IA : bâtir une éthique de transparence et de confiance
Mélanie Gornet, doctorante à Télécom Paris, spécialiste de la régulation de l’intelligence artificielle, nov. 2024.
Quelles sont les modalités de cette mise en œuvre pour les entreprises ? Comment adapter la réglementation en fonction du secteur ou du modèle d’IA utilisé ?
Pourrait-il y avoir un risque que le règlement entre en vigueur, alors que toutes les normes ne sont pas terminées ?
Mélanie Gornet nous donne des éléments de réponse.
Sa thèse porte sur l’approche européenne de régulation de l’intelligence artificielle et elle avait précédemment travaillé avec Tiphaine Viard, maîtresse de conférence à Télécom Paris, sur les chartes éthiques des organisations en matière d’intelligence artificielle.
Propos recueillis par Isabelle Mauriac
Podcast
Retrouvez cette interview en format audio dans le cadre des podcasts Télécom Paris Ideas :
Podcast Michel Desnoues, Télécom Paris
Entretien
Cela va peut-être sembler naïf, mais déjà j’ai toujours été passionnée par l’IA, la Data Science, le Machine Learning. Je m’étais spécialisée sur ces sujets en école d’ingénieur. Ensuite j’ai étudié les aspects plus géopolitiques de cette technologie quand j’étais à Sciences Po. Et enfin, à la fin de mes études, j’ai réalisé un stage sur les aspects éthiques de l’IA. Et donc avant même de rentrer et de me lancer dans cette thèse, l’IA et son éthique me passionnaient déjà. Ppuis en avril 2021, alors que j’étais en stage de fin d’études, est sorti l’AI Act. Cela m’a vraiment intéressée à l’époque de le décortiquer avec mon regard d’ingénieur.
Après, je pense aussi personnellement qu’il est important d’étudier, derrière la technologie de l’IA, toutes les questions éthiques, sociales, légales, qui ne sont pas assez adressées. L’IA a toujours besoin d’initiatives de ce type.
Que prévoit l’IA Act ?
L’IA Act est donc le premier texte obligatoire sur l’IA, mais il est vrai que, depuis les années 2010, il existe de nombreuses chartes éthiques notamment créés par les entreprises, qui définissaient des principes assez larges sur ce qu’on appelait l’éthique de l’IA. Puis ce mouvement sur les chartes éthiques de l’IA a commencé à s’accélérer vers 2017-2018. Les réflexions étaient d’abord plus axées sur la robotique, puis ensuite sur l’IA. En 2019 sont publiées les lignes directrices en matière d’éthique du groupe d’experts de haut niveau sur l’IA de la Commission européenne, ou HLEG, l’acronyme anglais. Ce sont également de grands principes, des valeurs à respecter dans le développement et le déploiement, et même en général le cycle de vie d’une IA. Mais cela marque vraiment un tournant dans l’intérêt de l’Europe pour ces questions-là. Puis différentes publications se sont succédé jusqu’à l’arrivée en avril 2021 d’une proposition de règlement par la Commission européenne, le fameux IA Act.
Il a fallu du temps pour que cela rentre en application. D’abord, deux institutions, le Conseil et le Parlement européens ont proposé des amendements au texte, puis elles se sont réunies avec la Commission dans ce qu’on appelle un trilogue, pour s’accorder sur une version du texte votée en décembre 2023, entrée en application en août 2024 avec effectivement des exigences qui vont commencer à s’appliquer dès 2025.
Tout en haut les risques inacceptables, interdits par l’Union européenne, notamment le cas du crédit social ou de la reconnaissance faciale dans certaines conditions. Juste en dessous, une catégorie de risques qui s’appelle les systèmes à haut risque, avec des obligations beaucoup plus strictes. Puis des risques limités, c’est-à-dire des systèmes soumis à des exigences de transparence. Enfin, une dernière catégorie ne rentrant pas tout à fait dans cette pyramide-là, les modèles d’IA à usage général, notamment l’IA générative, qu’on peut utiliser dans différents cas d’applications.
À l’intérieur de cette catégorie-là, on distingue en plus les IA à risque systémique, les très gros modèles, qui vont poser un risque plus élevé, par exemple GPT-4, qui dépasse un certain seuil en termes de complexité.
