Cet article est le troisième d'une série complète consacrée à la gouvernance de l'intelligence artificielle.
Si vous souhaitez aborder le sujet de manière plus détaillée au travers d'un atelier-formation, vous pouvez vous inscrire à la première édition, proposée par Serda Formation, les 20 et 21 juin prochains. Tous les détails sont sur la page Gouvernance de l'IA : formation
Sommaire de la série d’articles sur la gouvernance de l'intelligence artificielle :
1ère partie : les enjeux de la gouvernance de l’intelligence artificielle
2ème partie : cartographier les risques
3ème partie : cadres réglementaires et normatifs, réflexion éthique
4ème partie : la feuille de route, qui, quoi, comment et quand (à paraitre)
5ème partie : les données (à paraitre)
6ème partie : les modèles (à paraitre)
7ème partie : audit et responsabilisation (à paraitre)
2ème partie : cartographier les risques
3ème partie : cadres réglementaires et normatifs, réflexion éthique
4ème partie : la feuille de route, qui, quoi, comment et quand (à paraitre)
5ème partie : les données (à paraitre)
6ème partie : les modèles (à paraitre)
7ème partie : audit et responsabilisation (à paraitre)
Avec ce troisième volet de notre série sur la gouvernance de l’intelligence artificielle, nous entrons dans un monde de cadres normatifs et de publications réglementaires. On en viendrait presque à regretter le Far-West de la gouvernance des données, où l’absence de normes nous a permis pendant des années de faire n’importe quoi !
Car en matière de gouvernance de l’IA, c’est finalement le contraire et, soyons sérieux, c’est une bonne nouvelle, à condition que ces cadres soient appliqués.
La situation peut être résumée ainsi :
Depuis plusieurs années, et en particulier depuis la vague dite du « big data », l’apprentissage machine et l’apprentissage profond se sont développés, dans le domaine académique, mais aussi beaucoup dans des secteurs d’activité tels que la banque (pour déterminer les droits au crédit), dans la finance (pour la détection de fraudes), dans l’industrie (pour la détection de non-qualité ou la maintenance prédictive) ; mais aussi dans l’aéronautique, la distribution, et même dans le secteur public.
Alors bien sûr, on a constaté des erreurs, des biais, des discriminations, mais chacun était conscient de cela et cherchait à corriger ses modèles pour éviter ces tendances.
Sans que l’on ait besoin de normes ou de cadres, ou très peu, l’autorégulation était la règle.
Avec le développement de l’intelligence artificielle générative, qui a touché en quelques mois le grand public, lors du lancement de ChatGPT, le monde a pris conscience de l’impact que cette technologie allait avoir sur notre vie, personnelle, sociale et professionnelle.
Ajoutons que la manière de faire de certains fournisseurs est critiquable comme OpenAI, peu soucieux dans ses données d’apprentissage de respecter la propriété des contenus. Ou tout simplement de savoir – comme nous l’avons vu dans le premier article de cette série – comment leurs modèles étaient entrainés !
La puissance financière des joueurs de l’IA aujourd’hui (les GAFAM, Nvidia, OpenAI…) fait craindre pour les conséquences du développement de ces technologies.
Du coup, tout le monde s’est emparé du sujet ! La grande mode des douze derniers mois, a été de pondre des règles, des normes d’utilisation, des guides, tout en étant bien incapables de les accompagner de méthodes de contrôle et de sanctions éventuelles dans la plupart des cas.
A ce capharnaüm s’ajoute la compétition mondiale qui conduit chaque grande région à se positionner par rapport aux autres. Comme dans le domaine des données personnelles, l’Europe tente de protéger le citoyen, l’Amérique du Nord privilégie le business, et la Chine place le gouvernement au cœur de son action.
Dans ma formation sur la gouvernance de l’IA, nous consacrons un chapitre entier à l’identification et la compréhension de l’impact de ces normes sur une entreprise qui souhaite développer différentes formes d’IA. Que dois-je connaitre ? Que dois-je respecter ? Sur quels cadres m’appuyer pour aller dans la bonne direction ?
Pour résumer le sujet, voici quelques cadres et normes qui pourraient s’appliquer à vous ; en tous cas, dont la lecture vous aidera à y voir plus claire… ou pas.
