IA à haut risque : êtes-vous prêt pour 2026 ?

Dès 2026, toute organisation développant ou déployant des systèmes d’intelligence artificielle à haut risque devra impérativement être en conformité avec le règlement européen sur l’IA, l’IA Act . Si vous êtes concerné, le compte à rebours a déjà commencé.

Mise en conformité dès 2026

L’intelligence artificielle transforme nos vies, nos métiers, nos décisions. Mais derrière cette révolution technologique, se cachent aussi des risques : pour notre santé, notre sécurité, nos libertés individuelles... et même pour nos démocraties.

Face à ces enjeux, l’Union européenne a adopté un cadre réglementaire ambitieux. L’IA Act interdit certains usages jugés inacceptables et impose aux systèmes à haut risque de passer par une étape clé : l’analyse d’impact sur les droits fondamentaux.

Comment identifier les risques que l’IA fait peser sur nos droits et libertés, et surtout, quels plans d’action mettre en place pour en limiter les dérives ? Quelle démarche suivre pour établir une analyse d'impact sur les droits fondamentaux d’un système IA ? Explications et réponses avec nos experts CGI Business Consulting.

Les 6 étapes de l’analyse d’impact sur les droits fondamentaux

L’analyse d’impact ressemble dans l’esprit à celle exigée par le RGPD avec quelques spécificités propres à l’IA :

1. Identification du périmètre et des rôles des parties prenantes. Cette étape est identique à celle décrite dans le guide AIPD publié par la CNIL.
2. Identification des processus et des destinataires. Cela requiert l’évaluation du niveau de risques duquel relève le système IA, et l’identification des éléments de conformité, en particulier le type d'apprentissage et les processus d'utilisation.
3. Vérification du respect des exigences, notamment l’exigence d’inclure des contrôles humains.
4. Étude des impacts sur les droits et libertés des personnes et sur les droits fondamentaux :
   • Analyse et évaluation de la gravité des impacts prévisibles sur les droits fondamentaux des personnes affectées par le système IA.
   • Mise en lumière des risques spécifiques pour les personnes marginalisées ou les groupes vulnérables.
5. Analyse des mesures existantes et des menaces plausibles, notamment menaces spécifiques aux algorithmes IA (empoisonnement des données du modèle, invasion de modèles, etc.)
6. Établissement du plan d'action et mise en avant des risques résiduels. Cette étape est identique à celle décrite dans le guide AIPD publié par la CNIL.

Pour faciliter cette analyse, la documentation sur le système d’intelligence artificielle (SIA) telle que la modélisation fonctionnelle, un dossier d'architecture technique, une analyse des risques cybersécurité ou une AIPD (outil qui permet de construire un traitement conforme au RGPD) seront utilisables comme entrants.

Les résultats de l’analyse d’impact doivent être transmis à l'autorité nationale compétente.

Quand réaliser l’analyse d'impact ?

L’analyse d’impact sur les droits fondamentaux est obligatoire avant la mise sur le marché de tout système IA à haut risque, à partir du deuxième trimestre 2026. Anticiper cette échéance est crucial pour éviter toute sanction et garantir que vos systèmes respectent pleinement les exigences légales.

Quelles sanctions en cas de non-conformité ?

Les sanctions en cas de non-conformité au règlement sont dissuasives. Elles incluent des amendes financières importantes, pouvant atteindre 7% du chiffre d'affaires annuel global, en fonction de la gravité de la violation. De plus, des sanctions administratives comme l'interdiction d'utiliser le système concerné peuvent être imposées. Des poursuites judiciaires peuvent aussi être engagées si l'absence de conformité entraîne des préjudices pour les individus. Enfin, des mesures correctives obligatoires, comme la réalisation de l'analyse a posteriori, peuvent être exigées.

Au-delà de ces sanctions, c’est votre réputation qui est en jeu. Une IA mal encadrée peut entraîner une perte de confiance de vos clients, partenaires ou collaborateurs.

Chez CGI Business Consulting, nous mettons à votre disposition notre expertise en gouvernance de l’IA, analyse d'impact, et tests d'intrusion pour vous aider à déployer des systèmes IA éthiques, sécurisés et conformes. Nous vous accompagnons dans toutes les étapes de votre transformation numérique, en vous garantissant une conformité avec les régulations en vigueur et en anticipant les évolutions législatives. Notre objectif : faire de votre conformité une force stratégique.