En avril 2022, la Commission Européenne (CE) a voté la décision de mettre en place le premier cadre juridique mondial pour réguler la commercialisation et l’usage de l’Intelligence Artificielle (IA).

Après des mois de discussions pour les législateurs, la proposition de loi devrait être votée au Parlement Européen prochainement. Avec la présence grandissante de l’IA dans tous les aspects de la vie quotidienne, et celle des applications telles que ChatGPT, qui a connu une croissance spectaculaire, les risques et dérives qui s’y rapportent sont plus que jamais au cœur des débats, et ce projet de loi devenu nécessaire.

Pour Neil Thacker, RSSI EMEA chez Netskope, règlementer l’usage de l’Intelligence Artificielle est essentiel pour protéger les données, mais cela doit se faire avec des préceptes légaux précis et transparents, qui évoluent avec les technologies, afin d’éviter les vides juridiques, tout en respectant des principes éthiques.

« Avec l’IA Act, les législateurs tendent à mesurer l'impact potentiel de l'intelligence artificielle sur la société, plus particulièrement sur les droits des citoyens, et le cadre législatif inhérent pour les protéger.

La loi permettra aux organismes de surveillance d'exiger le retrait ou la modification d'un modèle d'IA s'il présente un risque élevé. Le schéma est donc similaire à celui du RGPD.

Si ce dernier se concentre sur les données personnelles, leur utilisation et leur traitement responsables, l’IA Act le complètera en garantissant le respect des exigences et de la législation existante en matière de droits fondamentaux par les nouvelles technologies génératives.

De ce fait, les organisations devront se conformer aux deux, et pourront potentiellement subir des répercussions conjointes : par exemple, une mauvaise hygiène en matière de protection des données entraînerait une négligence aussi en termes d’IA, si elle utilisait des données auxquelles elle ne devrait pas avoir accès.

La nouvelle législation devrait ainsi garantir l'établissement, la mise en œuvre, la documentation et le maintien de systèmes, de processus et de la gestion des risques. Les entreprises devront déterminer si leurs systèmes d'IA sont catégorisés à risque élevé, et pourront faire l'objet d'une évaluation régulière.

Certains systèmes, notamment s’ils exploitent les personnes vulnérables en raison de leur situation sociale ou économique, ou mettent en place des "scores sociaux", comme représenté dans un épisode de la série TV Black Mirror, sont d’ores et déjà interdits par la proposition discutée en ce moment même au Parlement Européen.

De plus, ce règlement devrait également obliger les organisations à communiquer quand et comment l'IA a été intégrée dans la prise de décisions, et leur influence sur ces dernières.

L'une des questions cruciales de ce cadre législatif repose sur la définition de ce qui se rapporte à la négligence ou d’un acte commis intentionnellement en cas d’entrave à la loi, susceptible alors d’engager la responsabilité pour faute.

L’enjeu sera en effet de définir s’il est question d’une erreur liée à une négligence involontaire en matière de protection des données ou encore si par exemple elle est le fruit d’une pratique discriminatoire basée sur des informations dont la partialité est connue. Ainsi, les leçons tirées du RGPD - y compris en matière d’hygiène des données, de normes et de processus - seront extrêmement utiles pour se conformer à l’IA Act.

Seulement, ce dernier réglemente aussi la méthodologie relative à la prise de décision, et les données sur lesquelles elles sont basées, ce qui va donc bien plus loin que la seule gestion de ces données.

Au-delà de la question de l’éthique, l'exfiltration des données n'est de fait plus la seule cybermenace. L’IA peut en effet devenir une porte d’entrée pour les cybercriminels qui chercheraient à voler les données utilisées par cette technologie. Or, si la compromission de l'intégrité des informations incite l'intelligence artificielle à prendre une décision différente et contraire à l’éthique, les hackers pourraient se servir de ce risque pour nuire à l'organisation ciblée.

Une prise de décision éclairée est cruciale pour mettre en place une intelligence artificielle éthique et qui répond aux exigences de l’IA act. Connaître et documenter l’utilisation de la technologie est un moyen simple de comprendre et d’anticiper les failles pour les données critiques de l’entreprise, tout en garantissant une utilisation responsable de l’IA.

La transparence suscite en effet la confiance, c’est pourquoi une visibilité complète sur les technologies permet leur protection. Toutefois, une IA en open source semble difficile à contraindre, par sa nature libre, car il parait compliqué d’imposer une morale sans autorité supérieure. »