Le Royaume-Uni trace sa propre voie en matière de réglementation de l’IA
Alors que l’Union européenne a adopté une approche prescriptive, législation d’abord, pour la gouvernance de l’IA avec l’EU AI Act, le Royaume-Uni a délibérément choisi une voie différente. Après le Brexit, le gouvernement britannique s’est positionné comme un leader mondial de l’innovation en IA — et son cadre réglementaire reflète une philosophie fondamentalement différente.
Pour les organisations opérant au Royaume-Uni, dans l’UE, ou dans les deux juridictions, comprendre ces différences n’est pas optionnel. Se tromper signifie soit étouffer l’innovation par une sur-conformité, soit exposer votre organisation à des mesures réglementaires par une sous-conformité.
L’approche britannique : pro-innovation, pilotée par secteur
Le cadre réglementaire britannique pour l’IA, défini dans le livre blanc de 2023 “A Pro-Innovation Approach to AI Regulation” et renforcé par des déclarations politiques ultérieures, repose sur cinq principes fondamentaux :
- Sécurité, sûreté et robustesse — Les systèmes d’IA doivent fonctionner de manière sécurisée et comme prévu
- Transparence et explicabilité — Les organisations doivent être en mesure d’expliquer leurs décisions d’IA de manière appropriée
- Équité — L’IA ne doit pas porter atteinte aux droits légaux des individus ni créer de discrimination injuste
- Responsabilité et gouvernance — Des lignes de responsabilité claires pour les résultats de l’IA doivent exister
- Contestabilité et recours — Les personnes doivent pouvoir contester les décisions d’IA qui les affectent
Point crucial, le Royaume-Uni n’a pas créé de loi unique et centralisée sur l’IA. Au lieu de cela, il habilite les régulateurs sectoriels existants — la FCA pour les services financiers, l’ICO pour la protection des données, Ofcom pour les communications, la CMA pour la concurrence, la MHRA pour la santé — à interpréter et appliquer ces principes dans leurs propres domaines.
En quoi cela diffère de l’EU AI Act
Législation vs. Principes
L’EU AI Act est un règlement contraignant avec des obligations juridiques spécifiques, des classifications de risques, des calendriers de conformité et des pénalités pouvant atteindre 35 millions d’euros ou 7 % du chiffre d’affaires mondial. Le cadre britannique est basé sur des principes et s’appuie sur les régulateurs existants pour émettre des orientations et appliquer des normes au sein de leurs secteurs.
Ce que cela signifie en pratique : Une organisation basée dans l’UE peut lire l’AI Act et savoir exactement ce qui est requis pour un système d’IA « à haut risque ». Une organisation basée au Royaume-Uni doit consulter les orientations de plusieurs régulateurs pour comprendre ce qui est attendu — et la réponse peut varier selon le secteur.
Classification des risques
L’EU AI Act définit quatre niveaux de risque — inacceptable, élevé, limité et minimal — avec des systèmes spécifiques assignés à chaque catégorie. Les pratiques interdites incluent la notation sociale et la surveillance biométrique en temps réel (avec des exceptions limitées).
Le Royaume-Uni n’a pas de système formel de classification des risques pour l’IA. Au lieu de cela, les organisations sont censées évaluer le risque de manière proportionnelle en fonction du contexte, les régulateurs sectoriels fournissant des orientations spécifiques à leur domaine. Le Royaume-Uni a également adopté une position plus permissive sur des technologies comme la reconnaissance faciale, autorisant des cas d’usage policiers qui feraient face à des restrictions importantes dans le cadre de l’UE.
Évaluation de la conformité
L’EU AI Act exige que les systèmes d’IA à haut risque fassent l’objet d’évaluations de conformité avant d’être mis sur le marché, avec des obligations de surveillance continues. Certaines catégories nécessitent une évaluation par un tiers par des organismes notifiés.
Le Royaume-Uni n’a pas d’évaluation préalable à la mise sur le marché obligatoire équivalente pour les systèmes d’IA. La conformité est surveillée par les canaux réglementaires existants — la supervision des entreprises financières par la FCA, l’application de la loi sur la protection des données par l’ICO, et ainsi de suite.
IA à usage général et modèles de fondation
L’EU AI Act comprend des dispositions spécifiques pour les modèles d’IA à usage général (GPAIs), exigeant transparence, documentation technique et — pour les modèles présentant un risque systémique — des tests contradictoires et des rapports d’incidents.
L’approche britannique des modèles de fondation a évolué à travers l’AI Safety Institute (AISI), qui effectue des tests volontaires pré-déploiement de modèles de pointe. L’accent est mis sur la collaboration avec les développeurs plutôt que sur des exigences obligatoires, bien que le gouvernement ait signalé que des pouvoirs statutaires pourraient suivre si les approches volontaires s’avèrent insuffisantes.
