Artificial Intelligence Act - Retour sur le Salon Big Data & IA Atelier du 29 septembre 2021 - Deloitte
←
→
Transcription du contenu de la page
Si votre navigateur ne rend pas la page correctement, lisez s'il vous plaît le contenu de la page ci-dessous
Artificial Intelligence Act Retour sur le Salon Big Data & IA Atelier du 29 septembre 2021 28 et 29 Septembre 2021 © 2021 Deloitte SAS
Grégory Abisror Richard Eudes Yves Yota Tchoffo
Trustworthy AI Leader AI Ethics & Governance AI Ethics & Governance
Associé Directeur Senior Manager
Data Technology Data Technology Data Technology
& Analytics & Analytics & Analytics
gabisror@deloitte.fr reudes@deloitte.fr yyotatchoffo@deloitte.fr
Responsables Animateurs Consultation IA auprès
AI Institute du ThinkTank de la Commission
Deloitte France Impact AI Européenne
© 2021 Deloitte SAS Artificial Intelligence Act 2
Une définition vaste de l'IA
L’AI Act prend en compte le Machine Learning, mais aussi Selon l’AI Act, quels
sont les modèles en
de nombreux modèles statistiques utilisés depuis des années votre possession
pouvant être
considérés comme
de l'IA ?
“L’intelligence artificielle (IA) désigne Machine Learning, comprenant l'apprentissage supervisé,
tout logiciel développé à l'aide d'une ou non supervisé et par renforcement, ainsi qu’une grande
plusieurs des techniques et approches variété d’autres méthodes comme le Deep Learning.
énumérées à l’Annexe I, et capable,
pour un ensemble donné d'objectifs Approches fondées sur la logique et la connaissance, y compris la
définis par l’Homme, de générer des représentation des connaissances, la programmation inductive
résultats tels que du contenu, des (logique), les bases de connaissances, les moteurs d'inférence et
prédictions, des recommandations ou déductifs, le raisonnement (symbolique) et les systèmes experts.
des décisions influençant les
environnements avec lesquels ils Approches statistiques, estimation bayésienne,
interagissent “ méthodes de recherche et d'optimisation
Complète A l'épreuve du futur Sécurité juridique
Couvre toutes les IA actuelles et futures, En se concentrant davantage sur les Aussi neutre que possible en ce qui concerne les
y compris le Machine Learning, le Deep risques et les cas d’usage que sur la détails techniques, afin de couvrir les applications
Leraning ainsi que les systèmes hybrides. technologie elle-même. qui ne sont pas encore connues ou développées.
© 2021 Deloitte SAS Artificial Intelligence Act 3
L’Artificial Intelligence Act en un mot
La proposition de règlementation prévoit des règles harmonisées Comment l’AI Act
vous impacte ?
sur l’intelligence artificielle.
Sur quoi se concentre-t-elle ? À qui s’applique-t-elle ? Quand s’appliquera-t-elle? Pourquoi devez-vous vous en Que rôle pour Deloitte ?
soucier ?
→ Centré sur l’humain → Fournisseurs, utilisateurs, → Selon une interview, la → Votre organisation peut → Sensibiliser nos clients
importateurs et mise en œuvre et le déjà avoir des systèmes sur le sujet
→ Approche fondée sur le
risque distributeurs de systèmes processus de ratification d’IA en place → Les aider à anticiper
d’IA au sein de l’UE pourrait prendre entre 2
→ La non-conformité peut cette réglementation
→ Classification des à 5 ans
systèmes d’IA entraîner des amendes → Deloitte dispose d’un
allant jusqu’à 30.000.000€ cadre pour mettre en
ou 6% du chiffre d’affaires oeuvre une IA de
confiance
Le 21 avril 2021, la Commission européenne a proposé le premier cadre juridique sur l’IA jamais mis en œuvre, qui traite des risques de l’IA et
qui positionne l’Union Européenne comme un acteur de premier plan à l’échelle mondiale. Ce document a vocation à donner une vision
synthétique des enjeux de cette règlementation.
