Que doit-on savoir sur l’AI Act ?

L’AI Act, c’est un règlement européen publié l’été dernier, en juillet 2024 : c’est le premier règlement au monde qui encadre de manière globale l’utilisation de l’intelligence artificielle ! C’est un texte ambitieux qui vise à protéger les citoyens européens tout en préservant l’innovation.

Ce qu’il faut bien avoir en tête, c’est l’approche par les risques. Le règlement définit quatre catégories :

1. Les IA interdites ou IA à risque inacceptable : Ces systèmes sont totalement interdits car jugés contraires aux valeurs européennes. Il s’agit, par exemple, des systèmes de notation sociale (social scoring).
2. Les IA à haut risque : Ces systèmes nécessitent une conformité stricte avant leur mise sur le marché. Cela concerne notamment les IA utilisées pour évaluer la solvabilité des personnes ou établir leur note de crédit, ou des IA déployées dans le cadre de dispositifs médicaux d’aide au diagnostic.
3. Les IA à risque limité : Ces systèmes sont soumis à des obligations de transparence. Ces IA sont, par exemple, des chatbots, des systèmes permettant la reconnaissance vocale ou la traduction automatique des documents.
4. Enfin, l’AI Act prévoit des dispositions spécifiques et graduées pour les systèmes d’IA à usage général, comme les LLM (Large Language Model).

L’application de l’AI Act est progressive, elle a commencé en février 2025 avec les IA interdites et devrait se terminer à l’été 2027 pour les autres catégories d’IA.

Les sanctions peuvent atteindre 7 % du chiffre d’affaires consolidé de l’entreprise, ce qui montre la détermination européenne à faire respecter ce cadre.

En quoi le traitement documentaire est-il affecté ?

Dans le traitement documentaire, on peut faire appel à de l’IA pour du machine learning, du deep learning ou dans le cadre de certains algorithmes, du clustering par exemple. On entre alors dans le champ d’application de l’AI Act.

C’est notre cas chez Tessi. Prenons l’exemple de l’OCR[1] enrichi par l’IA, celui de nos solutions d’extraction automatique d’informations. Ces technologies, que nous utilisons quotidiennement pour traiter des millions de documents, embarquent de l’intelligence artificielle. Dans leur usage actuel – extraction et vérification d’informations – elles sont classées en risque limité.

Mais, le niveau de risque peut évoluer selon le contexte d’utilisation. Si demain nous intégrons de la biométrie pour l’authentification de documents, par exemple, nous changerons de catégorie. C’est pourquoi nous adoptons dès maintenant une approche « AI by design » : intégrer les principes de transparence, d’éthique et de respect des droits fondamentaux dès la conception de nos systèmes.

Comment articuler AI Act et RGPD ? Faut-il tout reprendre à zéro ?

Non, et c’est une excellente nouvelle pour les entreprises qui ont bien travaillé sur le RGPD !

Les deux règlements sont complémentaires. Le RGPD a posé les bases de la protection des données personnelles, l’AI Act vient compléter ce dispositif avec des exigences spécifiques à l’intelligence artificielle et ce, pour toutes sortes de données.

La grande nouveauté, c’est la définition des obligations selon les rôles des organismes (fournisseur, déployeur, importateur, etc.). L’IA Act met l’accent sur le principe d’explicabilité. Là où le RGPD demandait de protéger les données et d’informer les personnes concernées, l’AI Act impose de pouvoir expliquer comment l’algorithme prend ses décisions. C’est la fin de la « black box » : il faut documenter les données d’entraînement, identifier les biais potentiels, expliquer la logique décisionnelle.

Tout système d’IA utilisé dans l’UE est concerné, qu’il soit propriétaire, externe, open source ou développé hors Europe. Le fournisseur – même international – doit garantir la conformité technique de son système et peut désigner un représentant autorisé dans l’UE si nécessaire. L’entreprise utilisatrice (le « déployeur ») reste responsable de l’usage approprié du système et doit notamment respecter les exigences de surveillance humaine et de transparence. L’article 25 du règlement établit clairement les responsabilités tout au long de la chaîne de valeur de l’IA, garantissant qu’aucun acteur ne puisse se défausser en invoquant l’origine externe ou internationale de la solution déployée. De plus, tout acteur qui modifie un système d’IA à haut risque est considéré comme un nouveau fournisseur et doit respecter les obligations correspondantes.

Il est aussi important de garder à l’esprit les spécificités sectorielles. Dans la santé, le traitement de documents médicaux cumule les contraintes AI Act, RGPD et réglementation santé, par exemple. Dans la banque, s’ajoutent les obligations KYC et LCB-FT, etc. Chaque secteur apporte ses propres couches d’exigences.

Quelle méthodologie recommandez-vous pour se mettre en conformité ?

Notre expérience chez Tessi nous a permis d’identifier six étapes clés.

1. D’abord, établir une gouvernance dédiée avec un pilote et une task force transverse – l’AI Act touche autant la technique que le juridique ou le business.
2. Ensuite, communiquer et sensibiliser largement, car l’adhésion des équipes est essentielle pour progresser efficacement. Il faut s’assurer que chacun comprend l’importance de la conformité.
3. La troisième étape, cruciale, c’est le recensement exhaustif des cas d’usages de l’IA. Chez Tessi, nous avons mené un audit approfondi avec nos équipes techniques pour cartographier tous nos systèmes. Mais attention, ce n’est pas un exercice ponctuel ! Nous l’actualisons en permanence, grâce à processus de notification qui permet de suivre les évolutions.
4. Vient ensuite l’évaluation des risques selon les critères de l’AI Act.
5. Puis, la mise en place des mesures adaptées : clauses contractuelles, documentation technique, procédures…
6. Enfin, prévoir des audits réguliers pour maintenir la conformité dans le temps.

Quel regard portez-vous sur ces nouvelles contraintes réglementaires ?

Il faut les voir comme des opportunités ! C’est toute notre philosophie chez Tessi. Nos clients nous confient des données extrêmement sensibles – bulletins de salaire, pièces d’identité, documents médicaux… Pouvoir leur garantir une conformité AI Act exemplaire, c’est renforcer la relation de confiance qui est au cœur de notre métier.

Nous allons d’ailleurs au-delà du minimum légal et avons à cœur de prouver nos propos. Nous prévoyons une certification ISO 42001 sur l’IA, nous faisons auditer nos pratiques par des cabinets externes, nous avons rédigé une charte éthique… Bien plus qu’une contrainte réglementaire et juridique, c’est une vraie valeur ajoutée et un formidable levier de différenciation !

Garantissez la compliance de vos processus métiers et les conditions de leur externalisation,

[1] La reconnaissance optique de caractères (ROC, ou OCR pour l’anglais optical character recognition)