Nous sommes ravis de partager les perspectives de notre récent panel d'experts du webinaire réunissant Connor Dunlop (CD), Responsable de la politique publique européenne à l'Ada Lovelace Institute ; Martin Koder (MK), Responsable de la gouvernance de l'IA à SWIFT ; Chloe Autio (CA), Conseillère en politique et gouvernance de l'IA ; et Ryan Donnelly (RD), PDG chez Enzai, une solution de gouvernance de l'IA. 

‍

Les réponses des panélistes ont été éditées pour des raisons de clarté et de concision. 

‍

Après le dernier cycle de discussions sur la loi européenne sur l'IA la semaine dernière, quels sont selon vous les principaux points de blocage et quels développements espérez-vous voir de la part de l'UE l'année prochaine ? 

‍

CD : C'est un moment crucial pour Bruxelles et l'UE - il y a un accord politique sur la loi relative à l'IA. Cela marquerait la première régulation horizontale de l'IA dans le monde. C’était un moment important. Il n’y aura probablement pas beaucoup de points de blocage, mais nous en verrons quelques-uns dans la rédaction technique à venir. Mais avant de parler des points de blocage et des développements pour l'année prochaine, je veux mentionner brièvement pourquoi la loi sur l'IA est importante et pourquoi nous devrions nous soucier qu'il y ait un accord politique. Comme je l'ai mentionné, ce serait la première régulation horizontale au monde de l'IA. Et c'est intéressant parce qu'en fait, ils interdiront l'utilisation de certains systèmes d'IA. Par exemple, l'identification biométrique à distance en temps réel dans les espaces publics serait complètement interdite, avec certaines exemptions pour leur utilisation par les forces de l'ordre. Le point focal cette semaine était l'ampleur de cette exception. 

‍

Les systèmes d'IA à haut risque - selon la Commission européenne - pourraient représenter de 5 à 15 % des systèmes. Cela concernerait de nombreux cas d'utilisation dans le secteur public, par exemple dans le système juridique ou par les forces de l'ordre, ainsi que d'autres secteurs à fort impact : l'éducation, la santé, etc. La loi établira des règles concernant la gestion des risques, la gouvernance des données et veillera à ce que nous conservions une supervision humaine.  Il pourrait y avoir une nouvelle catégorie, tout juste convenue la semaine dernière - nous savons que le projet de loi classe les systèmes en systèmes interdits, systèmes à haut risque et systèmes à faible risque, et maintenant une catégorie « risque systémique » a été introduite. Cette catégorie concerne les modèles d'IA généraux. C’est là qu’il pourrait y avoir un point de blocage - en particulier, le seuil de calcul pour classer un système d’IA comme posant des risques systémiques. Actuellement, ce seuil est - de l'avis de notre institut - assez élevé. Le seuil proposé de 10^25 FLOPs ne capture qu'un modèle sur le marché, GPT-4. Gemini de Google Deepmind pourrait également être concerné, mais ce n’est pas encore clair.

‍

En ce qui concerne ce qui est à venir en 2024, le premier trimestre de l'année portera toujours sur la rédaction du langage technique de la législation. Les parties prenantes continueront d'essayer d'influencer ce processus - les considérants de la loi sur l'IA et la clarification de ce que dit le texte légal seront cruciales. Ce travail ne peut pas être négligé au début de l'année prochaine. Un développement potentiellement intéressant est l'accord sur un code de bonne pratique pour les modèles d'IA à usage général systémique. Cela débutera sous la forme d’une orientation non contraignante pour les fournisseurs d’usage général. C’est une voie pour impliquer la société civile, ce qui est vraiment important. À partir probablement du deuxième trimestre de l'année prochaine, le code de bonne pratique fera l’objet d’une attention particulière. Si cela est bien fait, cela pourrait aborder le déficit démocratique du processus de normalisation. Le dernier point à souligner serait le travail de l'UE sur une directive sur la responsabilité en matière d'IA - même si elle sera interrompue en raison des élections européennes l'année prochaine.

‍

Nous avons discuté du sujet de la sécurité de l'IA dans le contexte européen. Pendant un certain temps, les États-Unis n'ont pas pris un rôle de leader en matière de régulation, mais cela a changé maintenant avec l'ordonnance exécutive sur l'IA du président Biden. Quel est l'état d'esprit aux États-Unis ? Comment voyez-vous l'exécution de l'ordonnance exécutive au cours de l'année prochaine ?

‍

CA : Pour résumer rapidement, l’ordonnance exécutive a été publiée le 30 octobre, juste avant le sommet britannique sur l’IA. L’ordonnance exécutive était la plus longue et la plus complète de l'administration Biden à ce jour - avec 111 pages - concernant la politique technologique ou numérique. Cela démontre vraiment à quel point l'administration est intentionnelle et proactive sur cette question.

