La révolution de l’IA

Bien que l’IA ne soit rien de nouveau (l’article fondateur d’Alan Turing sur les machines de calcul et l’intelligence a été publié pour la première fois en 1950), au cours des dernières années, nous avons constaté une croissance exponentielle à la fois des capacités de l’IA et de son adoption. Il ne fait aucun doute pourquoi : les technologies d’IA innovantes ont révolutionné pratiquement tous les secteurs, de la santé aux services financiers en passant par les industries créatives. 

Les avancées les plus récentes de l’IA générative - avec la sortie de modèles tels que GPT-4 d’Open AI, Gemini de Google et Llama de Meta - n’ont fait qu’accélérer cette tendance, à mesure que ces technologies deviennent plus largement accessibles. Mais à un accès accru s’accompagnent des risques accrus : les deepfakes et la désinformation, les biais algorithmiques et la discrimination, les enjeux de sécurité et de confidentialité des données, entre autres.    

‍

L’importance des normes

Les nouvelles formes de technologie qui ont le potentiel de transformer notre manière de vivre s’accompagnent également de nombreux risques. Lorsque nous revenons sur l’histoire et cherchons à analyser comment différentes technologies sont devenues si profondément intégrées à notre vie moderne, un schéma se dessine. Afin d’établir véritablement la confiance dans ces nouveaux systèmes, des normes ont été mises en place, soit par le biais de la réglementation, soit par la pratique du marché.

Par exemple, l’invention des systèmes électriques commerciaux dans les années 1880 a complètement transformé la société et permis d’accroître la productivité, l’efficacité et la croissance économique. Cependant, l’électricité a également exposé les individus à des dangers tels que l’électrocution et les incendies, causant des blessures et des décès. Au tournant du XXe siècle, les premières lignes directrices de sécurité électrique au Royaume-Uni ont été introduites afin de gérer les risques de cette nouvelle technologie et de prévenir les accidents. Elles ont été suivies par une série de normes relatives à l’électricité qui ont garanti que les installations soient correctement construites et entretenues afin d’éviter les risques d’incendie. La normalisation de l’alimentation électrique et de l’installation a permis la diffusion généralisée de l’électricité - à la fin des années 1930, les deux tiers des foyers britanniques étaient électrifiés, contre 6 % en 1919.

Un exemple plus récent concerne la sécurité de l’information. L’expansion d’Internet au cours des 30 dernières années a créé une industrie technologique florissante et a profondément transformé la manière dont les entreprises fonctionnent et dont les services sont proposés. Pourtant, Internet a également conduit à une explosion de la cybercriminalité, entre autres risques. Les menaces peuvent aller des attaques de phishing aux violations graves de données et au cyberterrorisme, de nouveaux types de cybercriminalité faisant régulièrement la une de l’actualité. 

‍

En réponse à ces risques, des normes de sécurité de l’information ont été élaborées. La norme ISO/IEC 27001 fournit aux organisations « des orientations pour établir, mettre en œuvre, maintenir et améliorer en continu un système de management de la sécurité de l’information ». Bien qu’ISO/IEC 27001 soit une norme et non une réglementation, elle est devenue largement स्वीकारée et requise dans les secteurs qui s’appuient sur des systèmes d’information ou tiennent des registres numériques. 

Les exemples sont innombrables - des voitures et des avions à la sécurité alimentaire et aux dispositifs médicaux. Au fil des siècles, les normes ont fourni un cadre pour l’adoption sûre des technologies innovantes, leur permettant de se développer tout en contribuant à atténuer et à gérer leurs risques. Pourquoi le développement de l’IA devrait-il être différent ?

‍

Quels sont les avantages des normes dans le domaine de l’IA ?

Les normes ont donc le potentiel de garantir que l’IA ait le même impact positif sur le monde que d’autres technologies transformatrices. Toutefois, pour que ces normes soient efficaces, nous devons d’abord examiner les types de risques qu’elles doivent chercher à atténuer. Nous en présentons ci-dessous quelques considérations clés.

