AI Act : la maîtrise de l‘IA obligatoire depuis le 2 février 2025

La loi sur l‘IA de l‘Union européenne établit un cadre unique au monde pour favoriser la confiance dans l‘intelligence artificielle, stimuler l‘innovation et atténuer les risques pour la société. De nombreux experts considèrent qu‘il s‘agit d‘une législation pionnière qui positionne l‘UE comme leader dans le débat international sur l’encadrement de l‘IA.

Adopté en juin 2024, l‘AI Act instaure des règles et des directives pour les fournisseurs et les utilisateurs d‘IA. Contrairement aux autres règlements européens, qui doivent d‘abord être transposés en droit national, les dispositions de cette nouvelle législation sont directement entrées en vigueur dans tous les États membres le 2 février 2025. L’intégralité du texte en français (144 pages) est accessible en ligne.

De nombreux chefs d‘entreprise se demandent encore aujourd‘hui comment mettre en œuvre les changements actés le 2 février 2025. Suffit-il de mentionner la maîtrise de l‘IA comme l’un des critères requis dans les offres d‘emploi ? Les salariés devront-ils se former régulièrement à l‘IA ? Qu‘entend exactement l‘UE par « maîtrise de l‘IA » ?

Pour répondre à ces questions, le règlement européen sur l‘intelligence artificielle définit la maîtrise de l‘IA comme « les compétences, les connaissances et la compréhension qui permettent aux fournisseurs [...], compte tenu de leurs droits et obligations respectifs [...] de procéder à un déploiement des systèmes d‘IA en toute connaissance de cause, ainsi que de prendre conscience des possibilités et des risques que comporte l‘IA, ainsi que des préjudices potentiels qu‘elle peut causer ». (page 49).

Cette définition indique clairement que la maîtrise de l‘IA signifie que les utilisateurs doivent avoir une compréhension globale des outils avec lesquels ils interagissent. Au-delà des compétences techniques, la maîtrise de l‘IA exige une compréhension approfondie des risques. En d‘autres termes, la maîtrise de l‘IA ne consiste pas seulement à maîtriser les systèmes d‘IA, mais aussi à évaluer de manière responsable les risques et les préjudices potentiels qui y sont associés.

Le périmètre des personnes tenues de posséder des compétences en matière d‘IA depuis le 2 février 2025 est aussi vaste que le terme lui-même. L’article 4 du règlement stipule :

« Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés, et en tenant compte des personnes ou des groupes de personnes à l’égard desquels les systèmes d’IA sont destinés à être utilisés. » (page 51).

En pratique, cela signifie que non seulement les personnes qui utilisent directement les systèmes d‘IA dans leurs tâches quotidiennes doivent en avoir une connaissance suffisante, mais aussi toutes les personnes impliquées dans l‘exploitation, le développement ou l‘usage de ce type de systèmes. Exemples :

• Les managers chargés de superviser le déploiement de l‘IA.
• Les développeurs et les professionnels de l‘informatique qui conçoivent et maintiennent les systèmes d‘IA.
• Les salariés qui travaillent dans des domaines sensibles, comme l’automatisation des évaluations de crédit.
• Les prestataires de services externes qui développent, implémentent ou maintiennent des systèmes d‘IA pour les entreprises.

En bref, les employés internes, les partenaires externes et les prestataires de services sont concernés. Objectif ? Donner à toutes les parties prenantes — du personnel technique à la direction — les moyens d‘utiliser les systèmes d‘intelligence artificielle de manière sûre et responsable.

Mais qu‘en est-il des entreprises qui exploitent des systèmes d‘IA depuis le 2 février 2025 sans s‘assurer que leur personnel possède des connaissances suffisantes en matière d‘IA ?  

Eh bien, ce n’est pas aussi grave que ça. Si une entreprise ne parvient pas à mettre en œuvre des mesures visant à garantir la maîtrise de l‘IA par ses salariés et ses partenaires externes, le règlement européen sur l‘IA n‘impose pas d‘amendes ni de sanctions directes. Cependant, les décideurs ne doivent pas prendre cela à la légère, car des risques importants subsistent, puisqu’à l‘avenir, tout préjudice causé par les systèmes d‘IA risque d’être considéré comme une violation des responsabilités légales de l‘employeur. Les entreprises doivent se préparer à répondre de leurs actes devant la justice si ces préjudices peuvent être évités par la formation et des mesures appropriées.

Sally Mewies, associée Technologie et numérique chez Walker Morris, souligne que si le règlement européen sur l‘IA n‘inflige pas directement d‘amendes pour manque de connaissances en matière d‘IA, les entreprises sont tenues de garantir une formation adéquate pour atténuer les risques juridiques associés aux préjudices évitables causés par les systèmes d‘IA, des risques qu‘aucune organisation ne peut se permettre de négliger.

