AI act : Exigences techniques, Informations fournies et Documentation technique

Par Guillaume Promé
le
1 Oct. 2024 IA act, Logiciel

[article initialement publié le 18/10/2023]

Le règlement relatif aux intelligences artificielles définit des exigences applicables aux IA à haut risque, elles visent les produits et les informations fournies. Les preuves du respect des exigences sont compilées par le fournisseur d’IA dans une documentation technique.

Ci-dessous, sont repris :

  • La liste des exigences techniques sur les IA à haut risque
  • La liste des exigences relatives aux instructions d’utilisation
  • Le contenu attendu de la documentation technique

Le dossier se base sur le règlement (UE) 2024/1689.


Exigences techniques

Exactitude, robustesse, (cyber)sécurité (article 15)

Les systèmes d’IA à haut risque doivent avoir un niveau approprié de précision, de robustesse, de sécurité et de cybersécurité. Le respect de ces exigences est soumis à la mise en œuvre de mesures conformes à l’état de la technique.

Les niveaux d’exactitude et les indicateurs de l’exactitude sont indiqués dans la notice d’utilisation.

Les systèmes d’IA à haut risque font preuve de résilience en cas d’erreurs, de défaillances ou d’incohérences.

Des solutions techniques redondantes garantissent la robustesse.

Les systèmes d’IA à haut risque qui continuent leur apprentissage après leur mise sur le marché ou leur mise en service sont développés de telle sorte que les éventuels biais et manipulations des données d’apprentissage soient atténués.

Les systèmes d’IA à haut risque résistent aux tentatives de modification par des tiers non autorisés.

Contrôle humain (article 14)

Une interface homme machine est conçue pour permettre le contrôle humain de l’IA, avant et après la mise sur le marché.

Ce contrôle humain permet de mesurer l’efficacité de l’IA, d’avoir conscience des éventuelles tendances, des biais, d’interpréter les données de sorties, de décider d’utiliser ou non l’IA, d’interrompre son fonctionnement…

Génération automatique de journaux (article 19)

Les systèmes d’IA à haut risques incluent des fonctions d’enregistrements automatiques d’événements (journaux) relatifs aux dysfonctionnements du système.

Exigences spécifiques de transparence (article 50)

Le règlement a des exigences de transparence propres à certaines IA :

  1. IA destinés à interagir avec des personnes (les IA doivent informer l’utilisateur de leur nature d’IA).
  2. IA de reconnaissance des émotions ou de catégorisation biométrique (les IA doivent renseigner l’utilisateur au sujet du fonctionnement du système).
  3. IA qui génère ou manipule des images ou des contenus audio ou vidéo présentant une ressemblance avec des personnes, des objets, des lieux ou d’autres entités ou événements existants et pouvant être perçus à tort comme authentiques ou véridiques : les « hypertrucage » (les IA doivent préciser aux utilisateurs que les contenus ont été générés ou manipulés artificiellement).

Protection de l’environnement

Les exigences de la proposition de modification de juin 2023 n’ont pas été retenus, elles incluaient : l’intégration des fonctionnalités d’enregistrement de la consommation d’énergie, de mesure de l’utilisation des ressources et de l’incidence environnementale pendant toutes les étapes du cycle de vie.

Informations fournies aux déployeurs (article 13)

Les informations fournies doivent permettre à l’utilisateur de comprendre le fonctionnement de l’IA et ses limites.

Les informations fournies incluent :

  • les capacités, limite et performances de l’IA, selon les profils d’utilisateurs
  • les informations relatives à l’exactitude (y compris les indicateurs utilisés), la robustesse, les mesures de cybersécurité
  • les référence aux tests de validation,
  • la liste des situations dangereuses identifiées,
  • des explications sur le fonctionnement de l’IA,
  • la liste des mesures de contrôle humain implémentées,
  • la durée de vie attendue
  • les mesures de maintenance, de suivi
  • les moyens d’accès aux journaux enregistrés

Documentation technique (annexe IV)

La documentation technique permet de démontrer le respect des exigences règlementaires pour les IA à haut risque, elle inclut :

  1. Une description générale du système d’IA, notamment : destination, nature des données susceptibles d’être traitées, catégories de personnes susceptibles d’être concernées ou visées ; interaction avec d’autre matériel informatique, description de l’interface des déployeurs; instructions détaillées et aisément intelligibles pour interpréter les résultats du système d’IA ; exemples de scénarios pour lesquels le système ne devrait pas être utilisé…
  2. Une description détaillée des éléments du système d’IA et du processus de développement, notamment : méthodes et étapes pour le développement, recours à des systèmes ou outils pré-entraînés fournis par des tiers ; description de l’architecture, des spécifications de conception, des algorithmes et des structures des données ; principaux choix de conception ; exigences relatives aux données ; manière dont les données ont été obtenues et sélectionnées ; procédures d’étiquetage ; méthodes de nettoyage des données ; évaluation des mesures de contrôle humain ;  procédures de validation et de test utilisées ;   mesures de cybersécurité…
  3. Les informations détaillées sur la surveillance, le fonctionnement et le contrôle du système d’IA, en particulier en ce qui concerne les capacités et les limites du système sur le plan des performances, y compris le degré d’exactitude ; la description de l’adéquation des paramètres de performance au système d’IA ; les informations sur la consommation d’énergie…
  4. Une description des indicateurs de performance
  5. Une description détaillée du système de gestion des risques.
  6. Une description de toute modification éventuelle pertinente apportée par les fournisseurs au système.
  7. Une liste des normes harmonisées, autres normes pertinentes et spécifications communes appliquées.
  8. Une copie de la déclaration UE de conformité.
  9. Une description détaillée du système de surveillance après commercialisation.