Union européenne / Blogs / Perficient

L’intelligence artificielle (IA) est sur le point d’affecter tous les aspects de l’économie mondiale et de jouer un rôle important dans le système financier mondial, ce qui amène les régulateurs financiers du monde entier à prendre diverses mesures pour faire face à l’impact de l’IA dans leurs domaines de responsabilité. Les risques économiques de l’IA pour les systèmes financiers vont du potentiel de fraude des consommateurs et des institutions à la discrimination algorithmique et aux risques de cybersécurité liés à l’IA. Les impacts de l’IA sur les consommateurs, les banques, les institutions financières non bancaires et la stabilité du système financier sont autant de préoccupations qui doivent être étudiées et potentiellement traitées par les régulateurs.

L’objectif des consultants en services financiers de Perficient est d’aider les dirigeants de services financiers, qu’ils dirigent des banques, des succursales bancaires, des sociétés de portefeuille bancaires, des courtiers, des conseillers financiers, des compagnies d’assurance ou des sociétés de gestion d’investissement, à acquérir les connaissances nécessaires pour connaître l’état de la réglementation de l’IA. et le risque et la tendance réglementaire de la réglementation de l’IA, non seulement aux États-Unis, mais dans le monde entier, où leurs entreprises sont susceptibles d’avoir des opérations d’investissement et de commerce.

Règlements de l’UE

Les législateurs de l’Union européenne ont signé la loi sur l’intelligence artificielle (« IA ») en juin 2024. La loi sur l’IA, la première réglementation horizontale mondiale contraignante sur l’IA, établit un cadre commun pour l’utilisation et la fourniture de systèmes d’IA par les institutions financières de l’Union européenne.

La nouvelle loi propose une classification des systèmes d’IA avec différentes exigences et obligations adaptées à une « approche basée sur les risques ». À notre avis, le système basé sur le risque proposé sera très familier aux banquiers qui se souviennent du système initial de déploiement et de classification basé sur les actifs requis par les régulateurs dans les exigences initiales de fonds propres basées sur le risque de BÂLE du début des années 1990. Certains systèmes d’IA présentant des risques « inacceptables » sont carrément interdits quels que soient les contrôles. Un large éventail de systèmes d’IA « à haut risque » susceptibles d’avoir un impact négatif sur la santé, la sécurité ou sur les droits fondamentaux des personnes sont autorisés, mais soumis à un ensemble d’exigences et d’obligations pour accéder au marché de l’UE. Les systèmes d’IA présentant des risques limités en raison de leur manque de transparence seront soumis à des exigences d’information et de transparence, tandis que les systèmes d’IA présentant des « risques minimes » ne seront pas soumis à d’autres obligations.

Le règlement établit également des règles spécifiques pour les modèles d’IA à usage général (GPAI) et établit des exigences plus strictes pour les modèles GPAI dotés de « capacités à fort impact » qui pourraient présenter un risque systémique et avoir un impact significatif sur le marché de l’UE. La loi sur l’IA a été publiée au Journal officiel de l’UE le 12 juillet 2024 et est entrée en vigueur le 31 août 2024.

La loi de l’UE sur l’IA adopte une approche basée sur les risques et classe les systèmes d’IA en plusieurs catégories de risques, avec différents degrés de réglementation applicables.

Pratiques d’IA interdites

Le texte final interdit un éventail plus large de pratiques d’IA que celles initialement proposées par la Commission en raison de leur impact néfaste :