Application et pénalités
L’EU AI Act crée un nouveau Bureau européen de l’IA avec des pouvoirs d’application directs et des pénalités financières substantielles. Le Royaume-Uni s’appuie sur les régulateurs existants, chacun avec ses propres mécanismes d’application et régimes de pénalités. L’ICO peut déjà imposer des amendes allant jusqu’à 17,5 millions de livres sterling ou 4 % du chiffre d’affaires mondial pour des violations de la protection des données impliquant l’IA.
L’AI Safety Institute : l’atout unique du Royaume-Uni
L’AI Safety Institute britannique, créé à la suite du Sommet sur la sécurité de l’IA de 2023 à Bletchley Park, représente une capacité qui n’a pas d’équivalent direct dans l’UE. L’AISI mène des recherches techniques sur la sécurité de l’IA, effectue des évaluations de modèles d’IA de pointe et développe des méthodologies de test pour les capacités avancées de l’IA.
Bien que l’AISI n’ait pas de pouvoirs d’application réglementaire, ses évaluations ont un poids considérable. Les organisations développant ou déployant des systèmes d’IA avancés au Royaume-Uni sont de plus en plus censées s’engager avec les cadres d’évaluation de l’AISI comme démonstration d’un développement responsable de l’IA.
Ce que les organisations britanniques doivent faire maintenant
1. Cartographier votre paysage réglementaire
Identifiez quels régulateurs sectoriels ont juridiction sur vos systèmes d’IA. La plupart des organisations relèveront de plusieurs régulateurs — une banque utilisant l’IA pour des décisions de crédit doit considérer simultanément les règles de la FCA, les exigences de protection des données de l’ICO et les obligations de l’Equality Act.
2. Mettre en œuvre une gouvernance proportionnée
Même sans loi unique sur l’IA, les organisations britanniques font face à de véritables obligations de conformité à travers la législation existante : le Data Protection Act 2018, l’Equality Act 2010, la loi sur la protection des consommateurs, les réglementations spécifiques au secteur et les obligations de diligence de common law. Un cadre de gouvernance de l’IA robuste répond à tous ces éléments.
3. Se préparer à l’évolution
Le gouvernement britannique a explicitement déclaré que l’intervention statutaire reste une option si l’approche basée sur les principes ne fournit pas une protection adéquate. Le paysage réglementaire de l’IA continuera d’évoluer, et les organisations devraient construire des cadres de gouvernance suffisamment flexibles pour s’adapter aux exigences futures.
4. Considérer les implications transfrontalières
Les organisations britanniques servant des clients de l’UE ou traitant des données de résidents de l’UE doivent se conformer à l’EU AI Act pour ces activités, quelle que soit l’approche nationale du Royaume-Uni. De même, les organisations de l’UE opérant au Royaume-Uni doivent répondre aux attentes réglementaires britanniques. La double conformité est une réalité pour de nombreuses entreprises.
Conformité à l’EU AI Act : toujours pertinente pour les entreprises britanniques
Même les entreprises purement axées sur le Royaume-Uni devraient prêter attention à l’EU AI Act pour plusieurs raisons :
- Accès au marché : Tout système d’IA mis sur le marché de l’UE doit se conformer à l’AI Act, quel que soit l’endroit où il a été développé
- Exigences de la chaîne d’approvisionnement : Les clients de l’UE peuvent imposer des exigences de conformité à l’AI Act aux fournisseurs britanniques
- L’effet Bruxelles : La réglementation de l’UE tend à devenir la norme mondiale de facto, comme on l’a vu avec le GDPR. S’aligner maintenant sur l’AI Act peut éviter une adaptation coûteuse ultérieure
- Attentes des investisseurs et des clients : Démontrer la conformité avec la réglementation la plus complète au monde sur l’IA signale maturité et fiabilité
Comment LittleData peut vous aider
Naviguer dans le paysage britannique multi-régulateurs de l’IA nécessite à la fois une expertise technique et des connaissances réglementaires. La plateforme LittleData.ai suit la conformité aux cadres réglementaires britanniques parallèlement aux exigences de l’EU AI Act, vous offrant une vue unifiée de vos obligations à travers les juridictions.
Nos services de sécurité IA incluent l’analyse des lacunes réglementaires, la conception de cadres de gouvernance et la surveillance continue de la conformité adaptée aux organisations britanniques. Que vous opériez uniquement au Royaume-Uni, dans l’UE ou à l’échelle mondiale, nous vous aidons à construire une gouvernance de l’IA qui répond à toutes les exigences applicables sans surcharge inutile.
Contactez notre équipe pour discuter de vos exigences de conformité en matière d’IA au Royaume-Uni.