Au début de l'année, le Conseil et le Parlement européen ont décidé de réglementer l'utilisation de l'IA dans l'UE en adoptant la loi européenne sur l'intelligence artificielle (EU AI Act), la première réglementation complète au monde en matière d'IA.
Pourquoi la loi européenne sur l'IA est-elle importante ?
Si votre organisation utilise l’IA et opère au sein de l’UE, ou s’il s’agit d’une entreprise extérieure qui fait des affaires dans l’UE, il est important de comprendre les nouvelles réglementations et de veiller à les respecter.
Le non-respect de certaines dispositions peut entraîner des amendes allant jusqu’à 35 millions d’euros (38 millions de dollars américains), soit jusqu’à 7 % de votre revenu brut.
Cette nouvelle loi vise à garantir la sécurité et la fiabilité des systèmes d’intelligence artificielle et à faire de l’UE un chef de file en matière de gouvernance dans ce domaine. Elle impose des exigences de transparence pour toutes les applications générales de l’IA et définit des obligations telles que la gestion des risques, l’auto-évaluation, l’atténuation des risques systémiques, etc.
Dates clés à connaître :
- Février 2025 : les exigences en matière d'interdiction entrent en vigueur
- Août 2026 : la loi européenne sur l'IA devient pleinement applicable
- Août 2027 : les règles relatives aux systèmes d'IA intégrés aux produits réglementés entrent en vigueur
Poursuivez votre lecture pour connaître les mesures que votre organisation doit prendre pour se conformer à ces nouvelles exigences.
Les quatre niveaux de classification
La loi européenne sur l’IA classe les systèmes en fonction du risque qu’ils représentent pour les utilisateurs, chaque niveau de risque ayant son propre niveau de réglementation. Ces quatre niveaux (inacceptable, élevé, limité et minimal/sans risque) seront traités différemment en fonction de leurs cas d’utilisation.
La loi européenne sur l’IA se concentre sur les systèmes d’IA présentant un niveau de risque inacceptable ou élevé. Voyons cela de plus près.
Systèmes d'IA présentant un risque inacceptable
Les systèmes d’IA présentant un niveau de risque inacceptable sont considérés comme une menace évidente pour les personnes et ne respectent pas les valeurs de l’UE.
Voici des exemples de systèmes d'IA présentant des risques inacceptables cités par l'UE :
- la manipulation cognitivo-comportementale de personnes ou de groupes vulnérables spécifiques : par exemple, des jouets activés par la voix qui encouragent les comportements dangereux chez les enfants ;
- le score social : classification des personnes en fonction de leur comportement, de leur statut socio-économique ou de leurs caractéristiques personnelles ;
- l'identification et la catégorisation biométriques des personnes ;
- les systèmes d'identification biométrique en temps réel et à distance, tels que la reconnaissance faciale.
Les systèmes d’IA présentant un risque inacceptable seront interdits dans les six mois suivant l’entrée en vigueur de la loi européenne sur l’IA, à quelques exceptions près pour les besoins de l’application de la loi.
Systèmes d'IA présentant un risque élevé
Les systèmes d’IA considérés comme présentant un risque élevé affectent de manière négative la sécurité ou les droits fondamentaux et sont divisés en deux catégories :
- Les systèmes d’IA utilisés dans les produits relevant de la législation de l’UE sur la sécurité des produits. Cela comprend les jouets, l’aviation, les voitures, les dispositifs médicaux et les ascenseurs
- Les systèmes d’IA relevant de domaines spécifiques qui devront être enregistrés dans une base de données de l’UE, notamment la gestion et l’exploitation des infrastructures critiques, l’éducation et la formation professionnelle, ainsi que la gestion de la migration, de l’asile et du contrôle des frontières
Les systèmes d’IA présentant un risque élevé doivent être évalués avant leur mise sur le marché et tout au long de leur cycle de vie. Les citoyens ont le droit de déposer des plaintes concernant ces systèmes.