‍

1. Atténuer les biais, la discrimination ou les préjudices causés aux individus

Les systèmes d’IA utilisent de grandes quantités de données pour prendre des décisions qui affectent les personnes dans une variété de tâches, du recrutement à l’octroi de prêts, en passant même par la détermination des peines, l’immigration et l’attribution de prestations sociales. Les algorithmes sont entraînés sur des ensembles de données, à partir desquels ils apprennent quelles devraient être les bonnes réponses. Le recours à l’IA peut accélérer la prise de décision, de sorte que, par exemple, le gouvernement puisse traiter davantage de demandes d’asile ou d’allocations dans le même laps de temps, réduisant ainsi les retards et améliorant la satisfaction à l’égard de ses services. 

Cependant, des éléments probants ont montré que les algorithmes reproduisent parfois les biais humains ou les amplifient, en particulier à l’encontre des minorités. Une enquête du Guardian de 2023 a mis en évidence que certains outils du gouvernement britannique produisaient des résultats discriminatoires, conduisant des dizaines de personnes à se voir retirer leurs prestations sans raison. Les biais et la discrimination exposent les organisations à d’importants risques réputationnels, ainsi qu’à des actions en justice coûteuses. 

Les normes permettent aux organisations de détecter et de signaler rapidement les biais algorithmiques potentiels, afin qu’ils puissent être corrigés avant qu’un préjudice ne survienne. Par exemple, le NIST AI Risk Management Framework et ISO 42001 (dont chacun est présenté plus en détail ci-dessous) imposent d’évaluer le risque de biais et d’examiner la qualité des ensembles de données utilisés. Une exigence courante est une évaluation initiale des risques, centrée sur la possibilité de biais inhérente au contexte du système d’IA, c’est-à-dire les désavantages historiques ou structurels auxquels certains groupes démographiques sont confrontés et que les algorithmes pourraient reproduire. 

‍

2. Davantage de transparence et de responsabilité

Les personnes devraient comprendre comment, quand et dans quels buts un système d’IA est utilisé. Cela devrait être expliqué dans un langage accessible à un large éventail de parties prenantes. Malheureusement, les utilisateurs ne sont pas toujours conscients qu’un système d’IA se trouve derrière une décision spécifique (par exemple, l’approbation d’une demande de crédit). Même lorsqu’ils savent que l’IA est utilisée, il n’existe généralement pas suffisamment d’informations sur la manière dont le système est parvenu à cette décision.

Parce que les systèmes d’IA fonctionnent avec un haut degré d’autonomie, ils peuvent prendre des décisions d’une manière que les développeurs n’avaient ni prévue ni anticipée. La responsabilité est essentielle, car elle peut aider à identifier les risques en amont - par exemple, au moyen de techniques d’assurance telles que les évaluations d’impact. Les normes garantissent que les individus et les organisations assument la responsabilité des actions et des décisions des systèmes d’IA et qu’un humain reste toujours dans la boucle.

Les normes exigent souvent que les organisations documentent des informations sur leurs systèmes d’IA, notamment les sources de données, les cas d’usage, les processus de prise de décision, les indicateurs de performance et les limites potentielles. Ces informations sont essentielles pour comprendre et communiquer le fonctionnement des algorithmes et leurs performances. De nombreuses normes renforcent la transparence en encourageant l’étiquetage des produits, grâce auquel l’utilisateur est informé qu’il interagit avec un système d’IA. Le guide de politique en matière d’IA d’Enzai fournit de précieux conseils sur la mise en œuvre de mesures de transparence et de responsabilité tout au long du cycle de vie du système d’IA.
‍

3. Gestion des risques renforcée

L’IA offre de formidables opportunités, mais s’accompagne de nombreux risques. Ceux-ci comprennent notamment le risque d’hallucinations (lorsque de grands modèles de langage génèrent de fausses informations), les atteintes à la propriété intellectuelle et les violations de la confidentialité des données. Une gestion efficace des risques réduit la probabilité de résultats négatifs et aide les organisations à instaurer la confiance avec les parties prenantes tout en préservant une solide réputation.

