Étude sur la législation de l’IA de l’UE : délais imminents pour les entreprises britanniques
La loi sur l’IA de l’UE, première réglementation mondiale complète et basée sur les risques concernant l’intelligence artificielle, est entrée en vigueur en août 2024. Son application se fera en plusieurs phases, la première ayant débuté en février 2025. Avec une pleine application prévue pour août 2026, le compte à rebours a commencé pour les entreprises britanniques vendant des systèmes d’IA ou des produits dotés d’IA sur le marché de l’UE.
Applicabilité de la loi
Cette loi s’applique à toute organisation vendant des systèmes d’IA sur le marché de l’UE. Cela signifie que les entreprises britanniques ont peu de temps pour réviser leur gouvernance, leur documentation et leur supervision des modèles, sous peine de sanctions pouvant atteindre 7 % du chiffre d’affaires mondial ou 35 millions d’euros, selon le montant le plus élevé.
Dates clés de mise en conformité
Les régulations ont commencé à être mises en œuvre en février 2025 et continueront jusqu’en août 2026. Cependant, certains systèmes à haut risque ont jusqu’à août 2027 pour effectuer la transition complète requise par la législation. Voici les principales dates de mise en œuvre de la loi sur l’IA :
- 2 février 2025 : Interdiction des systèmes d’IA présentant des risques inacceptables, tels que le policing prédictif basé sur des caractéristiques protégées.
- 2 août 2025 : Obligations pour les modèles d’IA à usage général commencent. Les développeurs de modèles doivent publier documentation technique, résumés de données d’entraînement, cartes de modèles et plans de mitigation des risques systémiques.
- 2 août 2026 : Les fournisseurs de systèmes d’IA à haut risque doivent avoir établi des systèmes de gestion de la qualité, des structures de supervision humaine et un suivi post-commercialisation.
- 2 août 2026 : La conformité totale pour l’IA à haut risque devient obligatoire, incluant évaluations de conformité, certifications de normes et rapports d’incidents.
- 2 août 2027 : Fin des arrangements de transition pour certains systèmes d’IA à haut risque intégrés.
Qui est concerné par la loi sur l’IA de l’UE ?
Les entreprises britanniques pourraient sous-estimer leur exposition aux exigences légales et opérationnelles de la loi. Celle-ci s’applique à tout fournisseur, déployeur, importateur ou distributeur de systèmes d’IA sur le marché de l’UE. Les entreprises opérant dans des secteurs à haut risque, tels que le scoring de crédit, l’embauche, la gestion des travailleurs, l’éducation, la santé, et l’infrastructure critique, doivent être particulièrement attentives à leurs obligations.
Documentation requise par la loi sur l’IA
La préparation pour la loi nécessite un niveau de documentation et de transparence que de nombreuses organisations britanniques n’ont jamais formalisé. Les fournisseurs à haut risque devront respecter des normes de tenue de dossiers et de gouvernance exigeantes. Voici les principales exigences que les dirigeants britanniques doivent préparer dès maintenant :
- Documentation technique : Détails de l’utilisation prévue, spécifications du modèle, métriques de performance et mesures de mitigation des risques.
- Documentation de gouvernance des données : Preuves montrant la qualité des données, leur représentativité et leur conformité aux droits.
- Plans de supervision humaine : Instructions précises sur quand et comment l’intervention humaine est requise.
- Preuves de cybersécurité et de résilience : Résultats des tests de sécurité et procédures de gestion des vulnérabilités.
- Systèmes de suivi post-commercialisation : Processus structurés pour suivre les performances réelles des modèles et signaler les risques sérieux aux autorités de l’UE.
Vulnérabilités des entreprises britanniques
Outre les amendes, les entreprises britanniques pourraient faire face à des perturbations opérationnelles si elles ne respectent pas la réglementation. Les systèmes à haut risque mal documentés ou testés pourraient échouer aux évaluations de conformité, entraînant des lancements retardés ou des obstacles à la vente dans l’UE. Les entreprises incapables de démontrer la qualité des données ou la traçabilité pourraient faire l’objet d’actions correctives obligatoires de la part des régulateurs.
Étapes suivantes pour les dirigeants d’entreprises britanniques
Les dirigeants britanniques doivent prioriser le travail de conformité avant que les délais ne convergent. La première étape consiste à cartographier tous les systèmes d’IA liés au marché de l’UE. La documentation doit commencer tôt, car la production de dossiers techniques, d’évaluations des risques et de plans de supervision humaine peut prendre des mois. Les organisations qui commencent dès maintenant seront mieux positionnées pour respecter les délais sans perturber le développement de produits ou les engagements envers les clients.