Le 2 février 2025, les premières mesures de l’Intelligence Artificiel Act (IA Act) sont entrées en vigueur. Dans la mesure où l’application de l’IA Act s’étendra progressivement sur une période de deux ans, le défi posé par ce premier volet pour les entreprises ne sera certainement pas le dernier.

Confrontées à l’obligation d’identifier les IA, de déterminer leur nature (système d’IA vs modèle d’IA à usage général), d’évaluer leur niveau de risque, puis de définir le rôle et les responsabilités de l’entreprise à leur égard, les entreprises se retrouvent face à une tâche qui peut paraitre colossale, voire insurmontable. Cette complexité soulève de nombreuses interrogations en termes d’appropriation et d’organisation au sein des entreprises. Qui doit piloter cette nouvelle conformité ? Comment en assurer l’accountability ?

Par quoi commencer ? Au-delà du devoir de conformité, quelle valeur en retirer ?

Si ces questions sont légitimes, il est fort probable que les entreprises disposent déjà de plusieurs éléments de réponses, susceptibles de constituer un socle de base pertinent pour engager, de manière plus sereine, un début de mise en conformité à l’IA Act.

Ce début de réponse se trouve chez les DPO et dans leur dispositif de conformité RGPD.





Pour illustrer ces propos, plusieurs éléments qui ont probablement déjà été mis en œuvre par votre Délégué à la Protection des Données (DPO), font figure d’exemples :

- L’IA Act requiert que soient identifiées toutes les IA utilisées, voire créées, par l’entreprise. Or, des éléments relatifs à l’identification des IA sont nécessairement référencés dans les fiches projet si un processus de privacy by design a été mis en place et/ou dans les fiches de traitements formalisées lorsque l’IA est déjà utilisée lors d’un traitement. Par ailleurs, il est fort possible que les descriptions des traitements et des finalités permettent de définir la nature de l’IA. Enfin, et a minima, l’étude sur la nécessité ou non d’une analyse d’impact sur la vie privée (AIVP) pourrait donner des orientations via le critère « usage innovant ».

- L’analyse du niveau de risque de l’IA pourra s’appuyer sur des éléments d’appréciation issus des AIVP. Ces dernières s’astreignent à identifier les impacts sur les droits fondamentaux des personnes concernées, ainsi que les usages de l’outil au regard des finalités de traitement. De plus, l’AIVP intègre nativement l’évaluation des mesures de sécurité organisationnelles et techniques des outils IA. Ainsi, pour avoir conduit de nombreux PIA sur des traitements intégrant de l’IA, les rapports d’AIVP peuvent s’avérer être une source d’information non négligeable.

- Des éléments relatifs au rôle et responsabilités de l’entreprise, et plus largement des parties prenantes internes et externes, pourraient être identifiés dans les contrats, notamment dans les annexes RGPD détaillant les traitements de données à caractère personnel. De plus, la détermination des responsabilités au titre du RGPD (responsable de traitement, sous-traitant, etc.) donnerait des indications sur la nature du tiers (fournisseur, développeur, importateur, etc.), le statut étant directement lié à la prestation fournie. Enfin, il sera aisé d’identifier si le tiers est situé dans l’UE ou hors de l’UE, puisqu’une évaluation aura déjà déterminé sa localisation.

- La gouvernance interne de la conformité à l’IA Act s’appuie déjà sur celle mise en place pour le RGPD. Le réseau des acteurs internes impliqués dans le RGPD recoupe en grande partie celui requis pour l’IA Act : CISO/RSSI, data officer, risk manager, et correspondants métier.

Argument de vente ou réalité opérationnelle, tous les prestataires, et éditeurs intègrent de l’intelligence artificielle dans leurs solutions. De ce fait, toutes les entreprises se trouvent confrontées aux exigences minimales de l’IA Act, qui consistent à démontrer leur connaissance de l’existant en matière d’IA, notamment à travers d’une cartographie et une analyse des risques afin d’encadrer son l’utilisation.

A l’ouest rien de nouveau, et sur le front de la conformité à l’IA Act, le DPO a déjà déployé sa stratégie, ses moyens et ses processus. On peut compter sur lui pour assurer ce rôle que nous avons tant de fois prôné, promu de Data Compliance Officer.