Juridique

Les commissaires aux comptes attendent l'omnibus de l'AI Act

Les commissaires aux comptes attendent l'omnibus de l'AI Act
Garance Mathias (à gauche), avocate en droit des technologies avancées et des données personnelles, fondatrice du cabinet Mathias Avocats et Sophie Largeaud-Proust (à droite), DPO et chief confidentiality officer du cabinet Deloitte. (Photo : E.D.)

Comme ailleurs, l'IA creuse son sillon chez les commissaires aux comptes, avec des contraintes particulièrement fortes de conformité et de confidentialité. La préparation à l'AI Act, dans sa version omnibus, devient un enjeu central, mais complexe pour la profession.

PublicitéL'audit comptable fait partie des métiers qui ont pris de plein fouet l'arrivée de l'IA générative, et, depuis peu, de son corollaire agentique. Recherche et synthèse documentaires, rapprochements comptables, contrôles de premier niveau... Autant de rôles que les commissaires aux comptes s'essaient à confier à l'IA. C'est ce thème de la transformation de l'audit par l'IA que son instance représentative, la Compagnie nationale des commissaires aux comptes (CNCC), a choisi pour sa journée sur la confiance numérique organisée à Paris, le 9 mars. Sophie Largeaud-Proust, DPO (data protection officer) et chief confidentiality officer du cabinet Deloitte, en charge en particulier de la conformité à l'AI Act, et Garance Mathias, avocate en droit des technologies avancées et des données personnelles, fondatrice et dirigeante de Mathias Avocats, ont très pragmatiquement analysé cette transformation. Elles en ont exposé les défis et les risques.

Les deux intervenantes ont aussi insisté sur les obligations légales et réglementaires, actuelles et à venir, qui s'imposent avec la technologie. Que l'on parle de l'AI Act, voire du RGPD dans ce nouveau contexte de l'IA, mais aussi des postures et bonnes pratiques à tenir pour respecter le secret professionnel, par exemple, en utilisant l'IA. Pour Sophie Largeaud-Proust, également membre de la commission « transformation numérique et IA » de la CNCC, la situation des cabinets d'audit face à l'AI Act en particulier s'apparente à celle à laquelle ils faisaient face il y a près de 10 ans au moment du déploiement du RGPD. « Cette fois, cependant, la réglementation est plus complexe et s'étend au-delà de la seule protection des données personnelles », insiste-t-elle. Garance Mathias rappelle, en effet, que l'AI Act se déploie par étapes et que « la première, en vigueur depuis 2024, concerne l'interdiction des IA à risque inacceptable, qui touchent aux libertés fondamentales », autrement dit, à l'absence de discrimination, à la liberté d'opinion, à l'absence de notation sociale, à la lutte contre les biais, à la protection contre les hallucinations, etc. Première conséquence, pour Sophie Largeaud-Proust, il est logique de confier ce chantier de surveillance et de gouvernance de l'IA « à quelqu'un qui travaille déjà sur le sujet avec un double regard ». Autrement dit au DPO, qui « s'appuie sur ses deux jambes, juridique et technique ».

En attendant l'AI Act omnibus

Mais Garance Mathias prévient : « l'AI Act est bel et bien entré en application en août 2024, un mois après sa publication », mais elle estime qu'il est probablement urgent d'attendre, puisque l'Union européenne s'est engagée dans une version omnibus, c'est-à-dire simplifiée, du règlement. Après la publication du rapport Draghi en septembre 2024, appelant entre autres à simplifier des règlements réputés entraver la compétitivité des entreprises européennes, l'UE a en effet décidé de s'engager dans cette démarche omnibus incluant l'AI Act, le Data act, le RGPD, Dora et Nis2.

PublicitéOr, cette mouture omnibus n'est encore qu'à l'état de projet, comme tient à le souligner l'avocate. « Nous ne disposons ni des normes techniques ni des codes de bonne conduite ni des labels à respecter pour le déploiement des IA et le calendrier de sa mise en application a été décalé, résume-t-elle. Alors, comment faire pour mettre en place l'IA, que ce soit dans les cabinets ou avec les clients ? Tout cela va dans le sens d'un "prenons le temps" de la simplification, du recul, de l'analyse. » Pour l'avocate, il est d'autant plus important d'attendre que l'AI Act est complexe et surtout, « qu'il s'agit d'une approche par les risques. Cela nécessite donc une approche guidée par les propres cas d'usage de chaque cabinet. »


Pour Garance Mathias, fondatrice de Mathias Avocats, « les données envoyées à l'IA doivent être pseudonymisées ou anonymisées. Il faut vérifier où elles sont stockées et si le fournisseur les conserve. Et si on n'est pas capable de réduire le risque, c'est simple, il faut renoncer ! »

