Nouveautés sur le règlement européen sur l’IA : propositions actualisées, points inchangés et l’essentiel pour les dirigeants

Dernières informations sur le règlement européen sur l’IA

Si vous avez suivi l’évolution du règlement de l’UE sur l’IA, vous avez sans doute remarqué un flot continu de mises à jour, d’analyses et de spéculations ces derniers mois. Une grande partie de l’attention porte sur la manière dont l’Union européenne prévoit de déployer et de faire appliquer concrètement le règlement.

Un facteur clé des débats actuels réside dans la volonté de la Commission européenne de simplifier et d’aligner la réglementation numérique européenne, un chantier connu sous le nom d’approche Digital Omnibus.

Ces propositions visent à réduire la complexité inutile, à harmoniser les pratiques entre États membres et à mieux aligner l’application des règles sur la disponibilité des normes, des orientations et des capacités de surveillance. Il en résulte une accentuation mise sur la gouvernance opérationnelle, c’est-à-dire sur la façon dont les organisations gèrent les risques, la responsabilité et les preuves de l’IA au quotidien, plutôt que sur la seule conformité théorique.

En pratique, cela signifie que certains aspects de la mise en œuvre du règlement sur l’IA pourraient être ajustés ou clarifiés au fil du temps, certaines obligations étant davantage liées à la maturité de l’écosystème vis-à-vis de la conformité plutôt qu’à un calendrier rigide.

Pour les entreprises, le défi ne consiste donc plus seulement à suivre chaque mise à jour, mais à maintenir son niveau de préparation quand les attentes évoluent.

OneTrust soutient cette réalité opérationnelle en fournissant un système unique pour gérer la gouvernance de l’IA ainsi que les exigences en matière de protection de la vie privée, de risques et de sécurité, permettant aux organisations de s’adapter à l’évolution des directives sans avoir à reconstruire les workflows ou les justifications à chaque fois que les attentes légales changent.

Il est important de faire la distinction entre ce que les propositions indiquent clairement et ce qui est encore en cours d’élaboration :

• Domaines où l’orientation est bien définie, notamment une approche par phases et une meilleure harmonisation avec les normes et les lignes directrices associées
• Domaines qui restent en cours d’élaboration, notamment les directives détaillées, les pratiques d’application de la loi et les attentes en matière de surveillance au niveau des États membres

Ces propositions ne remettent pas en cause le règlement sur l’IA lui-même. Elles reflètent un effort visant à rendre son application plus pratique dans un contexte technologique complexe et en rapide évolution.

Les nouvelles propositions

Les dernières propositions autour du règlement de l’UE sur l’IA concernent surtout le calendrier, les mécanismes et les lignes directrices, bien plus que des changements sur le fond.

Modifications des calendriers et des mécanismes de déploiement

Les discussions autour du Digital Omnibus ont inclus des propositions visant à ajuster comment et quand certaines obligations du règlement sur l’IA s’appliquent, en particulier pour les cas d’usage plus complexes ou à haut risque. Dans certains cas, l’application peut être liée à la mise à disposition de normes harmonisées, de spécifications techniques ou de directives officielles.

Pour les entreprises, cela introduit une certaine souplesse, mais aussi de l’incertitude.

Quand les obligations sont rattachées à des étapes de maturité plutôt qu’à un calendrier strict, il est possible que les organisations qui patientent manquent de temps quand les exigences seront mises en vigueur.

Clarifications concernant l’IA à haut risque et le contrôle

Les systèmes d’IA à haut risque restent au premier plan. Les mises à jour et les débats récents ont souligné la nécessité de directives plus claires sur la documentation, la gestion des risques, le contrôle humain et la surveillance après la mise en marché. Ces clarifications visent à aider les organisations à appliquer les exigences de manière cohérente, et non à baisser la barre.

Pourquoi ces changements ont-ils été introduits ?

Ces changements reflètent des réalités concrètes :

• Les organismes de normalisation et les autorités de surveillance ont besoin de temps pour finaliser leurs orientations
  
• Les organisations ont besoin de clarté pour mettre en œuvre correctement les mesures de contrôle
• Les régulateurs veulent que l’application soit crédible et cohérente dans l’ensemble de l’UE

En résumé, l’UE affine les modalités de la conformité – pas son principe même.