• Les systèmes d’IA utilisant des techniques subliminales, manipulatrices ou trompeuses pour déformer le comportement de personnes ou d’un groupe de personnes et entraver la prise de décision éclairée, entraînant des préjudices importants ;
• Les systèmes d’IA exploitant les vulnérabilités dues à l’âge, au handicap ou à la situation sociale ou économique, causant des dommages importants ;
• Systèmes de catégorisation biométrique déduisant la race, les opinions politiques, l’appartenance syndicale, les croyances religieuses ou philosophiques, la vie sexuelle ou l’orientation sexuelle ;
• Les systèmes d’IA évaluant ou classifiant des individus ou des groupes en fonction de leur comportement social ou de leurs caractéristiques personnelles, conduisant à un traitement préjudiciable ou disproportionné dans des contextes sans rapport ou injustifié ou disproportionné par rapport à leur comportement ;
• Des systèmes d’IA évaluant le risque que des individus commettent des infractions pénales sur la seule base du profilage ou des traits de personnalité ;
• Des systèmes d’IA créant ou élargissant des bases de données de reconnaissance faciale grâce à une extraction non ciblée d’Internet ou d’images de vidéosurveillance ; et
• Systèmes d’IA déduisant des émotions sur les lieux de travail ou dans les établissements d’enseignement.

Systèmes d’IA à haut risque

La loi sur l’IA identifie un certain nombre de cas d’utilisation dans lesquels les systèmes d’IA doivent être considérés comme à haut risque car ils peuvent potentiellement avoir un impact négatif sur la santé, la sécurité ou les droits fondamentaux des personnes.

• La classification des risques est basée sur l’objectif prévu du système d’IA. La fonction remplie par le système d’IA ainsi que l’objectif et les modalités spécifiques pour lesquels le système est utilisé sont essentiels pour déterminer si un système d’IA présente ou non un risque élevé. Les systèmes d’IA à haut risque peuvent être des composants de sécurité de produits couverts par le droit sectoriel de l’UE (par exemple les dispositifs médicaux) ou des systèmes d’IA qui, par principe, sont classés comme à haut risque lorsqu’ils sont utilisés dans des domaines spécifiques répertoriés dans une annexe.13 du règlement. La Commission est chargée de gérer une base de données de l’UE pour les systèmes d’IA à haut risque répertoriés dans la présente annexe.
• À la demande du Parlement, un nouveau test a été inscrit (« disposition de filtre »), selon lequel les systèmes d’IA ne seront pas considérés comme à haut risque s’ils ne présentent pas de risque significatif d’atteinte à la santé, à la sécurité ou aux droits fondamentaux des personnes physiques. Toutefois, un système d’IA sera toujours considéré comme à haut risque s’il effectue le profilage de personnes physiques.
• Les fournisseurs de ces systèmes d’IA à haut risque devront mettre en œuvre une procédure d’évaluation de la conformité avant que leurs produits puissent être vendus et utilisés dans l’UE. Ils devront se conformer à une série d’exigences, notamment en matière de tests, de formation sur les données et de cybersécurité, et, dans certains cas, devront mener une analyse d’impact sur les droits fondamentaux pour garantir que leurs systèmes sont conformes au droit de l’UE. L’évaluation de la conformité doit être réalisée soit sur la base d’un contrôle interne (auto-évaluation), soit avec la participation d’un organisme notifié (par exemple, biométrie). Le respect des normes européennes harmonisées à développer accordera aux fournisseurs de systèmes d’IA à haut risque une présomption de conformité. Une fois ces systèmes d’IA mis sur le marché, les fournisseurs doivent mettre en œuvre une surveillance post-commercialisation et prendre des mesures correctives si nécessaire.

Risque de transparence

Certains systèmes d’IA destinés à interagir avec des personnes physiques ou à générer du contenu peuvent présenter des risques spécifiques d’usurpation d’identité ou de tromperie, qu’ils soient ou non qualifiés de systèmes d’IA à haut risque. Ces systèmes sont soumis à des exigences d’information et de transparence. Les utilisateurs doivent être informés qu’ils interagissent avec des chatbots. Les développeurs de systèmes d’IA qui génèrent ou manipulent du contenu image, audio ou vidéo (c’est-à-dire des deep fakes) doivent divulguer que le contenu a été généré ou manipulé artificiellement, sauf dans des cas très limités (par exemple lorsqu’il est utilisé pour prévenir des infractions pénales). Les fournisseurs de systèmes d’IA qui génèrent de grandes quantités de contenu synthétique doivent mettre en œuvre des techniques et des méthodes suffisamment fiables, interopérables, efficaces et robustes (telles que des filigranes) pour permettre le marquage et la détection que le résultat a été généré ou manipulé par un système d’IA et non par un humain. . Les employeurs qui déploient des systèmes d’IA sur le lieu de travail doivent en informer les travailleurs et leurs représentants.