Très concrètement, pour se mettre en conformité avec l'interdiction de déployer des systèmes inacceptables entrée en vigueur le 2 février 2025, Sophie Largeaud-Proust conseille de réaliser, comme son cabinet l'a fait, un inventaire de ses systèmes d'IA pour s'assurer qu'il ne disposent pas de ce type de systèmes. Et ce, même si les cabinets d'audit ont peu de chance d'être concernés, puisqu'on parle d'utilisation de techniques de manipulation, de catégorisation biométrique ou de reconnaissance des émotions sur la base de données biométriques. En revanche, la DPO de Deloitte insiste sur la nécessité de s'assurer désormais que les processus d'approbation des outils qu'un cabinet développe avec de l'IA intègrent l'identification de ce risque. L'obligation entrée en vigueur en février 2025 concerne qui plus est la mise en place d'un dispositif de contrôle interne rigoureux tout au long du cycle de vie de l'IA, depuis la conception jusqu'au déploiement et à l'utilisation, et d'un certain nombre de garde-fous pour réduire les risques à un niveau acceptable.

Bien au-delà du RGPD

Garance Mathias rappelle que le règlement européen sur l'IA est un texte très ambitieux et une première mondiale : « il ne faut pas oublier qu'un des fondements de la construction de l'Union européenne, c'est la protection de nos libertés et de nos droits fondamentaux. » Pour autant, cet arsenal de protection des données, des citoyens et des entreprises, déployé sur le territoire de l'Union à l'heure de l'IA, a-t-il un intérêt réel face à des menaces venant d'ailleurs, d'outre-Atlantique par exemple ? Garance Mathias qui préfère ne pas employer le terme extraterritorialité, souvent utilisé à mauvais escient, selon elle, explique que ces textes portent aussi la volonté d'exporter ce schéma de protection à tous les acteurs qui veulent cibler le marché européen. « Avec le recul de près de 10 ans sur le RGPD, on voit que cela fonctionne, estime l'avocate. Nous avons des lieux de stockage et d'archivage en Europe. Des réflexes ont été créés. Et il faut espérer que cela soit la même chose avec l'AI Act. C'est une réglementation que nous devons porter, même sous sa forme simplifiée, et qui est aussi là pour défendre nos principes fondamentaux, fondateurs, écrits dans le droit. Cela implique de mettre l'humain au coeur de la gouvernance de l'IA.».


Pour Sophie Largeaud-Proust, DPO de Deloitte, il est logique de confier le chantier de surveillance et de gouvernance de l'IA « à quelqu'un qui travaille déjà sur le sujet avec un double regard juridique et technique, autrement dit au DPO ». (Photo : E.D.)

Deuxième sujet majeur, en particulier pour un métier comme celui de commissaire aux comptes, le contrôle et la fiabilité des informations reçues des outils exploitant l'IA. Outre la formation et l'acculturation à partir de cas d'usage métiers, il est intéressant de disposer d'une charte IA, selon Garance Mathias, éventuellement annexée au règlement intérieur, voire une modification des contrats de travail pour prévoir les usages acceptés, tolérés et les finalités par rapport au cas d'usage. « Il faut absolument mettre à jour cette charte au minimum une fois par an, insiste l'avocate. Le mot clé, c'est l'esprit critique. »

Bannir les comptes gratuits

Pour les petits cabinets qui voudraient travailler directement avec des LLM publics comme ChatGPT par exemple, « les bonnes pratiques relèvent simplement du bon sens », estime Garance Mathias. Être attentif à la confidentialité, par exemple, c'est vérifier où se trouvent les plateformes d'hébergement des données traitées par le modèle, lire les conditions générales d'utilisation pour vérifier que l'IA ne capte pas la propriété intellectuelle, mais aussi tout simplement, ne jamais laisser le nom d'un client sur un document envoyé à l'IA. « Les données envoyées à l'IA doivent être pseudonymisées ou anonymisées et il faut vérifier où elles sont stockées et si le fournisseur les conserve. Et si on n'est pas capable de réduire le risque, c'est simple, il faut renoncer ! », assène Garance Mathias.

Pour Sophie Largeaud-Proust, systématiquement ouvrir un compte payant sur une IA publique est une autre garantie sans laquelle « toutes vos données vont appartenir à l'IA. Tout votre savoir-faire va l'enrichir. Ce sont les mêmes débats que pour la cyberhygiène ». Ce à quoi Garance Mathias ajoute que le paramétrage de la confidentialité dans l'outil ne suffit absolument pas. « On peut faire compléter le contrat avec le fournisseur ou le prestataire pour tenir compte de ces sujets de manière à aller au-delà de la déclaration d'intention sur leur site. Une mention en ligne de 'zero day retention', par exemple, qui indique que le fournisseur détruit les données utilisées après 24 heures, ne suffit pas. Cela doit faire l'objet d'une modification du contrat. »

Partager cet article

Commentaire

Avatar
Envoyer
Ecrire un commentaire...

INFORMATION

Vous devez être connecté à votre compte CIO pour poster un commentaire.

Cliquez ici pour vous connecter
Pas encore inscrit ? s'inscrire

    Publicité

    Abonnez-vous à la newsletter CIO

    Recevez notre newsletter tous les lundis et jeudis