Les points inchangés 

Même si les délais et les directives évoluent, plusieurs éléments fondamentaux du règlement sur l’IA ne changent pas. C’est là que de nombreuses entreprises interprètent mal la situation.

L’approche fondée sur le risque reste la même

Le règlement sur l’IA repose toujours sur un cadre de référence fondé sur les risques. Les obligations s’échelonnent en fonction de la manière dont l’IA est utilisée et de l’endroit où elle est utilisée, en particulier lorsque les systèmes affectent les droits, la sécurité ou l’accès des personnes aux services essentiels.

On attend toujours des organisations qu’elle comprennent :

• les systèmes d’IA qu’elles utilisent ou fournissent
  
• comment ces systèmes sont déployés 
• le niveau de risque qu’ils présentent

La responsabilité incombe toujours aux organisations

Les fournisseurs et les déployeurs restent responsables de la conformité. La responsabilité continuera d’incomber aux organisations, et non aux régulateurs, aux fournisseurs ou aux futures orientations. Les entreprises doivent démontrer que la gouvernance est en place et qu’elle fonctionne.

Une gouvernance attestable est toujours exigée

Les politiques seules ne suffisent pas. Les organisations doivent être en mesure de montrer :

• des évaluations du risque et des analyses d’impact
  
• des décisions et validations documentées
• une surveillance et un contrôle continus
• des processus de responsabilité et d’escalade clairs

La portée du règlement reste étendue, couvrant de multiples pays et secteurs

Le règlement sur l’IA continue de s’appliquer quel que soit le secteur d’activité et au-delà des frontières. Les organisations multinationales, les filiales dans l’UE et les entreprises mondiales au service des utilisateurs de l’UE sont toutes dans son champ d’application.

C’est là qu’une plateforme telle que OneTrust devient essentielle. Elle constitue un espace où les exigences de gouvernance sont fortes tout en fournissant la souplesse nécessaire à l’évolution des modalités de mise en œuvre. C’est idéal, car les organisations ont besoin d’un moyen unique et intégré pour gérer les preuves, les workflows et la supervision, plutôt que d’outils isolés et de processus ad hoc.

Importance pour les dirigeants

Il ne s’agit pas seulement d’un point juridique, mais d’une question de modèle opérationnel qui affecte la façon dont l’entreprise planifie, construit et fait évoluer l’IA.

Les systèmes d’IA s’inscrivent rarement dans une seule fonction. Ils sont conçus, entrainés, déployés et supervisés par plusieurs équipes, souvent dans différentes régions et sous différentes structures hiérarchiques. En pratique, l’IA touche de nombreux secteurs de l’organisation :

• les équipes produit et ingénierie créent et déploient les fonctionnalités basées sur l’IA
• les équipes de données entraînent, testent et gèrent les modèles
• les équipes de sécurité gèrent l’accès, la surveillance et la réponse aux incidents
• les équipes de protection de la vie privée et de gestion des risques évaluent l’impact, les obligations et la conformité
• les équipes achats gèrent les fournisseurs et les outils d’IA tiers

Pour les responsables d’entreprise, cela pose un enjeu que les évolutions réglementaires, à elles seules, ne suffisent pas à traiter.

Lorsque les responsabilités sont fragmentées, la responsabilité globale devient floue. Les décisions sont prises en silos, les preuves vivent dans différents systèmes et il n’existe pas de vision unifiée des risques liés à l’IA dans l’ensemble de l’organisation.

Cette fragmentation accroît le risque lorsque les dirigeants attendent une « clarification définitive » :

• le travail de gouvernance devient réactif plutôt que d’être planifié
  
• les équipes sont mises sous pression pour respecter des délais serrés
• la documentation et les pistes d’audit sont reconstituées a posteriori
• les équipes locales sont les premières touchées, souvent sans les outils ou les orientations nécessaires pour réagir de manière cohérente

Les récentes actualités autour du règlement européen sur l’IA soulignent une vérité simple : l’incertitude réglementaire n’a pas le même impact pour tous. Les organisations dans lesquelles la gouvernance est fragmentée peinent à suivre le rythme, tandis que celles qui disposent d’une supervision connectée et de responsabilités clairement établies s’adaptent plus facilement.

