : au-delà de ChatGPT, une réalité plus complexe) ils font déjà toutefois face à la régulation européenne en vigueur depuis mi-2024 et n’ont pas toujours conscience de ce que cela implique pour eux. De plus ils n’ont pas toujours conscience que leur entreprise utiliser des IA sans le savoir au travers des solutions qui leurs sont fournies et qu’ils utilisent au quotidien.
Et je ne doute pas qu’on se retrouve face à une situation similaire que celle connue avec le RGPD à savoir « ça n’est pas pour moi« , puis « j’ai le temps » et enfin « je vois des amandes tomber partout il faut vite qu je fasse le point avec mon légal« .
Aujourd’hui j’ai donc décidé de me plonger dans l’EU AI Act et d’en extraire la substantifique moelle pour des gens qui comme moi ne sont pas des experts de la dimension technologique de la chose mais qui en tant que dirigeants ont besoin de savoir de quoi il retourne et où ils mettent les pieds…
On se demandera aussi si à force de réglementer l’Europe ne se tire pas une balle dans le pied.
Experts vous pouvez passer votre chemin, ça n’est qu’un article de vulgarisation qui ne vous dira rien que vous ne savez déjà.
L’AI Act : qu’est-ce que c’est ?
L’AI Act est un cadre législatif visant à encadrer le développement et l’utilisation de l’IA en Europe, protéger les citoyens et les entreprises des abus ou dérives possibles des technologies d’IA et promouvoir une innovation responsable et éthique.
L’AI Act est entré en vigueur le 1er Aout 2024 avec une entrée en application progressive échelonnée entre février 2025 et aout 2027, laissant aux entreprises une période de transition pour se conformer aux nouvelles exigences et quand on voit ce qui s’est passée avec le RGDP ça n’est pas du luxe.
Il s’inscrit dans la continuité de l’approche réglementaire de l’Union européenne, qui a déjà été en quelque sorte pionnière avec le RGPD (Règlement Général sur la Protection des Données). Cette fois, il s’agit d’établir des normes communes pour :
- Réduire les risques liés aux biais algorithmiques, à la sécurité des données ou à la surveillance.
- Assurer une transparence dans l’utilisation des systèmes d’IA.
- Maintenir la compétitivité européenne tout en respectant les valeurs fondamentales de l’UE.
Un système de classification inédit
Ce qui caractérise l’AI Act est sa classification des systèmes d’IA par niveau de risque novatrice. Cette hiérarchisation est essentielle pour comprendre comment la réglementation s’appliquera dans une entreprise donnée.
1°) Risque minimal
Ce sont des systèmes sont jugés sans danger pour les utilisateurs ou la société.
Cela comprend par exemple les filtres anti-spam, algorithmes recommandant des playlists musicales.
A ce stade il n’y a pas d’obligations spécifiques. L’entreprise peut continuer à utiliser ces outils sans ajustements.
2°) Risque limité
Ce sont des technologies qui de par leur vocation nécessitent une transparence accrue.
Ici on trouve les chatbots, générateurs d’images ou de texte (comme ChatGPT).
Ici la seule obligation qui pèse sur les entreprises est d’informer les utilisateurs qu’ils interagissent avec une IA et non avec un humain.
3°) Risque élevé
Ce sont des systèmes qui peuvent avoir un impact direct sur les droits ou la sécurité des personnes.
On parle ici de l’IA utilisée pour recruter des employés, pour effectuer des diagnostics médicaux ou décider de l’octroi de crédits bancaires.
L’entreprise doit ici démontrer que ses modèles sont fiables, précis et exempts de biais discriminatoires. Mais ça n’est pas tout : il faudra mettre en place des audits réguliers pour garantir la conformité et fournir une documentation technique détaillée à des fins d’inspection.
4°) Risque inacceptable
Ce sont des applications qui sont strictement interdites par la loi.
Les champs d’application sont par exemple la surveillance de masse, la manipulation cognitive, les systèmes exploitant des vulnérabilités spécifiques des individus (AI could map and manipulate our desires, say Cambridge researchers).
Toute utilisation de ces technologies doit en théorie engendrer des sanctions.
On parie ?
Les obligations que fait peser l’IA Act
En fonction du secteur et des usages de l’IA, l’AI Act introduit des obligations qui impacteront directement les opérations. Et là vous allez voir qu’absolument tout le monde est concerné à un degré ou à un autre.
