Télécom Paris Ideas
IA : bâtir une éthique de transparence et de confiance

IA : bâtir une éthique de transparence et de confiance

Mélanie Gornet, doctorante à Télécom Paris, spécialiste de la régulation de l’intelligence artificielle, nov. 2024.

Mélanie Gornet (carré Ideas) source LinkedIn

Le calendrier d’entrée en vigueur de l’IA Act européen est progressif et va se déployer par niveau de risque, entre 2025 et 2026. Mais tous les textes normatifs ne sont pas encore finalisés.

Quelles sont les modalités de cette mise en œuvre pour les entreprises ? Comment adapter la réglementation en fonction du secteur ou du modèle d’IA utilisé ?
Pourrait-il y avoir un risque que le règlement entre en vigueur, alors que toutes les normes ne sont pas terminées ?
Mélanie Gornet nous donne des éléments de réponse.

Sa thèse porte sur l’approche européenne de régulation de l’intelligence artificielle et elle avait précédemment travaillé avec Tiphaine Viard, maîtresse de conférence à Télécom Paris, sur les chartes éthiques des organisations en matière d’intelligence artificielle.

Propos recueillis par Isabelle Mauriac

Podcast

Retrouvez cette interview en format audio dans le cadre des podcasts Télécom Paris Ideas :

Podcast Michel Desnoues, Télécom Paris

Entretien

Pouvez-nous parler d’abord de vos motivations et de vos objectifs à travers vos différents projets ?

Cela va peut-être sembler naïf, mais déjà j’ai toujours été passionnée par l’IA, la Data Science, le Machine Learning. Je m’étais spécialisée sur ces sujets en école d’ingénieur. Ensuite j’ai étudié les aspects plus géopolitiques de cette technologie quand j’étais à Sciences Po. Et enfin, à la fin de mes études, j’ai réalisé un stage sur les aspects éthiques de l’IA. Et donc avant même de rentrer et de me lancer dans cette thèse, l’IA et son éthique me passionnaient déjà. Ppuis en avril 2021, alors que j’étais en stage de fin d’études, est sorti l’AI Act. Cela m’a vraiment intéressée à l’époque de le décortiquer avec mon regard d’ingénieur.

L’éthique, à l’époque, faisait moins le buzz qu’aujourd’hui. Les aspects de régulation n’étaient quasiment pas abordés. C’était aussi un sujet assez nouveau, assez inexploré… donc parfait pour constituer les bases d’une thèse.

Après, je pense aussi personnellement qu’il est important d’étudier, derrière la technologie de l’IA, toutes les questions éthiques, sociales, légales, qui ne sont pas assez adressées. L’IA a toujours besoin d’initiatives de ce type.

Que prévoit l’IA Act ?

Parlons de l’IA Act, qui vient percuter et peut-être motiver justement les entreprises qui sont peut-être aujourd’hui un peu perdues dans ces questions d’éthiques et de régulation. Pouvez-vous nous apporter quelques repères sur l’IA Act, ce qu’il prévoit, mais aussi sa genèse et son calendrier d’application ?

L’IA Act est donc le premier texte obligatoire sur l’IA, mais il est vrai que, depuis les années 2010, il existe de nombreuses chartes éthiques notamment créés par les entreprises, qui définissaient des principes assez larges sur ce qu’on appelait l’éthique de l’IA. Puis ce mouvement sur les chartes éthiques de l’IA a commencé à s’accélérer vers 2017-2018. Les réflexions étaient d’abord plus axées sur la robotique, puis ensuite sur l’IA. En 2019 sont publiées les lignes directrices en matière d’éthique du groupe d’experts de haut niveau sur l’IA de la Commission européenne, ou HLEG, l’acronyme anglais. Ce sont également de grands principes, des valeurs à respecter dans le développement et le déploiement, et même en général le cycle de vie d’une IA. Mais cela marque vraiment un tournant dans l’intérêt de l’Europe pour ces questions-là. Puis différentes publications se sont succédé jusqu’à l’arrivée en avril 2021 d’une proposition de règlement par la Commission européenne, le fameux IA Act.

