Un report des obligations haut risque qui rebat les cartes pour les CINO
Le vote du Parlement européen du 24 avril 2024, qui a entériné le report de certaines obligations liées aux systèmes d’intelligence artificielle à haut risque, crée un nouveau tempo stratégique pour les directions de l’innovation. En repoussant l’entrée en vigueur d’une partie des exigences de l’AI Act pour les systèmes listés à l’annexe III (par exemple les usages en recrutement, scoring de crédit ou accès à l’éducation), le législateur offre un délai mais ne modifie ni le niveau de risque ni la pression réglementaire globale sur les systèmes d’IA déjà en usage dans les grandes entreprises. Ce report, prévu dans le règlement « digital omnibus » adopté en parallèle du texte principal et confirmé dans le calendrier officiel de mise en œuvre publié par la Commission, ajuste la trajectoire de mise en conformité sans toucher aux sanctions maximales prévues par le règlement (jusqu’à 35 millions d’euros ou 7 % du chiffre d’affaires mondial, selon la version consolidée).
Pour un Chief Innovation Officer, ce décalage des obligations relatives aux systèmes haut risque ne doit pas être lu comme une suspension du risque mais comme une fenêtre pour structurer un véritable système de gestion de la conformité IA. Les obligations de formation à l’intelligence artificielle, les pratiques interdites et les règles applicables aux modèles d’IA à usage général restent en vigueur, ce qui impose déjà une évaluation de l’usage des systèmes et une première cartographie des applications critiques. Dans ce contexte, le report des obligations AI Act pour les systèmes d’IA à haut risque jusqu’en 2027 devient un sujet de gouvernance d’entreprise, au même titre que la cybersécurité ou la protection des données personnelles, avec un pilotage rapproché par les CINO et les directions juridiques. Un exemple concret : un groupe qui traite 50 000 candidatures par an via un outil de présélection automatisée doit dès maintenant documenter les critères utilisés, mesurer les écarts de taux de sélection entre groupes protégés et définir un seuil d’alerte (par exemple un ratio de sélection inférieur à 0,8) déclenchant une revue humaine renforcée.
Le rôle de la Commission européenne reste central, car elle pilote la législation et l’harmonisation des pratiques de surveillance du marché dans les différents États membres. Les CINO doivent donc anticiper les actes d’exécution et les lignes directrices de la Commission, attendus à partir de 2025 selon le calendrier indicatif annexé au compromis final, qui préciseront les modalités d’évaluation de la conformité et les attentes en matière de documentation technique pour chaque système haut risque. Comme l’a rappelé le rapporteur Brando Benifei lors des débats parlementaires et dans sa note explicative accompagnant le texte, l’objectif est de « garantir un niveau élevé de protection tout en laissant aux entreprises le temps d’adapter leurs systèmes ». En pratique, cela signifie d’ores et déjà de préparer l’enregistrement des systèmes, de clarifier les responsabilités entre fournisseurs, déployeurs de systèmes et partenaires technologiques, et de sécuriser les droits fondamentaux des utilisateurs finaux dans chaque cas d’usage, en s’appuyant sur les définitions et obligations détaillées dans les articles 6 à 29 du règlement.
Un sursis qui n’annule ni la conformité ni les risques opérationnels
Le report des obligations pour les systèmes d’IA à haut risque ne modifie pas la nature des risques liés à la santé et à la sécurité, ni les enjeux de sécurité des droits fondamentaux dans les cas d’usage sensibles comme le recrutement, le scoring de crédit ou le diagnostic médical. Les CINO qui pilotent des projets d’applications d’IA dans les ressources humaines, la finance ou la santé doivent déjà intégrer les exigences de contrôle humain, de transparence et de traçabilité, même si la mise sur le marché sous le régime complet de l’AI Act est décalée. Dans cette perspective, le décalage des obligations de conformité jusqu’en 2027 doit être traité comme un jalon de transformation des systèmes, et non comme une simple date de conformité juridique ou un exercice de mise à jour documentaire, avec des livrables concrets : procédures de revue humaine, registres de décisions automatisées, tableaux de bord de risques et rapports d’audit périodiques.
Les obligations des fournisseurs de modèles et les obligations des déployeurs de systèmes convergent progressivement vers un même socle : documentation technique robuste, évaluation de la conformité, gestion du risque et surveillance du marché après la mise sur le marché initiale. Les CINO doivent donc structurer un système de gestion des risques IA qui couvre à la fois les modèles à usage interne, les modèles à usage externe et les modèles à usage général fournis par des tiers, en clarifiant les obligations des fournisseurs de modèles et des intégrateurs. Dans cette optique, les cas d’usage d’IA agentique interne décrits dans des analyses spécialisées sur la manière d’éviter le syndrome du pilote permanent constituent un terrain d’expérimentation utile pour tester les processus de contrôle humain et de supervision continue, avant de les généraliser aux systèmes classés haut risque. Un cas chiffré de scoring de crédit illustre cette approche : une banque qui traite 10 000 demandes de prêt par mois peut définir des indicateurs clés (taux de refus global, écart de taux d’acceptation entre segments, pourcentage de décisions revues manuellement) et fixer des seuils d’alerte (par exemple une dérive de plus de 5 % sur un mois) déclenchant une analyse approfondie du modèle.
