L’AI Act n’est pas un frein à l’innovation, considère le BCG
Avec l’AI Act, certains systèmes d’IA seront interdits dès le 2 février. Les entreprises doivent dès à présent former leurs équipes et anticiper les prochaines mesures en Europe et ailleurs. En ce sens, le Boston Consulting Group recommande d’instaurer une gouvernance globale afin de se conformer aux réglementations et de s’en servir comme un levier d’innovation.
Les premières mesures de l’AI Act, la réglementation européenne sur l’IA (RIA), deviennent juridiquement contraignantes le 2 février 2025. Pour rappel, la législation classe les systèmes d’IA selon une échelle des risques. Dimanche, ce sont les systèmes d’IA représentant un risque inacceptable qui seront interdits.
Risques inacceptables : peu d’entreprises concernées
Cela concerne en premier lieu les systèmes biométriques utilisant des « caractéristiques sensibles » (conviction politique, race, opinion religieuse, orientation sexuelle, etc.), l’extraction d’images de visages « non ciblée » et sans autorisations préalables alimentant des systèmes de reconnaissance faciale, la reconnaissance d’émotions au travail, les systèmes de notation sociale et les systèmes de manipulation des personnes. Le profilage de personnes susceptibles de commettre une infraction pénale sans preuve et sans mandat est également interdit.
La très grande majorité des entreprises ne déploient pas ces applications. Les grands groupes ont néanmoins conduit des audits afin de vérifier qu’ils n’étaient pas concernés par cette disposition.
« À partir de dimanche, [les entreprises] devront faire preuve de beaucoup plus de professionnalisme dans leurs initiatives en matière d’IA. »
Kirsten RulfPartenaire et directrice associée, Boston Consulting Group
« Nous avons accompagné de nombreux clients et les avons aidés à déterminer s’ils avaient l’un de ces cas d’usage interdits. D’après ma propre expérience, très peu d’entreprises ont trouvé l’un de ces cas d’utilisation », témoigne Kirsten Rulf, partenaire et directrice associée chez Boston Consulting Group. « J’ai travaillé avec une entreprise qui avait plus de 1 700 cas d’usage et nous n’en avons pas trouvé un seul qui tombait sous le coup de ces pratiques interdites en matière d’IA ».
De janvier 2019 à avril 2023, Kirsten Rulf était la directrice de l’unité politique numérique à la Chancellerie fédérale d’Allemagne. Un élément important pour cerner son point de vue.
« Il ne s’agit pas d’une date limite ou d’une loi quelconque qui entre en vigueur. Elle marque la fin d’une période et le début d’une nouvelle ère dans la mise à l’échelle de l’IA », poursuit-elle. « Jusqu’à présent, les entreprises avaient la possibilité d’autoriser ce type de mise à l’échelle et d’expérimentation de l’IA. Mais à partir de dimanche, elles devront faire preuve de beaucoup plus de professionnalisme dans leurs initiatives en matière d’IA. Celles-ci seront beaucoup plus ciblées et (plus important encore) certains cas d’usage ne seront plus autorisés ».
« Maîtrise de l’IA » : la formation, une obligation
Et d’ajouter qu’une autre exigence, souvent oubliée, entre en vigueur ce 2 février.
« La plupart des employés des entreprises doivent désormais être formés à l’IA », indique la directrice associée.
C’est en effet un élément inscrit à l’article 4 de l’AI Act. « Les fournisseurs et les déployeurs de systèmes d’IA prennent des mesures pour garantir, dans toute la mesure du possible, un niveau suffisant de maîtrise de l’IA pour leur personnel et les autres personnes s’occupant du fonctionnement et de l’utilisation des systèmes d’IA pour leur compte, en prenant en considération leurs connaissances techniques, leur expérience, leur éducation et leur formation, ainsi que le contexte dans lequel les systèmes d’IA sont destinés à être utilisés », lit-on dans la version en français du RIA. Sans oublier de prévenir les cibles de ces traitements.
Outre le fait de s’assurer que les développeurs et opérateurs des systèmes d’IA sont au fait des lois en vigueur, les employés devront bénéficier d’un niveau minimal de formations. Celles-ci concernent, entre autres, « les risques et ce qu’ils peuvent faire et ne pas faire avec l’IA ».
