Naviguer dans les Réglementations sur l’IA et l’Identité Numérique : Perspectives des Règlements eIDAS et AI Act de l’UE

Principaux Points à Retenir :

Mettre en œuvre des Évaluations par des Tiers

Pour renforcer la transparence et la vérification indépendante, l’AI Act devrait intégrer des évaluations conventionnelles par des organismes notifiés, similaires au cadre établi par eIDAS.

Imposer la Classification par des Tiers pour les IA à Haut Risque

L’AI Act devrait exiger une classification des systèmes d’IA à haut risque par des tiers afin de prévenir les abus et de garantir une compréhension approfondie des capacités et des risques des IA.

Standardiser la Classification des Systèmes d’IA

Pour assurer une classification cohérente des systèmes d’IA sur le marché et maintenir l’innovation, une tierce partie devrait déterminer la classification des systèmes d’IA en fonction de leur contexte d’utilisation. Cela permettrait une innovation rapide tout en garantissant l’équité et la transparence.

1. Contexte de l’eIDAS et de l’AI Act

Le règlement eIDAS, lancé en 2014, constitue le premier pilier de la stratégie de numérisation de l’UE officiellement introduite en 2015. Ce règlement a ouvert la voie aux services de confiance qui forment aujourd’hui l’épine dorsale de l’identification à haute assurance, de la signature et des services associés, tels que l’horodatage, les sceaux et la livraison électronique.

L’eIDAS a également instauré une ère de transparence dans les méthodes utilisées pour la vérification d’identité, que ce soit pour les eID ou les signatures électroniques qualifiées. Au fil du temps, l’industrie a vu émerger des solutions utilisant l’apprentissage automatique et l’intelligence artificielle pour améliorer les méthodes d’identification.

Parallèlement, l’IA est devenue de plus en plus pertinente dans presque tous les services ou produits, entraînant des gains d’efficacité significatifs et des avancées scientifiques. Cependant, cela s’accompagne de risques d’abus potentiels, tels que la génération d’informations falsifiées à grande échelle par des modèles d’IA générative. Pour anticiper ces abus et accroître la transparence, l’UE a introduit l’AI Act, qui vise à :

• Fournir des lignes directrices pour la classification des systèmes d’IA.
• Établir une gouvernance pour les systèmes d’IA à haut risque.

2. Évaluations de Conformité et Produits Résultants sous eIDAS

Lors de l’entrée en vigueur d’eIDAS, les schémas de certification et leur adoption par les États membres n’étaient pas clairement définis. Avec le temps, l’industrie a convergé vers une évaluation de conformité généralement interopérable, ce qui a réduit les défis liés à la reconnaissance des rapports produits par un organisme d’évaluation (CAB) dans un autre État membre.

Cela a permis le développement de produits innovants pour les prestataires de services de confiance grâce à :

• L’utilisation de standards communs établis par ETSI, CEN et d’autres organisations.
• Une transparence accrue pour les consommateurs.

3. Évaluation de Conformité d’un Système d’IA

L’AI Act vise à introduire un schéma d’évaluation de conformité similaire à celui d’eIDAS, mais avec des différences notables :

1. La conformité peut être atteinte sans évaluation externe, accélérant le développement des systèmes d’IA. Cependant, cela peut créer une zone grise où une entreprise peut revendiquer une conformité sans compréhension complète de son IA.
2. Une évaluation externe par un organisme notifié (défini dans l’AI Act) assure une transparence accrue et une vérification indépendante, surtout pour les systèmes considérés comme à haut risque.

4. Évaluation de Conformité et Transparence dans la Réglementation de l’IA : Défis et Améliorations

L’AI Act est une référence en matière de réglementation de l’IA, mais deux failles majeures persistent :

1. Des systèmes d’IA à haut risque peuvent être reclassifiés à un niveau de risque inférieur en modifiant leur rôle ou en ajoutant une supervision humaine.
2. La possibilité d’une auto-évaluation pour établir la conformité.

Exemple : Une IA conçue pour détecter si une personne est sous contrainte via des indices biométriques pourrait être considérée comme un cas d’utilisation interdit. Toutefois, avec un contexte étroit et une supervision humaine, elle pourrait être reclassifiée et échapper à des évaluations tierces.

Solution : Une tierce partie devrait déterminer la classification des systèmes d’IA en fonction de leur contexte d’utilisation. Cela favoriserait une innovation rapide tout en garantissant une transparence et une équité accrues sur le marché.