Le Règlement européen sur l’IA (Règlement UE 2024/1689) est la première législation exhaustive sur l’IA promulguée par l’Union européenne. Le Règlement définit un cadre basé sur les risques dont l’objectif est de garantir la sécurité et la transparence des systèmes d’IA, ainsi que leur respect des droits fondamentaux. Le Règlement classifie les systèmes d’IA en quatre niveaux de risque, allant des applications interdites aux outils présentant un risque minimal. Les obligations en matière de conformité varient en fonction de chaque niveau. Dans le cas des systèmes d’IA à haut risque, les organisations sont tenues de mettre en œuvre une gestion des risques robuste, une surveillance humaine et des mesures de transparence. Sachant que les pénalités peuvent atteindre jusqu’à 7 % du chiffre d’affaires annuel mondial, ou un montant maximum de 35 millions €, la conformité joue un rôle fondamental. Le présent rapport étudie la structure du Règlement, identifie les organisations concernées et examine le rôle que la Gestion du risque humain peut jouer pour faire respecter les obligations en matière de surveillance humaine.
Trois grands points à retenir :
- Une réglementation basée sur les risques, assortie de lourdes pénalités
Les systèmes d’IA sont classifiés en quatre catégories de risque, avec des obligations de conformité qui se renforcent plus le risque est élevé. La non-conformité peut entraîner des pénalités pouvant atteindre jusqu’à 7 % du chiffre d’affaires annuel mondial, ou un montant maximum de 35 millions €. - La surveillance humaine est une obligation
L’Article 14 du Règlement exige que les systèmes d’IA à haut risque intègrent des fonctionnalités d’interprétation, d’intervention et de prise de contrôle par l’humain. La compétence humaine est donc définie comme une obligation réglementaire. - La gestion du risque humain, un outil utile pour la conformité
Même si elles ne sont pas explicitement imposées, la Gestion du risque humain et une Formation sur la sensibilisation à la sécurité sont essentielles pour permettre aux organisations de remplir les obligations du Règlement en matière de surveillance, de responsabilité et de gestion du risque.