IA, cybersécurité et législation numérique : adaptation constante

Au cœur des transformations numériques actuelles, l’intelligence artificielle (IA) et la cybersécurité jouent un rôle central. Si elles offrent des perspectives d’innovations inégalées, elles posent également de nouveaux défis en matière de protection des données et de gestion des risques numériques.

L’Europe a tenté de poser un cadre qui, nécessairement, doit être en constante évolution. Emmanuelle Houdet, DPO Externe, Associée du cabinet PiaLab et autrice aux Editions ENI, revient dans deux de ses articles disponibles dans la Bibliothèque ENI elearning sur ces défis liés à l’IA et à la cybersécurité, ainsi que sur les efforts législatifs européens pour y faire face. On vous en donne un aperçu…

Dans son article « Protection des données et intelligence artificielle », Emmanuelle Houdet aborde très rapidement la menace potentielle que représente l’intelligence artificielle pour la sécurité informatique. Mais elle rappelle :

L’IA pour renforcer la cybersécurité

Grâce à des algorithmes de machine learning et de deep learning, l’IA est capable d’analyser d’énormes volumes de données pour détecter des anomalies ou des comportements suspects dans les réseaux en temps réel. Ces technologies permettent ainsi de prévenir des cyberattaques avant qu’elles ne se produisent, en identifiant des patterns de comportements malveillants que les systèmes traditionnels peinent à détecter.

Emmanuelle Houdet insiste également sur l’importance de la rapidité dans la réponse aux incidents, affirmant que l’IA permet non seulement de détecter des menaces en temps réel, mais également de répondre instantanément en isolant un système infecté ou en appliquant des règles de sécurité. Cette capacité à automatiser la réponse à des attaques permet de renforcer la résilience des infrastructures.

Les risques liés à l’utilisation de l’IA

Cependant, l’utilisation de l’IA dans la cybersécurité comporte évidemment des risques. Les mêmes algorithmes qui permettent de renforcer la sécurité des systèmes peuvent également être détournés à des fins malveillantes ! Emmanuelle Houdet évoque cette réalité, notant que l’IA, tout comme elle peut renforcer la sécurité, peut aussi être utilisée à des fins frauduleuses, telles que la création de deepfakes ou le développement de logiciels malveillants.

En outre, les modèles d’IA eux-mêmes peuvent devenir des cibles privilégiées pour les cybercriminels. Des attaques visant à manipuler les données utilisées pour entraîner les algorithmes, ou même à altérer les résultats fournis par ces systèmes, sont désormais des menaces concrètes. Ce type d’attaque, souvent qualifié de “poisoning”, peut compromettre la fiabilité et l’intégrité des décisions prises par les IA. Les attaques par manipulation des données d’IA représentent un risque important, mais souvent sous-estimé.

Les défis législatifs européens : Une réponse cohérente et progressive

Face à ces défis, l’Union Européenne a pris des mesures significatives pour encadrer l’utilisation de l’IA et assurer une cybersécurité renforcée à l’échelle européenne. Plusieurs textes législatifs ont été adoptés ou sont en cours de préparation pour établir un cadre réglementaire solide, équilibrant innovation et sécurité.

Le RGPD : une première pierre angulaire

Le Règlement Général sur la Protection des Données (RGPD), adopté en 2018, a marqué un tournant en matière de protection des données personnelles en Europe. Bien qu’il ne s’applique pas spécifiquement à l’IA, il a posé des bases essentielles en matière de transparence et de consentement pour le traitement des données.

Comme le rappelle Emmanuelle Houdet dans son article, « L’évolution de la législation numérique en Europe : un cadre en constante adaptation », le RGPD a jeté les bases d’une prise de conscience européenne sur la nécessité de protéger les données personnelles.

Le RGPD a également introduit le droit à l’explication, ce qui est particulièrement pertinent pour l’IA. En effet, pour de nombreux systèmes d’IA, il est essentiel de comprendre comment et pourquoi une décision a été prise par la machine. Cette exigence de transparence se retrouve également dans le cadre de l’IA Act, qui impose des obligations similaires aux entreprises déployant des systèmes d’intelligence artificielle.x²

Notre spécialiste revient également sur la liste des principaux textes européens en matière de législation numérique :

• Directive 95/46/CE et RGPD
• Directive 2013/40/UE – Cybercriminalité
• Directive 2016/1148 (Directive NIS)
• Cybersecurity Act (2019)
• Directive (UE) 2022/2555 (NIS2 Directive, 2022)
• Digital Markets Act (DMA) et Digital Services Act (DSA), 2022
• Digital Operational Resilience Act (DORA), règlement (UE) 2022/2554 et directive (UE) 2022/2556
• Le règlement sur l’intelligence artificielle de l’Union européenne, IA Act

L’IA Act : encadrer l’innovation responsable

Le Règlement sur l’intelligence artificielle, ou IA Act, adopté par le Parlement européen en mars 2024, est l’un des textes les plus attendus pour encadrer l’utilisation de l’IA en Europe.

« Il vise principalement à établir un cadre réglementaire harmonisé pour le développement et la mise en œuvre de l’IA en Europe. Les objectifs annoncés sont multiples :

• Assurer la sécurité et les droits fondamentaux ;
• Favoriser l’innovation et la compétitivité ;
• Instaurer la confiance. »

Ce règlement établit ainsi un cadre basé sur le risque, classant les applications de l’IA en fonction de leur niveau de dangerosité. L’IA act a également fait émerger l’implémentation de mesures de conformité et la mise en place de mécanismes de surveillance et de contrôle.

Les systèmes d’IA à haut risque, tels que ceux utilisés dans les secteurs de la santé, de la finance ou de la sécurité publique, seront soumis à des exigences strictes en matière de conformité, notamment en ce qui concerne la gestion des données, la transparence des algorithmes, et la surveillance humaine des décisions. Les entreprises devront également effectuer des évaluations de risques avant le déploiement de leurs systèmes d’IA et mettre en place des mécanismes de gouvernance adaptés.

Comment les entreprises doivent-elles se préparer ?

Les entreprises doivent non seulement se conformer à ces nouvelles législations, mais aussi anticiper leur évolution. Les règles régissant l’IA et la cybersécurité deviennent de plus en plus strictes, et leur non-respect peut entraîner des sanctions importantes, pouvant atteindre jusqu’à 7% du chiffre d’affaires mondial d’une entreprise pour non-conformité à l’IA Act.

Cela peut passer par exemple par la mise en place d’une équipe dédiée à la gestion des risques numériques, la cartographie des systèmes d’IA utilisés, la vérification de la qualité des données et des annotations utilisées pour entraîner les modèles d’IA…

La conformité au RGPD et à l’IA Act doit être intégrée dans le cœur des stratégies de gouvernance des données et de cybersécurité des entreprises. Emmanuelle Houdet souligne qu’une intégration proactive de la conformité dans les processus internes est essentielle pour éviter des risques juridiques et sécuritaires importants.

Conclusion : Construire l’avenir numérique

Alors que l’IA et la cybersécurité deviennent des piliers incontournables de l’innovation numérique, leur régulation est plus essentielle que jamais.

L’Union Européenne a pris des mesures législatives ambitieuses pour garantir que l’IA soit utilisée de manière responsable, tout en favorisant un environnement propice à l’innovation. Ce sont sur ces mesures autour de la protection des données et de l’intelligence artificielle et l’évolution de la législation numérique en Europe qu’Emmanuelle Houdet apporte un éclairage indispensable dans ses deux articles.

Livre