Dire que l’intelligence artificielle (IA) se développe relèverait de l’euphémisme. Alors que se tenait il y a quelques jours le sommet de l’IA à Paris, les annonces se sont succédées : un plan d’investissement massif de 109 milliards d’euros en France pour le développement de data centers et d’un campus dédié à l’IA, ainsi qu’une déclaration commune signée par plusieurs pays, dont la France, la Chine et l’Inde, en faveur d’une IA ‘ouverte’, ‘inclusive’ et ‘éthique’, accompagnée d’une coordination renforcée de sa gouvernance.
Parallèlement, le calendrier d’application de l’AI Act ou Règlement sur l’Intelligence Artificielle (RIA) progresse, renforçant les obligations des entreprises, en particulier pour les systèmes d’IA à haut risque (SIAHR).
mydari revient dans cet article sur les obligations de l’article 10 du RIA, qui impose aux fournisseurs l’utilisation de données de haute qualité et précise les conditions dans lesquelles des données sensibles peuvent être traitées pour détecter et corriger les biais. L’article fait également le pont avec le registre des traitements prévu à l’article 30 du RGPD qu’il va falloir mettre à jour.
🔗 Comprendre l’article 10 du RIA et son lien avec le RGPD
L’article 10 du RIA figure dans la section 2, Exigences relatives aux systèmes d’IA à haut risque, du chapitre III consacré aux Systèmes d’IA à haut risque. Bien qu’il n’entre en application que le 2 août 2026, il est déjà temps pour les entreprises d’anticiper leur mise en conformité.
Cet article impose dans ses grandes lignes que les SIAHR soient développés à partir d’ensembles de données d’apprentissage, de validation et de test répondant à des critères stricts, notamment en matière de pertinence, de représentativité, de qualité et de sécurité. La partie qui nous intéresse réside dans le paragraphe 5 :
"5. Dans la mesure où cela est strictement nécessaire aux fins de la détection et de la correction des biais en ce qui concerne les systèmes d’IA à haut risque, conformément au paragraphe 2, points f) et g), du présent article, les fournisseurs de ces systèmes peuvent exceptionnellement traiter des catégories particulières de données à caractère personnel, sous réserve de garanties appropriées pour les droits et libertés fondamentaux des personnes physiques. Outre les dispositions des règlements (UE) 2016/679 et (UE) 2018/1725 et de la directive (UE) 2016/680, toutes les conditions suivantes doivent être réunies pour que ce traitement puisse avoir lieu."
Puis dans le (f) du même article :
"f) les registres des activités de traitement visés dans les règlements (UE) 2016/679 et (UE) 2018/1725 et dans la directive (UE) 2016/680 comprennent les raisons pour lesquelles le traitement des catégories particulières de données à caractère personnel était strictement nécessaire pour détecter et corriger les biais, ainsi que la raison pour laquelle cet objectif n’a pas pu être atteint par le traitement d’autres données."
Pour bien appréhender ces dispositions, il est essentiel de décortiquer l’article.
🔎 Quels systèmes d’IA sont concernés ?
Il est d’abord question d’un système d’IA à haut risque (SIAHR).
💡Pour rappel, un système d’IA est considéré comme à haut risque s’il est utilisé comme composant de sécurité d’un produit ou s’il constitue un produit en lui-même couvert par la législation européenne figurant à l’annexe I. Cela inclut, par exemple, la Directive 2009/48/CE sur la sécurité des jouets ou la Directive 2006/42/CE sur les machines. Sont également concernés les systèmes d’IA listés à l’annexe III du RIA, tels que les systèmes d’identification biométrique à distance ou les SIA utilisés comme composants de sécurité dans la gestion et l’exploitation d’infrastructures critiques. |
Pour être soumis à ces obligations, le SIAHR doit nécessairement utiliser des techniques d’apprentissage de modèles d’IA à partir de données.
Pour mieux cerner cette notion de SIAHR reposant sur l’apprentissage de modèles d’IA, il convient de se référer aux récentes lignes directrices publiées par la Commission européenne, qui en énumèrent plusieurs :
l’apprentissage supervisé (l’apprentissage est basé sur des données annotées avec l’élément de sortie attendu. Le système généralise ensuite l’approche aux données d’entrées nouvelles ;
l’apprentissage non supervisé (l’apprentissage est basé sur des données non annotées. Le système identifie les patterns entre les données afin de les regrouper sans avoir reçu de directives préalables) ;
l’apprentissage auto-supervisé (l’apprentissage est basé sur des étiquettes implicites générées à partir de données non structurées) ;
l’apprentissage par renforcement (l’apprentissage se fait à partir de données collectées issues de leur propre expérience via une fonction de “récompense” ;
le deep learning (ce sous-ensemble de l’apprentissage automatique utilise des architectures en couches (réseaux neuronaux) pour apprendre la représentation.
L’approche est large et englobante pour couvrir un maximum de situations dans l’optique de préserver les droits fondamentaux des personnes concernées. Il s’agit de voir ensuite quels sont les acteurs concernés.
