Le règlement de l'UE sur l'IA: obligations pour les entreprises

A partir du 02 février 2025, les entreprises allemandes devront se conformer aux règles générales et aux interdictions de l'AI Act si elles utilisent des systèmes d'IA tels que ChatGPT, Copilot ou le filtre anti-spam d'Outlook. Cela inclut une preuve de compétence en matière d'IA et une évaluation des risques de l'IA utilisée. Un aperçu avec des recommandations.

Introduction

Les entreprises allemandes devront faire quelque chose à partir du 02 février 2025 si elles utilisent l'IA:

Dans l'article 113 de la Règlement AI, il est réglementé que certaines dispositions de ce règlement entrent en vigueur à partir du 02 février 2025. Le règlement AI est abrégé en AI-VO et désigné par AI Act en anglais.

Les articles 1 à 4 du Règlement AI constituent le premier chapitre. Là-dedans sont dispositions générales fixées.

L'article 5 du Règlement sur l'intelligence artificielle établit le chapitre II et contient Interdictions.

A partir du 02.02.2025, les entreprises allemandes devront donc respecter des règles et des interdictions générales si des systèmes d'IA sont utilisés dans l'entreprise. L'utilisation de ChatGPT, Copilot ou de systèmes d'IA d'autres fournisseurs constitue déjà une utilisation pertinente au sens du règlement sur l'IA.

Conformément à l'article 113, litt. a de la LOKI, les règles générales (articles 1 à 4) et les interdictions (article 5) de la LOKI sont applicables à partir du 2 février 2025.

Quand les obligations s'appliquent-elles ?

A partir du 02.08.2025, d'autres dispositions du règlement sur l'IA entreront en vigueur, notamment en ce qui concerne les modèles d'IA à usage général. Ces derniers sont des systèmes d'IA bien connus tels que ChatGPT, Microsoft Copilot ou les modèles d'IA de Mistral.

Si l'on ajoute le considérant 12 du règlement sur l'IA comme critère, les systèmes logiciels qui utilisent l'IA doivent également être considérés comme des systèmes d'IA. Les moteurs de recherche qui génèrent des recommandations sur la base de l'IA ou les filtres anti-spam basés sur l'IA en sont des exemples. En ce qui concerne les filtres anti-spam, l'effort de formation devrait être minime, mais les employés devraient au moins être informés. Quant aux grands moteurs de recherche, ils sont couverts par un autre règlement, à savoir le règlement sur les services numériques, conformément au considérant 118 du règlement sur l'IA.

Quelles sont les obligations applicables à partir du 02.02.2025 ?

Les obligations découlent des articles 4 et 5 du règlement IC. L'article 3 contient d'importantes définitions de termes. Les deux premiers articles contiennent des informations sur le champ d'application et l'objet du règlement.

Preuve de la compétence en IA

L'article 4 du règlement sur l'IA traite exclusivement de la preuve des compétences en matière d'IA. Cela signifie que toute entreprise dont les collaborateurs doivent travailler avec des systèmes d'IA doit apporter cette preuve.

Les collaborateurs doivent être formés en conséquence par l'entreprise. Cela implique également une formation. La manière dont une entreprise apporte la preuve de ses compétences en matière d'IA n'est pas prescrite. Il existe donc de bonnes possibilités de le faire de manière judicieuse et efficace.

Un exemple de la preuve de compétence en IA est mentionné dans le Dr. RGPD. La preuve consiste en:

• Compétence technique
• Compétence professionnelle

La compétence technique devrait au moins être présente et rendue plausible si des systèmes d'IA sont proposés ou si une programmation d'IA a lieu. Cette dernière peut déjà être assurée par l'utilisation d'une interface de programmation (API), comme celle proposée par ChatGPT.

Classification des systèmes d'IA utilisés

L'article 5 du règlement sur l'IA contient de nombreuses interdictions, c'est-à-dire des objectifs pour lesquels les systèmes d'IA peuvent ou ne peuvent pas être utilisés. Par exemple, il est interdit d'influencer des personnes de manière subliminale par le biais de l'IA. Il est également interdit d'évaluer ou de classer des personnes physiques ou des groupes de personnes sur une période donnée sur la base de leur comportement social. L'article 5 contient de nombreuses autres interdictions.

Afin d'exclure les objectifs interdits pour un système d'IA utilisé, le système d'IA doit être examiné et décrit. Ensuite, il est possible de procéder à une classification et à un contrôle par rapport aux dispositions du règlement sur l'IA.

De plus, il peut être déterminé si une entreprise n'est qu'exploitant d'un système de IA ou bien fournisseur. Fournisseurs de systèmes de IA doivent remplir beaucoup plus d'obligations que les exploitants.