Il a fallu du temps pour que cela rentre en application. D’abord, deux institutions, le Conseil et le Parlement européens ont proposé des amendements au texte, puis elles se sont réunies avec la Commission dans ce qu’on appelle un trilogue, pour s’accorder sur une version du texte votée en décembre 2023, entrée en application en août 2024 avec effectivement des exigences qui vont commencer à s’appliquer dès 2025.

Que dit ce texte ? Tout d’abord, il adopte une approche dite « par les risques », c’est-à-dire qu’on a une pyramide des risques, avec à chaque fois des exigences différentes qui vont s’appliquer.

Tout en haut les risques inacceptables, interdits par l’Union européenne, notamment le cas du crédit social ou de la reconnaissance faciale dans certaines conditions. Juste en dessous, une catégorie de risques qui s’appelle les systèmes à haut risque, avec des obligations beaucoup plus strictes. Puis des risques limités, c’est-à-dire des systèmes soumis à des exigences de transparence. Enfin, une dernière catégorie ne rentrant pas tout à fait dans cette pyramide-là, les modèles d’IA à usage général, notamment l’IA générative, qu’on peut utiliser dans différents cas d’applications.
À l’intérieur de cette catégorie-là, on distingue en plus les IA à risque systémique, les très gros modèles, qui vont poser un risque plus élevé, par exemple GPT-4, qui dépasse un certain seuil en termes de complexité.

Le calendrier d’entrée en vigueur de ces différentes réglementations est progressif et va se déployer par niveau de risque, entre 2025 et 2026. Mais je crois que tous les textes normatifs ne sont pas encore finalisés ; quelles sont les modalités de cette mise en œuvre ?

Des normes sont prévues, des normes techniques, je reviendrai dessus : elles doivent entrer en vigueur pour 2025, avant l’application des exigences en août 2026. Concernant les systèmes d’IA à usage général, ce sera en août 2025, parce qu’il n’y aura pas besoin de normes, mais qu’ils vont s’appuyer, notamment, sur des codes de pratique, c’est le mot utilisé par la Commission européenne, qui viendront définir, préciser un peu plus les exigences pour les IA à usage général.

Des normes pour l’IA

Avant de regarder plus précisément la question des IA haut risque sur laquelle vous vous êtes penchée dans votre thèse, quelle est la façon générale de faire une norme pour l’IA ? On peut légitimement s’interroger sur la faisabilité d’exigences techniques sur des choses qui sont très subjectives, comme l’équité ou l’explicabilité ?

Faire une norme pour IA, avant tout, c’est définir des termes. Que signifie transparence ? Que signifie, par exemple, avoir des données représentatives ? Une norme sur IA, cela peut aussi être donner des formules, des méthodes de test. Ce peut être de donner des seuils, mais on le voit assez peu pour l’IA. Pour prendre l’exemple d’un jouet, vous devez le tester avant de le vendre sur le marché européen, le tester pour la résistance au feu, vous mettez le jouet dans un four et puis vous regardez son comportement, à quelle température il résiste. Puis il y a des seuils à respecter, combien de degrés pendant combien de minutes, etc. Mais pour l’IA, définir des seuils ainsi est assez difficile. D’abord parce que la technologie est assez peu mature et, quand la technique évolue vite, il est difficile de fixer des seuils qui correspondent à un certain état de l’art.

Après, il existe aussi des critères très subjectifs avec l’IA comme l’équité et l’explicabilité. Définir un seuil est vraiment un choix très fort. Par exemple, on sait que les IA auront toujours des biais. C’est ainsi qu’une IA fonctionne. C’est-à-dire qu’un système d’IA qui sert à trier des CV de candidats va avoir un biais en faveur des personnes qui ont fait de longues études. C’est un critère logique, c’est un biais fonctionnel. Par contre, si ce même système a un biais en faveur des hommes, c’est-à-dire que s’il sélectionne plus souvent des hommes parce que ce sont des hommes, à compétence égale, dans ce cas on va dire qu’il y a une discrimination, c’est normal. C’est un biais qui n’est pas voulu.

Décider quel biais sont voulus ou non et fixer un seuil sur une quantité raisonnable de biais est très difficile et profondément éthique. Mais si on veut évaluer les systèmes d’IA, il va être nécessaire de prendre ce genre de décision.

