Définir le cadre normatif d’une IA de confiance dans les entreprises

Définir le cadre normatif d’une IA de confiance dans les entreprises

Dossier : Intelligence artificielleMagazine N°781 Janvier 2023
Par Médéric CHOMEL (X00)

Les inquié­tudes provo­quées par le développe­ment de l’intelligence arti­fi­cielle (IA) amè­nent les pou­voirs publics à pré­par­er des mesures de régu­la­tion, qui ne seront en vigueur que dans quelques années. Les entre­pris­es ont tout intérêt à précéder la mise en place de ces normes, en réfléchissant à une autorégu­la­tion qui les place en posi­tion dynamique et non en sujet de contrôle.

Au cours de ces dernières années, les entre­pris­es ont accéléré forte­ment sur l’utilisation de l’intelligence arti­fi­cielle, afin de répon­dre à leurs enjeux stratégiques. Dans le même temps, nous obser­vons une défi­ance crois­sante envers ces nou­velles tech­nolo­gies de la part des clients et des col­lab­o­ra­teurs de nos entre­pris­es (selon un sondage Ipsos de jan­vi­er 2022, près de 40 % des Français souhait­ent une IA de con­fi­ance). Face à ce con­stat, un dou­ble mou­ve­ment s’amorce pour pro­mou­voir une IA de con­fi­ance, avec d’un côté des travaux de régu­la­tion et de nor­mal­i­sa­tion, mais égale­ment de l’autre côté des ini­tia­tives volon­taires de la part des entreprises.

Com­mençons par nous accorder sur une déf­i­ni­tion de l’IA de con­fi­ance. Aujourd’hui, la plu­part des ini­tia­tives sur le sujet par­tent de la déf­i­ni­tion pro­posée par la Com­mis­sion européenne et des sept exi­gences aux­quelles les sys­tèmes d’IA doivent répon­dre. Un sys­tème d’IA de con­fi­ance est donc un sys­tème qui a éval­ué et mit­igé le risque de dérive sur cha­cun des sept piliers qui suivent.

Des contrôles humains sur le traitement

Nous retrou­vons ici la notion de prise de déci­sion assistée par l’IA et non prise par une IA. Par exem­ple, dans les sys­tèmes de recom­man­da­tions d’offres qu’Orange met à dis­po­si­tion de ses vendeurs (propo­si­tion com­mer­ciale per­son­nal­isée, affichée dans les out­ils des vendeurs), c’est tou­jours le vendeur qui décide quelle offre pro­pos­er au client (sans oblig­a­tion de pro­pos­er l’offre qui est dans le système).

Robustesse technique et sécurité du traitement

Lorsque des algo­rithmes doivent agir sur des sys­tèmes avec un fort enjeu sécu­ri­taire, la robustesse est clé dans les opéra­tions afin d’éviter des dérives tout au long du cycle de vie. Par exem­ple, lorsque les sys­tèmes d’IA d’Orange trait­ent des images de poteaux télé­phoniques qui penchent pour prédire le risque de chute, ces sys­tèmes doivent être fiables à chaque instant.

Respect de la vie privée et gouvernance des données

Nous retrou­vons ici tout le domaine ouvert par le RGPD depuis quelques années (col­lecte des don­nées néces­si­tant sou­vent un con­sen­te­ment, traite­ment pour une final­ité définie, droit à l’oubli, etc.).

Impact environnemental et sociétal

À ce jour, l’impact des sys­tèmes d’IA sur l’environnement est assez faible (de l’ordre du pour­cent des émis­sions glob­ales de CO2 selon dif­férentes études, chiffre com­plexe à cal­culer) mais en crois­sance forte et avec de vraies solu­tions pour agir. Opti­miser les don­nées avec lesquelles nous entraînons les mod­èles, choisir les bonnes heures pour les faire tourn­er et avoir ain­si l’énergie la plus verte (solaire et éoli­enne notam­ment), éviter de suren­traîn­er les mod­èles, choisir la local­i­sa­tion des serveurs avec l’énergie la plus verte peu­vent être des solu­tions vertueuses et facile­ment applic­a­bles dans les pro­jets d’IA.


