AI Act européen : vers un impact majeur pour les RH
Dans son projet d'AI Act, l'Europe qualifie les IA au service des ressources humaines comme étant "à risque élevés". Résultat : ces applications devront se conformer à des règles strictes de transparence. Leur non-respect pourra donner lieu à des sanctions financières allant de 2% à 6% du chiffre d'affaires. Le sujet n'est pas à prendre à la légère. La publication de l'AI Act doit intervenir en 2022, et les sanctions pourront s'appliquer 24 mois après. D'où l'importance pour les éditeurs comme les sociétés utilisatrices de s'y préparer dès maintenant.
"Les premiers acteurs impactés par cette législation seront les éditeurs", anticipe Patricia Chemali-Noël, expert senior en protection de la donnée personnelle au sein de l'ESN Umanis. "Ils devront déclarer leur IA à risque élevé et fournir la documentation associée. Un registre sera créé par l'Union européenne pour fédérer le tout. Ils devront aussi coopérer avec les autorités compétentes pour répondre à toute sollicitation et prendre immédiatement les mesures correctives le cas échéant." De très nombreuses solutions RH sont concernées. LinkedIn, qui dresse un ranking des talents via son offre ciblant les recruteurs (Recruiter), figure parmi les plus célèbres.
Les éditeurs en première ligne
Mais beaucoup d'autres logiciels sont visés. C'est notamment le cas de Workday, ainsi que des applications centrées sur la gestion des talents comme TalentSoft (groupe Cegid), Clustree (Cornerstone), You-Trust ou 365Talents. Au sein de ces solutions, le machine learning dresse typiquement des recommandations d'évolution de carrière, depuis le recrutement interne jusqu'à la formation. Des recommandations qui peuvent tenir compte du parcours du salarié, des besoins de l'entreprise, ainsi que des parcours et choix des collaborateurs au profils connexes, qui se distinguent par leur performance.
Autre exigence de l'AI Act : éviter de reproduire les tendances discriminatoires présentes dans les données d'historique servant à entrainer les modèles. Un élément évidemment clé pour les IA orientées RH. "Lancé à l'initiative d'Orange, le label GEEIS-AI propose un cadre pour réduire les biais algorithmiques sexistes, notamment en matière de rémunération et de recrutement", rappelle Maud Ayzac, senior manager au sein du cabinet de conseil Wavestone. Mis en œuvre dans le cadre du Fonds de dotation Arborus, GEEIS-AI est soutenu par Carrefour, Danone, EDF, L'Oréal ou encore Sodexo.
"L'IA devra être transparente et ses résultats explicables. Ce qui permettra à l'utilisateur final de saisir le pourquoi d'une décision RH."
"Aux côtés de la problématique des biais, l'AI Act impliquera de fournir une information claire et adéquate à l'intention des utilisateurs", poursuit Patricia Chemali-Noël chez Umanis, qui évoque le RGPD comme base de travail pour adresser cette problématique. Et Maud Ayzac d'insister : "L'IA devra être transparente et ses résultats explicables. Ce qui doit permettre à l'utilisateur final de saisir le pourquoi d'une décision le concernant." Une explicabilité d'autant plus importante dans le cas des IA orientées RH utilisées dans la gestion des recrutements et des carrières.
Pour Maud Ayzac, certains éditeurs de solutions RH sont plus enclins à adopter une telle démarche. La consultante évoque notamment Neobrain.io, un autre spécialiste de la gestion des talents, ou encore Domoscio, un expert de l'adaptative learning.
Une cascade de responsabilités
En s'appuyant sur des logiciels RH vendus sur étagère, de plus en plus d'entreprises développent par ailleurs des extensions visant à créer des modèles de recommandation totalement personnalisés. Que faire dans ce cas de figure ? "La société devient alors son propre fournisseur pour les modèles en question et devra de facto se soumettre aux règles concernant les éditeurs pour toutes ces extensions", précise Patricia Chemali-Noël. "A elle d'estimer si le jeu en vaut la chandelle ou si elle préfère à contrario se délester de la responsabilité sur un fournisseur tiers du marché."
Si les modèles de machine learning en question font appel, via une API, aux données d'une seconde application en plus de celles de la plateforme RH principale pour réaliser leurs apprentissages, trois responsables entreront alors en ligne de compte : les deux éditeurs de logiciel et l'utilisateur/fournissseur de ces propres modèles. "D'où l'importance de créer une cartographie de toutes les briques dans la boucle et de bien vérifier leur présence dans le registre de l'UE pour celles vendues sur le marché", recommande Patricia Chemali-Noël.
De même, l'entreprise deviendra son propre fournisseur (au sens de l'AI Act) dans le cas où elle décide de faire d'une application RH une solution groupe, revendue ensuite à l'ensemble de ses filiales. Elle endossera là-encore la responsabilité de l'éditeur. En plus de l'adéquation de la solution avec ses besoins, elle devra valider avec soin sa conformité avec la réglementation avant de se lancer (voir la check list ci-dessus).