Car honnêtement, le langage politico-juridique déployé dans ces documents rebutera le plus motivé des lecteurs. Il suffit pour en juger de regarder le poids, ou le nombre de pages de ces documents, pour se rendre compte de leur imbuvabilité. Alors bien sûr, cela va nourrir de nombreux cabinets de conseil et d’avocats, qui vont se charger de vous l’expliquer et de vous aider à les mettre en place.
Commençons justement par un contre-exemple : la CNIL est un modèle en la matière, car les documents qu’elle a publiés sont clairs, synthétiques, et compréhensibles ! Bravo à la CNIL pour ce travail !
Car en matière de gouvernance de l’IA, c’est finalement le contraire et, soyons sérieux, c’est une bonne nouvelle, à condition que ces cadres soient appliqués.
La situation peut être résumée ainsi :
Depuis plusieurs années, et en particulier depuis la vague dite du « big data », l’apprentissage machine et l’apprentissage profond se sont développés, dans le domaine académique, mais aussi beaucoup dans des secteurs d’activité tels que la banque (pour déterminer les droits au crédit), dans la finance (pour la détection de fraudes), dans l’industrie (pour la détection de non-qualité ou la maintenance prédictive) ; mais aussi dans l’aéronautique, la distribution, et même dans le secteur public.
Alors bien sûr, on a constaté des erreurs, des biais, des discriminations, mais chacun était conscient de cela et cherchait à corriger ses modèles pour éviter ces tendances.
Sans que l’on ait besoin de normes ou de cadres, ou très peu, l’autorégulation était la règle.
Avec le développement de l’intelligence artificielle générative, qui a touché en quelques mois le grand public, lors du lancement de ChatGPT, le monde a pris conscience de l’impact que cette technologie allait avoir sur notre vie, personnelle, sociale et professionnelle.
Ajoutons que la manière de faire de certains fournisseurs est critiquable comme OpenAI, peu soucieux dans ses données d’apprentissage de respecter la propriété des contenus. Ou tout simplement de savoir – comme nous l’avons vu dans le premier article de cette série – comment leurs modèles étaient entrainés !
La puissance financière des joueurs de l’IA aujourd’hui (les GAFAM, Nvidia, OpenAI…) fait craindre pour les conséquences du développement de ces technologies.
Du coup, tout le monde s’est emparé du sujet ! La grande mode des douze derniers mois, a été de pondre des règles, des normes d’utilisation, des guides, tout en étant bien incapables de les accompagner de méthodes de contrôle et de sanctions éventuelles dans la plupart des cas.
A ce capharnaüm s’ajoute la compétition mondiale qui conduit chaque grande région à se positionner par rapport aux autres. Comme dans le domaine des données personnelles, l’Europe tente de protéger le citoyen, l’Amérique du Nord privilégie le business, et la Chine place le gouvernement au cœur de son action.
Dans ma formation sur la gouvernance de l’IA, nous consacrons un chapitre entier à l’identification et la compréhension de l’impact de ces normes sur une entreprise qui souhaite développer différentes formes d’IA. Que dois-je connaitre ? Que dois-je respecter ? Sur quels cadres m’appuyer pour aller dans la bonne direction ?
Pour résumer le sujet, voici quelques cadres et normes qui pourraient s’appliquer à vous ; en tous cas, dont la lecture vous aidera à y voir plus claire… ou pas.
Car honnêtement, le langage politico-juridique déployé dans ces documents rebutera le plus motivé des lecteurs. Il suffit pour en juger de regarder le poids, ou le nombre de pages de ces documents, pour se rendre compte de leur imbuvabilité. Alors bien sûr, cela va nourrir de nombreux cabinets de conseil et d’avocats, qui vont se charger de vous l’expliquer et de vous aider à les mettre en place.
Commençons justement par un contre-exemple : la CNIL est un modèle en la matière, car les documents qu’elle a publiés sont clairs, synthétiques, et compréhensibles ! Bravo à la CNIL pour ce travail !
Cadres réglementaires
Comme je l’expliquais à l’instant, c’est plutôt l’abondance de cadres que son absence qui doit nous préoccuper. Le seul travail de comparaison des cadres réglementaires occupera probablement des universitaires qui publieront des thèses sur le sujet.
Premier travail, savoir quels cadres vous sont, ou vous seront imposés. En fonction de la localisation géographique de vos activités par exemple, votre siège social est en France, donc l’IA Act européen vous concerne, mais vous avez une filiale commerciale au Canada et aux Etats-Unis, vous devez donc vous préoccuper des cadres imposés par ces deux pays. Seront-ils compatibles tous les trois ? Bonne question, et vous allez vous amuser à décortiquer les points de détails.