‍

L’ordonnance exécutive active 50 entités différentes, le département du Commerce assurant une grande partie de la mise en œuvre, notamment au NIST, l'Institut national des normes et de la technologie, dont vous avez peut-être entendu parler dans le contexte de leur travail sur le cadre de gestion des risques de l’IA, qui est devenu un cadre de normes volontaires de premier plan pour la gouvernance de l'IA. Elle a également créé plus de 150 nouvelles directives, c'est-à-dire des actions, des rapports, des orientations, toutes sortes de règles ou de politiques, les agences créant leurs propres rapports, à mettre en œuvre dans les 30 à 365 jours. En résumé, il y a beaucoup de travail à faire ici. Et l’accueil a été vraiment, vraiment positif.

‍

Dans mes discussions avec les gens sur Capitol Hill - et avec l'administration et l'industrie aussi - il y a beaucoup d’enthousiasme sur la feuille de route et le chemin tracés par l'ordonnance exécutive, et beaucoup de curiosité sur sa mise en œuvre. 

‍

C'est différent des précédentes ordonnances exécutives, en particulier celle de l'administration Trump concernant l'IA fiable. Il y avait beaucoup de directives dans cette ordonnance exécutive qui n'ont pas vraiment été finalisées. Et certaines d'entre elles incluent, vous savez, le catalogage des cas d'utilisation de l'IA, le développement de différentes sortes de directives de gestion des risques pour différentes agences, le Bureau de la gestion et du budget créant un mémo avec des directives sur la façon d'adopter et de mettre en œuvre l'IA de manière responsable. Rien de tout cela n'a été finalisé. Et donc je pense qu'avec cette ordonnance exécutive, le ton et le caractère, nous verrons beaucoup plus de concentration sur la mise en œuvre, et une approche gouvernementale pour y parvenir. 

‍

Il est important de comprendre qu’avant que l’ordonnance exécutive ne soit publiée, le gouvernement américain travaillait déjà beaucoup sur la gouvernance de l’IA. Bien qu’il soit vrai que le Congrès n’a pas adopté de loi omnibus générale ou de loi horizontale sur la gouvernance de l’IA comme nous l'avons vu dans l’UE, de nombreuses agences au sein du gouvernement et à travers celui-ci (l'EEOC, la commission pour l'égalité des chances en matière d'emploi ; le NIST lui-même avec le cadre de gestion des risques de l'IA ; le CFPB, le Bureau de protection financière des consommateurs) ont publié différents types de directives pour répondre à des dommages bien connus causés par l’IA. L'ordonnance exécutive s'appuie sur le grand travail que beaucoup de ces agences faisaient. Ce travail a aidé à orienter la direction de cette ordonnance exécutive.

‍

L'ordonnance exécutive aborde vraiment un vaste éventail de questions - elle se concentre sur la sécurité nationale en ce qui concerne l'accès au modèle et la protection contre les risques futurs. Il y a beaucoup d’accent mis sur la confidentialité, la protection des consommateurs et la propriété intellectuelle. 

‍

Une exigence pour les agences dans ce contexte est de cataloguer différentes sources de données, y compris celles des courtiers en données, pour vraiment comprendre les implications en matière de confidentialité – c'est-à-dire d'où proviennent les données pour ces modèles. Je pense qu'un grand nombre de membres de la société civile et de défenseurs, moi-même personnellement, je suis très intéressé de voir où cela va. L’Office des brevets et des marques des États-Unis publiera ici de nouvelles directives sur les règles de la propriété intellectuelle et les règles sur l'inventivité liée à l'IA. Ce sera vraiment intéressant aussi. 

‍

L'ordonnance exécutive se concentre également beaucoup sur l'équité et les questions de non-discrimination. Elle demande aux principales agences réglementaires du gouvernement américain, au DOJ, à l'EOC et à d'autres au sein du DHS de se réunir et de décider comment elles vont investir et peut-être élaborer de nouvelles directives pour l'application contre les préjudices causés par l'IA. Nous n'avons pas vraiment vu d'effort coordonné pour faire cela jusqu'à présent. L’ordonnance exécutive a vraiment formalisé cela. Nous nous concentrons sur des problèmes tels que la non-discrimination dans le logement, la disponibilité des prêts, des choses que nous savons tous depuis longtemps être des torts bien documentés causés par l'IA. Ce sera vraiment passionnant de voir comment le gouvernement va proposer une stratégie d'application autour de ces questions.