© 2021 Deloitte SAS Artificial Intelligence Act 4
L’aboutissement d’un travail de plus de 2 ans
Au total, 1215 institutions ou particuliers ont En quoi l’AI Act se
distingue des
contribué à cette proposition de réglementation papiers
Données précédents?
Document de la CE Étude du PE
RGPD Stratégie européenne L’impact du RGPD sur
pour les données l’IA
Intelligence Artificielle
19 février 2020 15 juillet 2020
L’UE se positionne en
tant que leader sur la
AEPD Guide Liste d’évaluation de la CE Document de proposition
mise en œuvre d’une Adaptation du Règlement IA digne de confiance
de la CE
réglementation général sur la protection
des données (RGPD) aux
(ALTAI) pour l’auto-
évaluation
Data Governance Act
25 novembre 2020
internationale et produits et services d’IA 17 juillet 2020
13 février 2020
stimule l’innovation
Rapport de la CE
Impact en matière de Étude du PE Étude du PE
sécurité et de
responsabilité de IA et respect de la loi Régime de responsabilité
l’IA, de l’IoT et de la 13 juillet 2020 civile pour l’IA
robotique 18 septembre 2020
19 février 2020
Étude du PE
Lignes directrices de Document de la CE Étude du PE AI ACT
Cadre de l’UE sur les
la CE
Livre blanc sur l’IA IA et responsabilité aspects éthiques de Réglementation
Lignes directrices en 19 février 2020 civile (affaires l’IA, de la robotique et sur une
matière d’éthique juridiques) des technologies approche
pour une IA digne de 13 juillet 2020 connexes européenne de
confiance l’IA Entrée en vigueur
20 septembre 2020
8 avril 2019 21 avril 2021 de l’AI ACT
2019 2020 T1 (en) T2 (en) T3 (en) 2021 2023-2025
© 2021 Deloitte SAS Artificial Intelligence Act 5
Les 4 principaux piliers stratégiques de l’AI Act
→ Cadre approprié de gouvernance → Partenariat public-privé en
→ Coordination des perspectives termes de capacité de recherche
stratégiques et d'innovation
→ Exploitation du potentiel des → Centre d’expertise (TEF) ainsi
données Excellence que des pôles d'innovation
→ Infrastructure computationnelle numérique (DIH) à la disposition
Développement des PME et des administrations
& Adoption publiques
Leadership
stratégique
AI
→ Intégration de la confiance dans → Environnement : contribution
Human-centric de l'IA à la production durable
→ les politiques en matière d’IA
→ Promotion de la vision européenne → Santé : en élargissant l'échange
d'une IA durable et digne de intercommunautaire
confiance d'informations
→ Développement des talents et des → Autres : Robotique, Secteur
compétences public, Collectivité, Mobilité,
Agriculture
© 2021 Deloitte SAS Artificial Intelligence Act 6
Le champ d'application de l’AI Act
La proposition se concentre sur les systèmes d’IA « très risqués » Comment êtes-
vous affecté ? En
fournis / utilisés au sein de l'Union Européenne. tant que
fournisseur ?
Importateur ?
Quelles sont les entités Distributeur ?
concernées par l’AI Act ? Utilisateur ?
Entités concernées Entités hors du champ d'application
→ Tout organismes à l'intérieur et à l'extérieur de → Autorités publiques d'un pays tiers ou organismes
l’UE qui fournit un système d’IA à destination internationaux utilisant des systèmes d'IA dans le
et/ou qui impacte des individus dans l’UE cadre d'accords internationaux de coopération
policière et judiciaire avec l'Union ou avec un ou
→ Tout Fournisseurs/Importateurs/Distributeurs
plusieurs États membres
mettant à disposition un système d’IA au sein de
l’UE → Utilisation purement privée et non commerciale
→ Tout utilisateur de systèmes d'IA au sein de l’UE
→ Tout fournisseur ou utilisateur situé dans un pays
tiers, mais dont le résultat produit par le système
d'IA est utilisé dans l'Union Européenne
© 2021 Deloitte SAS Artificial Intelligence Act 7
Aperçu de la classification des systèmes d’IA
La proposition utilise une approche fondée sur le risque pour Avez-vous fait
le point sur vos
différencier quatre types de systèmes d'IA en fonction de leurs systèmes d'IA
potentiels dangers et risques. (2/2) actuels et leur
degré de risque ?