L’IA Act est très complet, il protège les droits fondamentaux des personnes, interdisant par exemple par les réseaux sociaux l’utilisation de l’IA pour exploiter les vulnérabilités d’une personne. Ou encore la reconnaissance d’émotions au travers de la reconnaissance faciale dans le domaine du travail et de l’éducation. Point positif, il prévoit des sanctions financières, allant jusqu’à 7,5 % du chiffre d’affaires du contrevenant.
La déclaration de Montréal est également un document intéressant. Très québécois dans le style « accomodements raisonnables », elle est déclarative. A vous signer, si vous voulez.
La France a bien entendu produit ses différents rapports, mais entre les rapports et leur mise en pratique, il y a un gouffre.
Tiens, si vous êtes dans un pays fédéral, vous pouvez rajouter un niveau de complexité. Un canton (Genève) ou une province (Québec), pourrait établir des cadres de gouvernance plus stricts que le cadre fédéral.
Mêmes les pays entre eux ne sont pas forcément d’accord. Des recommandations ont par exemple été publiées par l’université des Nations Unies, par l’OCDE. Est-ce qu’elles sont compatibles avec les cadres proposés par leurs membres ? Pas toujours.
Des cadres peuvent vous être également proposés, voir imposés, par votre secteur d’activité. Vous êtes dans la finance, dans la distribution, dans le secteur public, vous devrez surveiller ce que votre autorité de tutelle ou votre organisation professionnelle publiera. S’agira-t-il de recommandations ou d’obligations ? Ces règles sont d’ailleurs demandées par les entreprises. Une récente étude de Alteryx dévoile que 91 % des professionnels de la finance souhaitent la mise en place de réglementations et de normes concernant l’IA et l’IA générative.
Donc, par pays, par secteur d’activité, et peut-être aussi par écosystème. Un environnement très pyramidal, dans lequel un grand donneur d’ordre fait intervenir beaucoup de fournisseurs ou sous-traitants (dans l’automobile, l’aviation, la distribution), pourra donner naissance à des lignes directrices, éthiques par exemple, que les sous-traitants devront s’engager à suivre.
Premier travail, savoir quels cadres vous sont, ou vous seront imposés. En fonction de la localisation géographique de vos activités par exemple, votre siège social est en France, donc l’IA Act européen vous concerne, mais vous avez une filiale commerciale au Canada et aux Etats-Unis, vous devez donc vous préoccuper des cadres imposés par ces deux pays. Seront-ils compatibles tous les trois ? Bonne question, et vous allez vous amuser à décortiquer les points de détails.
L’IA Act est très complet, il protège les droits fondamentaux des personnes, interdisant par exemple par les réseaux sociaux l’utilisation de l’IA pour exploiter les vulnérabilités d’une personne. Ou encore la reconnaissance d’émotions au travers de la reconnaissance faciale dans le domaine du travail et de l’éducation. Point positif, il prévoit des sanctions financières, allant jusqu’à 7,5 % du chiffre d’affaires du contrevenant.
La déclaration de Montréal est également un document intéressant. Très québécois dans le style « accomodements raisonnables », elle est déclarative. A vous signer, si vous voulez.
La France a bien entendu produit ses différents rapports, mais entre les rapports et leur mise en pratique, il y a un gouffre.
Tiens, si vous êtes dans un pays fédéral, vous pouvez rajouter un niveau de complexité. Un canton (Genève) ou une province (Québec), pourrait établir des cadres de gouvernance plus stricts que le cadre fédéral.
Mêmes les pays entre eux ne sont pas forcément d’accord. Des recommandations ont par exemple été publiées par l’université des Nations Unies, par l’OCDE. Est-ce qu’elles sont compatibles avec les cadres proposés par leurs membres ? Pas toujours.
Des cadres peuvent vous être également proposés, voir imposés, par votre secteur d’activité. Vous êtes dans la finance, dans la distribution, dans le secteur public, vous devrez surveiller ce que votre autorité de tutelle ou votre organisation professionnelle publiera. S’agira-t-il de recommandations ou d’obligations ? Ces règles sont d’ailleurs demandées par les entreprises. Une récente étude de Alteryx dévoile que 91 % des professionnels de la finance souhaitent la mise en place de réglementations et de normes concernant l’IA et l’IA générative.
