Alors que l’IA continue de rationaliser notre quotidien et nos interactions professionnelles, elle pose également des défis importants, tels que les fuites de données privées, la violation des droits de propriété intellectuelle et la création de fake news. Pour tenter de lutter contre les zones d’ombre de l’IA, les dirigeants de l’industrie et des pays proposent et mettent en œuvre de nouvelles réglementations avec des contrôles de conformité plus stricts.
2024 s’est révélée être une année chargée pour les acteurs de l’écosystème de la régulation numérique, et 2025 semble prête à inaugurer l’adoption et la mise en place de nouvelles règles et réglementations. Cependant, de nombreux acteurs ne sont pas certains de l’impact que cela aura sur leur stratégie et leurs décisions commerciales.
Yann Dietrich dirige l’équipe propriété intellectuelle, brevets et innovation chez Eviden, équipe qui traite aujourd’hui aussi des questions juridiques autour de l’IA. Avec 25 ans d’expérience comme Chief IP Counsel de grandes sociétés internationales, il est également très impliqué dans les initiatives internationales sur l’IA.
Alors que les premières obligations relatives à l’AI Act entrent en vigueur en Europe dès février 2025, nous nous sommes entretenus avec lui pour discuter des enjeux et tendances de la réglementation dans le domaine de l’IA : Où en sommes-nous ? Comment les entreprises peuvent-elles s’y préparer ? Et quelles bonnes pratiques le Groupe Atos adopte-t-il dans ce domaine ?
Voici ses réponses accompagnées de conseils pratiques pour s’assurer que votre entreprise est conforme à l’AI Act.
L’AI Act entre en vigueur en Europe.
Où en sommes-nous des initiatives internationales en matière de réglementation sur l’IA ?
Dans tous les pays, on observe une déferlante d’initiatives réglementaires telles que l’AI Act en Europe, l’AI Executive Order aux États-Unis, les Rules on GenAI en Chine et l’AI Regulation Bill au Royaume-Uni, pour n’en nommer que quelques-unes. Ces réglementations sont toutes basées sur les mêmes grands principes fondamentaux. Cependant, des développements politiques récents, tels que l’influence de personnalités comme Donald Trump ou Elon Musk, ont signalé un changement dans l’approche des États-Unis, et l’AI Executive Order a déjà été abrogé dès les premiers jours de la présidence de Trump.
Globalement, l’arrivée de ces réglementations est une bonne chose car bien que l’IA ait conduit à des progrès scientifiques extrêmement bénéfiques – comme la réduction du temps de développement de médicaments – et que la grande majorité des data scientists soient sensibles aux enjeux éthiques, il y a toujours quelques brebis galeuses et des risques de déviances dont il faut se prémunir.
Cela dit, il faut aussi se garder des fantasmes ! Je me souviens d’une réunion internationale où la plupart des participants réclamaient l’imposition de « Kill Switch » parce que Netflix venait juste de rediffuser la série des Terminator. Il faut garder raison : SkyNet est de la science-fiction ! Or, ces fantasmes conduisent parfois des acteurs de la société civile à sur-réglementer l’IA, oubliant que de nombreuses réglementations existantes couvrent déjà les risques potentiels associés à l’IA.
Pour autant, la plupart des instances nationales et internationales lancent de multiples initiatives dans ce domaine. Avec l’AI Act, l’Europe est à la pointe sur tous ces sujets, mais les législations dans d’autres pays vont arriver dans les 12/24 mois à venir.
Comment les entreprises doivent-elles se préparer pour se mettre en conformité ?
Y a-t-il des écueils à éviter ?
L’AI Act européen qui est entré en vigueur au 1er août 2024, offre une feuille de route très précise : les applications d’IA prohibées doivent être éliminées d’ici février 2025, et les applications d’IA à haut risque doivent être conformes d’ici août 2026. Cela trace un chemin dans lequel il faut s’inscrire. Non seulement car c’est une exigence réglementaire, mais aussi car c’est une attente sociétale pour garantir que l’IA est utilisée de manière sûre et responsable.
La communauté scientifique elle-même a été surprise par l’ampleur et la rapidité des avancées technologiques de l’IA générative. Cela a conduit à une préoccupation généralisée, illustrée par la lettre ouverte signée en mars 2023 par des centaines d’experts, dont l’entrepreneur technologique Steve Wozniak et l’historien Yuval Noah Harari, appelant à réfléchir sur les risques potentiels et à mettre en place des mesures de sécurité.
