Bien que de puissants outils d’intelligence artificielle (IA) sont déjà présents dans notre vie quotidienne, l’IA n’en est encore qu’à ses débuts. Selon une étude de PWC, elle pourrait apporter jusqu’à 15 700 milliards de dollars à l’économie mondiale en 2030, et il n’est pas surprenant que la réglementation soit à la traîne du marché dans ce domaine qui évolue rapidement. En réponse à une prise de conscience accrue des dangers potentiels de cette technologie, l’Union européenne (UE) a adopté une proposition dans le cadre du tout premier effort international visant à réglementer l’IA.
Le cadre juridique proposé, appelé la « Loi sur l’intelligence artificielle », est une étape positive vers la limitation des impacts potentiellement négatifs de l’IA sur les individus et la société dans son ensemble. Son champ d’application englobe certaines des technologies les plus passionnantes et les plus controversées de l’histoire récente, notamment la conduite autonome, la reconnaissance faciale et les algorithmes qui alimentent le marketing en ligne. La loi vise à atteindre cet objectif en abordant l’IA d’une manière similaire à la réglementation européenne sur la sécurité des produits, ce qui permet de faire la lumière sur le processus de développement et d’accroître la transparence pour les personnes concernées.
La Loi sur l’intelligence artificielle instaurera d’importantes obligations entourant la transparence, la gestion des risques et la gouvernance des données, et est susceptible de s’appliquer aux fournisseurs d’IA, notamment FRISS et à ses clients en tant qu’« utilisateurs » de notre IA. Tout comme le Règlement général sur la protection des données (RGPD), un cadre juridique pour la protection des renseignements personnels dans l’UE, les amendes que les autorités pourront infliger sont échelonnées en fonction de la gravité. Toutefois, l’amende de niveau supérieur prévue par la loi sur l’IA dépasse celle du RGPD, atteignant 30 millions d’euros (environ 35,5 millions de dollars américains) ou 6 % du chiffre d’affaires annuel mondial, le montant le plus élevé étant retenu.
Comment la proposition aborde-t-elle l’IA?
La Commission a adopté une interprétation large de l’IA, ce qui constitue sans aucun doute un acte intentionnel visant à maximiser la portée et l’efficacité de la législation.
L’Article 3 de la proposition donne une définition large de l’IA :
« Tout logiciel développé à l’aide d’une ou de plusieurs [de certaines] approches et techniques… »
Ces approches sont énumérées à l’Annexe I et comprennent les approches d’apprentissage automatique, les approches fondées sur la logique et la connaissance et/ou les approches statistiques.
…et qui peuvent, pour un ensemble donné d’objectifs définis par l’homme, générer des résultats, notamment du contenu, des prédictions, des recommandations ou des décisions influençant les environnements avec lesquels ils interagissent.»
L’approche de la Commission a consisté à séparer l’IA, et les exigences correspondantes, en fonction du niveau de risque. Ce niveau commence par l’« IA interdite », qui a été classée par la Commission comme étant hors limite en raison de son risque exceptionnel inhérent. Il s’agit de ce que beaucoup d’entre nous considèrent comme le niveau « de trop », qui comprend des technologies telles que la reconnaissance faciale biométrique dans les espaces publics ou l’évaluation sociale par les autorités.
La Commission identifie certaines IA comme étant « à risque faible » et à « risque minimal », qui ne doivent satisfaire qu’à des obligations de transparence de base pour être conformes à la proposition. Il s’agit de robots conversationnels, de filtres anti-spams ou de jeux vidéo qui utilisent l’IA pour émuler le comportement réaliste d’un joueur humain.
La proposition se concentre principalement sur les « IA à haut risque », dont les exemples suivants ont été fournis à l’Annexe III de la proposition :
- l’IA liée à l’identification biométrique et à la catégorisation des personnes physiques ;
- la gestion et l’exploitation des infrastructures critiques ; l’éducation et la formation professionnelle ;
- l’emploi, la gestion des travaux et l’accès au travail indépendant ;
- l’accès et la jouissance des services privés essentiels et des prestations et services publics ;
- l’application de la loi ; la gestion des migrations, de l’asile et des contrôles aux frontières ;
- et l’administration de la justice et des processus démocratiques.