Donc, par pays, par secteur d’activité, et peut-être aussi par écosystème. Un environnement très pyramidal, dans lequel un grand donneur d’ordre fait intervenir beaucoup de fournisseurs ou sous-traitants (dans l’automobile, l’aviation, la distribution), pourra donner naissance à des lignes directrices, éthiques par exemple, que les sous-traitants devront s’engager à suivre.
Normes volontaires
Les organismes de normalisation comme l’ISO ont également travaillé sur le sujet. La norme la plus avancée actuellement est, de mon point de vue, la norme ISO 42001. Elle aborde l’organisation du management de l’IA, la planification des actions de contrôle, la mesure de la performance des modèles et d’autres sujets. Il reste beaucoup de choses à développer par soi-même, mais c’est un cadre intéressant.
Le travail le plus accessible et le plus vulgarisé est donc certainement celui réalisé en France par la CNIL. Sous forme de quelques fiches pratiques, la CNIL a publié ses recommandations, axées bien entendu sur la protection de la vie privée dans le cadre de l’utilisation de l’intelligence artificielle. Disponible gratuitement sur le site de la CNIL, c’est une lecture indispensable !
En conclusion, à la lecture de ces milliers de pages, je reste partagé.
Des normes et des règles, il en faut évidemment, et c’est une bonne chose que les États se soient saisis du sujet ; pour une fois pas trop tard.
En revanche, les administrations devraient se forcer à réaliser un travail d’explication, de vulgarisation. Il ne suffit pas de produire des documents illisibles, mais de s’assurer qu’ils soient une aide, un guide à l’implantation. Et que d’en suivre les préconisations soit possible – facile oserais-je dire. Sinon, n’allons pas nous plaindre par la suite que ces recommandations ne soient pas appliquées.
Par ailleurs, il faudra accompagner ces règles de contrôles (donc donner les moyens nécessaires à une autorité de contrôle qui n’existe pas encore) ; et les accompagner de sanctions, sans quoi personne ne les respectera.
On pourrait aussi appeler de nos vœux une meilleure collaboration entre les parties prenantes.
Au moins, en Europe, nous tentons de parler d’une même voix. Mais la comparaison des règles proposées par l’Europe, les Etats-Unis, le Canada, la Suisse, le Maroc, l’Afrique du Sud, les Nations Unies, etc, est un travail titanesque pour celui qui est présent dans plusieurs de ces territoires.
Tout le monde veut réglementer le sujet, et c’est une bonne chose ; mais chacun veut sa propre norme, et ça c’est inquiétant ; car cela risque d’aboutir à une incompatibilité qui laisserait de nouveau place au Far-West.
Le travail le plus accessible et le plus vulgarisé est donc certainement celui réalisé en France par la CNIL. Sous forme de quelques fiches pratiques, la CNIL a publié ses recommandations, axées bien entendu sur la protection de la vie privée dans le cadre de l’utilisation de l’intelligence artificielle. Disponible gratuitement sur le site de la CNIL, c’est une lecture indispensable !
En conclusion, à la lecture de ces milliers de pages, je reste partagé.
Des normes et des règles, il en faut évidemment, et c’est une bonne chose que les États se soient saisis du sujet ; pour une fois pas trop tard.
En revanche, les administrations devraient se forcer à réaliser un travail d’explication, de vulgarisation. Il ne suffit pas de produire des documents illisibles, mais de s’assurer qu’ils soient une aide, un guide à l’implantation. Et que d’en suivre les préconisations soit possible – facile oserais-je dire. Sinon, n’allons pas nous plaindre par la suite que ces recommandations ne soient pas appliquées.
Par ailleurs, il faudra accompagner ces règles de contrôles (donc donner les moyens nécessaires à une autorité de contrôle qui n’existe pas encore) ; et les accompagner de sanctions, sans quoi personne ne les respectera.
On pourrait aussi appeler de nos vœux une meilleure collaboration entre les parties prenantes.
Au moins, en Europe, nous tentons de parler d’une même voix. Mais la comparaison des règles proposées par l’Europe, les Etats-Unis, le Canada, la Suisse, le Maroc, l’Afrique du Sud, les Nations Unies, etc, est un travail titanesque pour celui qui est présent dans plusieurs de ces territoires.
Tout le monde veut réglementer le sujet, et c’est une bonne chose ; mais chacun veut sa propre norme, et ça c’est inquiétant ; car cela risque d’aboutir à une incompatibilité qui laisserait de nouveau place au Far-West.