Conçu pour réguler le développement, la mise sur le marché et l’utilisation des systèmes d’IA, le Règlement européen sur l’intelligence artificielle (RIA) s’inscrit en complément des exigences du RGPD. Face à cette réglementation, Alain Bensoussan, avocat en droit du numérique, met en lumière les points de vigilance pour permettre aux cabinets d’expertise comptable et à leurs clients de réussir leur mise en conformité.
Entré en application de manière échelonnée à partir du 2 février 2025, le RIA passera une nouvelle étape majeure le 2 août 2026. En effet, « toutes les dispositions de cette régulation deviendront applicables à cette date », prévient l’avocat parisien. Mais quelles sont-elles ?
Le RIA adopte une approche fondée sur les risques, en classant les systèmes d’IA en quatre niveaux :
Pratiques interdites : systèmes d’IA comportant un risque inacceptable car présentant une menace évidente pour les droits fondamentaux.
Systèmes à haut risque : systèmes qui peuvent porter atteinte à la sécurité des personnes, nécessitant des exigences renforcées.
Risque limité : systèmes soumis à des obligations de transparence pour éviter la manipulation.
Risque minimal : systèmes sans obligation spécifique.
Aussi, le RIA complète le RGPD : le premier encadre les systèmes d’IA, tandis que le second régit le traitement des données personnelles. Les deux s’appliquent donc conjointement lorsqu’un système d’IA traite des données personnelles. En cas de non-respect des obligations du RIA, « les entreprises s’exposent à une amende pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires annuel mondial pour les infractions graves ». Des sanctions qui peuvent se cumuler avec celles prévues par le RGPD.
Comment garantir la conformité de ces deux réglementations ?
Phase de classification : la première étape consiste à définir une « boussole juridique » en identifiant les systèmes d’IA utilisés dans l’entreprise. Cette démarche permet de déterminer dans quelle catégorie d’usage et de risque l’organisation se situe. Elle s’accompagne de plusieurs actions :
- rédaction d’une charte de l’IA qui fixe les conditions d’utilisation de ces outils ;
- mise en place d’un système de gestion des risques liés à l’IA, adapté au secteur d’activité, aux cas d’usage, à la puissance des modèles et aux types de données exploitées ;
- élaboration d’un plan de conformité, permettant de répondre aux obligations réglementaires en fonction du niveau de risque identifié.
Gouvernance : la conformité passe aussi par la culture interne. Il est recommandé de désigner un référent IA au sein des directions. Celui-ci aura pour mission de coordonner l’application du RIA avec celle du RGPD, tout en veillant à la mise en place des politiques et procédures internes nécessaires.
Coordonner RGPD et RIA : lorsque les deux réglementations s’appliquent simultanément, plusieurs obligations doivent être anticipées :
- l’entreprise doit constituer un dossier de protection des données « by design », intégrant l’usage d’IA dès la conception des systèmes et mis à jour en conséquence. Par ailleurs, il est nécessaire de tenir à jour le registre des traitements et l’analyse d’impact soit en créant une nouvelle fiche et une analyse pour un usage inédit de l’IA, soit en complétant une fiche et une analyse existante afin d’y intégrer l’utilisation de l’IA ;
- les exigences de sécurité doivent également être renforcées. Les obligations prévues par le RGPD s’ajoutent à celles imposées par le RIA ;
- En cas d’utilisation d’une solution d’IA via une plateforme externe, il faudra également adapter les contrats de sous-traitance, afin d’intégrer les conditions d’hébergement et de mettre à jour les engagements contractuels. Face à une violation de données, une double notification sera enfin requise au titre du RGPD et du RIA.