De Europese AI Act, aangenomen door het Europees Parlement op 13 maart 2024 en gepubliceerd in het Publicatieblad van de EU op 12 juli 2024, herstructureert de productontwikkelingscycli ver voorbij wat de meeste trendanalyses beschrijven. De verboden praktijken (sociale scoring, biometrische identificatie in real-time in de openbare ruimte) zijn van toepassing zes maanden na de inwerkingtreding. De verplichtingen met betrekking tot systemen met een hoog risico treden in werking na 24 maanden.
We zien al aanpassingen bij SaaS-oplossingsleveranciers die anticiperen op de classificatie van hun modellen.
Verder lezen : De nieuwste trends in industriële onderhoudstechnologie
AI Act: concrete verplichtingen voor leveranciers van algemene modellen
De verordening maakt een onderscheid tussen systemen met een hoog risico en algemene modellen (GPAI). Voor laatstgenoemden moeten leveranciers de trainingsdatasets documenteren, een gedetailleerde samenvatting van de gebruikte inhoud publiceren en voldoen aan de richtlijn inzake auteursrecht. Modellen die een systemisch risico met zich meebrengen (criteria voor rekenkracht tijdens de training) zijn onderworpen aan strengere verplichtingen: adversarial testing, melding van ernstige incidenten, beoordeling van de cyberbeveiliging.
Dit kader vereist een verandering van houding voor de productteams. Naleving wordt niet langer aan het einde van de pijplijn beheerd, maar al vanaf de fase van gegevensverzameling. Juridische afdelingen, die tot nu toe weinig betrokken waren bij de ML-cyclus, worden belanghebbenden in het technische ontwerp.
Ook interessant : Ontdek de onmisbare schatten van de Côte d'Émeraude in Bretagne
We raden aan om de tech-artikelen op Atypique Info te volgen om te begrijpen hoe deze verplichtingen zich vertalen in de verschillende sectoren.
Franse nationale strategie voor generatieve AI: soberheid en open modellen
Frankrijk heeft in maart 2024 zijn nationale strategie voor generatieve AI gepubliceerd, opgebouwd rond drie pijlers: veiligheid van modellen, vermindering van de ecologische voetafdruk van AI-infrastructuren, en ontwikkeling van grote open Franstalige modellen.
De pijler soberheid steekt af tegen de dominante discours over de race naar macht. De steun voor open source is gericht op het verminderen van de afhankelijkheid van Amerikaanse leveranciers van foundation models. Het project “Le Grand Défi: Vertrouwelijke AI” financiert onderzoek naar lichtere en transparantere architecturen.
De eis tot transparantie van leveranciers, opgenomen in deze strategie, anticipeert op de bepalingen van de AI Act over GPAI-modellen. Franse bedrijven die generatieve AI ontwikkelen of integreren, staan voor een dubbele kader: nationaal (strategie) en Europees (verordening). Het negeren van een van beide kan leiden tot kostbare herpositioneringen binnen 12-18 maanden.
Intellectuele eigendom en trainingsdata
De kwestie van de intellectuele eigendom van trainingsdata blijft het belangrijkste punt van frictie. De Franse strategie benadrukt het respect voor auteursrecht, in lijn met de AI Act die een samenvatting vereist van de beschermde inhoud die voor training is gebruikt. Inhoudsleveranciers en rechthebbenden hebben nu een regelgevend instrument om het ongeoorloofd gebruik van hun producties aan te vechten.
Voor bedrijven die modellen trainen op eigen datasets, wordt de traceerbaarheid van gegevens een volwaardige technische vereiste. De datastromen moeten metadata over herkomst integreren, wat de architectuur van bestaande data lakes verandert.
Post-kwantum cyberbeveiliging: lopende cryptografische migratie
De kwantumdreiging voor huidige cryptografische systemen heeft het theoretische domein verlaten. Veiligheidsagentschappen raden aan om nu al de migratie naar algoritmen die bestand zijn tegen kwantumcomputing te starten. Het concept van “harvest now, decrypt later” (verzamelen van versleutelde gegevens vandaag om ze te ontsleutelen wanneer een kwantumcomputer beschikbaar is) maakt deze migratie urgent voor sectoren die omgaan met gegevens met een lange levensduur: gezondheidszorg, defensie, financiële diensten.
- Volledige cryptografische inventaris: in kaart brengen van alle algoritmen die in productie-systemen worden gebruikt, inclusief transitieve afhankelijkheden in derde partij bibliotheken
- Prioritering op basis van gegevensgevoeligheid: stromen met persoonlijke of geclassificeerde gegevens migreren als eerste, interne systemen van lagere kritiek volgen
- Interoperabiliteitstests: nieuwe post-kwantum algoritmen genereren grotere sleutels en handtekeningen, wat bestaande netwerkprotocollen die zijn afgestemd op huidige formaten kan verstoren
- Hybride overgangsplan: tijdelijk een dubbele versleuteling (klassiek + post-kwantum) implementeren om de achterwaartse compatibiliteit tijdens de migratie te waarborgen
Deze overgang is niet slechts een verandering van bibliotheek. Het raakt TLS-certificaten, VPN’s, elektronische handtekeningen, en infrastructuren met openbare sleutels. Bedrijven die deze audit uitstellen, lopen het risico op een technische schuld die moeilijk te verhelpen is onder tijdsdruk.
Industriële cloud en sectorale platforms: verder dan generieke IaaS
De hyperscalers bieden nu sector-specifieke cloudplatforms aan (gezondheidszorg, productie, financiën). Deze aanbiedingen bevatten vooraf gestructureerde datamodellen, native business connectors en sectorale regelgevingscertificeringen. De interesse voor bedrijven ligt in de vermindering van de integratietijd en de “by design” naleving.
We merken dat deze verticalisering de machtsverhouding tussen IT-afdelingen en bedrijfsfuncties verandert. De bedrijfsafdelingen krijgen toegang tot kant-en-klare technologische bouwstenen, wat de afhankelijkheid van interne infrastructuurteams vermindert. De rol van de IT-afdeling evolueert naar governance, arbitrage tussen platforms en het beheer van leverancierslock-in risico’s.
Risico van lock-in en multi-cloud strategie
Het aannemen van een sectorcloud betekent een sterke koppeling met een eigen ecosysteem accepteren. De draagbaarheid van gegevens en workflows blijft beperkt tussen concurrerende platforms. Organisaties die massaal investeren in een verticaal platform moeten vooraf de terugkeerclausules onderhandelen en de exportformaten documenteren.
Multi-cloud, vaak gepresenteerd als de oplossing, genereert zijn eigen kosten: duplicatie van vaardigheden, netwerkcomplexiteit, en vermenigvuldiging van aanvalsvlakken op het gebied van cyberbeveiliging. De keuze tussen een geïntegreerd sectorcloud en een multi-cloudarchitectuur hangt af van het niveau van volwassenheid van de IT-governance van elke organisatie.
De technologische trends van 2024 beperken zich niet tot de adoptie van generatieve AI. Het Europese regelgevingskader, de Franse strategie voor open modellen, de post-kwantum cryptografische migratie en de verticalisering van de cloud hertekenen de prioriteiten van technische afdelingen. Bedrijven die deze onderwerpen als opgelegde beperkingen beschouwen, in plaats van als differentiatie-instrumenten, accumuleren een structurele achterstand die moeilijk in te halen is.