‍

L'ordonnance exécutive couvre également les droits des travailleurs et des employés. Elle demande aux agences de fournir des orientations sur la façon dont elles pourraient utiliser des systèmes d'IA ou de la façon dont les entrepreneurs fédéraux utilisent des systèmes d'IA dans les processus de recrutement. Nous avons tous entendu parler de l'Institut britannique sur la sécurité de l'IA. Le NIST a lui-même mis en place un Institut de la sécurité de l'IA où ils mèneront de nombreux travaux pour étudier la sécurité et la robustesse des modèles fondamentaux, développer des processus de test en équipe rouge, s'appuyant sur des processus de gestion des risques existants pour vraiment améliorer la sécurité de ces modèles.

‍

Enfin, l'ordonnance exécutive se concentre vraiment, vraiment sur le renforcement des talents de l'IA au sein du gouvernement américain. C’est une statistique triste, mais elle est réelle. Seul 1 % des doctorants en informatique et en IA aux États-Unis rejoignent la fonction publique. Nous avons une énorme quantité de professionnels très talentueux de l'IA qui se dirigent vers le secteur privé ou vers le monde universitaire ou les grands laboratoires. Mais seulement une petite partie de ces individus finissent par travailler dans le secteur public et contribuer aux objectifs et aux besoins du secteur public, améliorant ainsi les services publics. L'ordonnance exécutive crée de nouvelles règles et modifications - de petits amendements aux politiques d'immigration pour permettre aux individus formés aux États-Unis et nés à l'étranger dans le domaine de l'IA de rester aux États-Unis et de contribuer à l'écosystème américain. C'est un aperçu très général des thèmes clés qui parsèment cette ordonnance exécutive.

‍

Que se passe-t-il au Royaume-Uni ? Je sais que vous avez été étroitement impliqué dans les discussions ici, avec à la fois des leaders de l'IA et le gouvernement à Downing Street. Y a-t-il eu des progrès depuis le sommet sur la sécurité de l'IA ?

‍

RD : Pour résumer rapidement les développements au Royaume-Uni, le gouvernement a commencé avec une approche pro-innovation pour réguler l'intelligence artificielle. L'idée était de positionner le Royaume-Uni comme leader mondial de l'intelligence artificielle. Cela touche à beaucoup de points soulevés autour de la promotion des talents et de s'assurer que les organisations ne sont pas surchargées ; comment le gouvernement peut mettre en place une infrastructure qui vraiment promeut l'innovation autour de ces technologies incroyables. Le premier livre blanc à ce sujet a été publié il y a quelques années. En tant qu'entreprise, nous avons participé à ces propositions directes. Au début, cela a commencé comme une orientation et au fur et à mesure que le temps a évolué, certains des retours qu'ils ont reçus étaient que l'approche pro-innovation pour réguler l'intelligence artificielle n'avait pas de mordant. Et ils ont pris en compte ces critiques - le gouvernement devait faire un choix : doivent-ils réguler l'IA ou ne doivent-ils pas réguler l'IA ? 

‍

Le deuxième projet de l'approche pro-innovation était assez créatif. J'ai dit qu'il y avait 2 options. Il pourrait y avoir eu une troisième : le plan pour réguler l'IA au Royaume-Uni est de transférer le fardeau de la régulation sur les régulateurs sectoriels existants et de dire : « Vous êtes l'autorité de conduite financière ou l'autorité de la concurrence, vous régulez déjà votre domaine. Vous devriez aussi regarder comment l’IA est utilisée dans votre mission existante. » Cela impliquera de s'assurer que les systèmes d'IA se conforment aux principes intersectoriels. Cette approche impose une obligation à l'industrie.

‍

Il était question d'aller encore plus loin et d'introduire une loi sur l'IA et je pense que le gouvernement a effectivement examiné cela en détail. C'était une question ouverte lors du sommet sur la sécurité. À la suite du Sommet sur la sécurité, il a été décidé de ne pas essayer d'introduire de réglementations supplémentaires au Royaume-Uni. Il y avait un projet de loi supplémentaire sur les voitures autonomes et les véhicules hors route, mais il n’y a rien de semblable à la loi sur l'IA de l'Union européenne, que je pense que certains considéraient à ce moment-là. Il y aura un nouveau projet de cette approche pro-innovation au début de l'année prochaine. Et j'ai discuté de très près avec certaines personnes du DSIT à ce sujet. Il est très peu probable qu'une législation horizontale comme celle que nous avons vue en Europe soit adoptée au Royaume-Uni.