Ces exigences et obligations deviendront applicables 36 mois après l’entrée en vigueur de la loi européenne sur l’IA.
Systèmes d'IA générative
Les outils d’IA générative tels que Microsoft 365 Copilot et ChatGPT ne sont pas considérés comme présentant un risque élevé, mais ils doivent être conformes aux exigences de transparence et à la législation de l’UE sur le droit d’auteur. Il s’agit notamment :
- d'indiquer clairement que le contenu a été généré par l'IA afin que les utilisateurs finaux en soient conscients ;
- de concevoir le modèle de manière à l'empêcher de générer du contenu illégal ;
- de publier des résumés des données protégées par le droit d'auteur utilisées pour la formation.
Les modèles d’IA à usage général à fort impact doivent faire l’objet d’évaluations approfondies et les incidents graves doivent être signalés à la Commission européenne.
Ces exigences s'appliqueront 12 mois après l'entrée en vigueur de la loi européenne sur l'IA.
Comment Varonis peut vous aider
Se conformer à des structures réglementaires complexes est un défi, et avec l’introduction de la loi européenne sur l’IA, la transparence et la sécurité des données deviennent encore plus nécessaires.
Varonis simplifie la gestion de la conformité et vous offre une visibilité et un contrôle en temps réel sur les données stratégiques utilisées par l’IA. Ainsi, nous vous aidons à vous conformer à la loi européenne sur l’IA de quatre manières essentielles :
- en sécurisant les données confidentielles et sensibles collectées et produites par l'IA générative ;
- en fournissant une visibilité complète sur les invites et les réponses de l'IA, notamment en signalant tout accès à des données sensibles ;
- en alertant en cas de menaces et d'anomalies, notamment en cas d'activités et de comportements indiquant une utilisation abusive ;
- en sécurisant automatiquement les données, notamment en révoquant les accès excessifs et en corrigeant les étiquettes et les mauvaises configurations, afin de réduire l’exposition et les risques.
Nous avons également permis à des milliers d’entreprises de se conformer à des réglementations telles que la HIPAA, le RGPD, la CCPA, le NIST et l’ITAR.
Accélérer l'adoption de l'IA par les équipes de sécurité
Dans le cadre d’une approche holistique de la sécurité de l’IA générative, Varonis propose également la seule offre complète du secteur pour sécuriser Microsoft 365 Copilot et Salesforce Einstein Copilot.
Le large éventail de fonctionnalités de notre plateforme de sécurité des données peut accélérer l’adoption et le déploiement de l’IA par votre organisation grâce à une visibilité et un contrôle complets des autorisations et des charges de travail des outils.
Réduisez les risques sans en prendre aucun.
Si vous commencez à vous intéresser à l’IA ou si vous avez des doutes sur la manière de vous conformer aux exigences de la loi européenne sur l’IA, nous vous recommandons de commencer par notre évaluation gratuite des risques sur vos données.
En moins de 24 heures, vous disposerez d’une vue claire et basée sur les risques de votre posture de sécurité et de sa conformité réglementaire.
Commencez votre évaluation gratuite dès aujourd'hui.
Que dois-je faire maintenant ?
Vous trouverez ci-dessous trois solutions pour poursuivre vos efforts visant à réduire les risques liés aux données dans votre entreprise:
Planifiez une démonstration avec nous pour voir Varonis en action. Nous personnaliserons la session en fonction des besoins de votre organisation en matière de sécurité des données et répondrons à vos questions.
Consultez un exemple de notre évaluation des risques liés aux données et découvrez les risques qui pourraient subsister dans votre environnement. Cette évaluation est gratuite et vous montre clairement comment procéder à une remédiation automatisée.
Suivez-nous sur LinkedIn, YouTube et X (Twitter) for pour obtenir des informations sur tous les aspects de la sécurité des données, y compris la DSPM, la détection des menaces, la sécurité de l’IA et plus encore.