Intelligence artificielle

Le contexte

Le règlement européen sur l’intelligence artificielle (AI Act, ou RIA en français) est entré en vigueur le 1er août 2024, avec une application progressive jusqu’en 2027. Il s’agit du premier cadre juridique mondial sur l’IA, et il concerne toute organisation qui développe, met sur le marché, déploie ou utilise des systèmes d’intelligence artificielle dans l’Union européenne - quel que soit son secteur d’activité.

Pour le secteur financier, l’enjeu est particulièrement structurant. Banques et assureurs déploient déjà de nombreux systèmes IA dans des domaines à haut risque selon le règlement : scoring de crédit, tarification de l’assurance vie et santé, détection de fraude, lutte contre le blanchiment, gestion des sinistres, décisions automatisées en RH. Chacun de ces cas d’usage déclenche un ensemble d’obligations qu’il faut savoir identifier, qualifier et opérationnaliser.

Les questions auxquelles vous devez répondre

Quelle que soit votre maturité sur le sujet, l’AI Act impose à votre organisation de savoir répondre à plusieurs questions structurantes :

• Quels systèmes d’IA utilisez-vous aujourd’hui ? Et lesquels êtes-vous en train de développer ou d’acquérir ? L’inventaire est souvent plus délicat qu’il n’y paraît, notamment pour les modèles intégrés dans des solutions tierces.
• Quel est votre rôle pour chacun de ces systèmes ? Êtes-vous fournisseur, déployeur, importateur, distributeur ? Le règlement attribue des obligations différentes selon le rôle, et il est fréquent qu’une organisation soit fournisseur de certains systèmes et déployeur d’autres.
• À quel niveau de risque chaque système appartient-il ? Pratiques interdites, systèmes à haut risque, systèmes à risque limité, systèmes à risque minimal : la qualification détermine l’intensité des obligations applicables. Et certains systèmes à usage général (GPAI) suivent un régime spécifique.
• Quelles sont vos obligations concrètes ? Documentation technique, gestion des risques, qualité des données, surveillance humaine, transparence, robustesse, cybersécurité, déclaration de conformité, marquage CE, enregistrement dans la base européenne… La liste est longue et chaque obligation suit ses propres règles d’application.
• Comment articulez-vous l’AI Act avec votre dispositif RGPD existant ? La plupart des systèmes IA traitent des données personnelles et entrent dans le périmètre des deux réglementations. L’articulation des deux cadres soulève des questions méthodologiques et opérationnelles concrètes.

Au-delà de l’AI Act : les sujets connexes

L’AI Act n’est qu’un volet d’un ensemble plus large d’enjeux liés à l’IA en entreprise. Les organisations qui veulent construire un dispositif solide doivent aussi traiter :

• La gouvernance interne de l’IA : qui décide de lancer un projet IA ? qui valide sa mise en production ? qui pilote la conformité ? quels sont les comités impliqués ? Sans gouvernance claire, les obligations réglementaires restent théoriques.
• L’articulation avec le RGPD : bases légales, droits des personnes, profilage, décisions automatisées (article 22), analyses d’impact (AIPD), transferts de données, durées de conservation. Chaque cas d’usage IA nécessite une lecture croisée des deux règlements.
• Les biais et la qualité des données : un système IA n’est pas plus juste que les données sur lesquelles il a été entraîné. La conformité passe par une attention rigoureuse aux jeux de données, à leur représentativité et à leur qualité.
• L’acculturation des équipes : la conformité IA ne peut pas reposer uniquement sur la fonction conformité. Les équipes métier, les développeurs, les data scientists et les directions doivent partager un socle commun de compréhension du cadre réglementaire et de ses implications opérationnelles.
• La veille réglementaire continue : les lignes directrices, normes harmonisées, codes de bonne pratique et décisions des autorités de surveillance vont évoluer en permanence dans les prochaines années. Un dispositif AI Act statique sera vite obsolète.

Comment je peux vous accompagner

J’interviens à toutes les étapes de la mise en conformité AI Act, en m’adaptant à votre niveau de maturité actuel :

Cadrage et diagnostic. Inventaire de vos systèmes IA, qualification au regard du règlement, identification des obligations applicables, analyse des écarts par rapport à votre dispositif existant, priorisation des chantiers.

Mise en conformité opérationnelle. Construction des dispositifs documentaires (politique IA, registre des systèmes, documentation technique, procédures de surveillance humaine), définition des processus d’évaluation des nouveaux cas d’usage, articulation avec le dispositif RGPD existant.

Gouvernance et acculturation. Définition des rôles et responsabilités au sein de votre organisation, structuration des comités de gouvernance IA, formation et sensibilisation des équipes conformité, métier et techniques.

Veille et accompagnement continu. Suivi des évolutions réglementaires, des lignes directrices européennes et des décisions des autorités, adaptation de votre dispositif aux nouvelles exigences.

Mon approche combine rigueur réglementaire et compréhension technique. Cette double compétence est précieuse sur l’AI Act, parce que les exigences du règlement ne se traduisent pas seulement en procédures juridiques, mais aussi en spécifications techniques que les équipes de développement doivent comprendre et implémenter.