1°) Audits et conformité renforcés
Pour les systèmes classés « à risque élevé », les entreprises devront prouver que leur IA respecte les critères définis par l’UE, documenter les processus de conception et de développement des algorithmes et mettre en place des mécanismes de contrôle interne pour identifier et corriger rapidement d’éventuelles défaillances.
2°) Transparence vis-à-vis des utilisateurs
Les chatbots devront signaler qu’ils ne sont pas humains et les recommandations algorithmiques devront être expliquées aux utilisateurs de manière compréhensible.
Je suis très curieux de voir la mise en oeuvre de la seconde partie mais cela dépend du niveau de détail et de précision attendu…
3°) Gestion des données sensibles
Si une IA utilise des données personnelles, l’entreprise devra veiller à ce qu’elles soient collectées, stockées et traitées dans le respect du RGPD, en plus des nouvelles règles spécifiques à l’IA.
Chaque système d’IA devra indiquer clairement son fonctionnement et ses limites. Là encore je suis curieux de voir comment cela va fonctionner quant on sait que la limite de l’IA est que bien souvent elle ne sait pas dire qu’elle ne sait pas (Navigating the Jagged Technological Frontier: Field Experimental Evidence of the Effects of AI on Knowledge Worker Productivity and Quality ).
L’AI Act risques et opportunités pour les dirigeants
A ce stade vous pouvez vous dire que tout cela représente des contraintes, une masse de travail considérable et des problèmes en perspective. C’est vrai mais ceux qui anticipent le sujet peuvent en tirer un avantage par rapport à ceux qui seront plus attentistes ou négligents.
Disons qu’on se retrouve à peu près dans le même cas qu’avec le RGPD mais à une autre échelle.
Etre en règle vite permet tout d’abord une réduction des risques juridiques et financiers.
La conformité à l’AI Act permet en effet de limiter les amendes en cas de non-respect (jusqu’à 6 % du chiffre d’affaires annuel mondial). Si on se souvient du RGDP les amendes ont mis du temps à tomber mais elles ont fini par arriver même si on peut douter du caractère vraiment dissuasif des sanctions prononcées.
La conformité peut améliorer l’image de marque et la réputation d’une entreprise.
L’époque où, en parlant des données personnelles, on disait « peut importe, les utilisateurs n’y comprennent rien » est révolue et il y a une réelle prise de conscience dans le grand public quand ça n’est pas une peur.
Dit autrement il n’y aura pas d’économie de la donnée sans confiance envers les acteurs.
Se conformer à l’AI Act est un gage de transparence et d’éthique, deux critères de plus en plus valorisés par les clients, les investisseurs et les partenaires commerciaux. Cela peut positionner une entreprise comme acteur responsable.
L’IA Act est également un facteur de différenciation.
Les entreprises conformes pourront se distinguer sur le marché en garantissant des systèmes d’IA éthiques et fiables. Cela pourrait devenir un avantage compétitif majeur pour remporter des contrats avec des gouvernements, des grandes entreprises ou des organismes sensibles à l’éthique et la responsabilité sociale.
Il faut aussi penser au futur et se préparer à un monde ou l’IA sera régulée partout.
En s’alignant sur la norme européennes, les entreprises seront préparées à opérer dans un environnement où les régulations deviendront de plus en plus en plus présentes. D’autres régions, comme les États-Unis ou l’Asie, pourraient adopter des cadres similaires dans les années à venir et, quand on sait que l’Europe est en général plus stricte sur ces sujets, « qui peut le plus peut le moins« .
L’IA act peut aussi être un bon prétexte pour basculer vers une innovation responsable.
Il incite en effet les entreprises à revoir leurs pratiques et à investir dans des solutions conformes et innovantes. Cette contrainte initiale peut encourager une approche plus rigoureuse et améliorer ainsi la qualité des IA.
Enfin se pose la question de l’attractivité pour les talents et investisseurs.
Les entreprises respectant des standards éthiques et transparents seront plus attractives pour certains talents en quête de sens, ainsi que pour des investisseurs axés sur la durabilité et la responsabilité sociale.
Comme toujours c’est un mix entre contraintes et opportunités que je résumerai en deux points : confiance et innovation. Je ne vois pas comment survivre dans une économie dominée par l’IA sans cela.
Les entreprises Européennes encore pénalisées par la sur-régulation ?
