Après l’AI Act, l’humain doit rester au cœur de la démarche
Alors que l’IA continue de rationaliser notre quotidien et nos interactions professionnelles, elle pose également des défis importants, tels que les fuites de données privées, la violation des droits de propriété intellectuelle et la création de fake news. Pour tenter de lutter contre les zones d’ombre de l’IA, les dirigeants de l’industrie et des pays proposent et mettent en œuvre de nouvelles réglementations avec des contrôles de conformité plus stricts.
2024 s’est révélée être une année chargée pour les acteurs de l’écosystème de la régulation numérique, et 2025 est déjà marqué par l’adoption et la mise en place de nouvelles règles et réglementations. Cependant, de nombreux acteurs ne sont pas encore certains de l’impact que cela aura sur leur stratégie et leurs décisions commerciales.
Depuis l’entrée en vigueur des premières obligations du règlement européen sur l’IA (AI Act) en février 2025, nous avons dressé un état des lieux des enjeux et des tendances en matière de régulation dans le domaine de l’intelligence artificielle.
Où en sommes-nous des initiatives de réglementation ?
Dans tous les pays, on observe une déferlante d’initiatives réglementaires telles que l’AI Act en Europe, l’AI Executive Order aux États-Unis, les Rules on GenAI en Chine et l’AI Regulation Bill au Royaume-Uni, pour n’en nommer que quelques-unes. Ces réglementations sont toutes basées sur les mêmes grands principes fondamentaux. Cependant, des développements politiques récents, tels que l’influence de personnalités comme Donald Trump ou Elon Musk, ont signalé un changement dans l’approche des États-Unis, ce qui a d’ailleurs conduit à l’abrogation de l’AI Executive Order dès les premiers jours de la nouvelle présidence.
Globalement, l’arrivée de ces réglementations est une bonne chose car bien que l’IA ait conduit à des progrès scientifiques extrêmement bénéfiques – comme par exemple la réduction du temps de développement de médicaments – et que la grande majorité des data scientists soient sensibles aux enjeux éthiques, il y a toujours quelques brebis galeuses et des risques de déviances dont il faut se prémunir.
Cela dit, il faut aussi se garder des fantasmes ! À titre d’exemple, lors du Sommet pour l’action sur l’intelligence artificielle de Séoul, organisé en mai 2024, les entreprises de la tech ne sont mises d’accord sur la mise en place d’un « interrupteur d’arrêt » de l’IA pour éviter les risques du type Terminator et ainsi réduire les craintes liées au développement incontrôlé de l’IA. Or, ces fantasmes conduisent parfois des acteurs de la société civile à sur-réglementer l’IA, oubliant que de nombreuses réglementations existantes couvrent déjà les risques potentiels associés à l’IA.
Pour autant, la plupart des instances nationales et internationales ont lané de multiples initiatives dans ce domaine. Avec l’AI Act, l’Europe est à la pointe sur tous ces sujets, mais les législations dans d’autres pays ne pourraient arriver dans dans plusieurs mois.
Comment les entreprises peuvent-elles se mettre en conformité ?
L’AI Act européen, entré en vigueur au 1er août 2024, offre une feuille de route très précise : les applications d’IA prohibées devaient être éliminées avant février 2025, et les applications d’IA à haut risque doivent être conformes d’ici août 2026. Cela trace un chemin dans lequel il faut s’inscrire. Non seulement car c’est une exigence réglementaire, mais aussi car c’est une attente sociétale pour garantir que l’IA est utilisée de manière sûre et responsable.
La communauté scientifique elle-même a été surprise par l’ampleur et la rapidité des avancées technologiques de l’IA générative. Cela a conduit à une préoccupation généralisée, illustrée par la lettre ouverte signée en mars 2023 par des centaines d’experts, dont l’entrepreneur technologique Steve Wozniak et l’historien Yuval Noah Harari, appelant à réfléchir sur les risques potentiels et à mettre en place des mesures de sécurité.
Pour les entreprises, répondre à ces attentes de sécurité et de transparence est une nécessité ! En Europe, cela implique de s’inscrire dans une démarche rigoureuse de gouvernance de l’IA afin d’éviter les applications prohibées, même s’il est très rare que des entreprises se fourvoient dans cette voie, mais aussi de s’assurer que les applications d’IA à haut risque soient développées de manière responsable.