Systèmes d’IA avec des obligations Systèmes d’IA à risque
3 spécifiques de transparence (Art. 52)
4 minime ou nul
Autorisés mais soumis à des obligations Autorisé sans aucune restriction
d'information/de transparence
Exemple : Maintenance
→ Interaction avec les humains prédictive
→ Utilisés pour détecter des émotions ou
déterminer des catégories sur la base de
données biométriques
→ Génération de contenus modifiés/créés par
IA
Exemple : Bot agissant comme
un humain (bots)
*A l’exception des systèmes d’IA « très risqués » développés ou utilisés à des fins militaires. Pour les HRAIS qui sont régis par l'un des articles
suivants, seul l'article 84 devrait s'appliquer.
Règlement (CE) 300/2008 ; Règlement (UE) 167/2013 ; Règlement (UE) 168/2013 ; Directive 2014/90/UE ; Directive (UE) 2016/797, Règlement
(UE) 2018/858;Règlement (UE) 2018/1139 ; Règlement (UE) 2019/2144.
© 2021 Deloitte SAS Artificial Intelligence Act 8
Systèmes d'IA à risque limité ou faible
Bien qu'il soit axé sur les IA « très risquées », l’AI Act préconise la transparence Vos utilisateurs
sont-ils informés
et un code de conduite pour les applications à faible risque qu'ils interagissent
avec un système
d'IA ?
Nouvelles obligations de Code de conduite sur la base
transparence pour certains du volontariat pour l'IA avec des exigences
systèmes d'IA (Art. 52) de transparence spécifiques (art. 69)
→ Informer les gens qu'ils interagissent avec un → Pas d'obligations
système d'IA, sauf si cela est évident. → La Commission et le Conseil définiront des codes de conduite
→ Prévenir les usagers en cas d’utilisation de destinés à favoriser l'application sur la base du volontariat des
systèmes de catégorisation par biométrie ou exigences aux systèmes d'IA à faible risque
reconnaissance émotionnelle → Ce code de conduite pourrait inclure la durabilité environnementale
→ Apposer un label identifiant les “deep fake” ou l'accessibilité aux personnes handicapées
(avec certaines exceptions) ou tout autre → Les codes de conduite peuvent aussi être définis individuellement
contenu modifié et ou créé grâce à une IA
© 2021 Deloitte SAS Artificial Intelligence Act 9
Aperçu de la classification des systèmes d’IA
La proposition utilise une approche fondée sur le risque pour Avez-vous fait
le point sur vos
différencier quatre types de systèmes d'IA en fonction de leurs systèmes d'IA
potentiels dangers et risques. (1/2) actuels et leur
degré de risque ?
Systèmes d’IA à risque Systèmes d’IA « très
1 « inacceptable » (Art. 5)
2 risqués » (HRAIS, Art. 6)
Mise en œuvre Interdite Autorisés sous réserve de conformité aux exigences d’une
→ Manipulation du comportement, des évaluation ex-ante *
opinions et des décisions de l'homme → Principaux axes du règlement
→ Classification des individus en fonction de → (Annexe III)
leur comportement social → Régimes communs avec ceux déjà soumis à une norme
→ Identification biométrique à distance en européenne harmonisée
temps réel, sauf exceptions sur autorisation → Liste supplémentaire à réexaminer chaque année par le
spéciale Conseil d'administration européen de l’IA « AI board »
(Art. 84)
Exemple : Scoring social
Exemple : Recrutement
*A l’exception des systèmes d’IA « très risqués » développés ou utilisés à des fins militaires. Pour les HRAIS qui sont régis par l'un des articles
suivants, seul l'article 84 devrait s'appliquer.