Les registres des risques et les évaluations des risques, courants dans les normes de gouvernance de l’IA, permettent aux organisations d’identifier, d’évaluer et d’atténuer les risques associés aux technologies d’IA.  

‍

4. Sécurité et fiabilité accrues

Parce que les systèmes d’IA sont utilisés dans de nombreux domaines critiques - la santé, la sécurité nationale et les infrastructures en sont quelques exemples - il existe un besoin fort de fiabilité et de sécurité. Les systèmes d’IA doivent être techniquement sécurisés, fonctionner comme prévu et être résilients face aux menaces de sécurité telles que les cyberattaques. Selon le National Institute of Standards and Technology (NIST), « des adversaires peuvent délibérément perturber, voire “empoisonner”, les systèmes d’IA afin de les faire dysfonctionner ».

En établissant des critères de performance, de précision, d’évolutivité et de résilience, les organisations peuvent développer des systèmes d’IA robustes et fiables, mieux à même de résister aux attaques et de les détecter rapidement si elles se produisent. 

‍

5. Conformité aux lois et réglementations

Les organisations doivent se conformer aux lois et réglementations applicables régissant l’utilisation des technologies d’IA. Bien que de nouvelles lois soient en cours d’élaboration pour répondre spécifiquement aux risques liés à l’IA, comme l’AI Act de l’UE, il n’est pas possible d’ignorer la législation existante simplement parce que le produit/service comporte un élément d’IA. Les lois sur la protection des données, les réglementations en matière de protection des consommateurs, les lois anti-discrimination et les réglementations sectorielles sont déjà en place. Le non-respect de ces obligations peut entraîner des actions en justice, des amendes, des sanctions et un préjudice réputationnel. 

Les normes ne sont pas obligatoires de la même manière que les réglementations, mais elles facilitent la conformité aux règles existantes tout en garantissant que les organisations adoptent les meilleures pratiques dans leur domaine. Les normes spécifiques à l’IA peuvent couvrir des éléments tels que les indicateurs de performance, les évaluations des risques, les analyses de cas d’usage et de nombreuses autres mesures afin de garantir une gestion efficace des risques et de créer une trace vérifiable des décisions prises.

‍

6. Confiance publique renforcée

Une confiance publique renforcée peut conduire à de meilleurs taux d’acceptation et d’adoption des technologies d’IA, ainsi qu’à des relations plus solides avec les parties prenantes et à un avantage concurrentiel sur le marché, dans la mesure où le public valorise les considérations éthiques et la fiabilité. Pour que l’IA atteigne l’échelle nécessaire et devienne cette force positive dans le monde que nous souhaiterions tous voir, elle doit gagner la confiance du public. Fixer des normes élevées quant à la manière dont la technologie est conçue, déployée et utilisée peut le permettre.

‍

Normes et cadres de gouvernance de l’IA 

Heureusement, il existe désormais un certain nombre de normes différentes disponibles dans le domaine de l’IA, qui peuvent aider les organisations à naviguer parmi les risques exposés ci-dessus. Plusieurs des principaux organismes de normalisation mondiaux, tels que le National Institute of Standards and Technology (NIST), l’Institute of Electrical and Electronics Engineers (IEEE) et l’Organisation internationale de normalisation (ISO), ont récemment publié des cadres que les organisations peuvent utiliser pour adopter des standards élevés dans le cadre de leurs programmes d’IA. 

Nous en présentons ci-dessous un bref aperçu.

ISO/IEC JTC 1/SC 42

L’ISO, avec la Commission électrotechnique internationale (IEC), a mis en place un groupe de travail technique conjoint afin de développer des normes en matière d’IA, ce qui a abouti à la publication de la norme ISO 42001. Ces normes, qui permettent aux organisations d’adopter un système de management de l’IA (AIMS) efficace, couvrent divers aspects de l’IA, notamment la terminologie, les considérations éthiques et les méthodes d’évaluation. 

Le groupe travaille désormais sur une nouvelle norme - ISO 42006 - qui définira les lignes directrices permettant aux auditeurs de mesurer efficacement le degré de conformité de chaque organisation aux exigences de la norme ISO 42001, et ce processus d’audit permettra aux organisations d’obtenir régulièrement des certifications attestant de leur conformité (à l’instar du processus relatif à la sécurité de l’information sous ISO 27001, décrit plus en détail plus haut).

