Skip to main content

Intelligence Artificielle

Comment être en conformité avec le Règlement IA et le RGPD

Vous pilotez un projet IA ou utilisez des solutions intégrant de l’IA et vous vous demandez comment garantir la sécurité et la confidentialité de vos données ?

Chez Lexagone, chaque traitement, qu’il s’agisse d’IA générative ou de systèmes d’IA à risque, est analysé en fonction des exigences de sécurité et de conformité (AI Act et RGPD).

Ensemble, nous transformons les exigences réglementaires de vos défis stratégiques en opportunité.

PARLER À UN EXPERT
ai act

Ce que vous devez savoir sur l’AI Act

La première question est de savoir quel est le niveau de risque de votre de Système d’Intelligence Artificielle (SIA) ? Une question simple, mais déterminante pour votre gestion de projet IA et votre gouvernance réglementaire (RIA et RGPD). Si vous vous posez cette même question, vous êtes au bon endroit.

L’AI Act, ou RIA pour Règlement sur l’Intelligence Artificielle, encadre effectivement les Systèmes d’Intelligence Artificielle (SIA) en établissant une approche fondée sur les risques.

Le RIA définit 4 niveaux de risque

SIA à risque minimal

Ces systèmes, comme les filtres anti-spam, ne nécessitent aucune mesure particulière.

SIA à risque limité

Ici, des obligations de transparence spécifiques sont imposées (par exemple, pour les chatbots et la génération de contenu artificiel).

SIA à haut risque

Ils nécessitent une analyse approfondie avec des mécanismes de gestion des risques. On y trouve les SIA intégrés dans des produits qui font déjà l’objet d’une surveillance de marché (dispositifs médicaux, jouets, véhicules, …) et les SIA utilisés dans huit domaines spécifiques comme les systèmes biométriques et ceux utilisés dans le recrutement (Annexe III du RIA).

SIA à risque inacceptable

Ces systèmes sont tout simplement interdits (notation sociale, reconnaissance biométrique en temps réel dans les espaces accessibles au public, …).

Le RIA encadre de manière spécifique l’IA générative (modèles d’IA à usage général)

Le Règlement sur l’Intelligence Artificielle (RIA) impose des cadres spécifiques à ces systèmes.

Pourquoi ? Parce que les LLM et autres IA génératives touchent des domaines sensibles : transparence, biais préjudiciables, risques systémiques.

Au regard de ces enjeux, le RIA vise à créer un équilibre entre innovation et sécurité.

Voici les principales obligations à retenir :

  • Transparence renforcée : vous devez informer les utilisateurs que votre contenu est généré par une IA.
  • Analyse de risque obligatoire : chaque projet d’IA générative doit inclure une évaluation approfondie pour anticiper les biais ou risques systémiques.
  • Documentation minimale requise : le RIA exige des rapports clairs pour expliquer le fonctionnement de vos modèles.
  • Mesures d’atténuation des risques : en limitant les potentielles cyberattaques ou en réduisant les biais préjudiciables.

Pourquoi est-il important de suivre cette méthodologie règlementaire pour vos projets d’IA générative ?

Un simple exemple : imaginez que votre modèle d’IA produise un contenu biaisé qui cause un préjudice à vos utilisateurs ou à vos prises de décision. En plus d’une atteinte à votre image, vous pourriez vous retrouver dans une position délicate face aux régulateurs.

Le respect du RIA protège votre entreprise, vos utilisateurs, et votre innovation.

Ce que le RIA signifie pour vos projets IA

1

Vous devez connaître votre classification :

Votre système d’IA est-il à haut risque ou à risque limité ?
2

L’analyse de risque est obligatoire pour les systèmes critiques et certains systèmes d’IA générative

Cela inclut des outils comme l’AIPD.
3

Les obligations varient selon le risque

Transparence, documentation, et surveillance accrue peuvent être demandées.
4

Les sanctions sont élevées

Une non-conformité peut coûter cher (7 % de votre chiffre d’affaires annuel mondial ou 35 millions d’euros), alors autant anticiper.

Pourquoi choisir Lexagone pour votre conformité à l’AI Act ?

Notre cabinet de conseil RGPD accompagne depuis 2019 les acteurs de la santé (éditeurs, fabricants de DM, établissements de soins et GRADeS) pour le développement et le déploiement de solutions de santé intégrant l’Intelligence Artificielle (IA).