‍

L'approche est différente à bien des égards. Une des plus grandes critiques adressées à l'approche pro-innovation et au transfert du fardeau sur les régulateurs sectoriels est qu'il n'y a pas de fonction de coordination. Sans fonction centrale réunissant tout ce qui se passe dans les coulisses,  un régulateur peut interpréter un aspect de la chaîne de valeur différemment d'un autre régulateur qui peut avoir une interprétation opposée de la même question. Il y a beaucoup d'incertitude sur le marché, c'est donc un retour d'information que le gouvernement travaille à adresser à la prochaine version du livre blanc. De la même manière, la critique est presque inversée concernant la loi sur l'IA de l'UE où certains disent que c'est trop horizontal et qu'il y a besoin de prendre en compte des secteurs spécifiques et les nuances qui les accompagnent. 

‍

Nous avons maintenant discuté de différentes approches réglementaires aux États-Unis, dans l'Union européenne, au Royaume-Uni, et nous savons également qu'il y a eu des efforts similaires au Brésil, en Chine, et un peu partout dans le monde. Pourquoi la cohésion internationale serait-elle si précieuse et quels voyez-vous comme les avantages de l'établissement de normes mondiales ?

‍

MK : Je suis heureux de parler de SWIFT et de l'approche que nous adoptons pour faire face à certains de ces problèmes. En guise d'introduction, SWIFT est la Société de télécommunications financières interbancaires mondiales. Nous sommes une organisation neutre et à but non lucratif qui gère les infrastructures pour la messagerie de paiements internationaux. Nous sommes très axés sur la gouvernance. La façon dont nous parlons à nos clients, aux grandes institutions financières, est de pointer vers les capacités de gestion des risques extrêmement étendues et matures qui existent déjà auprès des fournisseurs de services financiers établis. Selon le modèle des 3 lignes de défense, nous avons la gestion des vendeurs, la gouvernance des produits, la gouvernance des données, les contrôles de sécurité, les évaluations de la confidentialité, etc. Nous avons de nombreux comités et processus et des légions de personnes qui examinent tout cela. Cela nous rapproche déjà de 70 % de l’alignement sur ce que les responsables politiques espèrent voir. 

‍

Il peut y avoir un ou deux manques dans certains domaines. Mais il pourrait s'agir d'une question d'utiliser le vocabulaire de la régulation de la gouvernance de l'IA - l'explicabilité, qui signifie en termes juridiques ce qu'est une responsabilité de risque. Et des principes comme l'équité existent déjà en tant que non-discrimination, etc. 

‍

Il pourrait donc s'agir d'extraire de tous les nombreux processus que vous avez déjà - évaluation des risques, identification, suivi de l'impact, etc. - l'information de gestion contre certaines mesures définies que les régulateurs recherchent pour une gestion responsable de l'IA et des risques de l'IA. Ces mesures couvrent différentes dimensions : l'équité, l'auditabilité, la responsabilité, l'exactitude. Et ensuite, présenter cette information d'une manière normalisée afin que les décideurs principaux de l'organisation (au niveau exécutif, au conseil d'administration, au directeur des risques, au conseiller juridique général, etc.) qui n'ont pas nécessairement beaucoup d'expertise en matière de données ou d'IA, puissent comprendre. Cela devrait être de manière répétable et qui donne à la direction des garanties sur lesquelles ils peuvent prendre des décisions et fournir des assurances qui peuvent être rendues disponibles à quiconque en exprime le besoin - qu'il s'agisse du régulateur, qu'il s'agisse de clients, qu'il s'agisse d'autres types de parties prenantes.

‍

Ce que je dirais aux clients là-bas est : ne paniquez pas. Parce que, certainement si vous êtes une institution mature, vous avez déjà une grande capacité de gestion des risques pour faire face à la gouvernance de l'IA.

‍

Sur les normes mondiales, la culture de l'entreprise, la capacité de mettre en œuvre des processus de gestion des risques génériques, ainsi que l'infrastructure que vous pouvez mettre en place, vous fourniront les résultats de conformité disponibles. Établissez vos propres normes dans votre propre contexte. Vous pouvez ensuite les réutiliser en fonction des exigences des juridictions locales à travers diverses stratégies : avoir des partenariats avec des gens dans différentes parties du monde, par exemple, parmi votre base de clients, parmi votre groupe de fournisseurs, avec des universitaires, avec des régulateurs. Vous pouvez siéger aux conseils de groupes de travail, explorer de nouvelles technologies comme les technologies de confidentialité pour comprendre quelles normes elles suivent, pour apprendre le contexte local pour certains domaines et de re-conditionner les garanties que vous pouvez fournir pour répondre aux réglementations locales. 