On ne peut pas ne pas mentionner à nouveau le célèbre adage qui dit que « les USA innovent, la Chine copie et l’Europe régule« .
L’une des critiques majeures que l’on peut adresser à l’AI Act est qu’il pourrait désavantager les entreprises européennes face à celles de pays où les règles sur l’IA sont moins strictes ou inexistantes.
Ca n’est ni la première ni la dernière fois que cela arriverait.
On ne peut en effet nier que le poids de la conformité est un désavantage compétitif, au moins à court terme.
Le prix de la mise en conformité et de son maintien sera en effet élevé, en particulier les PME et ETI, qui devront investir dans des audits, des certifications et la documentation de leurs algorithmes, poids dont seront libérées leurs concurrentes opérant dans des juridictions moins strictes. Au moins pour un temps.
Par contre elles auront un avantage lorsque les autres devront s’y mettre un jour au l’autre car elles auront un coup d’avance.
La critique que j’entends le plus, notamment venant des entrepreneurs de la tech est que l’IA Act sera un frein à l’innovation.
En effet le cadre réglementaire ralentira à coup sûr l’expérimentation et la mise sur le marché de nouvelles technologies ce qui peut limiter la compétitivité sur des marchés où la vitesse est cruciale, comme l’e-commerce ou les services numériques.
Enfin on me parle de fuite des talents et des capitaux.
Les premiers pourraient en effet être attirés par des pays offrant un environnement plus permissif et moins bureaucratique (quoi que j’y croie peu) et les seconds pourraient privilégier des régions où les coûts liés à la conformité réglementaire sont moindres (mais de plus en plus valorisent la responsabilité sociale et ne pourront se priver du marché européen).
Mais tout n’est jamais blanc et noir et d’une contrainte surgit souvent une opportunité.
La première opportunité, on ne va pas se mentir, c’est de se protéger de la concurrence étrangère sous prétexte d’éthique alors que vérité est que nous ne sommes pas au niveau ! Mais si c’est une opportunité pour les acteurs de l’IA, il n’est pas certain que les entreprises clientes en disent autant qui peuvent se voir priver de fonctionnalités dont profitent leurs concurrents étrangers.
L’AI Act peut être aussi vu comme un gage de confiance par les clients et partenaires en garantissant à leurs clients que leurs solutions sont éthiques, sécurisées et respectueuses des droits.
On l’a déjà dit, et en matière d’IA comme ailleurs, les entreprises anticipant les réglementations se prémunissent contre de futurs scandales liés à l’IA, qui pourraient nuire à leur réputation, entraîner des sanctions ou les exclure de certains marchés
Il y a également une question de prise en compte des préoccupations des consommateurs avec les de plus en plus attentifs aux questions de transparence, d’éthique et de respect de la vie privée.
On peut aussi parler de renforcer sa compétitivité à long terme en étant déjà conformes lorsque d’autres régions adopteront des régulations similaires.
Enfin, et répétons le il y a là un facteur d’attractivité pour les investisseurs éthiques qui privilégient de plus en plus les entreprises alignées avec les normes ESG (Environnement, Social, Gouvernance).
L’IA Act un prix à payer aujourd’hui pour être compétitif demain ? Peut être à condition que les autres ne prennent pas pendant ce temps une avance, n’acquièrent pas une expérience, ne développent pas des innovations qu’on ne pourra pas rattraper dans le futur.
Conclusion
L’AI Act impose des contraintes importants aux entreprises européennes, mais il peut aussi s’agir d’un pari stratégique sur l’avenir.
Si les entreprises de pays moins régulés peuvent sembler avantagées à court terme grâce à des coûts moindres et une rapidité d’exécution, les entreprises européennes construisent un avantage compétitif durable à condition ne ne pas se faire irrémédiablement décrocher.
Malheureusement il n’y a pas eu besoin de l’IA Act pour qu’à de rares exceptions près les européens pèsent peu dans le concert mondial.
Par contre on ne peut nier qu’une réglementation sur l’utilisation des données personnelles et une forme d’éthique est la bienvenue et correspond à une attente des utilisateurs, en tout cas en Europe.
En attendant pour montrer qu’elle est à la hauteur des enjeux c’est sur d’autres points qu’on attend également l’Europe (Les défis que pose l’IA ne sont pas technologiques mais il faut y répondre aujourd’hui).
Image : European AI Act de Ivan Marc via Shutterstock