Règlement (CE) 300/2008 ; Règlement (UE) 167/2013 ; Règlement (UE) 168/2013 ; Directive 2014/90/UE ; Directive (UE) 2016/797, Règlement
(UE) 2018/858;Règlement (UE) 2018/1139 ; Règlement (UE) 2019/2144.
© 2021 Deloitte SAS Artificial Intelligence Act 10Systèmes d’IA à risque « inacceptable » (art. 5)
Les applications d'IA qui présentent un risque « inacceptable » sont interdites. Fournissez-vous
des systèmes d'IA
qui seraient
considérés à risque
« inacceptable » ?
Exemple : Pour pousser les chauffeurs routiers à conduire plus longtemps que
1
Manipulation subliminale
entraînant un préjudice ce qui est sain et sûr, un son inaudible est diffusé dans leur cabine. L'IA est
physique/psychologique
utilisée pour trouver la fréquence qui maximise cet effet sur les conducteurs.
Exploitation d'enfants, de personnes
2 handicapées mentales ou de
personnes vulnérables entraînant un
préjudice physique/psychologique
Exemple : Un jouet avec un assistant vocal intégré pousse les enfants à adopter
un comportement dangereux sous couvert d'un jeu d'apprentissage.
3 Scoring social réalisé par les
autorités publiques
Exemple : Un système d'IA calcule un score de crédit des personnes sur la base
d'un "mauvais comportement" social insignifiant ou non pertinent.
Identification biométrique à distance Exemple : Pour trouver un petit délinquant, toutes les caméras publiques
4 en temps réel afin de maintenir
l'ordre dans les espaces accessibles
au public**.
disponibles scannent chaque visage qui apparaît dans le champ de vision de la
caméra et le comparent à une base de données en temps réel.
* * Il existe des exceptions
© 2021 Deloitte SAS Artificial Intelligence Act 11Systèmes d’IA « très risqués » (HRAIS, Art. 6)
L'IA « très risquée » est définie à la fois par des caractéristiques Fournissez-vous
des systèmes d'IA
générales et des domaines spécifiquement ciblés. qui seraient
considérés comme
Systèmes d’IA « très risqués » Domaines spécifiques à l'IA « très risquée » « très risqués » ?
(article 6) (Annexe III)
Est considéré comme « Très risqué » tout système → La liste comprend les éléments suivants :
d’IA remplissant les deux conditions suivantes : − Identification biométrique et catégorisation de personnes
→ Systèmes d’IA mis en œuvre dans le cadre physiques
d’une industrie/domaine réglementé par l’UE − Gestion et exploitation d’infrastructures critiques
(cf Annexe II IA Act)
− Éducation et formation professionnelle
→ La mise en service/commercialisation du cas
d’usage nécessite une évaluation de − Emploi, gestion des collaborateurs et accès au travail
conformité par un organisme tiers. indépendant
− Accès et jouissance aux services privés essentiels et aux services
et prestations publics
La commission Européenne identifie également 8
domaines pour lesquels tout système d’IA sera − Application du droit
considéré comme « très risqué ». − Gestion de migrations, d'asile et de contrôles aux frontières
− Administration de la justice et processus démocratiques
→ Un système d’IA issu de l’un de ces 8 domaines qui n’aurait pas
d’impact sur les droits fondamentaux, la sécurité des individus et la
santé peut être considéré comme à risque faible.
→ La liste est mise à jour régulièrement (12 mois, article 84)
© 2021 Deloitte SAS Artificial Intelligence Act 12Vos 7 étapes vers la conformité
La règlementation exige une déclaration de conformité et un Que faut-il changer
dans vos processus
agrément CE avant le lancement d’un système d’IA « très risqué », d’IA pour intégrer
ainsi qu’un monitoring tout au long de son cycle de vie… l’AI Act?
