Définir le cadre normatif d’une IA de confiance dans les entreprises

Définir le cadre normatif d’une IA de confiance dans les entreprises

Dossier : Intelligence artificielleMagazine N°781 Janvier 2023
Par Médéric CHOMEL (X00)

Les inquié­tudes pro­vo­quées par le déve­lop­pe­ment de l’intelligence arti­fi­cielle (IA) amènent les pou­voirs publics à pré­pa­rer des mesures de régu­la­tion, qui ne seront en vigueur que dans quelques années. Les entre­prises ont tout inté­rêt à pré­cé­der la mise en place de ces normes, en réflé­chis­sant à une auto­ré­gu­la­tion qui les place en posi­tion dyna­mique et non en sujet de contrôle.

Au cours de ces der­nières années, les entre­prises ont accé­lé­ré for­te­ment sur l’utilisation de l’intelligence arti­fi­cielle, afin de répondre à leurs enjeux stra­té­giques. Dans le même temps, nous obser­vons une défiance crois­sante envers ces nou­velles tech­no­lo­gies de la part des clients et des col­la­bo­ra­teurs de nos entre­prises (selon un son­dage Ipsos de jan­vier 2022, près de 40 % des Fran­çais sou­haitent une IA de confiance). Face à ce constat, un double mou­ve­ment s’amorce pour pro­mou­voir une IA de confiance, avec d’un côté des tra­vaux de régu­la­tion et de nor­ma­li­sa­tion, mais éga­le­ment de l’autre côté des ini­tia­tives volon­taires de la part des entreprises.

Com­men­çons par nous accor­der sur une défi­ni­tion de l’IA de confiance. Aujourd’hui, la plu­part des ini­tia­tives sur le sujet partent de la défi­ni­tion pro­po­sée par la Com­mis­sion euro­péenne et des sept exi­gences aux­quelles les sys­tèmes d’IA doivent répondre. Un sys­tème d’IA de confiance est donc un sys­tème qui a éva­lué et miti­gé le risque de dérive sur cha­cun des sept piliers qui suivent.

Des contrôles humains sur le traitement

Nous retrou­vons ici la notion de prise de déci­sion assis­tée par l’IA et non prise par une IA. Par exemple, dans les sys­tèmes de recom­man­da­tions d’offres qu’Orange met à dis­po­si­tion de ses ven­deurs (pro­po­si­tion com­mer­ciale per­son­na­li­sée, affi­chée dans les outils des ven­deurs), c’est tou­jours le ven­deur qui décide quelle offre pro­po­ser au client (sans obli­ga­tion de pro­po­ser l’offre qui est dans le système).

Robustesse technique et sécurité du traitement

Lorsque des algo­rithmes doivent agir sur des sys­tèmes avec un fort enjeu sécu­ri­taire, la robus­tesse est clé dans les opé­ra­tions afin d’éviter des dérives tout au long du cycle de vie. Par exemple, lorsque les sys­tèmes d’IA d’Orange traitent des images de poteaux télé­pho­niques qui penchent pour pré­dire le risque de chute, ces sys­tèmes doivent être fiables à chaque instant.

Respect de la vie privée et gouvernance des données

Nous retrou­vons ici tout le domaine ouvert par le RGPD depuis quelques années (col­lecte des don­nées néces­si­tant sou­vent un consen­te­ment, trai­te­ment pour une fina­li­té défi­nie, droit à l’oubli, etc.).

Impact environnemental et sociétal

À ce jour, l’impact des sys­tèmes d’IA sur l’environnement est assez faible (de l’ordre du pourcent des émis­sions glo­bales de CO2 selon dif­fé­rentes études, chiffre com­plexe à cal­cu­ler) mais en crois­sance forte et avec de vraies solu­tions pour agir. Opti­mi­ser les don­nées avec les­quelles nous entraî­nons les modèles, choi­sir les bonnes heures pour les faire tour­ner et avoir ain­si l’énergie la plus verte (solaire et éolienne notam­ment), évi­ter de sur­en­traî­ner les modèles, choi­sir la loca­li­sa­tion des ser­veurs avec l’énergie la plus verte peuvent être des solu­tions ver­tueuses et faci­le­ment appli­cables dans les pro­jets d’IA.