Lire aus­si : IA et tran­si­tion énergé­tique : l’impact d’une tech­nolo­gie indispensable


Diversité, non-discrimination et équité

C’est le sujet le plus repris dans les médias quand on par­le d’éthique de l’IA. La ques­tion cen­trale est de savoir com­ment éviter que nos sys­tèmes d’IA créent ou ren­for­cent des biais que nous ne souhaitons pas accepter dans une sit­u­a­tion don­née. Les exem­ples les plus con­nus con­cer­nent les biais de genre pour le recrute­ment, les biais d’origine eth­nique pour les deman­des de prêt, etc. En juin 2022, Face­book a été sanc­tion­né par la jus­tice améri­caine car son algo­rithme Looka­like Audi­ence a été jugé dis­crim­i­na­toire, en ce sens qu’il ne présen­tait des offres de loca­tion qu’à cer­tains util­isa­teurs (en fonc­tion de leur reli­gion, l’origine eth­nique, le sexe, le statut marital…).

Transparence autour du traitement

Un des prob­lèmes majeurs des sys­tèmes d’IA mod­ernes est qu’ils reposent sur des algo­rithmes dits « boîte noire », dans lesquels nous n’avons pas d’explication sim­ple pour chaque résul­tat. Par exem­ple, pourquoi un algo­rithme de prévi­sion d’appels en ser­vice client, qui va prédire une cer­taine valeur, ne vient pas d’une équa­tion math­é­ma­tique sim­ple et explic­a­ble mais d’un ensem­ble très com­plexe de traite­ments ? Un des sujets majeurs actuelle­ment sur l’IA est donc soit de recourir plus fréquem­ment à des mod­èles explic­a­bles, soit de met­tre en place des solu­tions pour mieux expli­quer les résul­tats des algo­rithmes à ceux qui les utilisent, en particulier.

Les responsabilités associées au traitement

Tout traite­ment automa­tisé engage la respon­s­abil­ité d’un acteur en cas d’erreur ou de dérive. Ain­si les pre­miers véhicules autonomes néces­si­taient la présence d’un humain au poste de con­duite, qui était alors respon­s­able et, en cas de prob­lème du véhicule autonome, pou­vait à tout moment repren­dre la maîtrise. Aujourd’hui, l’identification et le partage de la respon­s­abil­ité entre les dif­férentes par­ties prenantes d’un pro­jet restent impérat­ifs, notam­ment par le biais con­tractuel, pour assur­er une maîtrise de la chaîne de respon­s­abil­ités et pour per­me­t­tre aux util­isa­teurs et per­son­nes con­cernées de se retourn­er vers les bons inter­locu­teurs, en cas de dérive ou d’accident lié à un sys­tème d’IA.

Des projets de régulation et de normalisation attendus en 2025

La Com­mis­sion européenne tra­vaille depuis quelques années sur un AI Act qui, dans la lignée du RGPD mis en place en 2018, vise à réguler l’utilisation de l’IA. Pour ren­dre sa régu­la­tion opérante, elle a eu l’excellente idée de pro­pos­er une approche par le risque. En effet, tout sys­tème d’IA ne néces­site pas une analyse détail­lée de cha­cun des sept piliers et l’effort des pro­duc­teurs d’IA doit donc se focalis­er sur les sys­tèmes les plus à risque. Une pre­mière liste de sys­tèmes d’IA dits « cri­tiques » a même été établie (recrute­ment, san­té, édu­ca­tion, etc.). C’est donc une régu­la­tion dont l’objectif prin­ci­pal est d’arriver à établir des principes d’action per­me­t­tant à la fois d’atteindre une IA de con­fi­ance et de per­me­t­tre l’innovation, en focal­isant les efforts sur les cas les plus à risque.

En par­al­lèle de la final­i­sa­tion de la rédac­tion de l’AI Act, de nom­breux organ­ismes de nor­mal­i­sa­tions tra­vail­lent de con­cert avec des acteurs privés pour une mise à dis­po­si­tion pro­gres­sive de normes sur l’IA. Par­mi plus d’une trentaine de normes sur l’IA pub­liées ou en cours de rédac­tion, nous pou­vons par exem­ple citer la norme ISO/IEC 24027, biais des sys­tèmes d’IA (déjà pub­liée) ou la norme ISO/IEC 42001 : AI Man­age­ment Sys­tem en cours d’écriture.

Des initiatives volontaires de la part des entreprises

Au-delà de ces travaux de régu­la­tion, nous voyons égale­ment une approche englobante poussée par cer­taines entre­pris­es, dont Orange, qui repose sur qua­tre grands piliers.