Des normes sont prévues, des normes techniques, je reviendrai dessus : elles doivent entrer en vigueur pour 2025, avant l’application des exigences en août 2026. Concernant les systèmes d’IA à usage général, ce sera en août 2025, parce qu’il n’y aura pas besoin de normes, mais qu’ils vont s’appuyer, notamment, sur des codes de pratique, c’est le mot utilisé par la Commission européenne, qui viendront définir, préciser un peu plus les exigences pour les IA à usage général.
Des normes pour l’IA
Faire une norme pour IA, avant tout, c’est définir des termes. Que signifie transparence ? Que signifie, par exemple, avoir des données représentatives ? Une norme sur IA, cela peut aussi être donner des formules, des méthodes de test. Ce peut être de donner des seuils, mais on le voit assez peu pour l’IA. Pour prendre l’exemple d’un jouet, vous devez le tester avant de le vendre sur le marché européen, le tester pour la résistance au feu, vous mettez le jouet dans un four et puis vous regardez son comportement, à quelle température il résiste. Puis il y a des seuils à respecter, combien de degrés pendant combien de minutes, etc. Mais pour l’IA, définir des seuils ainsi est assez difficile. D’abord parce que la technologie est assez peu mature et, quand la technique évolue vite, il est difficile de fixer des seuils qui correspondent à un certain état de l’art.
Après, il existe aussi des critères très subjectifs avec l’IA comme l’équité et l’explicabilité. Définir un seuil est vraiment un choix très fort. Par exemple, on sait que les IA auront toujours des biais. C’est ainsi qu’une IA fonctionne. C’est-à-dire qu’un système d’IA qui sert à trier des CV de candidats va avoir un biais en faveur des personnes qui ont fait de longues études. C’est un critère logique, c’est un biais fonctionnel. Par contre, si ce même système a un biais en faveur des hommes, c’est-à-dire que s’il sélectionne plus souvent des hommes parce que ce sont des hommes, à compétence égale, dans ce cas on va dire qu’il y a une discrimination, c’est normal. C’est un biais qui n’est pas voulu.
Pour éviter d’avoir à fixer des seuils arbitraires, les organismes qui développent des normes se sont concentrés sur des normes de gouvernance, qui portent différents noms, notamment les normes de systèmes de management, de management de qualité, etc. Au lieu de définir des propriétés sur les produits eux-mêmes, on définit des exigences sur le système de production, c’est-à-dire sur les processus qui mènent à la création du produit. En fait, les entreprises doivent mettre en place des garde-fous et définir des critères de qualité. Lors des contrôles, le respect des garde-fous et des critères définis sera vérifié. Cela a l’avantage d’être très flexible et assez adapté au monde industriel, mais effectivement vous ne contrôlez jamais vraiment complètement le système. Les critères acceptables sont fixés directement par l’entreprise.
Oui, tout à fait, c’est une des critiques que j’adresse, c’est que la notion de biais dans l’IA Act n’est pas très présente. Il est vrai que les données sont une source de biais importante, on parle de garbage in, garbage out en informatique, c’est-à-dire que si vous avez des données biaisées en entrée, vous aurez un système biaisé en sortie. Mais cela n’est pas forcément une condition nécessaire et un système entraîné sur des données équilibrées peut quand même être biaisé. Cela peut venir de l’apprentissage du modèle, ou du problème lui-même qui est plus difficile sur une catégorie de données.
Par exemple, on sait qu’en reconnaissance faciale, il est plus difficile de reconnaître des visages d’enfants, parce qu’ils se ressemblent plus facilement, il est également plus difficile parfois de reconnaître des visages de femmes, parce qu’elles ont tendance à porter plus de maquillage qui peut gommer les traits de la peau.
Ces problèmes sont réellement plus difficiles à traiter et je trouve que ce sujet n’est pas assez adressé dans l’IA Act qui va juste regarder les critères de qualité des données.