Lire aus­si : IA et tran­si­tion éner­gé­tique : l’impact d’une tech­no­lo­gie indispensable


Diversité, non-discrimination et équité

C’est le sujet le plus repris dans les médias quand on parle d’éthique de l’IA. La ques­tion cen­trale est de savoir com­ment évi­ter que nos sys­tèmes d’IA créent ou ren­forcent des biais que nous ne sou­hai­tons pas accep­ter dans une situa­tion don­née. Les exemples les plus connus concernent les biais de genre pour le recru­te­ment, les biais d’origine eth­nique pour les demandes de prêt, etc. En juin 2022, Face­book a été sanc­tion­né par la jus­tice amé­ri­caine car son algo­rithme Loo­ka­like Audience a été jugé dis­cri­mi­na­toire, en ce sens qu’il ne pré­sen­tait des offres de loca­tion qu’à cer­tains uti­li­sa­teurs (en fonc­tion de leur reli­gion, l’origine eth­nique, le sexe, le sta­tut marital…).

Transparence autour du traitement

Un des pro­blèmes majeurs des sys­tèmes d’IA modernes est qu’ils reposent sur des algo­rithmes dits « boîte noire », dans les­quels nous n’avons pas d’explication simple pour chaque résul­tat. Par exemple, pour­quoi un algo­rithme de pré­vi­sion d’appels en ser­vice client, qui va pré­dire une cer­taine valeur, ne vient pas d’une équa­tion mathé­ma­tique simple et expli­cable mais d’un ensemble très com­plexe de trai­te­ments ? Un des sujets majeurs actuel­le­ment sur l’IA est donc soit de recou­rir plus fré­quem­ment à des modèles expli­cables, soit de mettre en place des solu­tions pour mieux expli­quer les résul­tats des algo­rithmes à ceux qui les uti­lisent, en particulier.

Les responsabilités associées au traitement

Tout trai­te­ment auto­ma­ti­sé engage la res­pon­sa­bi­li­té d’un acteur en cas d’erreur ou de dérive. Ain­si les pre­miers véhi­cules auto­nomes néces­si­taient la pré­sence d’un humain au poste de conduite, qui était alors res­pon­sable et, en cas de pro­blème du véhi­cule auto­nome, pou­vait à tout moment reprendre la maî­trise. Aujourd’hui, l’identification et le par­tage de la res­pon­sa­bi­li­té entre les dif­fé­rentes par­ties pre­nantes d’un pro­jet res­tent impé­ra­tifs, notam­ment par le biais contrac­tuel, pour assu­rer une maî­trise de la chaîne de res­pon­sa­bi­li­tés et pour per­mettre aux uti­li­sa­teurs et per­sonnes concer­nées de se retour­ner vers les bons inter­lo­cu­teurs, en cas de dérive ou d’accident lié à un sys­tème d’IA.

Des projets de régulation et de normalisation attendus en 2025

La Com­mis­sion euro­péenne tra­vaille depuis quelques années sur un AI Act qui, dans la lignée du RGPD mis en place en 2018, vise à régu­ler l’utilisation de l’IA. Pour rendre sa régu­la­tion opé­rante, elle a eu l’excellente idée de pro­po­ser une approche par le risque. En effet, tout sys­tème d’IA ne néces­site pas une ana­lyse détaillée de cha­cun des sept piliers et l’effort des pro­duc­teurs d’IA doit donc se foca­li­ser sur les sys­tèmes les plus à risque. Une pre­mière liste de sys­tèmes d’IA dits « cri­tiques » a même été éta­blie (recru­te­ment, san­té, édu­ca­tion, etc.). C’est donc une régu­la­tion dont l’objectif prin­ci­pal est d’arriver à éta­blir des prin­cipes d’action per­met­tant à la fois d’atteindre une IA de confiance et de per­mettre l’innovation, en foca­li­sant les efforts sur les cas les plus à risque.

En paral­lèle de la fina­li­sa­tion de la rédac­tion de l’AI Act, de nom­breux orga­nismes de nor­ma­li­sa­tions tra­vaillent de concert avec des acteurs pri­vés pour une mise à dis­po­si­tion pro­gres­sive de normes sur l’IA. Par­mi plus d’une tren­taine de normes sur l’IA publiées ou en cours de rédac­tion, nous pou­vons par exemple citer la norme ISO/IEC 24027, biais des sys­tèmes d’IA (déjà publiée) ou la norme ISO/IEC 42001 : AI Mana­ge­ment Sys­tem en cours d’écriture.

Des initiatives volontaires de la part des entreprises

Au-delà de ces tra­vaux de régu­la­tion, nous voyons éga­le­ment une approche englo­bante pous­sée par cer­taines entre­prises, dont Orange, qui repose sur quatre grands piliers.