1 Identification 3 Conformité 5 Déclaration 7 Pilotage
Réaliser un examen approfondi des S'assurer que la conception, le Rédiger une déclaration de Répondre aux besoins d’un
actifs existants pour repérer ceux qui développement et la qualité conformité (Annexe 5) pour tout suivi régulier après le
utilisent de l’IA ou ceux qui peuvent des systèmes de gestion soient système d’IA « très risqué » et lancement du système d’IA
être qualifiés d’IA en vertu de la conformes à la réglementation apposer le l’agrément CE* « très risqué ».
nouvelle législation.
2 Classification 4 Evaluation de conformité 6 Commercialisation
Evaluer le niveau de risque Les systèmes d’IA « très risqués » doivent être Mise sur le marché ou en
potentiel pour chaque actif soumis à une évaluation spécifique service du système d’IA « très
(inacceptable, très risqué ou de la conformité (Art. 19 et 43) et cette étape doit risqué ».
faible). être réitérée en cas de modification substantielle
future.
* Le marquage «CE» indique qu’un actif est conforme aux exigences réglementaires
© 2021 Deloitte SAS Artificial Intelligence Act 13Conformité tout au long du cycle de vie d’un système d’IA
Le lancement du produit n'est que le début des obligations de conformité
pour les systèmes d’IA « très risqués »
1
Conception conforme 2
Evaluation
aux exigences de conformité
→ S'assurer que les systèmes d’IA → Evaluation ex-ante de la conformité
fonctionnent de manière cohérente → Exécutée par le fournisseur (Art. 43) :
pour l'usage auquel ils sont destinés et − sur la base des contrôles internes
soient conformes aux exigences de la (Annexe VI)
réglementation − sur la base d’une évaluation du
système de gestion de la qualité et
de la documentation technique avec
l'engagement d’un organisme notifié
5
Nouvelle évaluation (Annexe VII)
de conformité
→ Toute modification substantielle, telle 3
Surveillance
que le changement d’objectif du post-commercialisation
système, nécessite un renouvellement → Les fournisseurs doivent collecter,
de l’évaluation de la conformité analyser et enregistrer de manière
→ Une évaluation par le fournisseur ou un régulière et uniforme des données
tiers quelconque 4
Système de notification pertinentes pour garantir la fiabilité,
→ Prise en considération également des des incidents la performance et la sécurité des
ajustements autres que ceux indiqués → Communiquer et enregistrer les événements graves systèmes d’IA durant tout leur cycle
par le fournisseur pour les systèmes d’IA ainsi que les dysfonctionnements entraînant une de vie et évaluer leur conformité
à apprentissage continu violation des droits fondamentaux continue au regard la réglementation
© 2021 Deloitte SAS Artificial Intelligence Act 14Nous sommes prêts, et vous ?
La réglementation définit les exigences relatives à l'IA au sein de l'UE. Y a-t-il un écart entre la loi sur
l'IA et vos normes ? Quelle est
Elle entraînera des changements. Nous proposons une voie à suivre. son ampleur ?
→ Le projet de règlementation met l'accent sur une application éthique de l'IA, sur le fait
que les cas d’usage soient responsables, et que les praticiens soient tenus de respecter
des normes de qualité strictes.
→ Cela inclut des principes généraux de traitement équitable et impartial des sujets
(indépendamment de l'application de l'IA), mais interdit aussi explicitement certaines Équitable
applications. et
impartiale
→ L’AI Act met l’accent sur les applications “très risquées” et exige une grande transparence
accompagnée de contrôles rigoureux pour garantir la robustesse et la fiabilité des Transparente Robuste et
systèmes d'IA. et explicable fiable
→ Pour garantir un fonctionnement sûr et sécurisé de l'IA, le règlement exige une IA Digne de
confiance
surveillance humaine, la capacité d'assumer le contrôle ou de passer outre l'IA.