Pour éviter d’avoir à fixer des seuils arbitraires, les organismes qui développent des normes se sont concentrés sur des normes de gouvernance, qui portent différents noms, notamment les normes de systèmes de management, de management de qualité, etc. Au lieu de définir des propriétés sur les produits eux-mêmes, on définit des exigences sur le système de production, c’est-à-dire sur les processus qui mènent à la création du produit. En fait, les entreprises doivent mettre en place des garde-fous et définir des critères de qualité. Lors des contrôles, le respect des garde-fous et des critères définis sera vérifié. Cela a l’avantage d’être très flexible et assez adapté au monde industriel, mais effectivement vous ne contrôlez jamais vraiment complètement le système. Les critères acceptables sont fixés directement par l’entreprise.

Pour rebondir sur le sujet des biais qui ne sont pas forcément suffisamment traités, vous disiez que l’on avait été moins regardant sur la sortie des données produites par les modèles, que sur le contrôle des données d’entrée, pour vérifier si elles étaient de qualité, donc c’est aussi peut-être une lacune ?

Oui, tout à fait, c’est une des critiques que j’adresse, c’est que la notion de biais dans l’IA Act n’est pas très présente. Il est vrai que les données sont une source de biais importante, on parle de garbage in, garbage out en informatique, c’est-à-dire que si vous avez des données biaisées en entrée, vous aurez un système biaisé en sortie. Mais cela n’est pas forcément une condition nécessaire et un système entraîné sur des données équilibrées peut quand même être biaisé. Cela peut venir de l’apprentissage du modèle, ou du problème lui-même qui est plus difficile sur une catégorie de données.

Par exemple, on sait qu’en reconnaissance faciale, il est plus difficile de reconnaître des visages d’enfants, parce qu’ils se ressemblent plus facilement, il est également plus difficile parfois de reconnaître des visages de femmes, parce qu’elles ont tendance à porter plus de maquillage qui peut gommer les traits de la peau.

Ces problèmes sont réellement plus difficiles à traiter et je trouve que ce sujet n’est pas assez adressé dans l’IA Act qui va juste regarder les critères de qualité des données.

Pour revenir maintenant sur le fait que les exigences sont restées assez générales dans l’IA Act, et que de ce fait beaucoup de latitude est donnée aux entreprises pour mettre en place des codes de conduite ; dans une précédence étude sur les chartes éthiques des entreprises et des ONG, vous aviez justement pointé le fait que les exigences des chartes éthiques des entreprises étaient elles-mêmes très générales. Donc ne sommes-nous pas un peu coincés ?

Oui, c’est un peu le problème. L’une des choses sur lesquelles vraiment j’insiste, c’est qu’il y a besoin de préciser ces exigences, que ce soit effectivement sur les chartes éthiques en amont, qui définissent des principes très généraux, ou que ce soit maintenant même dans les normes, où finalement, parfois on tourne un peu en boucle, et on dit que c’est aux entreprises de définir leurs propres critères. En fait, à la fois dans les chartes et dans les normes, pour moi, il y a besoin d’aller plus loin. C’est pour cela qu’on parle d’opérationnaliser, c’est-à-dire comment  faire pour mettre en application tout cela. Il existe des moyens de le faire sur les biais, il y a des pistes dans la recherche permettant de faire de la mitigation de biais, ajouter des contraintes au niveau de l’entraînement, par exemple, pour pouvoir adhérer à un certain critère d’équité. Donc on sait faire certaines choses, c’est pareil pour l’explicabilité, des méthodes d’explications sont connues, etc. Certes, c’est assez récent, mais des choses pourraient être précisées dans les normes, et aujourd’hui, le niveau reste très général.

Hauts risques

Vos recherches portent précisément sur la catégorie des IA dites « à haut risque ». N’y a-t-il pas aussi un travail de régulation sectorielle, une brique sectorielle à ajouter ?

Oui, tout à fait. C’est une des choses sur lesquelles j’insiste, il est nécessaire d’aller vraiment dans le détail, encore une fois technique et sectoriel. Car c’est à la fois une question de contexte et de secteur, et à la fois une question de technologie. Par exemple, pour définir l’équité, il est besoin de définir le contexte, le secteur, etc. Les biais dans le secteur médical ne seront pas forcément les mêmes que dans le secteur judiciaire. De plus, il existe aussi le contexte de la technologie, c’est-à-dire qu’une technologie sur un modèle de langue ne présente pas les mêmes biais que la reconnaissance faciale, par exemple.

