Le projet de loi de l’UE sur l’IA adopte une approche de précaution et basée sur les risques en matière d’IA et, pour ce faire, a défini quatre catégories de risques différentes dans lesquelles les systèmes d’IA peuvent être classés. Ces catégories de risque sont conçues pour protéger la santé, la sécurité et les droits humains fondamentaux des personnes entrant en contact avec les systèmes d’IA.
Les systèmes conçus comme étant à haut risque ne sont pas interdits d’utilisation, mais ils doivent satisfaire à davantage d’exigences avant de pouvoir être déployés auprès du public, et l’une de ces exigences est de faire l’objet d’une évaluation de conformité (ou CA).
Qu’est-ce qu’une évaluation de conformité ?
L’article 3 du projet de loi sur l’IA définit les évaluations de conformité comme le processus consistant à vérifier et/ou démontrer qu’un système à haut risque est conforme à certaines exigences énoncées dans la loi. Ces exigences sont les suivantes :
- Système de gestion des risques
- Gouvernance des données
- Documentation technique
- Tenue de registres
- Transparence et fourniture d’informations
- Surveillance humaine
- Précision, robustesse et cybersécurité
Les fournisseurs de systèmes d’IA à haut risque doivent répondre à ces exigences avant que leur système puisse être mis sur le marché, protégeant ainsi les individus des dommages potentiels posés par un système à haut risque. Les autorités de certification sont des outils clés en matière de responsabilisation des systèmes à haut risque. Comprendre comment et où ils fonctionnent sera donc également essentiel à votre programme de gouvernance de l’IA.
Dois-je procéder à une évaluation de la conformité ?
La nécessité ou non de réaliser une CA dépend des réponses à plusieurs questions. Voici comment déterminer si vous devez réellement effectuer une CA :
Premièrement, relevez-vous de la compétence de la loi sur l’IA ? Et le système que vous espérez utiliser est-il réellement considéré comme un système d’IA au sens de l’article 3(1) de la loi ? Si ce n’est pas le cas, vous avez terminé – vous n’avez pas besoin de procéder à une CA. Idem si votre système n’est pas considéré comme un système à haut risque ; seuls les systèmes classés comme à haut risque par la loi de l’UE sur l’IA doivent faire l’objet d’une évaluation de la conformité.
L’autre facteur déterminant est votre rôle dans le système. Si vous êtes le fournisseur du système ou un acteur responsable, vous êtes alors responsable de la conduite de l’AC. Habituellement, le prestataire et l’acteur responsable sont la même partie, mais il existe certaines exceptions où l’acteur responsable est quelqu’un d’autre.
Les acteurs responsables peuvent être un distributeur, un importateur, un déployeur ou tout autre tiers qui utilise l’IA sous son nom ou sa marque. Les exigences légales exactes indiquant si ou quand une personne autre que le fournisseur serait tenue d’effectuer l’AC n’ont pas encore été définies.
Quand dois-je effectuer une évaluation de la conformité ?
Une fois que vous avez déterminé qu’une autorité de certification est requise, la question est de savoir quand. Il existe un calendrier précis pour déterminer à quel moment les évaluations de conformité doivent être effectuées :
Ex ante (avant l’événement) : l’AC doit être réalisée avant que le système d’IA ne soit mis sur le marché de l’UE, c’est-à-dire avant de le rendre disponible pour un usage public.
Ex post (après l’événement) : après la mise sur le marché d’un système à haut risque, une nouvelle autorité de certification est requise lorsque/si le système subit des modifications substantielles. Il convient de noter que cela ne signifie pas que le système continue d’apprendre (comme le font les modèles) après avoir été mis sur le marché ; il fait plutôt référence à tout changement qui affecterait de manière significative la conformité du système aux exigences mesurées par l’AC.
Qui effectue réellement les évaluations de conformité ?
Les évaluations de conformité peuvent être réalisées de deux manières : soit en interne, soit par un processus tiers. Comme leur nom l’indique, les AC internes sont menées par le fournisseur (ou l’acteur responsable) tandis que les AC tierces sont menées par un « organisme notifié » externe.
L’article 43 de la loi sur l’IA fournit des orientations plus explicites sur les cas qui nécessitent une AC interne et ceux qui doivent passer par une procédure tierce.
Mettre en pratique la conformité aux exigences des systèmes à haut risque
Comme mentionné précédemment, les autorités de certification visent à vérifier que les systèmes à haut risque respectent les sept exigences (gestion des risques, gouvernance des données, documentation technique, tenue de registres, obligations de transparence, surveillance humaine, exactitude, robustesse et cybersécurité) énoncées dans l’IA Act.
Sauf indication contraire, toutes ces exigences doivent être remplies avant que le système d’IA ne soit mis en service ou n’entre sur le marché. Une fois le système utilisé, le fournisseur doit également assurer une conformité continue tout au long du cycle de vie du système.
Lors de l’évaluation de ces exigences, la finalité de l’utilisation du système doit être prise en compte, tout comme l’utilisation abusive raisonnablement prévisible de ce système.