Les signaux envoyés par le Parlement et la Commission montrent que la logique de réglementation ne sera pas assouplie, mais plutôt affinée pour mieux cibler les systèmes haut risque et les systèmes d’IA à usage général. Le report obtenu via le paquet digital omnibus doit donc être utilisé pour aligner les roadmaps d’innovation avec les exigences de législation et harmonisation, en intégrant dès la conception les exigences de documentation technique, d’enregistrement et d’évaluation de la conformité. Pour un CINO, un plan d’action minimal comprend : 1) établir un inventaire des systèmes d’IA existants et prévus, 2) identifier ceux susceptibles d’entrer dans l’annexe III, 3) définir une gouvernance IA avec des rôles clairs, 4) lancer un premier cycle d’audit de données et de modèles, 5) préparer un modèle de dossier technique réutilisable par les équipes projets. Ce modèle peut inclure une fiche de cas d’usage, une description fonctionnelle, une analyse d’impact sur les droits fondamentaux, une matrice de risques, un protocole de tests, un plan de surveillance post-déploiement et un jeu d’indicateurs (taux d’erreur, biais mesurés, fréquence des incidents) mis à jour au moins trimestriellement.
Transformer la contrainte réglementaire en avantage compétitif pour l’innovation
Les CINO qui considèrent le report des obligations de l’AI Act pour les systèmes d’IA à haut risque à l’horizon 2027 comme un simple sujet de conformité passent à côté d’un levier d’innovation organisationnelle et technologique. En structurant dès maintenant des bacs à sable réglementaires internes, articulés avec les futurs bacs à sable supervisés par la Commission européenne et les autorités nationales, il devient possible de tester des systèmes haut risque dans un cadre contrôlé, avec une évaluation de la conformité intégrée au cycle d’innovation. Cette approche permet de sécuriser la mise sur le marché de nouveaux services, tout en démontrant une capacité de maîtrise des risques qui rassure les conseils d’administration, les comités d’audit et les régulateurs sectoriels. Une mini-checklist opérationnelle pour ces bacs à sable peut inclure : désigner un sponsor exécutif, définir des critères d’entrée et de sortie, documenter chaque itération de modèle, organiser une revue éthique mensuelle et produire un rapport synthétique partagé avec la direction des risques.
Les secteurs les plus exposés, comme la santé ou la banque, peuvent s’inspirer des avancées technologiques dans le domaine des vaccins pour structurer une gouvernance de l’innovation qui articule rigueur scientifique, documentation technique et itérations rapides. En pratique, cela implique de définir des modèles d’usage clairs, de documenter les modifications de modèles et de suivre les performances des systèmes dans le temps, avec une surveillance du marché organisée dès la phase pilote. Les directions de l’innovation qui travaillent déjà sur la refonte de leurs plateformes digitales, par exemple lors d’une refonte de site e-commerce orientée innovation business, peuvent intégrer nativement les exigences de contrôle humain, de sécurité des droits et de santé et sécurité dans leurs cahiers des charges, en les reliant explicitement aux catégories de risques de l’AI Act. Des indicateurs concrets peuvent être suivis : taux de décisions automatisées contestées, délai moyen de traitement des recours, pourcentage de cas d’usage disposant d’une analyse d’impact formalisée et fréquence des audits (par exemple un audit de biais semestriel sur les modèles critiques).
À terme, les entreprises qui auront anticipé la mise en conformité de leurs systèmes d’intelligence artificielle à haut risque disposeront d’un avantage compétitif sur un marché où la confiance devient un critère de sélection aussi important que la performance technique. La capacité à démontrer une documentation technique complète, une évaluation de la conformité rigoureuse et une gouvernance claire entre fournisseurs de modèles, déployeurs de systèmes et fonctions métiers deviendra un argument commercial décisif. Dans ce paysage, les CINO qui orchestrent la transformation de leurs systèmes et de leurs usages autour d’un cadre de régulation exigeant feront de l’AI Act non pas un frein, mais un catalyseur d’innovation responsable, capable de soutenir durablement la croissance et la différenciation. Le report des obligations jusqu’en 2027, tel que formalisé dans le compromis final et les communications officielles de la Commission, doit ainsi être traité comme un horizon de maturité : définir des jalons annuels, fixer des objectifs chiffrés de couverture des cas d’usage critiques (par exemple 100 % des systèmes à haut risque dotés d’un dossier technique complet et d’indicateurs de performance et de biais suivis en continu) et rendre compte régulièrement aux organes de gouvernance.