Donc à la fois sur le secteur et sur la technologie, il y a besoin d’aller plus dans le détail. Aujourd’hui, les normes définies sont horizontales pour tous les systèmes d’IA. L’IA en général, c’est trop vague. L’IA, ça peut être dans le domaine médical, dans la justice, mais ça peut être un chatbot ou un système de reconnaissance d’image.

Ce sont beaucoup trop de choses différentes pour arriver à définir des critères généraux. Pour ma part, je suis très axée sur le recentrage des normes sur leur verticalité.

Pour entrer dans l’opérationnel, qui pourra prendre en charge l’adaptation de cette régulation de l’IA ? Cela demande des compétences techniques voire technologiques, en plus des compétences sectorielles…

Il est sûr que des réglementations sectorielles ne viendront pas compléter l’IA Act. Parce que cela créerait des problèmes légaux, tout simplement, d’avoir une loi sectorielle dans le domaine de la médecine, qui viendrait s’attaquer aux questions de l’IA en médecine. Finalement, cela rajouterait de l’incertitude légale par rapport aux exigences qui sont déjà appliquées par l’IAI Act. Par contre, cela pourrait tout à fait être du ressort des normes. C’est ainsi que j’insiste sur les normes techniques, que ce soient les normes ISO, ou européennes, celles du CEN-CENELEC. C’est l’endroit où, à mon sens, il est possible de renforcer l’opérationnalisation et une forme de verticalité. Après, il peut y avoir des codes de conduite volontaires mis en place par les entreprises pour préciser un peu plus les choses.

Au vu de ce qu’il reste encore à faire, existe-t-il un risque que le règlement entre en vigueur alors que toutes les normes ne sont pas terminées ? Peut-il y avoir une sorte de transition avant que les normes ne soient prêtes ?
Oui, c’est le risque. Parce que l’IA Act, et notamment pour les systèmes d’IA à haut risque, délègue énormément aux normes. Que se passe-t-il si, effectivement, les normes ne sont pas prêtes au moment où les exigences de l’IA Act sont censées rentrer en vigueur ?

Il existe plusieurs options. Une serait de décider de passer par un autre mécanisme que la Commission européenne a mis en place dans l’IA Act, donc hors de ce que l’on appelle les spécifications communes (en fait les normes techniques mais version « Commission européenne »). Il peut y en avoir de deux sortes. Il est possible d’adopter déjà des cadres existants, ou bien choisir de développer de nouvelles normes en dehors des organismes de normalisation classiques. Pour les cadres existants, on peut penser par exemple aux normes internationales ISO, très appréciées par les professionnels. Mais elles n’ont pas été pensées pour s’appliquer à l’IA Act, donc cela risque de ne pas exactement coller, sans compter la question de souveraineté, parce que ces normes ne sont pas seulement développées par des acteurs européens. Si on écarte cette possibilité de cadres existants, l’autre possibilité est d’utiliser ces fameuses spécifications communes.

Ne faudrait-il pas aussi regarder du côté des compétences requises pour traiter ces normes ? D’une façon générale d’ailleurs, n’y a-t-il pas aussi une question de compétences pour traiter ces sujets de régulation ?
Ce sont des compétences à la fois juridiques et techniques. Disposons-nous des compétences professionnelles pour traiter ce sujet complexe ?

Peut-être pas complétement, d’autant que l’IA est une technologie évoluant très vite et la recherche est en perpétuelle évolution. Quand on pense que Chat GPT n’existait pas il y a deux ans, l’IA est vraiment en boom constant et le recul nécessaire n’est pas toujours possible.

De plus, il existe un problème de compréhension entre différents mondes, les chercheurs en informatique, les industriels, etc. qui utilisent du vocabulaire parfois similaire pour parler de choses différentes ou du vocabulaire différent pour parler des mêmes choses.

L’IA est une question qui concerne toutes les sphères de la société et parfois il manque plutôt la volonté de s’entendre pour finalement converger sur des exigences précises.

Télécom Paris Ideas