Recommandations

Dans leur propre intérêt, les entreprises devraient déjà former leurs collaborateurs à l'utilisation des systèmes d'IA et leur donner des instructions. La manière de procéder est laissée à l'appréciation des entreprises.

Une Instruction est une formation des employés. Elle peut se faire par écrit ou sous forme de formation personnelle ou numérique Formation. L'acclimatation a pour but d'équiper les employés. Finalement, l'intelligence artificielle (IA) est un moyen pour les entreprises. Dans la mesure du possible, il faut s'assurer que les systèmes IA génèrent un avantage pour l'entreprise.

Une instruction est plutôt une mesure réglementaire. Elle a pour but de guider les employés dans leur travail avec des systèmes d'intelligence artificielle sur des voies ordonnées. Car, il ne s'agit pas de toutes les utilisations de l'intelligence artificielle qui sont souhaitables ou sensées.

Pour une initiation, il est recommandé de fournir des informations générales, enrichies d'informations ciblées. Concrètement, cela signifie:

• formation du personnel sur place, soit dans vos locaux, soit dans un centre de formation
• Une formation initiale peut également être dispensée en ligne, par exemple sous la forme d'un webinaire
• Création d'un guide qui peut faire partie d'une directive sur l'intelligence artificielle. Le guide est destiné à soutenir les employés. Il peut également être vivant, c'est-à-dire régulièrement mis à jour. Par conséquent, il convient de réfléchir à l'utilisation d'un outil en ligne.

Les instructions relatives au travail des employés avec l'IA dans l'entreprise comprennent notamment:

• Normes relatives à l'utilisation professionnelle autorisée de l'IA
• Règles relatives à l'utilisation professionnelle non autorisée de l'IA
• les personnes de contact (comme le délégué à la protection des données)
• L'instruction peut également faire partie d'une instruction de gestion des systèmes d'intelligence artificielle

Une instruction d'organisation de l'IC en tant que document global contient donc

• informations pour l'orientation des employés et
• Informations pour l'instruction des collaborateurs.

Types d'utilisation de l'IA

Les systèmes d'IA peuvent être utilisés pour différentes tâches. En outre, il existe différents systèmes d'IA, comme différents types de modèles d'IA. Les plus connus sont les modèles vocaux ("chatbots"). Il existe également des générateurs d'images, des générateurs de vidéos, des modèles audio, etc.

Les entreprises devraient définir à quelles fins les collaborateurs peuvent utiliser tel ou tel système d'IA.

Il est notamment important de comprendre que tous les résultats générés par l'IA doivent être vérifiés avant d'être réutilisés. En effet, ce n'est pas le système d'IA, mais l'utilisateur des résultats de l'IA qui est responsable (initialement et souvent finalement) des résultats de l'IA.

Les éditions AI peuvent violenter les droits d'auteur de tiers. Cela vaut pour les images comme pour tout autre type de support, tels que des textes ou des fichiers audio. Il ne faut donc pas permettre à des employés d'utiliser librement des images générées par la AI. Réglementez cela dans votre guide d'utilisation de la AI !

Les contenus générés par l'intelligence artificielle ne jouissent actuellement pas de protection des droits d'auteur. L'IA ne peut donc pas être considérée comme auteur. Si vous avez créé un superbe logo ou un superbe texte avec l'IA, assurez-vous que l'image ou le texte concernés ont été manuellement retouchés. Ainsi, vous pourrez ultérieurement faire valoir votre droit d'auteur et empêcher quiconque de reproduire votre œuvre sans votre accord.

Protection et sécurité des données

Les systèmes d'IA traitent plus de données que tous les autres types de systèmes informatiques courants.

C'est pourquoi il est important que le fournisseur jouisse de la confiance de l'utilisateur de l'IA (votre entreprise ?). Le pays du siège social fait également partie du fournisseur. On sait que les États-Unis disposent de nombreuses lois sur les services secrets qui permettent d'espionner les étrangers, mais aussi les nationaux. On peut notamment citer le Cloud Act, les décrets présidentiels 12333 et 14086 et la section 702 de la FISA.