Contrairement à ce qu’on pourrait penser, la catégorie d’IA à haut risque recouvre énormément de cas d’usage, dont certains pourraient pourtant paraître anodins. Sans même citer les algorithmes de gestion de contenus qui cherchent à maximiser l’attention des utilisateurs (le cas classique des dark patterns, des pages ou messages internet manipulateurs ou trompeurs), toutes les applications qui touchent à l’humain de manière générale peuvent être concernées.
Un bon exemple, qui parlera à tout le monde, est celui du classement (« scoring ») que l’on peut voir appliquer dans la gestion de carrière, la gestion de dossiers pour des prêts, le choix de locataires… Si l’on prend l’exemple de la sélection des locataires potentiels, il faut veiller aux données utilisées par l’IA pour choisir les meilleurs dossiers, et éviter celles qui pourraient donner lieu à des biais discriminatoires, comme le nom de la personne ou son adresse. À chaque fois, cela implique de réfléchir précisément aux données, à leur usage, et à la manière dont les décisions sont prises.
C’est un travail de gouvernance auquel les entreprises ont dû s’atteler rapidement, compte tenu des délais imposés et qui reste très court pour mettre en place et valider les systèmes de gouvernance nécessaires. C’est à la fois une contrainte et mais aussi un gage de bonne acceptation par la société.
Comme toujours, l’essentiel est de trouver le bon équilibre. Il ne faut surtout pas opposer innovation et régulation. Il faut éviter à la fois les écueils du laisser-faire total et ceux de la sur-réglementation. Un autre enjeu majeur est aussi d’assurer une cohérence au niveau international pour éviter la multiplication de standards concurrents, ce qui serait extrêmement contre-productif, notamment pour les entreprises européennes.
Quelles bonnes pratiques le Groupe Atos a-t-il adopté dans ce domaine ?
Chez Atos, nous y travaillons sous deux angles.
D’une part, nous accompagnons nos clients dans l’identification et la mise en place de ces démarches de conformité réglementaires, de sécurité et d’IA responsable. Nous avons d’ailleurs lancé une offre de conseil dédiée.
D’autre part, nous appliquons les principes d’IA responsable sur les applications que nous développons, à la fois pour le compte de nos clients, et pour nos propres services, comme nos solutions sectorielles (finance, industrie manufacturière, énergie, santé, services publics) ou métiers (par exemple, la sécurité).
Nous avons mis en place une démarche globale de gouvernance qui englobe les données et les algorithmes. Notre approche inclut les outils et les plateformes qui permettent de procéder aux tests techniques sous-jacents à l’AI Act. Nous visons à obtenir la compliance by design en intégrant directement aux processus de développement, les tests et la documentation requis par les différentes législations et la génération automatisée des documents demandés par les régulateurs comme l’EU AI Office en Europe.
Ce n’est pas juste un formulaire de compliance qu’il faut remplir. C’est un pilotage qui doit être intégré tout au long des phases de conception, de développement et de déploiement.
Un point clé de la démarche est de mettre l’humain au cœur du processus de décision. Typiquement, pour un cas d’usage à haut risque, l’IA doit toujours être configurée pour aider l’humain à prendre la décision, mais ne doit pas être en mesure de prendre cette décision de manière autonome ! Par exemple, une application aidant le personnel hospitalier à trier les patients doit être configurée de manière à ce que le médecin ou l’infirmier conserve la décision finale. C’est d’ailleurs un défi particulier à l’IA : contrairement à la plupart des produits, dont les usages sont bordés et où l’on valide la conformité du produit lui-même, un même algorithme pourra être anodin dans certains cas d’usage, et à haut risque dans d’autres.
C’est pour cela que la conformité en matière d’IA nécessite une analyse précise de chaque cas d’usage et de ses réglementations applicables. C’est parfois complexe dans les domaines où la législation est encore émergente. Dans ces cas, la collaboration avec les autorités est parfois nécessaire. Nous avons par exemple vécu cela lors des Jeux Olympiques et Paralympiques de Paris 2024. Sans parler du domaine militaire et de la sécurité intérieure, où l’AI Act ne s’applique pas et où il existe des conventions internationales et des lois spécifiques selon les États.
L’AI Act est donc à la fois une contrainte et un support permettant aux entreprises de s’assurer que leurs applications d’IA, essentielles à leur productivité, sont éthiques, sûres, responsables et conformes à la loi.