Des engage­ments respon­s­ables. Bien que les chartes soient trop sou­vent inopérantes lorsqu’elles restent théoriques, elles représen­tent cepen­dant une con­di­tion néces­saire à la mise en œuvre d’une démarche exigeante, en ce sens que la charte ou les engage­ments de l’entreprise vien­nent définir, au-delà de ce que la loi nous dit, une direc­tion dans laque­lle aller. Prenons un exem­ple con­cret : chez Orange, nous avons décidé que, dans les cas de col­lab­o­ra­tion humain-IA, l’humain aurait tou­jours le dernier mot. Par exem­ple nous util­isons des algo­rithmes de recon­nais­sance visuelle pour aider nos tech­ni­ciens sur le ter­rain mais, si le tech­ni­cien ne veut pas suiv­re la recom­man­da­tion de l’algorithme, il en a le droit sans aucun impact sur son évaluation.

“La Commission européenne travaille sur un AI Act pour réguler l’utilisation de l’IA.”

Accul­tur­a­tion et cul­ture d’entreprise. Pour que les équipes qui font mais aus­si qui utilisent l’IA puis­sent con­stru­ire une IA de con­fi­ance, il faut égale­ment s’assurer d’une com­préhen­sion glob­ale du sujet, notam­ment en définis­sant ce qu’est un sys­tème d’IA et com­ment il fonc­tionne. Nous avons con­staté deux grands écueils dans notre mise en œuvre : soit un manque de vig­i­lance dans l’identification des risques (technophilie aveu­gle), soit un rejet per­ma­nent de l’innovation tech­nologique (techno­pho­bie de principe). L’acculturation et l’accompagnement visent à éviter ces écueils, pour avoir une approche plus pragmatique.

Organ­i­sa­tion et comités. Afin d’aborder sere­ine­ment ce sujet, il con­vient aus­si de définir de nou­veaux rôles ain­si qu’une gou­ver­nance qui per­me­t­tra d’évaluer les risques, aider à l’identification de solu­tions et émet­tre des recommandations.

Proces­sus et out­ils. Les engage­ments respon­s­ables ne devi­en­nent opérants qu’une fois qu’ils se retrou­vent dans le code lui-même des sys­tèmes d’IA. Nous devons donc aider nos data sci­en­tists à utilis­er les bons out­ils pour ren­dre cela pos­si­ble. Nous par­lons ici de librairies open source ou d’outils spé­ci­fiques pour mesur­er la dérive des algo­rithmes sur les biais par exemple.

Une question à traiter sans attendre

Il me sem­ble essen­tiel que les entre­pris­es s’emparent dès main­tenant de ce sujet sans atten­dre la régu­la­tion qui arrivera au min­i­mum dans deux ans. En effet, c’est une trans­for­ma­tion en pro­fondeur des modes de ges­tion de pro­jets d’IA qu’il vaut mieux met­tre en place dès le début, plutôt qu’en rat­tra­page. De plus, cela nous per­me­t­tra d’en tir­er un vrai béné­fice (interne et externe), plutôt que de la subir comme cela a été le cas avec le RGPD.


Image de cou­ver­ture : © green­but­ter­fly / Adobe Stock

Commentaire

Ajouter un commentaire

david.cortes.1997répondre
2 janvier 2023 à 15 h 19 min

Mer­ci Médéric ! oui, pour ta con­clu­sion : l’ori­en­ta­tion de la Com­mis­sion Européenne est formelle­ment une ‘soft law’, qui invite les acteurs par secteur à s’or­gan­is­er, et à pro­pos­er leurs pro­pres “stan­dards” pour respecter l’e­sprit (= les 7 principes que tu rap­pelles). Donc toute antic­i­pa­tion et/ou accord sec­to­riel sera bienvenu.
En syn­thèse, ces principes seront respec­tés si on traite d’une part les aspects de robustesse lorsque les sys­tèmes sont autonomes, ou indus­triels (machine à machine), et d’autre part les aspects d’ac­cept­abil­ité humaine (trans­parence, expli­ca­tion, non-dis­crim­i­na­tion, etc). Pour ces derniers, l’ini­tia­tive pour­rait venir des entre­pris­es à large inter­face grand pub­lic (banques/assurances, opéra­teurs de télé­phonie, notamment…).
à not­er : l’ini­tia­tive nationale Confiance.AI, qui traite beau­coup le 1er aspect, et peut-être bien­tôt le sec­ond : des stan­dards nationaux sont une per­spec­tive à retenir, car les régu­la­teurs et les autorités de con­trôle opéreront aus­si à ce niveau…

Répondre