Pour les dirigeants, la question n’est plus de savoir si la gouvernance de l’IA sera appliquée, mais plutôt si l’organisation est structurée pour la gérer à grande échelle.

Cela implique de plus en plus d’aller au-delà de la coordination informelle et des outils isolés, pour adopter une approche de gouvernance unifiée qui rassemble l’IA, la protection de la vie privée, les risques, la sécurité et la surveillance des tiers dans un système d’enregistrement unique, soit le type de modèle d’exploitation que des plateformes telles que OneTrust sont conçues pour accompagner. 

Actions prioritaires pour les dirigeants

Agir maintenant ne signifie pas essayer de se mettre en conformité au règlement sur l’IA par anticipation, mais plutôt de construire les bonnes bases.

1. Intégrer la gouvernance de l’IA dans une gouvernance du risque plus large

L’IA ne doit pas rester cloisonnée. La gouvernance doit être connectée aux programmes existants de gestion des risques, de protection de la vie privée et de sécurité pour que les mesures de contrôle et les justifications soient partagées.

2. Associer le contrôle de l’IA à la protection de la vie privée, les données et la sécurité

De nombreuses obligations en matière d’IA reposent sur les mêmes mesures de contrôle sous-jacents que le RGPD et les cadres de référence de sécurité. L’harmonisation de ces efforts réduit les doublons et les lacunes.

3. Créer des processus reproductibles et vérifiables

L’un des échecs typiques de la gouvernance de l’IA est d’aborder chaque évaluation indépendamment des autres, ce qui ralentit les équipes et complique la démonstration d’une conformité cohérente et vérifiable dans le temps.

• Inventaire et classification de l’IA
  
• Évaluations des risques et de leur impact  
• Revue et validation
• Surveillance et réévaluation périodique

4. Se préparer aux audits et à l’évolution de la mise en application de la loi

Les régulateurs ne vont pas chercher à savoir si vous avez une politique, mais vous demanderont plutôt comment la gouvernance fonctionne concrètement dans votre organisation.

C’est là que les plateformes telles que OneTrust apportent une réelle valeur ajoutée en aidant les organisations à gérer leur gouvernance de l’IA, de la protection de la vie privée, des risques et des tiers au moyen de workflows connectés et de preuves partagées, plutôt qu’en s’appuyant sur une coordination manuelle.

Point stratégique clé

Le règlement de l’UE sur l’IA va continuer d’évoluer. Les lignes directrices vont mûrir, les normes vont être finalisées et les pratiques d’application de la loi vont prendre une forme plus claire au fil du temps. Cette période de transition ne sera pas un cas unique : c’est ainsi que la réglementation sur l’IA en Europe est susceptible de fonctionner à l’avenir.

Dans cet environnement, l’avantage est aux organisations capables de s’adapter sans avoir à reconstruire leurs programmes de gouvernance à chaque fois que les attentes changent. Les entreprises qui investissent dans une gouvernance unifiée sont mieux à même d’absorber les évolutions avec moins de perturbations, car le contrôle, les preuves et la responsabilité sont déjà connectées. En revanche, celles qui s’appuient sur des feuilles de calcul, des solutions ponctuelles et une coordination informelle ont souvent du mal à s’adapter à la convergence des exigences et à la compression des délais.

La véritable différence concurrentielle ne viendra pas uniquement de l’interprétation juridique.

Elle viendra de la préparation opérationnelle, c’est-à-dire de la capacité à démontrer, à tout moment, comment les systèmes d’IA sont gouvernés dans la pratique dans l’ensemble des équipes, des régions et des zones à risque.

Les plateformes comme OneTrust visent précisément à accompagner cette transition en aidant les organisations à opérationnaliser la gouvernance de l’IA dans le cadre d’un programme de gestion des risques et de conformité plus large et interconnecté.

Découvrez comment une approche de gouvernance unifiée peut aider votre organisation à se préparer au Règlement de l’UE sur l’IA et à s’adapter à l’évolution des exigences. Demandez une démo dès maintenant.

FAQ