Accueil Cybersécurité Comment appliquer l’IA Act ? Le dossier pratique de la rédaction

Comment appliquer l’IA Act ? Le dossier pratique de la rédaction

IA ACT un changement majeur
IA ACT un changement majeur

L’entrée en usage de l’IA Act est un tournant majeur pour la régulation de l’intelligence artificielle en Europe. Adopté en juin 2024, ce règlement entre en  vigueur dès le 2 février 2025 pour les IA interdites et pour la mise en place de mesures de formation des collaborateurs chargés de leur création ou développement.

Pour accompagner les organisations dans leur mise en conformité, la rédaction a élaboré un dossier pratique regroupant différents articles et documents essentiels. Ce dossier vise à aider les organisations à mieux comprendre les obligations légales et à fournir des outils concrets pour faciliter la mise en œuvre des nombreuses actions nécessaires.

Êtes-vous concerné par l’IA Act ?

La première étape consiste à vérifier si votre organisation est soumise aux dispositions du règlement. Pour cela, un test interactif basé sur les recommandations du site Artificial Intelligence est disponible ici :
Êtes-vous soumis à l’IA Act ? Faites le test !

Comprendre les règles et obligations

L’IA Act repose sur une évaluation des risques et la promotion d’une IA éthique et responsable. Les catégories de risques définies par le règlement sont les suivantes :

  • Risques inacceptables : systèmes interdits.
  • Risques élevés : exigences strictes en matière de conformité.
  • Risques limités : obligations minimales en matière de transparence.
  • Risques minimaux : aucune exigence spécifique.

Pour approfondir ces notions, consultez :
L’IA Act est publié au journal officiel de l’Union Européenne
Zoom sur l’IA Act, bientôt adopté
Le texte officiel de l’IA Act sur EUR-Lex

Coûts estimés pour la mise en conformité

La mise en conformité à l’IA Act engendre des coûts variables selon la complexité des systèmes d’IA et la taille de l’organisation. Voici un résumé des principaux coûts identifiés par la Commission européenne :

Coût de mise en conformité par unité d’IA (basé sur un coût moyen de développement de 170 000 €) :

    • Données d’entraînement : 2 763 €
    • Tenue de dossiers : 4 390 €
    • Transmission d’informations : 3 627 €
    • Supervision humaine : 7 764 €
    • Robustesse et précision : 10 733 €

Coût annuel total moyen pour un produit d’IA : 29 277 € (incluant achats externes, personnel supplémentaire et maintenance).

Certification et gestion de la qualité :

    • Certification d’une unité d’IA : 16 800 à 23 000 €
    • Mise en place d’un système de gestion de la qualité (SGQ) : 193 000 à 330 000 € (coût initial) et 71 400 € (frais annuels de maintenance).

Une réduction des coûts de 36 % est estimée grâce à l’effet d’apprentissage et aux ajustements des processus.

Impact global pour l’industrie mondiale de l’IA :
Le coût total de mise en conformité est estimé entre 1,6 et 3,3 milliards d’euros en 2025, en supposant que 10 % des unités d’IA seront soumises aux exigences réglementaires.

Sanctions prévues par l’IA Act

Le non-respect des dispositions de l’IA Act peut entraîner des sanctions financières importantes :

  • Amendes allant de 1 % à 7 % du chiffre d’affaires annuel mondial de l’entreprise.
  • Seuils fixes variant de 7,5 à 35 millions d’euros, selon la gravité de la non-conformité.

Le niveau des sanctions dépend :

  1. De la nature de la non-conformité (non-respect des usages interdits, manquement aux exigences pour les applications à haut risque, ou non-conformité aux exigences de transparence).
  2. De la catégorie et de la taille de l’entreprise.

Pour accompagner les organisations dans la mise en conformité avec l’IA Act, le Cigref propose un guide détaillé pour initier la démarche :
Comment passer à l’IA Act ? Le guide du Cigref

RGPD et IA

Le Règlement Général sur la Protection des Données (RGPD) et l’IA Act sont étroitement liés, notamment en ce qui concerne l’utilisation de données personnelles dans les modèles d’IA.
À ce titre, le Comité Européen de la Protection des Données (CEPD) a publié un avis sur le fondement de l’intérêt légitime pour utiliser les données personnelles :
L’utilisation des données à caractère personnel dans des modèles d’IA

Le CEPD met également à disposition des outils pour aider les organisations à respecter les principes du RGPD dans leurs systèmes d’IA :

La CNIL propose plusieurs ressources pratiques pour aider les entreprises à se conformer à l’IA Act :

Enfin, la sécurité des systèmes d’IA générative est essentielle pour garantir leur fiabilité et éviter des vulnérabilités.
L’ANSSI propose des recommandations de sécurité à suivre impérativement pour réduire les risques :
Recommandations de sécurité pour un système d’IA générative (ANSSI)