La loi européenne sur l’IA  : quelles sont les implications pour le secteur bancaire et la Fintech  ?

Le vote final du Parlement européen hier sur la loi sur l'IA, qui devrait entrer en vigueur en mai prochain, annonce la législation sur l'IA la plus complète au monde. Tout comme le RGPD, il aura des implications mondiales au-delà de l’UE.

La loi sur l'IA fournit un cadre complet pour garantir le développement d'une IA digne de confiance et l'utilisation responsable des outils d'IA, en particulier la transparence, les préjugés, les violations de la vie privée, les risques de sécurité et le potentiel de diffusion de fausses informations, ainsi que la surveillance humaine dans le développement des technologies d'IA..

Dans ces lignes directrices, sept principes éthiques non contraignants pour l’IA sont utilisés, destinés à garantir que l’IA est digne de confiance et éthiquement solide. Les principes comprennent

l'action humaine et la surveillance 

robustesse technique et sécurité

confidentialité et gouvernance des données

transparence

diversité, non-discrimination et équité

le bien-être et la responsabilité sociétale et environnementale

Avec une approche échelonnée basée sur les risques, les systèmes d’IA à haut risque dans des secteurs comme la banque et la santé seront confrontés à des obligations juridiques strictes et à des sanctions importantes en cas de non-conformité. La loi classe l’IA en quatre niveaux de risque, de minime à inacceptable, chacun comportant des obligations croissantes.

La loi de l’UE sur l’IA interdit le développement, le déploiement et l’utilisation de certains systèmes d’IA, notamment  :

Systèmes de notation sociale

Ingénierie sociale

Identification biométrique à distance en temps réel dans les espaces publics

Profilage et prédiction de comportement basés sur l'IA

Scraping et augmentation d'images faciales pour élargir les bases de données

Les techniques de manipulation basées sur l'IA portent atteinte à l'autonomie et au libre choix

Tous les systèmes d’IA ne présentent pas de risques importants, surtout s’ils n’influencent pas sensiblement la prise de décision ou ne portent pas gravement atteinte aux intérêts juridiques protégés. Les systèmes d’IA ayant un impact minimal sur la prise de décision ou un risque minimal pour les intérêts juridiques, tels que ceux effectuant des tâches spécifiques ou améliorant les activités humaines, sont considérés comme à faible risque. La documentation et l'enregistrement de ces systèmes sont soulignés par souci de transparence. Certains des systèmes d’IA à haut risque incluent plusieurs secteurs, notamment la banque et l’assurance (ainsi que les dispositifs médicaux, les ressources humaines, l’éducation, etc.).

Les exigences obligatoires pour les systèmes d’IA à haut risque visent à garantir la fiabilité et à atténuer les risques, compte tenu de leur objectif et de leur contexte d’utilisation. Il est important pour les entreprises de services financiers et de technologie financière, en particulier celles qui traitent des données clients, de garder à l’esprit les exigences ci-dessous pour les systèmes d’IA à haut risque  :

Gestion continue et itérative des risques pour l'IA à haut risque, axée sur la santé, la sécurité et les droits, nécessitant des mises à jour, de la documentation et l'engagement des parties prenantes

Réalisation d'une analyse d'impact sur les droits fondamentaux

une gouvernance rigoureuse pour éviter les discriminations et assurer le respect des lois sur la protection des données

Les ensembles de données de formation et de test doivent être représentatifs, précis et exempts de préjugés pour éviter tout impact négatif sur la santé, la sécurité et les droits fondamentaux

Assurer le contrôle humain et la transparence

Assurer la détection et la correction des biais

une documentation compréhensible pour la traçabilité, la vérification de la conformité, la surveillance opérationnelle et la surveillance post-commercialisation, y compris les caractéristiques du système, les algorithmes, les processus de données et la gestion des risques dans des documents techniques clairs et mis à jour, ainsi qu'une journalisation automatique des événements tout au long de la durée de vie de l'IA

Les systèmes d'IA à haut risque doivent fonctionner de manière cohérente tout au long de leur cycle de vie et atteindre un niveau approprié de précision, de robustesse et de cybersécurité

Les entreprises doivent donner la priorité au développement d’une IA responsable pour se conformer aux réglementations récentes et éviter de lourdes sanctions en cas de non-conformité. Voici quelques-unes des étapes par lesquelles une entreprise devrait commencer pour garantir la conformité  :

Établir une gouvernance de l’IA dès le début, en garantissant l’implication et l’adhésion de toutes les parties prenantes

Éduquer et former votre équipe aux principes éthiques de l’IA. La gestion des risques liés à l’IA nécessitera de nouvelles compétences, allant de l’analyse des données à la sécurité/confidentialité, en passant par le juridique et bien plus encore.

Effectuer un audit IA de l'organisation (et pas seulement de l'ingénierie), mais également des aspects juridiques, RH, etc. pour avoir une image complète de l'endroit où l'IA est utilisée dans l'organisation

Vérifier la conformité continue

Assurez-vous que vos fournisseurs SaaS utilisent l’IA de manière responsable

Assurer la transparence, la compréhension et l’explicabilité des modèles qui sont utilisés dans votre entreprise

l’alignement sur les normes éthiques et les exigences réglementaires n’est pas seulement une question de conformité juridique mais aussi un impératif stratégique. En se concentrant sur l’IA responsable, les entreprises se protègent non seulement contre des amendes importantes, mais se positionnent également comme des entités dignes de confiance et avant-gardistes dans un paysage numérique en évolution rapide. Le voyage vers une IA responsable est un chemin difficile mais indispensable qui promet de redéfinir l’avenir de la technologie, de la gouvernance et du bien-être sociétal.