Risques minimes

Les systèmes présentant un risque minime pour les personnes (par exemple les filtres anti-spam) ne sont pas soumis à d’autres obligations que la législation actuellement applicable (par exemple le RGPD).

IA à usage général (GPAI)

Le règlement prévoit des règles spécifiques pour les modèles d’IA à usage général et pour les modèles d’IA à usage général qui présentent des risques systémiques.

Exigences de transparence du système GPAI

Tous les modèles GPAI devront rédiger et maintenir une documentation technique à jour et mettre les informations et la documentation à la disposition des fournisseurs de systèmes d’IA en aval. Tous les fournisseurs de modèles GPAI doivent mettre en œuvre une politique visant à respecter la législation européenne sur le droit d’auteur, notamment au moyen de technologies de pointe (par exemple le filigrane), afin de mettre en œuvre des exceptions légales à l’exploration de textes et de données, comme le prévoit la directive sur le droit d’auteur. En outre, les GPAI doivent rédiger et rendre public un résumé suffisamment détaillé du contenu utilisé dans la formation des modèles GPAI selon un modèle fourni par l’AI Office. Les institutions financières dont le siège est en dehors de l’UE devront désigner un représentant dans l’UE. Cependant, les modèles d’IA rendus accessibles sous une forme libre et gratuite seront exemptés de certaines obligations (c’est-à-dire la divulgation de la documentation technique) étant donné qu’ils ont, en principe, des effets positifs sur la recherche, l’innovation et la concurrence.

Obligations GPAI pour risques systémiques

Les modèles GPAI dotés de « capacités à fort impact » pourraient présenter un risque systémique et avoir un impact significatif en raison de leur portée et de leurs effets négatifs réels ou raisonnablement prévisibles (sur la santé publique, la sûreté, la sécurité publique, les droits fondamentaux ou la société dans son ensemble). ). Les fournisseurs GPAI doivent donc informer la Commission européenne si leur modèle est entraîné en utilisant une puissance de calcul totale supérieure à 10^25 FLOP (c’est-à-dire des opérations en virgule flottante par seconde). Lorsque ce seuil est atteint, la présomption sera que le modèle est un modèle GPAI présentant des risques systémiques. Outre les exigences en matière de transparence et de protection des droits d’auteur qui s’appliquent à tous les modèles GPAI, les fournisseurs de modèles GPAI à risque systémique sont tenus d’évaluer et d’atténuer en permanence les risques qu’ils posent et d’assurer la protection de la cybersécurité. Cela nécessite de suivre, de documenter et de signaler aux régulateurs les incidents graves et de mettre en œuvre des mesures correctives.

• Codes de bonnes pratiques et présomption de conformité

Les fournisseurs de modèles GPAI pourront s’appuyer sur des codes de bonnes pratiques pour démontrer le respect des obligations fixées par la loi. Au moyen d’actes d’exécution, la Commission peut décider d’approuver un code de bonnes pratiques et de lui donner une validité générale au sein de l’UE, ou bien de prévoir des règles communes pour la mise en œuvre des obligations pertinentes. Le respect d’une norme européenne confère aux prestataires GPAI la présomption de conformité. Les fournisseurs de modèles GPAI présentant des risques systémiques qui n’adhèrent pas à un code de bonnes pratiques approuvé seront tenus de démontrer des moyens alternatifs adéquats de conformité.