RGPD et IA : Que va changer l’IA ACT ?

Actualité Cybersécurité

Face au développement rapide des applications d’intelligence artificielle, l’Union Européenne a décidé de mettre en place une nouvelle législation, qui va compléter le RGPD. L’objectif : favoriser l’usage éthique de l’intelligence artificielle pour renforcer la protection des données personnelles. La mise en conformité des entreprises est cruciale, surtout si le niveau de risque associé à l’IA est élevé. 

Découvrez ce qu’est l’IA Act et ce qu’il va changer pour vous.

RGPD et IA : Que va changer l'IA ACT ?

L'intelligence artificielle et son développement dans le monde

L’Intelligence Artificielle (IA) est devenue une composante majeure de l’innovation numérique. Son utilisation touche tous les secteurs d’activité : la santé, la finance, les assurances, l’industrie, l’administration publique… D’après Statista, le marché mondial de l’intelligence artificielle est évalué à 327 milliards de dollars. 

L’adoption de l’IA par les entreprises a plus que doublé depuis 2017 (source : McKinsey). D’après Hubspot, 71 % des salariés estiment que d’ici 2024, la plupart des professionnels utiliseront au moins une forme d’intelligence artificielle. 60 % des professionnels seraient d’ailleurs inquiets à l’idée que l’IA remplace leur poste.

La progression exponentielle de l’IA nous incite à se poser des questions, notamment concernant les risques de l’IA et son impact sur nos données personnelles

Voir aussi notre article sur la relation entre l’IA et le Cloud Computing et sur les avantages, pour les entreprises, du développement de ce modèle numérique.

Qu'est-ce que le RGPD ?

En Europe, la protection des données personnelles est régulée par le Règlement Général sur la Protection des Données (RGPD), depuis son entrée en vigueur le 1er mai 2018. 

Le RGPD a fait de l’Europe un acteur majeur de la protection de la vie privée numérique. Ce règlement définit les obligations des entreprises en matière de collecte, de traitement et de stockage des données à caractère personnel. Les organisations sont tenues de garantir la transparence du traitement des données à caractère privé et d’obtenir le consentement explicite des personnes concernées. En outre, le traitement des données est limité aux finalités précises pour lesquelles elles ont été collectées. 

Les enjeux de l'IA en matière de protection des données

Dans un contexte de progression importante de l’IA, le cadre législatif posé par le RGPD doit être repensé et affiné. 

En effet, l’IA dépend des données pour apprendre et améliorer la précision de ses résultats. Ce sont les données qui nourrissent l’algorithme. Or, la législation européenne actuelle nous dit de réduire la collecte et le traitement des données à leur strict minimum. L’apprentissage des applications d’IA par le biais d’un grand nombre de données pose des questions sur l’usage et la finalité des données collectées, mais aussi sur la sécurité des données. 

Pour répondre à ces défis, l’Union Européenne a proposé un nouveau cadre législatif : l’IA Act

Qu'est-ce que l'IA Act ?

Approuvé par les états membres de l’UE le 2 février 2024, l’IA Act vient compléter le RGPD. C’est en quelques sortes le “RGPD des modèles d’Intelligence Artificielle”. Pour le moment, il s’agit d’un projet pour un futur cadre réglementaire.  L’objectif de cette nouvelle régulation sera d’encadrer l’usage de l’IA en Europe pour la “rendre plus sûre et respectueuse des droits fondamentaux de l’UE”. 

L’IA Act cherche à encourager le développement éthique et sécurisé de l’IA au niveau européen. Ce cadre légal va classifier les différents modèles d’IA en fonction de leur niveau de risque. Un faible ou un haut risque déterminera les mesures à mettre en place. 

Les différents niveaux de risques définis par l'IA Act

L’IA Act classe les systèmes d’intelligence artificielle en 4 niveaux de risque : inacceptable, élevé, limité et minime. La régulation se concentrera d’abord sur les systèmes d’IA présentant un risque inacceptable ou élevé. 

Les systèmes d’IA à risque inacceptable sont rares mais l’IA Act souhaite les interdire. Ce sont des systèmes qui peuvent porter atteinte aux droits fondamentaux et vont donc à l’encontre des valeurs européennes. Par exemple, le social scoring ou l’identification biométrique dans des lieux publics sont des systèmes d’IA inacceptables.

Les systèmes d’IA à risque élevé sont ceux qui sont utilisés dans des domaines sensibles, comme les ressources humaines, l’éducation, les infrastructures critiques… Les obligations de conformité et de transparence sont renforcées et visent à atténuer le risque présenté par ces systèmes.

Les systèmes d’IA à risque limité, comme les chatbots ou les systèmes de catégorisation biométrique, devront également assurer la transparence de leur gestion des données. 

Enfin, les systèmes d’IA qui présentent un risque minime, voire aucun risque, ne sont pas concernées par le nouveau cadre légal posé par l’IA Act. Toutefois, ils doivent continuer à respecter les exigences légales actuelles en matière de collecte et d’utilisation des données personnelles. 

Que va changer l'IA Act pour les entreprises ?

La plupart des applications d’IA utilisées en entreprise sont considérées comme à risque minime. L’IA Act ne va donc globalement pas changer grand chose, sauf dans les secteurs à risque comme la finance, la banque ou l’assurance. Les entreprises devront néanmoins cartographier et classer les modèles d’intelligence artificielle selon le niveau de risque. En cas de risque élevé, des mesures sont à prendre pour se mettre en conformité. Le non-respect de la régulation pourra avoir de graves conséquences, notamment financières mais aussi juridiques, pour les entreprises. 

NOS ACTUALITÉS