Faut-il réguler l'intelligence artificielle ?

Comment est conçu l'AI Act européen ? Comment va-t-il être mis en œuvre ? A quelles échéances ? De la réponse à ces questions dépendra le large déploiement de l'IA. Le Hub France IA éclaire le débat.

La diffusion massive des systèmes d’intelligence artificielle (IA) dans tous les domaines, bienvenue pour simplifier nos vies et optimiser la compétitivité de nos entreprises, suscite cependant un manque de confiance dans leurs utilisations ou modes d’utilisation. La Communauté Européenne a entrepris un vaste chantier visant à réguler les systèmes d’IA pour installer cette confiance. Comment est conçu l’AI Act ? Comment va-t-il être mis en œuvre ? A quelles échéances ? De la réponse à ces questions dépendra le large déploiement de l’IA. Le Hub France IA a travaillé avec ses membres pour éclairer le débat. 

Pourquoi réguler l’IA ? 

L’IA apporte des bénéfices  

L’IA est une technologie disruptive, elle transforme la vie des citoyens, souvent sans qu’ils se rendent même compte qu’ils l’utilisent : personnalisation du  moteur de recherche et complétion automatique des requêtes, détection des spams, assistants numériques, personnalisation des publications sur Facebook, traduction automatique (Google), recommandations de produits (Amazon), optimisation d’itinéraires (Waze, Google Maps)… Pour les entreprises, comme pour le service public, l’utilisation de l’IA va souvent de pair avec l’automatisation de tâches répétitives, fastidieuses et coûteuses ; ce qui a un impact immédiat en termes de réduction des coûts. Elle permet également de créer de nouveau services personnalisés appréciés par les utilisateurs, apportant à l’entreprise un avantage immédiat sur ses concurrents. 

L’IA comporte aussi des risques et génère des craintes

Toute technologie comporte des risques : notre voiture conduite à 200km/h sur l’autoroute peut provoquer un accident. Donc quand on dit que l’IA comporte des risques, c’est que certains usages de l’IA comportent des risques. Ces risques peuvent concerner les droits fondamentaux : respect de la vie privée face à des applications intrusives qui "connaissent" nos usages (requêtes, e-mails, posts sur les réseaux sociaux, produits achetés, itinéraires réalisés…), restriction de l’accès à l’information (personnalisation excessive), manipulations (fakes, messages envoyés par des bots), atteintes à la vie démocratique (manipulations des média sociaux), discriminations (quand les données utilisées pour l’apprentissage sont biaisées)… Certains usages peuvent aussi impacter la sécurité ou la santé des utilisateurs : il n’est pas encore possible de certifier que le système IA va se comporter exactement comme prévu, un accident imprévisible peut se produire. L'IA n’a pas le sens commun, le système peut donc faire des choix aberrants . Il y a des risques de piratage (véhicule, domotique, cybersécurité). 

Face à ces risques, l’IA génère donc des craintes  : perte d’emplois (remplacement de l’homme par les machines), discrimination à cause des biais, perte de contrôle, incapacité à comprendre les décisions (opacité), crainte d’être victime de résultats erronés ou de manipulations (fakes), crainte d’attaques malveillantes (cybersécurité)… 

Réguler l’IA, c’est instaurer le confiance

Ces craintes sont souvent irraisonnées, mais doivent être prises en compte si on veut déployer largement l’IA, en contrôlant les risques et profitant des bénéfices. Les actions de normalisation, standardisation et régulation visent à établir la confiance des utilisateurs d’IA, citoyens ou entreprises. 

La proposition de la Commission Européenne : le AI Act 

Réguler les systèmes d’IA 

Le 21 avril 2021, la Commission Européenne a publié une proposition de "règlement pour établir des règles harmonisées concernant l’IA" : c’est le AI Act, qui, une fois implémenté, sera déployé dans tous les pays de l’Union Européenne et s’appliquera à tout système IA commercialisé dans l’UE. Il existe un large consensus sur la nécessité de régulation au niveau européen, l’harmonisation des législations entre les pays de l’UE réduisant l’insécurité juridique, à la fois pour les producteurs et les consommateurs d’IA. Cependant, plusieurs questions se posent . Pourquoi cibler l’IA, et seulement l’IA, alors même que l’IA n’est souvent qu’un des composants technologiques d’un système ? Qu’entend-on exactement par IA ? La Commission en donne une définition très large (approches d’apprentissage automatique, approches fondées sur la logique et les connaissances, approches statistiques, méthodes de recherche et d’optimisation), alors même que l’étude d’impact préalable en avait demandé une définition "stricte, claire et précise" (§3.1). Cette définition trop large pose la question du statut des systèmes déployés de longue date et dont l’usage n’a jamais fait apparaître de problèmes, alors que seuls les systèmes à base d’apprentissage sont susceptible d’apporter des risques nouveaux. 