Oui, c’est un peu le problème. L’une des choses sur lesquelles vraiment j’insiste, c’est qu’il y a besoin de préciser ces exigences, que ce soit effectivement sur les chartes éthiques en amont, qui définissent des principes très généraux, ou que ce soit maintenant même dans les normes, où finalement, parfois on tourne un peu en boucle, et on dit que c’est aux entreprises de définir leurs propres critères. En fait, à la fois dans les chartes et dans les normes, pour moi, il y a besoin d’aller plus loin. C’est pour cela qu’on parle d’opérationnaliser, c’est-à-dire comment faire pour mettre en application tout cela. Il existe des moyens de le faire sur les biais, il y a des pistes dans la recherche permettant de faire de la mitigation de biais, ajouter des contraintes au niveau de l’entraînement, par exemple, pour pouvoir adhérer à un certain critère d’équité. Donc on sait faire certaines choses, c’est pareil pour l’explicabilité, des méthodes d’explications sont connues, etc. Certes, c’est assez récent, mais des choses pourraient être précisées dans les normes, et aujourd’hui, le niveau reste très général.
Hauts risques
Oui, tout à fait. C’est une des choses sur lesquelles j’insiste, il est nécessaire d’aller vraiment dans le détail, encore une fois technique et sectoriel. Car c’est à la fois une question de contexte et de secteur, et à la fois une question de technologie. Par exemple, pour définir l’équité, il est besoin de définir le contexte, le secteur, etc. Les biais dans le secteur médical ne seront pas forcément les mêmes que dans le secteur judiciaire. De plus, il existe aussi le contexte de la technologie, c’est-à-dire qu’une technologie sur un modèle de langue ne présente pas les mêmes biais que la reconnaissance faciale, par exemple.
Donc à la fois sur le secteur et sur la technologie, il y a besoin d’aller plus dans le détail. Aujourd’hui, les normes définies sont horizontales pour tous les systèmes d’IA. L’IA en général, c’est trop vague. L’IA, ça peut être dans le domaine médical, dans la justice, mais ça peut être un chatbot ou un système de reconnaissance d’image.
Il est sûr que des réglementations sectorielles ne viendront pas compléter l’IA Act. Parce que cela créerait des problèmes légaux, tout simplement, d’avoir une loi sectorielle dans le domaine de la médecine, qui viendrait s’attaquer aux questions de l’IA en médecine. Finalement, cela rajouterait de l’incertitude légale par rapport aux exigences qui sont déjà appliquées par l’IAI Act. Par contre, cela pourrait tout à fait être du ressort des normes. C’est ainsi que j’insiste sur les normes techniques, que ce soient les normes ISO, ou européennes, celles du CEN-CENELEC. C’est l’endroit où, à mon sens, il est possible de renforcer l’opérationnalisation et une forme de verticalité. Après, il peut y avoir des codes de conduite volontaires mis en place par les entreprises pour préciser un peu plus les choses.
Il existe plusieurs options. Une serait de décider de passer par un autre mécanisme que la Commission européenne a mis en place dans l’IA Act, donc hors de ce que l’on appelle les spécifications communes (en fait les normes techniques mais version « Commission européenne »). Il peut y en avoir de deux sortes. Il est possible d’adopter déjà des cadres existants, ou bien choisir de développer de nouvelles normes en dehors des organismes de normalisation classiques. Pour les cadres existants, on peut penser par exemple aux normes internationales ISO, très appréciées par les professionnels. Mais elles n’ont pas été pensées pour s’appliquer à l’IA Act, donc cela risque de ne pas exactement coller, sans compter la question de souveraineté, parce que ces normes ne sont pas seulement développées par des acteurs européens. Si on écarte cette possibilité de cadres existants, l’autre possibilité est d’utiliser ces fameuses spécifications communes.
Peut-être pas complétement, d’autant que l’IA est une technologie évoluant très vite et la recherche est en perpétuelle évolution. Quand on pense que Chat GPT n’existait pas il y a deux ans, l’IA est vraiment en boom constant et le recul nécessaire n’est pas toujours possible.
De plus, il existe un problème de compréhension entre différents mondes, les chercheurs en informatique, les industriels, etc. qui utilisent du vocabulaire parfois similaire pour parler de choses différentes ou du vocabulaire différent pour parler des mêmes choses.
L’IA est une question qui concerne toutes les sphères de la société et parfois il manque plutôt la volonté de s’entendre pour finalement converger sur des exigences précises.