Bien que cela dépende de la manière dont les orientations futures définissent l’Annexe III, il est possible que l’Annexe III 5(b) soit destinée à inclure certains produits Assurtech. Il est également important de noter que cette liste n’est pas statique et qu’elle peut être mise à jour par la Commission afin de prendre en compte des systèmes futurs ou nouvellement identifiés comme étant à haut risque. C’est pourquoi FRISS suivra régulièrement l’évolution de la situation.
Alors, quelles sont les exigences?
Dans le cadre de la proposition, les prestataires de systèmes d’IA à haut risque doivent respecter un certain nombre d’exigences, notamment disposer d’un système de gestion des risques, appliquer des pratiques de gouvernance des données, maintenir une documentation technique et tenir des registres, ainsi que garantir la prestation de renseignements transparents aux utilisateurs de leurs systèmes (Article 16). En plus des exigences liées aux produits, les prestataires d’IA doivent également s’assurer qu’ils disposent d’un système de gestion de la qualité, qu’ils effectuent des « évaluations de la conformité » et qu’ils conservent des journaux de bord générés automatiquement. Les prestataires doivent également apposer un marquage CE sur les systèmes d’IA à haut risque (ou sur la documentation) pour indiquer leur conformité. En cas d’identification de non-respect de l’une des exigences, les prestataires doivent informer les autorités désignées et prendre les mesures correctives nécessaires.
Les utilisateurs de systèmes d’IA à haut risque sont tenus de suivre les instructions publiées qui accompagnent les systèmes d’IA, de s’assurer que les données saisies sont pertinentes selon l’objectif de l’IA, de surveiller le fonctionnement de l’IA et de suspendre le système en cas de risque, et de tenir et conserver des journaux de bord générés pendant une période appropriée (Article 29).
L’approche de FRISS face à ce nouveau règlement
FRISS prend les normes réglementaires au sérieux, parce que se référer à nous en tant que conseillers de confiance n’est pas seulement un titre. Nous accueillons favorablement l’utilisation de l’IA parce qu’elle ne dort jamais, qu’elle est plus rapide, qu’elle comporte moins d’erreurs et qu’elle fonctionne avec la puissance cérébrale collective de tout un service anti-fraude. Chez FRISS, l’IA est utilisée pour fournir des vues en temps réel et globales des risques lors de la demande de police, du renouvellement et des réclamations, afin d’accroître notre efficacité pour nos clients. Cependant, la transparence est tout aussi cruciale pour nous.
Bien que cette proposition marque le début du processus législatif, d’autres mesures devront être prises avant d’obtenir la version finale. La prochaine étape de la proposition sera la révision par le Parlement européen et le Conseil des ministres. En attendant, les équipes de FRISS chargées de la conformité et des données continueront à suivre de près ces développements, en identifiant tout changement dans les exigences de base et en s’alignant sur celles-ci dès que possible.
Depuis le début, FRISS s’est engagée à intégrer les principes clés de l’IA responsable, notamment la réduction des partis pris, la transparence et la gestion des risques, en se concentrant sur les aspects suivants de chacun d’entre eux :
- La réduction des partis pris : Nous excluons les points de données évidents sur le sexe, l’état civil, la nationalité, l’ethnicité, etc. dans nos modèles, et nos spécialistes des données sont également formés pour reconnaître les éventuelles procurations.
- La transparence : Nous appliquons une IA explicable à tous nos modèles, ce qui signifie que les utilisateurs finaux verront exactement pourquoi une certaine réclamation a été signalée comme étant à haut risque.
- La gestion des risques : Nous avons mis en œuvre des évaluations d’impact sur la protection des données (EIPD) dans notre processus de développement et adoptons une approche de la vie privée dès la conception, conformément au RGPD.
Ce que nous voulons que vous sachiez
La Loi sur l’intelligence artificielle est une étape positive vers une utilisation éthique et responsable de l’IA. Nous saluons l’accent accru mis par l’UE sur la transparence et la gestion des risques, car nous pensons également qu’elles devraient être des normes du marché pour les produits alimentés par l’IA. Nous prenons le temps d’analyser et d’observer les développements de la proposition pour nous assurer que nous comprenons ce que ces exigences signifieront pour nos produits et nos clients dans le monde entier. Parce que nous sommes conscients qu’il est essentiel d’être conforme pour maintenir le statu quo, nous nous tenons au courant de ces changements. Nous continuerons à surveiller les exigences réglementaires qui se profilent à l’horizon et à prendre des mesures responsables pour agir en toute conformité le plus tôt possible.