🙋 Quels acteurs sont concernés ?
Le paragraphe 5 ne fait mention que des fournisseurs de SIAHR.
💡Article 3, Chapitre I : Dispositions générales - "fournisseur" “une personne physique ou morale, une autorité publique, une agence ou un autre organisme qui développe ou fait développer un système d'IA ou un modèle d'IA à usage général et le met sur le marché ou met le système d'IA en service sous son propre nom ou sa propre marque, que ce soit à titre onéreux ou gratuit ;” Exemples : l’entreprise qui développe et fournit une technologie de reconnaissance faciale à distance aux aéroports pour fluidifier le passage aux contrôles de sécurité. L’entreprise qui développe un logiciel d’aide à la sélection des candidats basé sur l’IA pour analyser les CV et présélectionner les profils les plus pertinents. |
Il faut enfin s’intéresser aux données concernées par le texte.
🔐 Quelles données sont concernées ?
Il s’agit ensuite d’identifier les données concernées par le texte : des catégories particulières de données à caractère personnel au sens de l’article 3 du RIA ou de l’article 9 du RGPD, autrement appelées données sensibles. Cela inclut notamment les données relatives à l’origine raciale ou ethnique, aux opinions politiques, aux convictions religieuses ou philosophiques, à l’appartenance syndicale, ainsi que le traitement des données génétiques, des données biométriques utilisées pour identifier une personne de manière unique, des données de santé, ou encore des informations sur la vie sexuelle et l’orientation sexuelle d’une personne.
🎯 Pour quelle finalité ?
Ainsi, le fournisseur du SIAHR ne peut recourir à ces données sensibles que si leur utilisation est strictement nécessairepour détecter et corriger les biais. Il doit démontrer qu’aucune alternative – y compris l’usage de données non sensibles, synthétiques ou anonymes (§5(a)) – n’est possible. Cette démonstration est d’autant plus nécessaire qu’elle permet de répondre à l’obligation pour les entreprises de respecter le principe d’accountability (ou responsabilité) du RGPD (article 5 §2) à savoir la mise en œuvre de procédures et mécanismes internes démontrant le respect des règles liées à la protection des données.
L’objectif est clair : identifier les discriminations potentielles présentes dans les données ou dans les modèles d’IA, puis les corriger en appliquant des techniques d’ajustement, afin de garantir des résultats équitables et non biaisés.
💡Il est à noter que cet article ajoute une nouvelle exception au traitement de données sensibles en plus de celles posées à l’article 9 du RGPD |
✅ Nos recommandations
✔️ Cartographier ses SIA : Réaliser un inventaire des systèmes d’intelligence artificielle utilisés dans l’organisation.
✔️ Identifier et qualifier les systèmes concernés : Vérifier si un ou plusieurs de ces SIA entrent dans le périmètre des systèmes d’IA à haut risque, au regard des critères des articles 6 et 7 du RIA.
✔️ S’assurer que le SIA est autorisé : Vérifier que le système ne figure pas parmi les SIA interdits par l’article 5 du RIA.
✔️ Définir son rôle et ses responsabilités : Identifier si l’on agit en tant que fournisseur du SIA (auquel cas les obligations du RIA s’appliquent directement) ou si l’on occupe un autre rôle dans la chaîne de valeur.
✔️ Analyser les données traitées : Le système manipule-t-il des données sensibles au sens de l’article 3 du RIA et de l’article 9 du RGPD ? Si oui, il est directement concerné par ces obligations.
✔️ Évaluer l’existence de biais : Examiner si le système est susceptible d’introduire ou de perpétuer des biais dans ses décisions.
✔️ Justifier l’usage de données sensibles : Vérifier s’il est strictement nécessaire de traiter ces données pour détecter et corriger les biais, en démontrant qu’aucune alternative (comme l’utilisation de données synthétiques ou anonymes) n’est possible.
✔️ Documenter la justification : Formaliser les raisons qui rendent l’usage de ces données indispensable et expliquer pourquoi l’objectif ne peut être atteint autrement.
✔️ Garantir la protection des données : Mettre en place des mesures robustes pour assurer la sécurité et la confidentialité des informations, en conformité avec le RGPD et les exigences du §5 du RIA.
✔️ Mettre à jour le registre des traitements : Adapter le registre des traitements (article 30 du RGPD), pour intégrer la finalité poursuivie du recours aux données sensibles (la détection et correction de biais), les données utilisées ainsi que la justification de leur nécessité. Le registre doit également documenter l’arbitrage opéré démontrant qu’aucune alternative moins intrusive n’était possible.
Anticipez dès maintenant votre conformité à l’AI Act !
La mise en œuvre du règlement sur l’IA implique des ajustements majeurs pour les entreprises qui nécessitent une expertise de pointe. mydari vous accompagne à chaque étape pour assurer une mise en conformité efficace et adaptée à vos besoins.
👉 Contactez-nous dès aujourd’hui via notre site internet www.mydari.fr/contact pour un accompagnement sur mesure.
Comentarios