Comme elle l'a fait pour la protection des données, l'Union européenne a tiré le premier coup de semonce significatif en matière de régulation des technologies numériques avec sa loi sur l'intelligence artificielle (AI Act) récemment adoptée. Et bien sûr, en tant que comptables, nous ne sommes pas étrangers aux complexités réglementaires, mais cette loi européenne ouvre une toute nouvelle boîte de Pandore pour quiconque exerce une activité dans la région.
Toute entreprise qui développe, déploie ou utilise des systèmes d'IA au sein de l'UE est concernée, même si votre entreprise est établie ailleurs. Et avant d'arrêter votre lecture en vous disant que vous n'offrez pas, ou n'offrirez pas, de services d'IA à vos clients de l'UE, marquez peut-être une pause et reconsidérez la question.
L'IA présente tant d'avantages concurrentiels pour les comptables, tant dans les services en relation avec la clientèle que dans les fonctions support, que je ne pense pas qu'un cabinet comptable puisse se permettre de l'ignorer. L'IA pourrait être introduite dans les services en relation avec la clientèle tels que le reporting et les analyses financières, la détection des fraudes, la planification et l'optimisation fiscales, et le conseil financier personnalisé. Les applications de l'IA dans les fonctions support pourraient inclure la saisie automatisée des données, l'optimisation et la priorisation des flux de travail, la détection des anomalies et la formation des collaborateurs.
La nouvelle loi, en bref
L'AI Act, entré en vigueur le 1er août 2024 et qui se déploiera au cours des 24 à 36 prochains mois, constitue la tentative la plus complète au monde de réguler la technologie de l'IA. Il affirme vouloir protéger les personnes contre les préjudices tout en encourageant l'innovation. Il aurait bien sûr été insensé pour l'UE d'adopter une approche fondée sur des règles – toute règle relative à l'IA serait dépassée avant même de voir le jour. Au lieu de cela, la loi adopte une approche fondée sur le risque, étayée par un ensemble de principes directeurs.
Une boîte de Pandore numérique
Lorsque j'ai commencé à réfléchir aux idées de cet article, il y avait autant de questions sur le sujet que de personnes dans la pièce. Les questions allaient de savoir si la loi introduisait des failles que des acteurs malveillants s'empresseraient d'exploiter, à savoir si le RGPD et d'autres lois n'en couvraient pas déjà une grande partie – avons-nous seulement besoin de lois spécifiques à l'IA ? Et qu'en est-il du paradoxe selon lequel l'IA a besoin de quantités massives de données pour être précise, alors que nous devons aussi protéger les droits individuels sur les données ? Autre paradoxe : on dit aux entreprises que l'IA est la clé pour libérer compétitivité, innovation, productivité et amélioration du service, et pourtant, si elles enfreignent cette loi, les amendes pourraient mettre le cabinet en faillite.
Bien entendu, une grande partie de ces détails se précisera au fil des mois et des années, à mesure que la loi se déploiera. Mais il s'agit d'un sujet complexe, qui constituera probablement un tournant dans l'évolution d'une technologie à très fort impact ; il mérite donc qu'on s'y attarde dès aujourd'hui.
La méthode du RGPD
La question la plus pertinente pour nous, comptables qui proposons des services d'IA à des clients dans l'UE, est de savoir comment cela affecte nos entreprises aujourd'hui et à l'avenir. L'AI Act suit une méthode similaire à celle du Règlement général sur la protection des données (RGPD). Si vous voulez exercer une activité dans l'UE, vous devrez vous y conformer. Cela signifie que toute entreprise qui développe, déploie ou utilise des systèmes d'IA au sein de l'UE, même si elle est établie à l'étranger (ce qui, après le Brexit, inclut le Royaume-Uni), relève du champ d'application de cette loi.
La chaîne d'approvisionnement de l'IA
C'est là que je commence à être mal à l'aise. Je maintiens mon affirmation selon laquelle chaque entreprise est, ou sera, une entreprise dotée d'IA. Vous utilisez très probablement l'IA tous les jours sans vous en rendre compte (pensez aux filtres anti-spam). Vos collaborateurs utilisent assurément l'IA pour faire leur travail, notamment en sollicitant ChatGPT pour leurs recherches et en recourant à des preneurs de notes et des transcripteurs de réunion automatiques pour fluidifier leur journée.
Mais même si nous utilisons l'IA dans nos entreprises, il est peu probable que nous développions réellement l'IA nous-mêmes ou que nous ayons un grand contrôle sur la façon dont elle est conçue. Prenez les chatbots de service client. Certes, l'entreprise a un rôle à jouer dans la mise en place d'un chatbot, en fournissant notamment des données et des informations propres à l'entreprise, et en testant le bot. Cependant, c'est le fournisseur qui réalisera l'essentiel du travail, de la mise à disposition de l'outil d'IA central et de l'infrastructure jusqu'au traitement du langage naturel et à l'intégration du chatbot dans les systèmes existants.
Et même votre fournisseur de chatbot n'a très probablement pas développé l'intelligence artificielle de toutes pièces. En son cœur se trouvera la technologie de l'un des géants technologiques américains – Google, Microsoft, Amazon, Apple et Meta – entourée de la personnalisation et de l'innovation de votre fournisseur.
Où s'arrête désormais la responsabilité en matière d'IA ?
On pourrait donc raisonnablement soutenir que, dans ce cas, la responsabilité ultime incombe aux géants technologiques qui construisent l'intelligence artificielle centrale alimentant tout ce qui est bâti par-dessus ? Pourtant, la formulation de la loi indique que c'est le prestataire de services auprès du résident de l'UE, c'est-à-dire votre entreprise ou la mienne, qui est responsable. En cas de problème de conformité, devons-nous alors nous retourner en amont par une action récursoire ? Devons-nous auditer nos fournisseurs informatiques sur la base de leur conformité ? Ou devons-nous cloisonner nos services européens et en retirer l'IA ? (Cela peut sembler dramatique, mais cela se produit déjà. En raison de préoccupations liées à la confidentialité des données au titre du RGPD, Facebook n'a pas rendu disponible en Europe l'un de ses modèles d'IA.)
Je n'ai pas encore les réponses. Mais la révolution de l'IA dans la comptabilité ne se profile pas à l'horizon – elle est là. Et c'est compliqué. À défaut d'autre chose, cela devrait vous inciter à considérer que l'IA doit figurer à votre ordre du jour aujourd'hui, et non dans cinq ou dix ans. En relevant ces défis réglementaires de manière proactive, nous pouvons nous positionner pour nous conformer et prospérer dans ce nouveau paysage économique. Les cabinets qui s'adapteront rapidement à cette nouvelle réalité seront ceux qui conduiront notre profession vers l'avenir.
Tel que publié dans AccountingWeb - septembre 2024