Dans ce contexte, le Shadow AI, le recours à des outils propulsés à l’IA non validés par l’entreprise, pose une difficulté supplémentaire. « Pour y remédier, deux approches sont essentielles », informe Steve Mills, directeur de l’éthique de l’IA et directeur général et associé chez BCG. « D’une part, le recours à des solutions techniques permettant de surveiller ces systèmes, les intégrer à l’inventaire de l’IA et évaluer les risques associés ; d’autre part, une sensibilisation des employés aux règles et processus à suivre pour assurer une gouvernance adéquate, conformément aux exigences de l’AI Act ».
Se préparer pour la conformité des systèmes d’IA à haut risque
« Les systèmes d’IA à haut risque que l'UE cherche […] à intégrer dans un cadre réglementaire plus strict se retrouvent principalement dans des secteurs essentiels et critiques. »
Kirsten RulfPartenaire et directrice associée, Boston Consulting Group
Le 2 août 2025, ce sont les obligations concernant les modèles de fondation – les très grands modèles d’IA générative – qui seront appliquées. Mais les entreprises doivent plutôt surveiller la date du 2 août 2026. En effet, dans deux ans, les principes concernant les systèmes à haut risque cités à l’annexe III de l’AI Act seront légalement contraignants. L’année suivante, ce seront les mesures dédiées aux systèmes d’IA à haut risque citées à l’annexe II qui s’appliqueront.
« Les systèmes d’IA à haut risque que l’Union européenne cherche […] à intégrer dans un cadre réglementaire plus strict se retrouvent principalement dans des secteurs essentiels et critiques », observe Kirsten Rulf. « Il s’agit, par exemple, des infrastructures stratégiques comme l’énergie, les transports, l’approvisionnement en eau, le gaz et l’électricité », liste-t-elle. « De plus, de nombreux clients constatent que certains outils dédiés à l’éducation et à la formation professionnelle en ressources humaines sont également concernés. Cela ne signifie pas qu’ils doivent disparaître, mais ils sont désormais soumis à des normes et exigences renforcées afin de garantir davantage d’équité ».
La majorité des entreprises dans le flou
Ce travail en cours n’est pas une mince affaire. Selon 72 % des 2 700 dirigeants interrogés, leur entreprise n’est pas prête pour la régulation sur l’IA.
« La majorité [des entreprises] se dit encore mal préparée face aux nouvelles réglementations, malgré l’adoption de l’AI Act il y a six mois. »
Steve MillsDirecteur de l’éthique de l’IA et directeur général et associé, BCG
« Les entreprises reconnaissent la nécessité de mettre en place une gestion de la qualité et des risques pour l’IA, mais la majorité se dit encore mal préparée face aux nouvelles réglementations, malgré l’adoption de l’AI Act il y a six mois », observe Steve Mills. « Elles évoquent deux types de défis : d’une part, un environnement réglementaire complexe, avec des normes qui varient selon les pays et évoluent rapidement, et d’autre part, des obstacles internes, notamment la crainte que la gouvernance freine l’innovation et un manque d’investissements suffisants pour adapter leurs systèmes de gestion des risques à l’évolution rapide de l’IA ».
La nécessité d’instaurer un cadre d’IA responsable à l’échelle de l’entreprise
Selon Kirsten Rulf, c’est l’un des éléments qui fait l’intérêt de l’AI Act.
« Je pense que beaucoup d’entre vous ont entendu dire que la réglementation européenne étouffe l’expérimentation et la mise à l’échelle de l’IA. Mais ce n’est pas ce que nous constatons sur le marché », affirme-t-elle. « Ce que nous constatons, c’est que l’AI Act et d’autres réglementations de ce type mettent en place les garde-fous, le cadre de gestion de la qualité et des risques et le cadre de gouvernance dont l’IA a besoin pour se développer ».
« L’AI Act et d’autres réglementations de ce type mettent en place les garde-fous, le cadre de gestion de la qualité et des risques et le cadre de gouvernance dont l’IA a besoin pour se développer. »
Kirsten RulfPartenaire et directrice associée, Boston Consulting Group
Selon elle, certains risques sont des freins pour le passage à l’échelle de l’IA. Pire, ils peuvent nuire à la valeur commerciale et à la réputation de l’entreprise. « L’AI Act fournit un très bon schéma directeur sur la manière de faire face à ces risques, de résoudre ces problèmes de qualité avant qu’ils ne surviennent. Il s’agit donc d’une véritable sauvegarde de la valeur commerciale que vous souhaitez obtenir », vante Kirsten Rulf.