‍

Je pense que Connor parlait de catégories et de seuils. Je crains que ce ne soit simplement la manière dont fonctionne la réglementation. Les régulateurs créent toujours des catégories. Et puis les gens se plaignent que des choses se trouvent dans la mauvaise catégorie ou que le seuil est au mauvais niveau, mais elles changent au fil du temps. Je pense que les régulateurs ont fait un assez bon travail à l'échelle mondiale, en gardant à l'esprit que la plupart des décideurs politiques n'ont pas beaucoup d'expérience en apprentissage automatique. Le NIST est une organisation clé à suivre. Il y a tellement de bruit sur ce qui constitue les meilleures pratiques en matière de gouvernance de l'IA, comment traiter tous les différents standards réglementaires émergents. En fait, la situation s’est beaucoup dégradée l'année dernière en termes de signal par rapport au bruit. Il est beaucoup plus difficile maintenant de pénétrer à travers le bruit pour voir réellement quelles organisations vous devriez faire confiance. La meilleure chose que vous puissiez faire est de tirer parti de ce que vous avez déjà - par exemple, les 3 lignes de défense.

‍

Concernant les points de Ryan sur le Royaume-Uni, je pense que le Royaume-Uni a été plutôt intelligent sur trois dimensions. Tout d'abord, ils ont établi l'Institut britannique pour la sécurité de l'IA. Le Royaume-Uni pourra voir tous les modèles fondamentaux de pointe des entreprises américaines car ils seront vérifiés par les agences américaines et britanniques. Deuxièmement, le Royaume-Uni est toujours membre de l’organisme de normalisation habilité à fixer les normes pour la réglementation de l’UE. Dans une certaine mesure, le Royaume-Uni a toujours une place à la table en ce qui concerne la phase de normalisation de la Loi de l'UE. Troisièmement, les exigences de la Loi de l'UE pour que les entreprises démontrent qu'elles ont un système de gestion des risques en place seront une aubaine pour les cabinets de conseils professionnels, dont beaucoup sont basés à Londres. Nous pourrions donc voir un bon nombre d’entre eux obtenir une belle affaire grâce à la loi.

‍

Vous mentionnez les trois lignes de défense. C'est un concept qui est vraiment familier dans les secteurs des services financiers et des assurances, mais pas tellement dans d'autres industries. Dans quelle mesure les trois lignes de défense sont-elles applicables pour essayer de gérer les risques liés à l'IA et pensez-vous que cela devrait être quelque chose que d'autres organisations devraient envisager ?

‍

MK : Cela dépend du secteur dans lequel vous vous trouvez. En général, le message qui ressort du Sommet sur la sécurité de l'IA est que tout au long de l'histoire du monde, il y a eu certains secteurs considérés comme un peu dangereux, dont l'utilisation a rendu les gens nerveux mais qui ne le sont plus. C'est grâce aux normes de sécurité que nous avons réussi à gérer ces risques et à gagner la confiance de la société. Si nous regardons l'aviation ou le transport en général, personne ne s’inquiète de prendre l’avion car ils savent qu’il existe des vérifications de sécurité strictes et des réglementations. Si nous regardons les produits pharmaceutiques et l'approche phasée des essais cliniques, c'est une approche que certaines personnes suggèrent de prendre pour les modèles fondamentaux. Une partie de la mission des instituts de sécurité est d'examiner la transférabilité des normes de ces secteurs hautement réglementés vers l'univers de l'IA. 

‍

Les trois lignes de défense sont assez spécifiques au secteur des services financiers. Mais l’essence reste valable pour d'autres industries. La première ligne est l'entreprise, les propriétaires de produits. Ils possèdent le risque et portent la responsabilité d'identifier les risques, d'identifier les contrôles, de mettre en place les atténuations et de surveiller les résultats. La responsabilité repose sur l'entreprise. La deuxième ligne comprend tous vos partenaires de soutien - les gestionnaires de risques, les avocats, l'équipe de gouvernance des données, l'équipe de cybersécurité, etc. Ils fournissent une expertise de domaine, à travers des ateliers interdisciplinaires pour identifier tous les problèmes liés à la réponse de l'entreprise, aidant l'entreprise à réunir et enregistrer et évaluer quantitativement tous les risques par rapport à la tolérance définie du risque pour un projet particulier. La deuxième ligne vous aide dans le suivi. Et la troisième ligne est constituée des auditeurs qui viendront périodiquement vérifier que tout le travail que vous avez fait en matière d'identification et de gestion des risques est réaliste. En général, il s’agit de ce point sur l’examen des secteurs où ils ont déjà mis en place des mesures de sécurité avancées et de leur transférabilité dans ce secteur. 

‍

Il est crucial que les mesures soient spécifiques à ce que vous faites. Si vous gérez une entreprise de service en entreprise (B2B), un service de détection des anomalies de régression logistique basé sur des données tabulaires tournées vers l'arrière, les droits humains fondamentaux ne sont pas nécessairement le plus grand risque de votre utilisation de l'IA. 

