Georges Anidjar (Informatica) "Avec l'AI Act, la gouvernance des données est le chantier prioritaire"
Georges Anidjar, directeur général pour l'Europe du Sud chez Informatica, livre ses recommandations pour préparer l'entrée en vigueur du règlement européen sur l'intelligence artificielle.
JDN. Que contient la version finale de l'accord sur l'AI Act trouvé en décembre entre les Etats membres et le Parlement européen ?
Georges Anidjar. Bien que l'AI Act ne soit pas encore adopté, les institutions européennes sont parvenues à un consensus préliminaire composé d'un ensemble de règles et de lignes directrices. Ces règles et ces usages, comportent des composantes dites "d'innovation" et des composantes dites "de régulation". Les acteurs européens ont défini quatre niveaux de risques, allant de risque très faible, par exemple une IA capable de générer des photos de bergers allemands, à risque faible, par exemple une IA commençant à produire des ordonnances ou des diagnostics médicaux, puis risque élevé, où une erreur pourrait avoir des conséquences graves et irréversibles, et enfin risque très élevé, où la moindre défaillance pourrait mettre en danger la société toute entière. En fonction du niveau de risque, il faudra limiter, contraindre ou structurer ces modèles d'IA de manière appropriée.
Comment les comités de direction peuvent-ils anticiper la réglementation dès ce début d'année ? Quels sont les chantiers prioritaires ?
Il y a un chantier prioritaire : désigner des responsables en charge du respect de l'AI Act. Aujourd'hui, cette responsabilité n'est pas claire dans les entreprises. Ça peut concerner le DSI, le dirigeant, le directeur du digital, le responsable de la gouvernance des données ou celui de la RSE. C'est encore trop diffus. Ce que l'on sait, c'est que les pénalités prévues sont très lourdes : jusqu'à 7% du chiffre d'affaires, plafonné à 35 millions d'euros. Concrètement, la priorité c'est de véritablement formaliser une politique de gouvernance des données. Pour cela, les données sont cataloguées, c'est-à-dire listées avec leur origine dans les différents systèmes d'information et leur niveau de qualité : bonne, moyenne, douteuse. Ainsi, lorsqu'une IA utilise ces données, on peut restreindre son accès uniquement aux données validées de très bonne qualité.
La gouvernance permet également de nommer des responsables métiers pour chaque jeu de données : clients, RH, etc. Leur rôle est de nettoyer, dédupliquer et contrôler ces données pour les mettre en conformité, avant de les cataloguer. Il s'agit donc de mettre en place une plateforme centrale recensant et gérant l'ensemble des données de l'entreprise. Celle-ci alimentera ensuite les systèmes d'IA, notamment les IA génératives encore plus exigeantes en termes de qualité des données. En tant que dirigeant d'entreprise, la gouvernance des données apparait comme un chantier prioritaire à court terme pour se mettre en conformité avec la future réglementation. Cela nécessite de clarifier les rôles et responsabilités sur la qualité des données en interne. Selon les entreprises, elle existe plus ou moins. Mais il va falloir systématiser et harmoniser tout ça.
Avec l'AI Act, il incombe aux entreprises une nouvelle responsabilité : l'explicabilité des modèles d'IA utilisés dans l'entreprise. Quelles bonnes pratiques les entreprises peuvent-elles appliquer dès maintenant ?
Dans quelque temps, les entreprises vont être contrôlées et auditées. Le but sera donc de pouvoir apporter des preuves et une explication des systèmes d'IA en place. Et les preuves, elles ne seront possibles que si vous avez une bonne traçabilité des données, une bonne observabilité, ce qu'on appelle dans le jargon technique le linéage des données : quelles données ont été utilisées pour générer telle recommandation par intelligence artificielle ? Il s'agit de pouvoir retracer précisément l'origine d'une recommandation : d'où vient-elle ? Comment a-t-elle été élaborée et transformée au sein du système d'entreprise ? Seule une plateforme éprouvée et intégrée au système de données peut le permettre.
La mise en application de l'AI Act, d'ici à 2025, ne risque-t-elle pas de freiner la mise en production des nombreux proof of concept ?
Certes, cette réglementation représente des contraintes supplémentaires. Toutefois, après les alertes de ces dernières années sur les risques d'une IA totalement incontrôlée, je pense que la plupart des acteurs du secteur sont satisfaits de voir un cadre se mettre en place. Comme le disait Sam Altman d'OpenAI, des lois et des règles sont absolument nécessaires. Nous n'en sommes qu'aux prémices de l'IA. Nous allons apprendre et les lois vont continuer de s'affiner et s'adapter : certaines contraintes seront durcies là où les risques sont élevés, et d'autres assouplies pour favoriser l'innovation lorsque cela est possible. Même en essayant de tout anticiper, nous ne serons jamais parfaits d'emblée. Nous allons progressivement apprendre à "marcher" avec ces nouvelles technologies, en faisant quelques faux pas au passage. L'enjeu sera alors que la Commission européenne réagisse rapidement pour faire évoluer le cadre réglementaire en conséquence.