La recommandation du BCG ? Établir une stratégie et un cadre d’IA responsable à l’échelle de l’entreprise.
« Lorsque nous parlons aux entreprises qui ont des programmes matures de qualité et de risque en matière d’IA, elles font état d’une innovation plus rapide », confirme Steve Mills.
Selon le BCG AI Radar 2025, les entreprises leaders en IA responsable obtiennent de meilleurs résultats que leurs concurrents, avec une croissance des revenus 1,5 fois supérieure et un retour sur capital investi 1,8 fois plus élevé sur une durée de trois ans. Elles bénéficient également d’un rendement total pour les actionnaires 1,2 fois plus important et elles déposent 1,6 fois plus de demandes de brevets.
Si la diversité des réglementations à travers le monde, voire à l’échelle d’un seul pays – comme aux États-Unis – demeure une contrainte, l’adoption d’un programme d’IA responsable à l’échelle permettrait de simplifier la mise en conformité des systèmes d’IA.
« Cela signifie adopter une approche holistique intégrant une stratégie claire, une gouvernance adaptée, des rôles et responsabilités bien définis, ainsi qu’une culture et des processus appropriés. »
Dr Anne KleppeDirectrice et associée, BCG
« Une fois ce cadre en place, il convient de vérifier les spécificités du règlement et de vous assurer, par exemple, que vos modèles de documentation contiennent toutes les sections nécessaires », note Steve Mills. De fait, il y a une forme d’uniformisation des cadres réglementaires : les exigences sont peu ou prou les mêmes d’un pays à l’autre.
Mais selon Dr Anne Kleppe, directrice et associée chez BCG, il faut aller au-delà de l’aspect réglementaire. « Un tel cadre […] doit plutôt définir comment utiliser l’IA et l’IA générative de manière optimale. C’est d’ailleurs l’esprit même de l’AI Act : faire les choses correctement. Pour une organisation, cela signifie adopter une approche holistique intégrant une stratégie claire, une gouvernance adaptée, des rôles et responsabilités bien définis, ainsi qu’une culture et des processus appropriés », assure-t-elle. « Il est également crucial de disposer des outils technologiques nécessaires pour garantir la qualité des systèmes d’IA ».
Il n’est pas trop tard pour dialoguer avec les régulateurs, dixit BCG-X
Concernant l’absence de standards clairs en matière de biais et d’explicabilité, les organismes mandatés par l’Union européenne ont jusqu’à la fin de l’année pour les établir. D’autres éléments d’implémentation de l’AI Act ne sont pas encore fixés.
« Notre principal appel est que les dirigeants d’entreprise s’impliquent activement sur ce sujet et dialoguent avec les régulateurs. »
Sylvain DurantonDirecteur monde , BCG X
Or les entreprises auraient leur mot à dire, selon les experts de BCG et BCG-X. Les applications sectorielles exigent de prendre en compte des spécificités, reconnaît Kirsten Rulf, qui dit avoir manqué de retours de l’industrie quand elle était en poste à la Chancellerie fédérale d’Allemagne.
« Notre principal appel est que les dirigeants d’entreprise s’impliquent activement sur ce sujet et dialoguent avec les régulateurs », affirme Sylvain Duranton, directeur monde de BCG X. « Un chiffre frappant montre que, parmi ceux qui ont contribué à l’élaboration de cette réglementation, seuls 7 % étaient des chefs d’entreprise, les autres proviennent d’autres sphères de la société », ajoute-t-il. « Les grandes entreprises technologiques américaines ont l’habitude de faire entendre leur voix auprès des régulateurs, avec des équipes et des ressources dédiées. En Europe, les entreprises des secteurs pharmaceutique, financier, assurantiel, des transports et de l’industrie doivent également s’assurer que leur point de vue est pris en compte ».
« Pendant la pandémie de COVID-19, un dialogue étroit entre les régulateurs et l’industrie a accéléré le développement des vaccins. Cela prouve que l’engagement du secteur fonctionne, et nous avons besoin du même niveau d’implication avec l’AI Act européen », conclut-il..
Pour approfondir sur IA Responsable, IA durable, explicabilité, cadre réglementaire