‍

Nous avons abordé un point vraiment intéressant à ce sujet sur la propriété du risque. Cela nous mène directement à des questions sur la responsabilité. Où pensez-vous que la responsabilité ultime de la gestion des risques liés à l'IA se situe tout au long de la chaîne de valeur ?

‍

CD : Nous avons beaucoup réfléchi à cette question à l'Ada Lovelace Institute. Avec ce que Martin a dit, le concept des multiples lignes de défense s'adapte très bien à la chaîne de valeur de l'IA. Un des défis que nous avons rencontrés avec la loi européenne sur l'IA est une focalisation sur la phase de déploiement car ils ont pris la perspective de sécurité des produits. Dans notre recherche à l'institut, nous constatons constamment que c'est bien plus complexe que ça. Le risque peut survenir à tout moment dans la chaîne de valeur, il n'y a donc pas de réponse unique pour assigner la responsabilité. 

‍

Ce qui est clair, c'est que la responsabilité doit être allouée le long de la chaîne de valeur. Par exemple, les décisions prises à la phase de conception et de développement ou sur les données que vous alimentez dans le modèle lorsque vous l’entraînez auront certainement un impact sur les résultats même à la couche d'application lors de son déploiement. Penser à l'endroit où le risque se pose est un concept utile sur lequel se baser. L'origine du risque est très importante. La prolifération du risque aussi est un point clé pour les régulateurs à approfondir. Le risque peut proliférer, par exemple, une fois qu'il est téléchargé sur un service d'hébergement en nuage et mis à disposition via un accès API, c'est vraiment alors que quelque chose de potentiellement dangereux peut être amplifié en rendant l'accessibilité plus large. Cela peut être un excellent point d'intervention potentiel pour les régulateurs pour se poser la question de savoir où le risque prend naissance et comment il peut être atténué.

‍

Nous ne pouvons pas dire clairement où se situe la responsabilité - elle a besoin d'être partagée et elle doit être très ciblée sur l'endroit où le risque se pose. Il existe des modèles de gouvernance intéressants que nous pouvons examiner pour apprendre des autres secteurs. Par exemple, les 3 lignes de défense. La régulation des sciences de la vie aux États-Unis est l'un des éléments que nous avons examinés récemment - essentiellement à quoi pourrait ressembler une FDA pour l'IA. Nous allons publier des recherches sur ce sujet dans les prochains jours. Le point clé est d'obtenir un accès à des informations de grande valeur, pour aborder l'asymétrie d'information que nous observons entre les développeurs et les régulateurs. La FDA a accès à des informations pour réguler les dispositifs médicaux par exemple. Il existe une relation continue entre le développeur et le régulateur tout au long du cycle de vie du produit. Il existe des options permettant d'avoir des contrôles ciblés basés sur des normes spécifiques. C'est une bonne façon d'atteindre des chaînes de valeur où l'origine du risque est très floue, et c'est aussi une bonne façon pour un régulateur d'apprendre et d'améliorer ses compétences au fil du temps, en trouvant des points de contrôle où il peut accéder à des informations de valeur élevée. 

‍

Il y a une responsabilité significative avant la mise sur le marché pour les développeurs et les employeurs. Ensuite, au stade post-marché, il est nécessaire d’avoir un régulateur fort capable d’examiner le risque tout au long du cycle de vie. Cela montre probablement la deuxième et la troisième ligne de défense, qui devraient être soutenues par ce que nous appelons un écosystème d’inspection. Cela signifie l'accès aux auditeurs, comme l’a mentionné Martin, ou l'accès à des équipes rouges agréées.

‍

Le principal défi est une question d’incitations. L'acte relatif à l'IA ne fixera probablement pas d'obligations pour avoir des audits indépendants ou des tests adverses avec des équipes rouges agréées. Donc la question est, quelles sont les incitations pour les fournisseurs qui pourraient ne pas nécessairement s'ouvrir à ce type de contrôle sans accroche réglementaire. C’est ce sur quoi nous allons réfléchir à l’avenir.

‍

Nous avons une question du public qui demande : travaillez-vous sur un document de correspondance qui relie le cadre de gestion des risques NIST à la Loi sur l'IA de l'UE ?

‍

CA : Il y a eu tellement de différents exercices de correspondance avec le cadre de gestion des risques (RMF), avec la Loi sur l'IA de l'UE, avec diverses autres propositions et je suis heureuse de sortir quelques ressources et de les partager avec vous tous afin que vous puissiez les avoir. 

