Transparence, données et éthique : les enjeux pressants de la réglementation de l'IA

Aujourd'hui, il semble impossible de se passer ou bien de refuser l'utilisation de l'Intelligence Artificielle (IA), notamment générative.

Au regard de cette omniprésence, la définition d’un cadre légal était devenue à la fois nécessaire et urgente. C’est dans ce contexte que l’Union Européenne est parvenue à un accord pour l’adoption de l’IA Act dans la nuit du 8 au 9 décembre dernier. Cette loi a pour but que les modèles d’IA respectent les droits fondamentaux des utilisateurs, la démocratie et l’environnement, tout en stimulant l’innovation sur le territoire européen. Un cadre législatif coercitif est un premier pas pour une IA sécurisée.

Pour utiliser l’IA en toute sécurité, il convient avant tout de comprendre comment celle-ci fonctionne. C’est pourquoi, toute discussion portant sur les risques et les cas d’usages potentiels des technologies d’IA ou de machine learning (ML) doivent répondre à trois questions clés : quels sont les modèles d’IA utilisés ? Quelles sont les données exploitées par ces modèles ? Que produisent ces modèles ?

Transparence et modèles

Avant de parler d’intelligence artificielle, des problématiques claires et une distinction des différentes technologies en jeu sont primordiales afin de ne pas confondre l’IA et le ML. L’engouement médiatique suscité par ChatGPT a brouillé la donne, car il est courant de penser que cet outil est synonyme d’intelligence artificielle ou de machine learning, de la même façon que l’on peut confondre « Google » et « moteur de recherche ».

Premièrement, il est essentiel de comprendre le modèle utilisé, car chacun d’entre eux peut aboutir, à partir du même ensemble de données, à des conclusions très différentes selon leurs biais initiaux (que ceux-ci soient connus ou non). A fortiori, une entreprise ne maîtrisant pas son modèle sera incapable de déterminer si les résultats qu’elle fournit sont conformes à ses principes éthiques et à ses critères en matière de gestion du risque. 

En ce qui concerne les réglementations portant sur des modèles spécifiques, il existe actuellement peu de moyens d’intervenir sur les processus ou les algorithmes eux-mêmes, mais il faut faire preuve de vigilance sur les résultats obtenus. Un outil RH utilisant le machine learning pour sélectionner des candidats à un poste, par exemple, peut être affecté de biais susceptibles de mettre une entreprise en difficulté sur le sujet de l’inclusion et de la diversité. De même, une solution du même type capable d’identifier des passeports, des permis de conduire et des cartes de crédit sera soumise aux lois de protection des données à caractère personnel.

Face à une telle prolifération des modèles d’IA et de machine learning, les entreprises pourraient attendre des régulateurs qu’ils établissent des normes de risque sur des critères clairs, afin de permettre à chaque secteur d’intégrer des solutions en toute sérénité. Par exemple, dans l’industrie automobile, des niveaux d’autonomie des véhicules sans conducteur ont été mis en place pour permettre aux constructeurs d’innover dans un cadre aux paramètres clairs. Étant donné que l’IA couvre un très large champ d’applications, allant du traitement des données par le ML à l’IA générative, les régulateurs se doivent d’apporter de la clarté à un secteur particulièrement complexe. 

Supply chain des données pour l’IA

Avant que les régulateurs ne trouvent des moyens de contrôler le développement et l’utilisation de l’IA, il est important de se pencher sur la manière dont les réglementations existantes pourraient être appliquées à cette technologie. Les outils d’IA et de machine learning sont entièrement dépendants d’une supply chain de données fiables. Les responsables informatiques et de la sécurité s’efforcent déjà de se conformer à plusieurs règlementations sur les données, y compris le RGPD. Depuis son introduction en 2018, les RSSI et autres responsables informatiques sont tenus d’indiquer clairement quelles données ils collectent, traitent et stockent, et dans quel but, sachant qu’ils doivent aussi respecter les droits des individus à contrôler l’utilisation de leurs données. De nombreux dirigeants s’inquiètent donc de la façon dont le déploiement de telles technologies risque d’affecter leur capacité à répondre aux exigences réglementaires existantes.

Ainsi, les entreprises ne demandent qu’une chose aux régulateurs et aux fournisseurs d’IA : de la clarté. Elles souhaitent savoir comment les réglementations existantes seront appliquées aux outils et dans quelle mesure leur responsabilité quant au traitement des données risque d’être engagée en cas de changement apporté à ces réglementations. Les entreprises d’IA doivent donc faire preuve de transparence avec leurs clients, en précisant pourquoi leurs outils sont conformes aux réglementations existantes, notamment en ce qui concerne les données collectées, la manière dont elles sont stockées ou traitées. Il incombe aussi à ces organisations de détailler les mécanismes permettant à leurs clients d’imposer des restrictions sur ces processus de stockage ou de traitement.

Développement responsable

En attendant les législateurs, il revient aux décideurs IT de définir des principes d’autorégulation et des pratiques éthiques en matière d’IA au sein de leurs entreprises afin de garantir des résultats sûrs et bénéfiques pour la société. Certaines ont déjà publié leurs propres principes directeurs pour une utilisation responsable de l’intelligence artificielle, où l’on retrouve généralement des thèmes communs : responsabilité, fiabilité, équité, transparence, respect de la vie privée et bien sûr sécurité.

Si ce n’est pas déjà le cas, ces dirigeants doivent agir dès maintenant pour évaluer les implications de l’intégration de l’IA dans leurs produits. De même, il est important que les entreprises mettent en place des comités de gouvernance pour discuter des aspects éthiques de l’IA, évaluer les outils et leurs applications en interne, examiner les processus et se mettre d’accord sur une stratégie avant la mise en place d’une réglementation plus large.

Bien que celui-ci n’ait pas été discuté lors du premier sommet mondial sur les risques associés à l’intelligence artificielle organisé au Royaume-Uni en novembre dernier, la création d’un organisme de réglementation (similaire à l’Agence internationale de l’énergie atomique ou à l’Agence européenne des médicaments) pourrait, par exemple, jouer un rôle majeur dans l’établissement d’un cadre mondial pour la réglementation de l’IA. En effet, un tel organe pourrait contribuer à définir des normes communes et à fixer des critères pour l’évaluation régulière des outils, afin de s’assurer qu’ils respectent ces normes au moment où les différents modèles poursuivent leur apprentissage et leur croissance.

L’IA peut transformer la vie quotidienne de chacun, mais cela ne peut pas se faire au détriment des principes fondamentaux sur la protection des données et de la vie privée. Il incombe donc aux régulateurs de trouver un équilibre délicat afin de sécuriser les individus sans étouffer l’innovation. Ainsi, plutôt que de s’en remettre à la bonne volonté et à des codes de conduite volontaires, les utilisateurs seraient en droit d’attendre des entreprises spécialisées dans l’intelligence artificielle qu’elles fassent preuve de transparence sur les modèles et les technologies derrière leurs outils. Cela permettra aux organisations et aux clients de prendre des décisions en connaissance de cause quant à leur adoption, en bénéficiant d’une plus grande autonomie sur leurs données.