AfterMachine RAG

Les systèmes d’IA à haut risque sont les suivants :
1. Identification biométrique et catégorisation des personnes physiques.
2. Gestion et exploitation des infrastructures critiques (gaz, chaleur, électricité).
3. Éducation et formation professionnelle (détermination de l'accès ou évaluation).
4. Emploi, gestion de la main-d’œuvre et accès à l’emploi (recrutement, promotion, résiliation).
5. Accès aux services publics et privés essentiels (octroi de prestations, évaluation du crédit, services d'urgence).
6. État de droit et administration de la justice.

1. La documentation technique d’un système d’IA à haut risque est établie avant la mise sur le marché ou la mise en service du système et est tenue à jour. 2. La documentation technique est établie de telle manière qu’elle démontre que le système d’IA à haut risque satisfait aux exigences énoncées dans le présent chapitre et fournit aux autorités nationales compétentes les informations nécessaires pour évaluer la conformité.

1. Les systèmes d’IA à haut risque sont conçus et développés de telle sorte qu’ils atteignent, tout au long de leur cycle de vie, un niveau approprié de précision, de robustesse et de cybersécurité. 2. Les niveaux de précision et les paramètres de précision correspondants sont documentés. 3. Les systèmes d’IA à haut risque sont résilients face aux tentatives de tiers non autorisés d’altérer leur utilisation ou leurs performances en exploitant les vulnérabilités du système.

Un système d'IA est considéré comme étant à haut risque s'il est destiné à être utilisé en tant que composant de sécurité d'un produit ou si le système d'IA est lui-même un produit couvert par la législation d'harmonisation de l'Union figurant à l'annexe II et qu'il est soumis à une évaluation de la conformité par un tiers.

1. Un système de gestion des risques est établi, mis en œuvre, documenté et maintenu en ce qui concerne les systèmes d’IA à haut risque. 2. Le système de gestion des risques consiste en un processus itératif continu exécuté tout au long du cycle de vie d’un système d’IA à haut risque, qui nécessite une mise à jour régulière et systématique. Il comprend les étapes suivantes: a) l’identification et l’analyse des risques connus et prévisibles; b) l’estimation et l’évaluation des risques susceptibles de survenir...

Sous-entrée RAG : catégories “haut risque” liées à la biométrie / identification (voir texte officiel EUR-Lex, Annexe III).

Sous-entrée RAG : regroupement/complément (Annexe III). À affiner si besoin.

1. Les systèmes d’IA à haut risque qui utilisent des techniques impliquant l’entraînement de modèles avec des données sont développés sur la base de jeux de données d’entraînement, de validation et de test qui répondent aux critères de qualité énoncés aux paragraphes 2 à 5. 2. Les jeux de données d’entraînement, de validation et de test font l’objet de pratiques de gouvernance et de gestion des données appropriées.

Exigences : gestion des risques, données, documentation, traçabilité/logs, transparence, supervision humaine, robustesse & cybersécurité.

1. La Commission et le Bureau de l’IA encouragent et facilitent l’élaboration de codes de conduite fondés sur des critères de test et des meilleures pratiques pour favoriser l’application volontaire, par les fournisseurs de systèmes d’IA autres que ceux à haut risque, des exigences énoncées au chapitre II.

Le Canada prépare un cadre réglementaire (AIDA) visant à prévenir les préjudices causés par les systèmes d'IA à haut risque, avec un accent particulier sur la protection de la vie privée et la sécurité des citoyens.

En cas de violation de données à caractère personnel, le responsable du traitement en notifie la violation à l'autorité de contrôle compétente (CNIL) dans les meilleurs délais et, si possible, 72 heures au plus tard après en avoir pris connaissance, à moins que la violation en question ne soit pas susceptible d'engendrer un risque pour les droits et libertés des personnes physiques. Lorsque la notification n'a pas lieu dans les 72 heures, elle est accompagnée des motifs du retard.

1. Lorsqu'un type de traitement, en particulier par le recours à de nouvelles technologies, et compte tenu de la nature, de la portée, du contexte et des finalités du traitement, est susceptible d'engendrer un risque élevé pour les droits et libertés des personnes physiques, le responsable du traitement effectue, avant le traitement, une analyse de l'impact des opérations de traitement envisagées sur la protection des données à caractère personnel.

Analyse d’impact requise si risque élevé ; exemples de cas ; documentation.

Notification à l’autorité (et parfois aux personnes) selon le risque ; délais ; contenu.

S'inspirant de l'AI Act européen, le projet de loi brésilien classe également les systèmes d'IA selon leur niveau de risque. Il met l'accent sur la protection des droits de l'homme, la prévention de la discrimination algorithmique et la garantie d'une intervention humaine significative.

Le Japon a renforcé en 2024 les obligations de notification en cas de violation de données et a élargi les droits des individus à demander l'arrêt de l'utilisation de leurs données en cas de risque pour leurs droits ou intérêts légitimes, maintenant ainsi son adéquation avec l'UE.