‍

MK : Même si un tel document existait, il n'y aura pas un moment dans le futur où nous obtiendrons une certitude juridique totale sur les exigences de chacun dans une juridiction donnée. Cela va toujours être dynamique. Nous allons toujours fonctionner avec un certain degré d'incertitude et besoin de se familiariser avec cela. Une partie de la solution consiste à développer ses propres normes, spécifiques à son propre contexte. Revenez au début et au lieu de laisser cela entre les mains des décideurs politiques, organisez-le vous-même dans votre propre contexte. Définissez certaines de vos propres normes et créez une piste d'audit à leur égard. Vous pouvez utiliser cette piste d'audit lorsque vous souhaitez donner de la transparence pour la responsabilité, à chaque étape de chaque cycle de vie.

‍

Mais je mettrai en garde quiconque contre l'idée que, si seulement ils pouvaient mettre les différentes normes et exigences des différentes juridictions dans un LLM, ou une plateforme qui cartographierait complètement les documents et tout ce qu'une organisation a besoin de faire est de cocher toutes les cases et ils sont bons, ça ne serait pas réaliste car ce sera un environnement dynamique. 

‍

RD : Je suis tout à fait d'accord. Nous publierons bientôt un guide gratuit de la politique en matière d'IA qui touche justement à ces points où vous devez adapter certains de ces cadres à votre organisation et passer en revue et comprendre ce qui vous importe. Ce n'est pas une question de simplement dérouler les choses prêtes à l'emploi. 

‍

Il y a une question sur la propriété intellectuelle et comment la propriété intellectuelle dans ce domaine va se jouer. 

‍

Ryan : Les incitations sont également une considération clé dans tout cela et les incitations ne sont pas toujours ce à quoi vous pouvez vous attendre. Pour donner un exemple de la façon dont cela se joue actuellement, il y a de profondes préoccupations liées à la propriété intellectuelle avec beaucoup de ces grands modèles fondamentaux parce qu'ils ont tiré leurs données d'absolument partout. Ce que certains des plus grands fournisseurs font - ceux qui possèdent déjà de grandes bases de données - c'est de mettre en avant des indemnisations pour violation de propriété intellectuelle, en disant "nous allons vous indemniser contre toute réclamation que quiconque pourrait jamais faire que vous auriez violé des lois sur la propriété intellectuelle n'importe où dans le monde, parce que nous sommes si certains que nous possédons toutes les données sur lesquelles ce modèle a été entraîné que nous ne pensons pas que cela arrivera jamais donc nous pouvons vous donner cette indemnisation avec confiance". Cela inspire beaucoup de confiance en ces types de produits.

‍

Plutôt que d'attendre des règles spécifiques concernant la propriété intellectuelle et ces grands modèles. Des organisations prennent l’initiative et disent, nous allons retirer ce risque des mains du client entièrement. Nous allons rendre nos outils dignes de confiance. Je pense que c'est vraiment convaincant, et cela montre comment parfois les incitations sont un peu différentes de ce que vous pourriez attendre initialement. De même, vous pouvez regarder vers le domaine de la cybersécurité où il y a beaucoup de normes élevées que les entreprises SaaS (Software as a Service) doivent respecter comme ISO/IEC 27001 et SOC 2 qui ne sont pas exigées par les régulateurs. 

‍

Mais il y a des incitations de marché pour que les organisations se conforment aux normes parce que personne n'achètera votre logiciel si vous ne vous conformez pas aux niveaux les plus élevés possibles de normes de cybersécurité pour protéger leurs données. Cette incitation de marché est parfois négligée.

‍

L'ordonnance exécutive va avoir un impact énorme, mais il y a aussi beaucoup d'initiatives au niveau des états aux États-Unis, n'est-ce pas ? Je pense par exemple à la loi locale 144 de New York, qui semble être au niveau de l'état et se concentrer sur des industries spécifiques. Comment pensez-vous que tous ces mouvements vont interagir avec le plus large projet fédéral ?

‍

CA : C'est un très bon point à soulever. Nous allons voir beaucoup d'activité étatique l'année prochaine, en particulier en l'absence d'action du Congrès. Il y a eu beaucoup de focus sur le leader de la majorité au Sénat, Chuck Schumer, et les forums d'informations sur l'IA. Il a réuni environ 10 tables rondes sur des sujets précis avec des experts en IA de premier plan, avec d'autres discussions sur des sujets pointus comme la transparence, l'explicabilité, la sécurité nationale, les biais et les droits civiques. Mais les réalités politiques à Washington sont ce qu'elles sont. Nous avons une grande élection qui approche l'année prochaine. Une élection très importante. Il est très improbable, même si nous faisons de grands progrès au Sénat sur une législation informée par les forums d'information et la mise en œuvre de l'ordonnance exécutive, que nous allons obtenir un projet de loi complet sur la ligne d'arrivée, ou que nous allons réussir à aborder de nombreux préjudices liés à l’IA qui nous préoccupent. 