→ Même pour les applications jugées à moindre risque, l’AI Act exige que les systèmes d'IA Responsab
Préserve la
le et
soient suffisamment transparents, en alertant les individus de l’usage d’une IA, et qu'ils vie privée
redevable
soient explicables, permettant à leurs concepteurs de les contrôler efficacement.
Sûre et
→ Le projet de règlementation est fondé sur les droits fondamentaux des citoyens, en se sécurisée
prémunissant contre l’exploitation des vulnérabilités, imposant une procédure
standardisée, en défendant les droits des enfants, entre autres. Il préserve la vie privée en
interdisant purement et simplement les applications de l'IA pour la surveillance en direct
et à distance des citoyens.
© 2021 Deloitte SAS Artificial Intelligence Act 15Les accélérateurs Deloitte
La boîte à outils développée par Deloitte répond parfaitement Que faut-il changer
dans vos processus
aux exigences de l’AI Act d’IA pour intégrer
l’AI Act?
Un panorama de fournisseurs en évolution rapide
AI Risk Management Framework
aide les organisations à gouverner et
à gérer efficacement les risques
associés à l'utilisation de systèmes
d’IA tout au long du cycle de vie.
Lucid [ML] rend l'IA transparente et
explicable en interprétant le
fonctionnement interne et les résultats
des décisions individuelles des
modèles d'IA de type "boîte noire" (ou
autre).
Model Guardian établit l'équité et
l'impartialité dans les systèmes d’IA
par l’identification et l’évaluation des
multiples types de biais affectant
l'équité des modèles d'IA.
© 2021 Deloitte SAS Artificial Intelligence Act 16MERCI DE VOTRE ATTENTION
Rendez-vous sur le Stand DELOITTE
Grégory Abisror Richard Eudes Yves Yota Tchoffo
Partner Directeur Senior Manager
Deloitte France Deloitte France Deloitte France
gabisror@deloitte.fr reudes@deloitte.fr yyotatchoffo@deloitte.fr
© 2021 Deloitte SAS Artificial Intelligence Act 17A propos de Deloitte Deloitte fait référence à un ou plusieurs cabinets membres de Deloitte Touche Tohmatsu Limited (« DTTL »), à son réseau mondial de cabinets membres et à leurs entités liées (collectivement dénommés « l’organisation Deloitte »). DTTL (également désigné « Deloitte Global ») et chacun de ses cabinets membres et entités liées sont constitués en entités indépendantes et juridiquement distinctes, qui ne peuvent pas s'engager ou se lier les uns aux autres à l'égard des tiers. DTTL et chacun de ses cabinets membres et entités liées sont uniquement responsables de leurs propres actes et manquements, et aucunement de ceux des autres. DTTL ne fournit aucun service aux clients. Pour en savoir plus, consulter www.deloitte.com/about. En France, Deloitte SAS est le cabinet membre de Deloitte Touche Tohmatsu Limited, et les services professionnels sont rendus par ses filiales et ses affiliés. Deloitte est l'un des principaux cabinets mondiaux de services en audit et assurance, consulting, financial advisory, risk advisory et tax, et services connexes. Nous collaborons avec quatre entreprises sur cinq du Fortune Global 500® grâce à notre réseau mondial de cabinets membres et d’entités liées (collectivement dénommés « l’organisation Deloitte ») dans plus de 150 pays et territoires. Pour en savoir plus sur la manière dont nos 330 000 professionnels make an impact that matters (agissent pour ce qui compte), consultez www.deloitte.com. Deloitte France regroupe un ensemble de compétences diversifiées pour répondre aux enjeux de ses clients, de toutes tailles et de tous secteurs. Fort des expertises de ses 7 000 associés et collaborateurs et d’une offre multidisciplinaire, Deloitte France est un acteur de référence. Soucieux d’avoir un impact positif sur notre société, Deloitte a mis en place un plan d’actions ambitieux en matière de développement durable et d’engagement citoyen. © 2021 Deloitte SAS. Membre de Deloitte Touche Tohmatsu Limited Document confidentiel
Vous pouvez aussi lire