‍

À noter qu’Enzai a été l’une des premières organisations au monde à proposer un système de management de l’IA complet, entièrement conforme aux exigences de la norme ISO 42001.

Le cadre de gestion des risques liés à l’IA du NIST

Le National Institute of Standards and Technology (NIST), aux États-Unis, a élaboré un cadre de gestion des risques spécifiquement destiné aux systèmes d’IA. Ce cadre fournit des orientations pour identifier, évaluer et atténuer les risques associés aux technologies d’IA, et se divise en quatre sections correspondant aux fonctions essentielles de la gouvernance de l’IA : (1) Govern ; (2) Map ; (3) Measure ; et (4) Manage. De nombreuses organisations en Amérique du Nord ont adopté le NIST AI Risk Management Framework comme boussole stratégique.

Nous avons rédigé un article de blog présentant les exigences du NIST AI RMF - voir ici. Notre solution de gouvernance de l’IA garantit que les organisations peuvent fonctionner en parfaite conformité avec ces exigences.

Les principes de l’IA de l’OCDE

L’un des efforts pionniers les plus marquants visant à établir une référence pour des standards élevés dans le domaine de l’IA est venu de l’Organisation de coopération et de développement économiques (OCDE). L’OCDE a adopté en mai 2019 un ensemble de principes pratiques et flexibles pour le développement et l’utilisation responsables de l’IA (et sa définition de l’IA a depuis été largement reprise par le texte final de l’AI Act de l’UE). Les principes de l’OCDE sur l’IA incluent des principes fondés sur les valeurs, tels que la transparence, l’équité et la responsabilité, ainsi que des recommandations à l’intention des décideurs publics.

Au-delà de ces principes, l’AI Policy Observatory de l’OCDE propose un catalogue d’outils et de métriques conçus pour aider les organisations à développer et utiliser une IA digne de confiance, y compris la plateforme de gouvernance de l’IA d’Enzai. 

World Ethical Data Foundation (WEDF) - « Me-We-It » : une norme ouverte

La norme ouverte de la WEDF est un forum en ligne gratuit et en direct, conçu autour de trois objectifs : (1) fournir des conseils pour construire une IA plus éthique afin d’aider le secteur à repartir sur des bases saines ; (2) aider le public à comprendre le processus de construction des systèmes d’IA ; et (3) créer un espace dans lequel le public peut librement poser toutes ses questions à la communauté de l’IA et de la science des données. 

Le cadre est divisé en trois sections, « Me », « We » et « It ». La WEDF les décrit comme suit : « Me » correspond à « les questions que chaque personne travaillant sur l’IA devrait se poser elle-même avant de commencer et au fur et à mesure qu’elle progresse dans le processus ». « We » correspond à « les questions que le groupe devrait se poser lui-même - en particulier pour définir la diversité nécessaire afin de réduire autant que possible les biais humains ». « It » correspond à « les questions que nous devrions poser aux individus et au groupe lorsqu’elles concernent le modèle créé et l’impact qu’il peut avoir sur notre monde ».

Adopter des normes de gouvernance de l’IA

‍

Si votre organisation cherche à mettre en œuvre des normes de gouvernance de l’IA ou à améliorer ses pratiques existantes, il peut être difficile de savoir par où commencer. Notre méthode Start Fast réunit tout ce dont vous avez besoin en trois étapes simples : (1) créer ou sélectionner des politiques et des évaluations ; (2) construire votre registre de l’IA ; et (3) commencer vos évaluations. La plateforme Enzai propose des politiques et des cadres d’évaluation prêts à l’emploi, afin de vous permettre d’adopter des normes de premier ordre qui vous distingueront de vos pairs.

‍

Si vous souhaitez en savoir plus sur la manière dont Enzai peut aider votre organisation à adopter des normes de gouvernance de l’IA et à se conformer aux futures réglementations, contactez-nous dès aujourd’hui.

‍