Se conformer à l’AI Act : un jeu d’enfants ?

L’AI Act, ou Règlement européen sur l’intelligence artificielle, vise à encadrer l’utilisation des systèmes d’IA dans l’Union européenne tout en garantissant un haut niveau de protection de la santé, de la sécurité et des droits fondamentaux. Le secteur financier, très dépendant des technologies numériques, est directement concerné.

L’AI Act adopte une approche fondée sur les risques et classifie les systèmes d’IA selon quatre catégories, avec des exigences graduelles. Les systèmes d’IA à risque inacceptable, jugés dangereux pour les valeurs européennes, sont interdits. Par exemple, l’utilisation de l’IA pour une notation sociale généralisée ou une surveillance biométrique à distance à des fins abusives est strictement prohibée. Viennent ensuite les IA à haut risque, sur lesquelles porte la majeure partie des obligations de l’AI Act, puis à risque limité et faible. Pour les entreprises du secteur financier qui développent des IA à haut risque, l’AI Act impose des contraintes qui s’ajoutent à l’arsenal réglementaire régulant le domaine et introduisent de nouveaux défis. La qualité, traçabilité, sécurité, gouvernance et transparence des données utilisées par ces systèmes seront passées au peigne fin. Les IA à haut risque devront également être accompagnées d’une documentation détaillée expliquant leur fonctionnement, les décisions qu’elles prennent et démontrant leur conformité.

Un des effets possibles et redoutés de l’AI Act est d’étouffer l’innovation. Face aux légions d’exigences réglementaires, les jeunes entreprises qui se lancent dans la course à l’IA pourraient être écrasées par le coût de la conformité. Ce risque est adressé par la Commission européenne par l’introduction de bacs à sable réglementaires. Bien connu des acteurs de la FinTech, ce dispositif permet de tester, en conditions réelles et pour une durée limitée, une technologie sous contraintes réglementaires relaxées, tout en bénéficiant de la supervision du régulateur. Lancé pour la première fois en 2016 par l’autorité financière britannique, le “FCA sandbox” a permis à plus de 700 acteurs économiques d’augmenter de 40 % la vitesse de mise sur le marché de leur produit. Mais le bac à sable proposé par l’UE souffre de limitations qui pourraient bien l’empêcher d’égaler le succès de son cousin d’Outre-Manche. Les entreprises participantes seront certes exemptées temporairement de conformité au Règlement, mais demeureront pleinement responsables sur le plan civil. Par ailleurs, la mise en place des bacs à sable réglementaires est de la responsabilité des régulateurs nationaux et non d’une instance européenne. Il y a donc un risque de disparité entre les dispositifs proposés dans chaque État membre. Il sera alors possible aux fournisseurs d’IA de choisir parmi les plus accommodants.

Au-delà des bacs à sable, l’Europe semble nager à contrecourant. Aux US, aucune législation au niveau fédéral n’encadre l’IA. La tendance est davantage à la dérégulation : Meta annonce cesser son programme de fact-checking ; Elon Musk, conseiller spécial de Donald Trump, détaille dans un projet de réformes son plan pour réduire le rôle de l’État fédéral. De son côté, la Chine avait, en janvier 2023, adopté 26 règles visant à encadrer l’IA Générative, avec des amendes pouvant aller jusqu’à 100 000 yuans. Ces règles ont depuis été largement assouplies et leur infraction ne fera désormais l’objet que d’un avertissement ou d’une suspension. Si nous, européens, sommes les seuls à réguler l’IA, de manière trop contraignante, voire étouffante, nous irons droit dans le mur. Et nous irons seuls. En octobre dernier, Michel Barnier annonçait vouloir un moratoire sur la directive CSRD. Dans la même veine, un délai supplémentaire sur l’entrée en application de l’AI Act pourrait donner un peu d’air aux entreprises françaises. À défaut, elles devront se contenter d’une pelle et d’un râteau.