Bien qu‘aucune sanction directe ne soit prévue pour l‘instant, investir dans la formation de ses salariés à la maîtrise de l’IA s’avère une décision judicieuse pour toute entreprise. Au lieu de considérer la formation obligatoire comme un autre élément de conformité fastidieux à cocher sur la liste, les dirigeants devraient la voir comme une occasion de renforcer l‘innovation et la compétitivité de leur organisation.
Pour vous faciliter la tâche, nous avons synthétisé quatre points permettant d‘inscrire durablement la conformité de l‘IA au sein de votre organisation :

1. Évaluer les besoins : qui a besoin d‘une formation à l‘IA ?

Commencez par recenser les salariés et les services qui recourent directement ou indirectement aux systèmes d‘IA et les connaissances spécifiques dont ils ont besoin. Cela vous donnera une bonne idée de la hiérarchisation de vos besoins de formation et d‘éviter les mesures inutiles.

2. Choisir les bons programmes de formation à l‘IA

Une fois que vous savez qui a le plus besoin de formation, vous pouvez commencer à proposer des programmes de formation qui abordent les aspects techniques, juridiques et éthiques de l‘usage de l‘IA. C‘est à vous de décider si vous faites appel à des prestataires externes ou si vous développez des programmes en interne. Ce qui importe, c‘est que le contenu de votre formation à l‘IA corresponde aux différentes fonctions et responsabilités au sein de votre entreprise.

3. Assurer une formation continue à l‘IA

Prévoyez des formations régulières d’actualisation des connaissances de vos employés, ce que vous faites peut-être déjà pour d‘autres sujets. Les technologies d‘IA et les obligations réglementaires continueront d‘évoluer, de même que les exigences en matière de maîtrise de l’IA. Une culture de l‘apprentissage permanent est importante pour que l’entreprise reste compétitive, en définitive.

4. Documenter et archiver les preuves

Une bonne pratique consiste généralement à conserver une trace exhaustive de toutes les formations que vous proposez, et il en va de même pour celle-ci. En conservant une vue d‘ensemble des formations à l‘IA dispensées, y compris des sujets traités et des stagiaires, vous êtes en mesure de prouver votre conformité avec vos obligations légales en cas d‘inspection ou d‘action en responsabilité.
Ces quatre étapes devraient servir de solide point de départ. En les adaptant quelque peu à votre organisation, vous devriez pouvoir mieux vous préparer à respecter les nouvelles dispositions du règlement européen sur l‘IA. Mieux encore, vous êtes tout aussi susceptible de constater une hausse de la productivité de vos collaborateurs formés à l‘IA, qui peuvent désormais en faire plus en moins de temps.  

Bonne pratique : définir des responsabilités claires

En plus de proposer des formations, il est bon de désigner un responsable de la conformité à l‘IA, à l‘instar du délégué à la protection des données prévu par le règlement RGPD de l‘UE. Cette personne ou ce groupe de réflexion établit non seulement une crédibilité externe, mais garantit également des structures internes claires et une coordination efficace de toutes les activités liées à l‘IA.

Le fait de disposer de ces ressources indique clairement à vos salariés, à vos clients et aux organes de tutelle que votre entreprise reconnaît l‘importance de la maîtrise de l‘IA et qu‘elle s‘en préoccupe résolument. Vous atténuez les risques tout en faisant preuve d‘une responsabilité active à l‘égard d‘une technologie qui façonne de plus en plus notre vie quotidienne.

Les systèmes d‘IA offrent aux entreprises d‘incroyables possibilités d‘accroître considérablement leur productivité. Cependant, comme toute technologie puissante, l‘IA peut également être utilisée à des fins néfastes. L‘essor des fausses nouvelles générées par l‘IA sur les réseaux sociaux n‘est que la partie émergée de l‘iceberg.
Afin d‘empêcher ou du moins de limiter les abus, le règlement européen sur l‘IA instaure l‘interdiction des pratiques d‘IA dangereuses à compter du 2 février 2025. Voici quelques exemples de pratiques interdites :

• Technologies de manipulation : systèmes d‘IA conçus pour influencer le comportement des personnes à leur insu, comme une IA influençant subtilement les habitudes d‘achat pour inciter à des achats compulsifs.
• Notation sociale : systèmes qui évaluent et classent les individus en fonction de leur comportement ou de leurs caractéristiques personnelles, comme les scénarios qui récompensent ou pénalisent les citoyens pour leurs publications sur les réseaux sociaux ou leurs décisions d‘achat.
• Identification biométrique dans les espaces publics : en particulier les technologies de surveillance en temps réel. On peut imaginer des scénarios tels que l’analyse de foules lors d‘événements publics pour détecter les personnes faisant l’objet d’un mandat d‘arrêt non exécuté ou la surveillance de rues très fréquentées à la recherche de délinquants fichés, ce qui soulève d‘importantes questions en matière de respect de la vie privée et d‘éthique.

Ces nouvelles dispositions visent principalement à sauvegarder les droits fondamentaux. Les entreprises qui utilisent l‘IA devront, par exemple, vérifier si leurs applications sont susceptibles de tomber sous le coup de ces interdictions.  

Envie d’en savoir plus sur les différentes catégories de risques des systèmes d‘IA et leur classification juridique ? Lisez l’intégralité de notre article de blog consacré à l’AI Act européen.