Lexagone est également en veille permanente en participant à des groupes de travail, à des colloques et des tables rondes comme celle sur l’impact du métier de DPO avec le chef du service de l’intelligence artificielle de la CNIL (Journée RGPD de la CNIL à Lille en 2024) ou encore le webinaire de l’AFCDP en juin 2024 sur l’expérimentation des caméras algorithmiques.

Grâce à ces expériences opérationnelles dans des domaines sensibles en termes de protection des données et à ces échanges entre pairs, Lexagone propose des prestations AMOA de conformité à l’AI Act et au RGPD adaptées à vos besoins et aux exigences des régulateurs.

Nos prestations couvrent les différents types de projets et d’intégration d’IA que vous êtes susceptibles de choisir :

  • Mise en place d’une solution développée en interne (pour capitaliser sur l’expérience métier).
  • Mise en place de solutions tierces (intégration de l’IA par un prestataire historique ou choix d’un nouveau prestataire.
  • Utilisation en interne de l’IA générative (pour développer la productivité des équipes)

Nos prestations répondent aux 5 besoins pour vos projets IA

1

Lexagone réalise un diagnostic initial pour identifier et évaluer :

  • les risques potentiels liés à l’utilisation de l’IA (classification du SIA),
  • les processus existants (robustesse et biais),
  • vos besoins spécifiques.

Aspect réglementaire

Lexagone identifie les écarts de conformité RIA/RGPD et propose des recommandations adaptées.

2

En se basant sur le diagnostic réalisé, Lexagone vous accompagne dans la conception et l’intégration du Système d’IA (SIA).

Cette phase inclut la définition des objectifs, l’identification des technologies appropriées, et la structuration des processus de gouvernance des données.

Lexagone vous aide à sélectionner les SIA les plus adaptées à vos besoins tout en tenant compte des contraintes règlementaires. Cela inclut l’évaluation des fournisseurs de technologies et la compatibilité des solutions avec les exigences de sécurité et de protection des données.

Aspect réglementaire

Lexagone s’assure que les plans d’intégration respectent :

  • la minimisation des données,
  • la gestion des consentements,
  • les droits des personnes concernées,
  • les principes d’éthique en IA.

Votre rôle est également qualifié en application du RIA : fournisseur, importateur, distributeur, déployeur ou mandataire.

3

Selon les cas et la caractérisation des systèmes d’IA implémentés (à haut risque ou non), Lexagone réalise l’AIPD si celle-ci s‘avère nécessaire.

4

Lexagone vous accompagne dans la rédaction de votre corpus documentaire :

  • Politique de gouvernance de l’Intelligence Artificielle.
  • Procédure d’évaluation préliminaire des risques et opportunités des projets d’IA.
  • Procédure de documentation des modèles, données et paramètres algorithmiques.
  • Procédure de validation des Systèmes d’IA selon les critères de conformité RIA et RGPD.
  • Procédure de mise à Jour et de maintenance des Systèmes d’IA.
  • Procédure de gestion des incidents et dysfonctionnements des Systèmes d’IA.
  • Charte administrateur IA.
5

Lexagone propose des sessions de sensibilisation pour les équipes, afin de les préparer à l’utilisation des outils intégrant de l’IA tout en comprenant les enjeux règlementaires associés. Ces sensibilisations incluent des modules spécifiques sur le RGPD, la gestion des risques, et les obligations légales liées à l’utilisation de l’IA.

NOS REFERENCES

grades.bourgogne
ej min
mondial.relay2 min

Témoignages clients : notre approche des missions d’accompagnement IA

Dans le cadre de la mise en place d’un logiciel d’intelligence artificielle en imagerie médicale au sein du Groupe Hospitalier, j’ai fait appel aux équipes de Lexagone pour notamment définir les rôles des parties (responsable de traitement, responsable conjoint, sous-traitant) et évaluer le processus de pseudonymisation. Ce projet m’a permis de découvrir une équipe pluridisciplinaire experte et agile qui a su se mobiliser pour respecter nos délais. 

DSI Groupe Hospitalier

Foire Aux Questions

Calendrier d’entrée en application des dispositions de l’AI Act

Le classement des SIA par le RIA

pyramide des risques reglement ia fr

Source : https://www.cnil.fr/fr/entree-en-vigueur-du-reglement-europeen-sur-lia-les-premieres-questions-reponses-de-la-cnil

Vous avez des questions ? Nous avons les réponses