Dans la logique de gestion des risques suivie par le Règlement européen sur l’intelligence artificielle, les systèmes d’IA à haut risque sont soumis à des obligations spécifiques en matière de sécurité. Ces obligations se rapportent à plusieurs niveaux de la réglementation applicable.
Système de gestion de la qualité
La sécurité d’un système d’IA ne peut être efficacement assurée sans procédures efficaces de gestion de qualité tout au long du cycle de vie de la solution.
Le Règlement sur l’IA impose donc d’intégrer dans la conception, le développement et l’exploitation des systèmes d’IA à haut risque des procédures de détection des vulnérabilités, et des procédures visant à leur élimination.
Ces exigences doivent s’envisager dans toute la chaine contractuelle et sont donc à intégrer dans les contrats relatifs à ces systèmes d’IA. La collaboration des déployeurs des systèmes d’IA constitue également un élément important en vue de permettre une réaction rapide suite à la découverte de vulnérabilités lors de l’utilisation du système d’IA.
Des procédures de gestion des incidents et de reporting régulier doivent ainsi être organisées, en veillant à couvrir tous les intervenants, y compris les éventuels fournisseurs de jeux de données d’entraînement.
Documentation du suivi
Compte tenu de l’importance des obligations en matière de sécurité et des impacts potentiels de vulnérabilités affectant un système d’IA, il convient, en fonction de la nature de son utilisation et des risques liés, de ne pas négliger une documentation appropriée de toutes les mesures mises en place et de leur application effective par les différents intervenants.
Il s’agit d’éléments importants à répercuter dans les contrats, car ils peuvent s’avérer cruciaux pour établir, en cas de problème, la mise en place de mesures de sécurité proportionnelles au risque lié au système d’IA concerné.
Procédure de contrôle
Dans la mesure où le fournisseur du système d’IA est soumis à une procédure de vérification de la conformité de son système d’IA aux exigences du Règlement sur l’IA, il est essentiel pour lui d’obtenir la pleine collaboration de ses partenaires contractuels lors de ces procédures d’évaluation, ainsi que lors d’éventuelles procédures d’audit faisant suite à un incident ultérieur.
Les conventions doivent donc inclure des obligations de collaboration, ainsi que la possibilité pour le fournisseur du système d’IA de solliciter un audit lorsqu’il détecte des indices de non-conformité.
Our advice:
Les exigences en matière de sécurité des systèmes d’IA constituent un aspect important à couvrir dans les contrats relatifs à la conception, au développement et à l’exploitation des systèmes d’IA à haut risque.
La mise en place ou l’utilisation de systèmes d’IA à haut risque ne peut donc être envisagée sans des dispositions appropriées dans les contrats organisant toute la chaine du système d’IA.