Comment les entreprises se préparent au nouveau cadre européen sur l'IA ?
Olivier de Guillebon et Thibaut Picard Destelan
Photo d'illustration
Pixabay / CC
Olivier de Guillebon et Thibaut Picard Destelan
Photo d'illustration
Pixabay / CC
... Advisory, RSM France.
Le premier travail à entamer est de réaliser l'inventaire des modèles déjà en production. Même si une stratégie d'entreprise n'a pas encore été adoptée sur l'IA, des modèles peuvent être déjà déployés dans l'entreprise. Avant même toute question réglementaire, il est important d'avoir de la visibilité sur ces modèles pour maitriser les risques qu'ils induisent.
L'Intelligence Artificielle regroupe différents outils informatiques permettant de traiter de grandes quantités de données pour en tirer une capacité de déduction voir de décision équivalente ou supérieure aux capacités humaines (conduire une voiture, détecter visuellement un défaut sur pièce d'usinage, alerter d'un danger imminent, etc.). C'est donc dans leur capacité de déduction ou de décision que ces modèles sont porteurs de risque.
Le cadre européen proposé par la Commission européenne se fonde sur une approche basée sur les risques. Les différents modèles d'IA sont classés selon trois niveaux de risque :
1. Le niveau le plus élevé de risque est considéré comme « inacceptable ». Cela concerne les modèles qui vont « à l'encontre des valeurs de l'Union », tels que la manipulation de l'inconscient, l'exploitation de failles des personnes vulnérables ou encore le score social. Ces modèles seront donc proscrits, sans exception.
2. Viennent ensuite les modèles considérés comme à « haut risque », qui portent un risque fort pour la santé, la sécurité ou les droits fondamentaux des personnes. Ils sont soumis à quatre obligations particulières :
L’actualité qui compte pour vous, chaque jour dans votre boîte mail.
3. Enfin les modèles dits à « risque limité », c'est-à-dire tous les autres modèles. Leur usage n'est pas réglementé mais la définition de bonne pratiques inspirées des obligations ci-dessus est fortement recommandée.
Les systèmes de conduite autonome ou de chirurgie robotique sont considérés comme à haut risque, tout comme des outils répandus et qui concernent de nombreux utilisateurs, par exemple les modèles de reconnaissance de pièces d'identité (pour le KYC), de gestion RH ou d'attribution de crédit.
Ces systèmes doivent donc faire l'objet d'une attention particulière et d'un travail d'audit approfondi pour, d'une part s'assurer que les risques opérationnels ou éthiques liés à leur utilisation sont maitrisés et d'autre part définir une feuille de route pour leur mise en conformité. Certaines obligations comme la qualité des données ou la robustesse du modèle sont déjà comprises dans les travaux de maitrise des risques opérationnels. Pour le reste, il s'agit de mettre en place et de documenter les processus permettant d'assurer la conformité des modèles avec les droits fondamentaux des citoyens européens. Des contrôles pourront, dans ce cadre, être délégués à un tiers ou une autorité de contrôle.
A ces obligations liées aux risques s'ajoute une obligation de transparence pour tous les modèles. Elle concerne les modèles entrant en interaction directe avec une personne physique, c'est-à-dire analysant des émotions, définissant des catégories sociales, ou encore générant, manipulant et altérant du contenu (il s'agit par exemple du deep fake, des algorithmes de tri des candidats, etc.). L'usage de ces modèles doit être explicitement révélé et expliqué à l'utilisateur. Celui-ci peut, par ailleurs, demander que le résultat produit par le modèle soit réexaminé par une personne humaine.
L'IA est donc un sujet plus actuel que jamais et l'intérêt que les instances européennes lui porte prouve bien que son usage est maintenant largement répandu et que les acteurs de toutes tailles peuvent y prendre part. Il ne faut ni craindre la complexité de ce sujet, ni ces nouvelles obligations réglementaires puisque ce nouveau cadre a en réalité pour objectif de garantir l'éthique de l'IAafin d'en faciliter l'adoption par le grand public et donc en faciliter le déploiement.
Olivier de Guillebon et Thibaut Picard Destelan