Des enga­ge­ments res­pon­sables. Bien que les chartes soient trop sou­vent inopé­rantes lorsqu’elles res­tent théo­riques, elles repré­sentent cepen­dant une condi­tion néces­saire à la mise en œuvre d’une démarche exi­geante, en ce sens que la charte ou les enga­ge­ments de l’entreprise viennent défi­nir, au-delà de ce que la loi nous dit, une direc­tion dans laquelle aller. Pre­nons un exemple concret : chez Orange, nous avons déci­dé que, dans les cas de col­la­bo­ra­tion humain-IA, l’humain aurait tou­jours le der­nier mot. Par exemple nous uti­li­sons des algo­rithmes de recon­nais­sance visuelle pour aider nos tech­ni­ciens sur le ter­rain mais, si le tech­ni­cien ne veut pas suivre la recom­man­da­tion de l’algorithme, il en a le droit sans aucun impact sur son évaluation.

“La Commission européenne travaille sur un AI Act pour réguler l’utilisation de l’IA.”

Accul­tu­ra­tion et culture d’entreprise. Pour que les équipes qui font mais aus­si qui uti­lisent l’IA puissent construire une IA de confiance, il faut éga­le­ment s’assurer d’une com­pré­hen­sion glo­bale du sujet, notam­ment en défi­nis­sant ce qu’est un sys­tème d’IA et com­ment il fonc­tionne. Nous avons consta­té deux grands écueils dans notre mise en œuvre : soit un manque de vigi­lance dans l’identification des risques (tech­no­phi­lie aveugle), soit un rejet per­ma­nent de l’innovation tech­no­lo­gique (tech­no­pho­bie de prin­cipe). L’acculturation et l’accompagnement visent à évi­ter ces écueils, pour avoir une approche plus pragmatique.

Orga­ni­sa­tion et comi­tés. Afin d’aborder serei­ne­ment ce sujet, il convient aus­si de défi­nir de nou­veaux rôles ain­si qu’une gou­ver­nance qui per­met­tra d’évaluer les risques, aider à l’identification de solu­tions et émettre des recommandations.

Pro­ces­sus et outils. Les enga­ge­ments res­pon­sables ne deviennent opé­rants qu’une fois qu’ils se retrouvent dans le code lui-même des sys­tèmes d’IA. Nous devons donc aider nos data scien­tists à uti­li­ser les bons outils pour rendre cela pos­sible. Nous par­lons ici de librai­ries open source ou d’outils spé­ci­fiques pour mesu­rer la dérive des algo­rithmes sur les biais par exemple.

Une question à traiter sans attendre

Il me semble essen­tiel que les entre­prises s’emparent dès main­te­nant de ce sujet sans attendre la régu­la­tion qui arri­ve­ra au mini­mum dans deux ans. En effet, c’est une trans­for­ma­tion en pro­fon­deur des modes de ges­tion de pro­jets d’IA qu’il vaut mieux mettre en place dès le début, plu­tôt qu’en rat­tra­page. De plus, cela nous per­met­tra d’en tirer un vrai béné­fice (interne et externe), plu­tôt que de la subir comme cela a été le cas avec le RGPD.


Image de cou­ver­ture : © green­but­ter­fly / Adobe Stock

Commentaire

Ajouter un commentaire

david.cortes.1997répondre
2 janvier 2023 à 15 h 19 min

Mer­ci Médé­ric ! oui, pour ta conclu­sion : l’o­rien­ta­tion de la Com­mis­sion Euro­péenne est for­mel­le­ment une “soft law”, qui invite les acteurs par sec­teur à s’or­ga­ni­ser, et à pro­po­ser leurs propres « stan­dards » pour res­pec­ter l’es­prit (= les 7 prin­cipes que tu rap­pelles). Donc toute anti­ci­pa­tion et/ou accord sec­to­riel sera bienvenu.
En syn­thèse, ces prin­cipes seront res­pec­tés si on traite d’une part les aspects de robus­tesse lorsque les sys­tèmes sont auto­nomes, ou indus­triels (machine à machine), et d’autre part les aspects d’ac­cep­ta­bi­li­té humaine (trans­pa­rence, expli­ca­tion, non-dis­cri­mi­na­tion, etc). Pour ces der­niers, l’i­ni­tia­tive pour­rait venir des entre­prises à large inter­face grand public (banques/assurances, opé­ra­teurs de télé­pho­nie, notamment…).
à noter : l’i­ni­tia­tive natio­nale Confiance.AI, qui traite beau­coup le 1er aspect, et peut-être bien­tôt le second : des stan­dards natio­naux sont une pers­pec­tive à rete­nir, car les régu­la­teurs et les auto­ri­tés de contrôle opé­re­ront aus­si à ce niveau…

Répondre