‍

En réponse à ce vide, beaucoup d'états ont déjà commencé à prendre des mesures. La ville de New York a adopté la loi locale 144, qui exige des audits de biais pour tout usage de la technologie d'embauche facilitée par l'IA, pour le recrutement mais aussi pour l'emploi. Si votre entreprise effectue une sorte de surveillance des travailleurs ou des entretiens ou des vérifications qui sont facilités par la technologie IA, vous devrez effectuer une audit de biais. La mise en œuvre est encore en cours d'élaboration. Nous verrons beaucoup de projets de lois spécifiques à un secteur, ainsi que des lois renforçant les talents de l'IA et l'efficacité dans le gouvernement étatique. Concernant les lois spécifiques à un secteur, au Colorado, nous avons une loi sur les assurances qui examine comment les sources de données sont utilisées et comment les données sont analysées via l'IA pour les décisions d'assurance. Cette loi est maintenant en vigueur, avec la mise en œuvre en cours. Au Connecticut, le Sénateur d'État James Maroney a introduit un groupe de travail interétatique sur l'IA, réunissant un groupe de différents législateurs aux niveaux de l'état qui sont vraiment préoccupés par ces questions, que ce soit dans le contexte des biais et de la discrimination ou de l'intégrité des élections.

‍

Et pourriez-vous nous dire comment l'élection présidentielle de 2024 pourrait-elle avoir un impact sur l'exécution de l'ordonnance exécutive de Biden sur l'IA ? 

‍

CA : Je suis bien conscient que l’administration Biden se concentre vraiment sur l’exécution de cette ordonnance exécutive autant que possible, alors que nous nous engageons dans l'année électorale. Et en particulier dans le contexte de la dernière ordonnance exécutive sur l’IA qui n’a pas vraiment atteint son objectif en termes de mise en œuvre. Ce sera vraiment intéressant de voir ce qui arrivera l'année prochaine. Trump lui-même a déjà réellement évoqué sur le chemin de la campagne et a dit que dès le premier jour, il abrogera l’« ordonnance exécutive de Biden sur l'IA éveillée » pour protéger la liberté d'expression. Indépendamment de vos penchants politiques, je pense que ce sont des points de discussion et des positions très prévisibles, et ma conclusion ici est que la gouvernance de l'IA est une question politique aux États-Unis et qu'elle continuera à l'être, en particulier à l'approche de cette élection. Il y a beaucoup de choses à surveiller au niveau fédéral. Plus important encore, prêtez attention à ce qui se passe au niveau des états car de nombreux élus en devenir s'intéressent vraiment à travailler sur ces questions.

‍

Il y a aussi des élections en Europe l'année prochaine. Comment cela va-t-il affecter l’agenda pour la loi européenne sur l’IA, en particulier avant son entrée en vigueur ?

‍

CD : J'espère que cela ne l'affectera pas du tout. Il y a une petite chance que cela puisse l'affecter. Si oui, ils doivent terminer la rédaction technique du texte d'ici mars au plus tard pour qu’il ne soit pas affecté par les élections. Ainsi, le travail commencera principalement à partir de mars. Actuellement, cela semble qu'ils ont plus que suffisamment de temps. Je ne prévois pas de contretemps. Il pourrait y en avoir s'il y avait une opposition significative. La France pourrait intervenir de manière destructrice pour essayer de bloquer l'Acte. Si cela devait arriver, il y aurait un risque de désaccord d'ici mars. En pratique, cela signifierait que le travail est reporté en 2025, ce qui serait désordonné, pour dire le moins, car alors vous auriez de nouveaux parlementaires élus. Ce pourraient ne pas être les mêmes personnes au parlement, donc vous auriez de nouvelles personnes qui reprennent le dossier avec des priorités différentes.

Supposant qu'ils avancent, il y a une entrée en application sur 2 ans après la publication dans le journal officiel de l'UE. Ils publieront probablement le texte début 2024, donc 2026 sera l'année pour laquelle la plupart des applications d'IA doivent être conformes. Pour les modèles d'IA généraux à risque systémique, l'objectif est d'être en application un an après la publication.

‍

Cela conclut une discussion très enrichissante sur le développement et la gouvernance responsables des systèmes d’IA. Je tiens à remercier sincèrement nos panélistes, Connor, Martin, Chloe et Ryan, pour avoir partagé leur expertise et leurs perspectives. Un grand merci à tous nos participants pour nous avoir rejoints - je vous invite à poursuivre ce dialogue sur notre page d'événement et nos réseaux sociaux. 

‍

L’enregistrement complet du webinaire est disponible sur Youtube.