Pour les entreprises, répondre à ces attentes de sécurité et de transparence est une nécessité ! En Europe, cela implique de s’inscrire dans une démarche rigoureuse de gouvernance de l’IA afin d’éviter les applications prohibées, même s’il est très rare que des entreprises se fourvoient dans cette voie, mais aussi de s’assurer que les applications d’IA à haut risque soient développées de manière responsable.
Contrairement à ce qu’on pourrait penser, la catégorie d’IA à haut risque recouvre énormément de cas d’usage, dont certains pourraient pourtant paraître anodins. Sans même citer les algorithmes de gestion de contenus qui cherchent à maximiser l’attention des utilisateurs (le cas classique des dark patterns), toutes les applications qui touchent à l’humain de manière générale peuvent être concernées.
Un bon exemple, qui parlera à tout le monde, est celui du classement (« scoring ») dans la gestion de carrière, la gestion de dossiers pour des prêts, le choix de locataires, etc. Si l’on prend l’exemple de la sélection des locataires potentiels, il faut veiller aux données utilisées par l’IA pour choisir les meilleurs dossiers, et éviter celles qui pourraient donner lieu à des biais discriminatoires, comme le nom de la personne ou son adresse. A chaque fois, cela implique de réfléchir précisément aux données, à leur usage, et à la manière dont les décisions sont prises.
C’est un travail de gouvernance auquel les entreprises doivent s’atteler dès maintenant, car les échéances sont proches : février 2025 pour l’IA prohibée et dans 18 mois pour l’IA à haut risque. 18 mois, c’est très court pour mettre en place et valider les systèmes de gouvernance nécessaires. C’est à la fois une contrainte et un gage de bonne acceptation par la société.
Quelles bonnes pratiques le Groupe Atos adopte-t-il dans ce domaine ?
Nous y travaillons sous deux angles.
D’une part, nous accompagnons nos clients dans l’identification et la mise en place de ces démarches de conformité réglementaires, de sécurité et d’IA responsable. Nous avons d’ailleurs lancé une offre de conseil dédiée.
D’autre part, nous appliquons les principes d’IA responsable sur les applications que nous développons, à la fois pour le compte de nos clients, et pour nos propres services, comme nos solutions sectorielles (finance, industrie, énergie, santé, services publics) ou métiers (par exemple, la sécurité).
Ce n’est pas juste un formulaire de compliance qu’il faut remplir. C’est un pilotage qui doit être intégré tout au long des phases de conception, de développement et de déploiement.
Un point clé de la démarche est de mettre l’humain au cœur du processus de décision. Pour un cas d’usage à haut risque, l’IA doit toujours être configurée pour aider l’humain à prendre la décision, mais ne doit pas être en mesure de prendre cette décision de manière autonome ! Par exemple, une application aidant le personnel hospitalier à trier les patients doit être configurée de manière à ce que le médecin ou l’infirmier ait la décision finale. C’est d’ailleurs un défi particulier à l’IA : contrairement à la plupart des produits, dont les usages sont bordés et où l’on valide la conformité du produit lui-même, un même algorithme pourra être anodin dans certains cas d’usage, et à haut risque dans d’autres.
C’est pour cela que la conformité en matière d’IA nécessite une analyse précise de chaque cas d’usage et de ses réglementations applicables. Nous sommes par exemple un des leaders mondiaux de la surveillance vidéo dans les aéroports, afin d’assurer l’identification des bagages abandonnés, la détection de comportements suspects et la prévention d’incidents. Les exigences réglementaires varient considérablement d’un pays à l’autre : certains pays autorisent la reconnaissance faciale et l’analyse prédictive des risques, dans d’autres, c’est interdit. Il faut savoir adapter le logiciel en fonction du contexte et de la réglementation locale.
C’est parfois complexe dans les domaines où la législation est encore émergente. Dans ces cas, la collaboration avec les autorités est parfois nécessaire. Nous avons par exemple vécu cela lors des Jeux Olympiques et Paralympiques de Paris 2024.
Sans parler du domaine militaire et de la sécurité intérieure, ou l’AI Act ne s’applique pas, mais où il existe des conventions internationales et des lois spécifiques selon les États.
C’est pour cela que l’EU AI Act est à la fois une contrainte et un support, permettant aux entreprises de s’assurer que leurs applications d’IA – essentielles pour la productivité – sont éthiques, sûres, responsables et conformes à la loi.
Ce principe est au cœur de la démarche d’Eviden.