Parmi les données sensibles dans les entreprises, on trouve notamment:

• Secrets commerciaux: les entreprises peuvent faire ce qu'elles veulent avec eux. Qu'il soit sensé de dévaluer des secrets en les partageant, c'est une décision à prendre par chaque entreprise.
• Données confidentielles: Ces données ont été déclarées subjectivement comme confidentielles, par exemple sur une entente de confidentialité (NDA). Le partenaire contractuel peut faire valoir des mesures juridiques si ses données sont transmises à des tiers (ChatGPT?).
• Données personnelles: Si une traitements de données ne sont pas justifiés par l'article 6 (1) RGPD , les personnes concernées peuvent engager des procédures juridiques. ([1])

Pour les données personnelles, il faut en outre satisfaire aux obligations d'information prévues par l'article 12 du RGPD . Il devrait donc être connu exactement ce qui se passe dans un système de IA utilisé. C'est le mieux si le système de IA est autonom et géré en interne. ([1])

Preuve de la compétence en IA

La preuve doit être apportée sous une forme adaptée à la forme de l'IA exploitée ou proposée.

Lorsqu'une intelligence artificielle est proposée sur un site web, le démonstration devrait se faire là même, c'est-à-dire sur le site web.

Si l'accès à un chatbot est mis à la disposition des collaborateurs via l'Intranet, il convient d'informer les collaborateurs à cet endroit ou, en plus, par le biais d'une circulaire.

Le contenu de la preuve démontre la compétence de l'entreprise ou de ses collaborateurs en matière d'IA. Il s'agit de rendre cette compétence plausible. Un IA Officer n'est en tout cas pas obligatoire. Avoir une personne qui se consacre au thème important de l'IA dans les entreprises d'une certaine taille n'est certainement pas une mauvaise chose.

Évaluation des risques des systèmes d'IA

Une évaluation des risques devrait être effectuée pour chaque système ou outil d'IA utilisé dans votre entreprise.

Plus l'outil d'IA utilisé est général, plus il est difficile d'évaluer les risques. Comme on le sait, ChatGPT permet également de créer des instructions pour la fabrication de bombes (avec un peu d'effort au niveau du prompt). D'autre part, la question se pose de savoir quel est l'intérêt d'un système d'IA sans objectif concret pour votre entreprise. Pour ces deux raisons, l'utilisation de systèmes d'IA ne devrait être autorisée dans votre entreprise que pour des objectifs concrets et utiles. Ce qui peut être fait avec un moteur de recherche ne doit pas être réalisé avec un chatbot.

L'IA dite à haut risque ne devrait pas être utilisée. Les personnes qui envisagent de le faire ont besoin de conseils plus approfondis, qui vont bien au-delà des conseils écrits.

Limitation des risques

Les entreprises sont responsables vis-à-vis de l'extérieur (initialement et souvent définitivement) du comportement de leurs employés pour l'entreprise.

Une entreprise devrait donc avoir un intérêt propre à ce que les employés ne utilisent pas librement les systèmes de IA mis à leur disposition. Dans le cas de ChatGPT ou d'autres systèmes d'IA généraux, cela peut se faire en permettant aux employés de communiquer avec le chatbot via une Page d'accueil. Le direct accès à ChatGPT par l'interface de chat propre à ChatGPT ne fournit aucune contrôle pour l'entreprise.

Une telle page en amont reçoit les demandes des collaborateurs à l'IA et les transmet en arrière-plan à l'IA. La réponse de l'IA est renvoyée à l'employé par le chemin inverse.

Un effet secondaire positif est la possibilité de contrôler les coûts et l'intensité d'utilisation. De même, certaines demandes peuvent être bloquées. Pour certaines demandes adressées à l'IA, il serait peut-être judicieux de renvoyer directement à un document interne à l'entreprise, au lieu de laisser ChatGPT donner la réponse à partir de la connaissance du monde.

Résumé

Le règlement sur l'IA introduit des obligations modérées pour les entreprises, dans la mesure où elles ne sont que des exploitants de systèmes d'IA ou des fournisseurs de systèmes d'IA non dangereux.

Ces obligations requièrent toutefois un effort qui devrait être fourni dans son propre intérêt.

Plus tôt les activités visant à habiliter et à instruire les collaborateurs de l'entreprise seront entamées, plus vite on atteindra un niveau solide et pratique. Le premier jet aura pour principal objectif de limiter la responsabilité de l'entreprise en demandant aux collaborateurs de ne pas développer d'activités avec l'IA qui soient dangereuses pour l'entreprise.

Lorsque les entreprises veulent utiliser des systèmes de AI générale comme ChatGPT ou Copilot, elles devraient également réfléchir à l'intérêt de ces systèmes. En particulier Copilot se distingue par une qualité médiocre. ChatGPT est un système universel qui ne connaît pas le vocabulaire d'une entreprise et n'a pas été optimisé pour des cas d'application concrets.

La clarification de ces questions peut très bien se faire lors de l'élaboration d'une instruction d'organisation de l'IA, qui peut également désigner les systèmes d'IA validés.