← Retour au blog

AI Act se mettre en conformité sans freiner l'innovation

Lucian BLETAN

L’AI Act n’est pas là pour freiner l’innovation, mais pour la encadrer. Cette régulation européenne introduit des exigences proportionnées au niveau de risque des systèmes d’IA. L’objectif est simple : éviter les usages dangereux et garantir la transparence, sans étouffer les cas d’usage à faible impact. Pour s’y préparer, une feuille de route pragmatique est essentielle : on commence par cartographier ses systèmes, on évalue les risques, puis on met en place la documentation, les contrôles et les preuves nécessaires.

prérequis

  • Un sponsor légal et sécurité clairement identifié pour piloter le projet de conformité.
  • Un inventaire des systèmes d’IA en production ou en développement, avec leurs cas d’usage.
  • Un canal unique pour que les employés puissent signaler les risques ou les incidents liés à l’IA.

comprendre les catégories de risque

Le cœur de l’AI Act est une approche basée sur le risque. Chaque système d’IA est classé dans une catégorie, qui détermine le niveau d’obligations.

inacceptable

élevé

moyen

faible

système d'ia

quel est son niveau de risque ?

interdit (ex: scoring social)

haut risque (ex: rh, crédit, justice)

risque limité (ex: chatbot, deepfake)

risque minimal (ex: filtre spam)

La grande majorité des cas d’usage en entreprise se situent dans les catégories “risque limité” ou “minimal”. Les systèmes à “haut risque” sont ceux dont une défaillance peut avoir des conséquences graves sur la santé, la sécurité ou les droits fondamentaux des personnes. C’est pour eux que les exigences de documentation, de tests et de surveillance sont les plus fortes.

feuille de route pour la conformité

Se mettre en conformité est un projet qui se pilote. Voici les étapes clés.

1. cartographier les systèmes
2. classifier les risques
3. documenter (fiche système)
4. implémenter les contrôles
5. auditer & maintenir les preuves
  1. Cartographier: Lister tous vos systèmes d’IA et assigner un propriétaire (owner) à chacun.
  2. Classifier: Décider de la catégorie de risque de chaque système en utilisant des critères publics et documentés.
  3. Documenter: Pour chaque système, créer une “fiche système” qui résume son objectif, ses données, ses limites et les mesures de mitigation des risques.
  4. Contrôler: Mettre en place les contrôles techniques et organisationnels requis par le niveau de risque (minimisation des données, journalisation, évaluation humaine).
  5. Auditer: Conserver les preuves de conformité (versions de prompts, rapports de tests, logs) pour pouvoir les présenter en cas d’audit.

la fiche système type

Cette fiche est un document vivant d’une page qui résume tout ce qu’il faut savoir sur un système d’IA.

- **nom**: "assistant de réponse pour le support client"
- **owner**: "équipe service client"
- **usage**: "suggère deux brouillons de réponse basés sur notre base de connaissances. une citation des sources est obligatoire."
- **données utilisées**: "tickets de support, base de connaissances interne, profil client (données pii masquées avant envoi au modèle)."
- **risques identifiés**: "fuite de données, hallucination, biais dans les réponses."
- **mesures de mitigation**: "rag sur sources internes uniquement, filtrage des pii en entrée, revue humaine obligatoire avant envoi au client."
- **kpi de performance**: "temps moyen de résolution, note de satisfaction client, nombre d'incidents signalés."

contrôles utiles à mettre en place

  • Journaliser les prompts, le contexte injecté et les réponses générées.
  • Limiter qui peut envoyer quelles données à quel modèle (politiques d’accès).
  • Mettre des garde-fous: Imposer un schéma de sortie, permettre au système de refuser de répondre aux questions hors périmètre.
  • Red teaming régulier pour les cas d’usage les plus sensibles afin de découvrir les failles de sécurité.

preuves et auditabilité

L’objectif est de pouvoir toujours expliquer “quand, pourquoi, et avec quelles données” une réponse a été produite. Conservez les versions de vos prompts, de vos modèles, de vos jeux de données de test et les rapports d’évaluation. La traçabilité est la clé de la confiance et de la conformité.

erreurs courantes et solutions

  • Symptôme: Par peur, tout est classé “haut risque”, ce qui paralyse l’innovation.

    • Cause: Absence de critères clairs.
    • Correctif: Établir et publier une grille de décision simple pour la classification des risques. Tracer chaque décision.

  • Symptôme: La documentation est un document Word de 100 pages que personne ne lit.

    • Cause: Documentation verbeuse et déconnectée du code.
    • Correctif: Une fiche système d’une page, stockée dans le même repo que le code, avec des liens vers les tests et les métriques.

  • Symptôme: Chaque équipe réinvente ses propres contrôles de sécurité.

    • Cause: Pas de politiques standardisées.
    • Correctif: Définir des politiques de sécurité standard (ex: “filtrage des pii”) et les valider automatiquement dans la CI/CD.

faq

  • L’AI Act va-t-il tuer l’innovation en Europe ? C’est peu probable. L’approche est basée sur le risque. Pour l’immense majorité des cas d’usage à faible risque, les contraintes sont très légères (principalement de la transparence). Les contraintes lourdes sont réservées à un petit nombre d’applications critiques.

  • Quand dois-je commencer à me mettre en conformité ? Maintenant. Même si les délais d’application sont longs, les principes de l’AI Act (documentation, gestion des risques, qualité des données) sont des bonnes pratiques que vous devriez déjà adopter pour construire des systèmes d’IA robustes et fiables.

tags