Réguler en se basant sur le risque 

La base choisie par la Commission est le risque du système IA, qui est décrit selon quatre niveaux (sans risque, risque limité, haut risque, risque inacceptable). Seuls les systèmes à haut risque devront être régulés, par l’obtention d’un certificat avant la mise sur le marché européen, les systèmes avec risque inacceptable ne pouvant pas du tout être mis sur le marché. Cependant, comme nous l’avons indiqué plus haut, ce n’est pas le système d'IA qui comporte un risque, mais son usage. Par exemple, considérons une technologie de reconnaissance de visages utilisée dans trois cas d’usage différents : pour identifier toute personne, à tout moment passant devant une caméra disposée sur l’espace public ; pour identifier les personnes entrant en dehors des heures ouvrées dans un espace sensible protégé ; pour authentifier une personne qui a donné son accord pour obtenir un service. Seul le premier cas devrait être à haut risque, mais il s’agit bien de la même technologie.  La régulation ne doit pas se faire par le risque de la technologie mais par le risque de la finalité d’usage de la technologie. Par ailleurs, si la régulation est basée sur les risques, il faut pouvoir les définir précisément. Or aujourd’hui, l’AI Act définit les hauts risques par une liste de cas d’usage, sans indiquer comment sera calculé précisément le risque. Enfin, le choix de proposer une régulation globale, indépendante du domaine d’usage rend plus difficile l’analyse des risques de finalité d’usage, plus simple au cas par cas. 

Questions posées par la proposition du AI Act 

Nous avons déjà identifié quelques-unes des questions soulevées par le AI Act. De façon plus précise, elles tiennent à trois grands domaines. 

  • Périmètre et précision des termes. Il faut définir précisément ce qu’on entend par "système IA", et "haut risque" afin de délimiter un périmètre de régulation aussi réduit que possible, une régulation excessive impactant nécessairement les avantages compétitifs apportés par l’IA aux entreprises européennes. Tous les termes employés doivent être définis avec beaucoup de précision de façon à ce que ces définitions soient opérationnelles et facilement applicables en pratique, sans contestation juridique possible, ce qui n’est pas le cas dans la proposition actuelle : par exemple les termes de "modification substantielle", de "biais", etc. 
  • Problèmes pratiques d’implémentation. Dans de nombreux cas l’implémentation de la mise en conformité proposée semble impossible en pratique. Nous citerons quelques exemples : le réapprentissage d’un système IA peut intervenir au fil de l’eau pour s’adapter aux modifications des conditions extérieures, ce qui demande une "modification substantielle " du système et donc de repasser la mise en conformité, rendant donc impossible pratiquement ce réapprentissage. L’utilisation d’algorithmes pré-entraînés par des tiers (ou plus généralement d’algorithmes open source) se répand très largement aujourd’hui, la mise en conformité par un producteur exploitant ces algorithmes pour élaborer un système à haut risque est-elle entièrement du ressort du producteur du système (risque d’usage), ou une partie de la charge revient-elle au développeur de l’algorithme pré-entraîné ou open source (risque de technologie). Ici, la régulation ex ante semble peu appropriée pour juger vraiment des risques de l’usage : le producteur pourrait être soumis à des normes (ISO 9001 ou norme IA) ou conditions d’élaboration de la solution, auditables ex post en cas de besoin et l’utilisateur à une déclaration de bonne pratique, voire de niveau de performance ex ante (en analogie avec la voiture, le constructeur automobile est soumis à des normes et des standards, et le chauffard à un code de la route limitant sa vitesse). Enfin, des exigences imposées aux datasets (sans erreur, sans biais) devraient être éliminées parce qu’elles ne sont pas réalisables, en l’état des connaissances scientifiques aujourd’hui. 
  • Impact sur l’innovation et coûts. La réglementation doit être équilibrée et proportionnée, elle ne doit pas constituer un frein à l’innovation et à la compétitivité. Pour chaque contrainte de mise en conformité, il faudrait donc conduire une analyse d’impact économique, concurrentiel… sur l’innovation technologique. Par ailleurs, les coûts de mise en conformité avant l’entrée sur le marché ne doivent pas être une barrière à l’entrée significative pour les petites entreprises (PME et start-up technologiques). Un accompagnement spécifique de ces petites entités est donc nécessaire, qui dépasse clairement les mécanismes de bacs à sable réglementaires proposés. Ces bacs à sable doivent être larges et encadrés pour favoriser et comprendre l’innovation d’une part et d’autre part en évaluer les impacts sur l’ensemble des acteurs économiques, notamment les PME, start-up technologiques… Ils pourraient être utilisés également comme zones d’expérimentations permettant de définir / faire évoluer la régulation. 

En  conclusion 

Une régulation au niveau européen est souhaitable, mais la Commission doit encore éclaircir de nombreux aspects : 

  1. Préciser le périmètre et les définitions,
  2. Protéger les spécificités innovantes de l’IA,  
  3. Veiller à la simplicité de la procédure de mise en conformité.

La consultation organisée par la Commission Européenne en août dernier a fait remonter 304 avis sur le AI Act, dont nous avons résumé ci-dessus quelques-uns auxquels le Hub France IA a contribué. Il reste à la Commission à prendre en compte ces avis pour réviser sa proposition et la soumettre pour accord au Parlement européen. On doit s’attendre à voir le AI Act entrer en action d’ici 2023-2024.