La révolution de l'IA

Bien que l'intelligence artificielle ne soit pas une nouveauté (le document fondateur d'Alan Turing sur les machines informatiques et l'intelligence a été publié pour la première fois en 1950), au cours des dernières années, nous avons observé une croissance exponentielle tant des capacités de l'IA que de son adoption. Il n'y a aucun doute sur la raison : les technologies innovantes d'IA ont révolutionné pratiquement tous les secteurs, allant des soins de santé aux services financiers en passant par les industries créatives. 

Les dernières avancées en matière d'IA générative - avec la publication de modèles tels que le GPT-4 d'Open AI, Gemini de Google et Llama de Meta - n'ont fait qu'accélérer cette tendance alors que ces technologies deviennent plus largement accessibles. Mais avec un accès accru viennent également des risques accrus : les deepfakes et la désinformation, le biais algorithmique et la discrimination, les préoccupations en matière de sécurité et de confidentialité des données, parmi d'autres.    

‍

L'importance des normes

Les nouvelles formes de technologie qui ont le potentiel de changer notre mode de vie comportent également de nombreux risques. Lorsque nous regardons en arrière à travers l'histoire et essayons de comprendre comment différentes technologies sont devenues si profondément intégrées dans nos vies modernes, un schéma se dessine. Afin de vraiment établir la confiance dans ces nouveaux systèmes, des normes ont été établies soit par la régulation soit par la pratique du marché.

Par exemple, l'invention des systèmes électriques commerciaux dans les années 1880 a complètement transformé la société et permis d'accroître la productivité, l'efficacité et la croissance économique. Cependant, l'électricité a également exposé les individus à des dangers tels que l'électrocution et les incendies, entraînant des blessures et des décès. Au tournant du vingtième siècle, les premières directives de sécurité électrique au Royaume-Uni ont été introduites pour gérer les risques de cette nouvelle technologie et prévenir les accidents. Cela a été suivi d'une série de normes électriques qui ont assuré que les installations étaient correctement construites et entretenues pour éviter les risques d'incendie. La standardisation de l'approvisionnement en électricité et de l'installation a permis l'adoption généralisée de l'électricité - à la fin des années 1930, deux tiers des maisons britanniques avaient de l'électricité, contre 6% en 1919.

Un exemple plus récent concerne la sécurité de l'information. L'expansion d'Internet au cours des 30 dernières années a créé une industrie technologique florissante et a perturbé avec succès la manière dont les entreprises sont dirigées et les services sont offerts. Cependant, Internet a également conduit à une explosion de la cybercriminalité, parmi d'autres risques. Les menaces peuvent varier des attaques de phishing à de graves violations de données et au cyberterrorisme, avec de nouveaux types de cybercriminalité faisant régulièrement la une des journaux. 

‍

En réponse à ces risques, des normes de sécurité de l'information ont été développées. La norme ISO/IEC 27001 fournit aux organisations « des conseils pour établir, implémenter, maintenir et améliorer en permanence un système de gestion de la sécurité de l'information. » Même si l'ISO/IEC 27001 est une norme et non une régulation, elle est devenue largement acceptée et requise dans les secteurs qui reposent sur des systèmes d'information ou conservent des enregistrements numériques. 

Il existe d'innombrables autres exemples - des voitures et des avions, à la sécurité alimentaire et aux dispositifs médicaux. À travers les âges, les normes ont fourni un cadre pour l'adoption en toute sécurité des technologies innovantes, permettant à ces dernières de prospérer tout en travaillant à atténuer et gérer leurs risques. Pourquoi le développement de l'IA devrait-il être différent?

‍

Quels sont les avantages des normes dans le domaine de l'IA ?

Les normes ont donc le potentiel de garantir que l'IA ait le même impact positif sur le monde que d'autres technologies de transformation ont eu. Cependant, pour garantir que ces normes soient efficaces, nous devons d'abord examiner les types de risques qu'elles devraient chercher à atténuer. Nous avons défini certains des considérations clés ci-dessous.

‍

1. Atténuation des biais, de la discrimination ou des préjudices aux individus

Les systèmes d'IA utilisent des volumes de données pour prendre des décisions qui affectent les personnes dans une variété de tâches, de l'embauche à l'octroi de prêts et même la condamnation criminelle, l'immigration et la provision de prestations sociales. Les algorithmes sont entraînés sur des ensembles de données, à partir desquels ils apprennent quels devraient être les résultats corrects. L'utilisation de l'IA peut accélérer la prise de décision afin que, par exemple, le gouvernement puisse traiter plus de demandes d'asile ou de prestations dans le même laps de temps, réduisant les arriérés et améliorant la satisfaction des services. 

Cependant, les preuves ont montré que les algorithmes reproduisent parfois ou aggravent les biais humains, en particulier envers les minorités. Une enquête du Guardian en 2023 a trouvé des preuves que certains des outils du gouvernement britannique produisaient des résultats discriminatoires, conduisant des dizaines de personnes à voir leurs prestations supprimées sans raison. Les biais et la discrimination exposent les organisations à d'énormes risques réputationnels, ainsi qu'à des poursuites coûteuses. 

Les normes permettent aux organisations de détecter et de signaler les biais algorithmiques potentiels tôt, afin qu'ils puissent être corrigés avant qu'un dommage ne se produise. Par exemple, le cadre de gestion des risques d'IA du NIST et l'ISO 42001 (chacune d'entre elles étant discutée plus en détail ci-dessous) ont des exigences pour évaluer le risque de biais et examiner la qualité des ensembles de données utilisés. Une exigence commune est une évaluation initiale des risques, en se concentrant sur la possibilité de biais inhérents au contexte du système d'IA, c'est-à-dire les désavantages historiques ou structurels auxquels certaines groupes démographiques ont été confrontés que les algorithmes pourraient reproduire. 

‍

2. Transparence et responsabilité accrues

Les personnes devraient comprendre comment, quand et à quelles fins un système d'IA est utilisé. Cela doit être expliqué dans un langage accessible à une large gamme de parties prenantes. Malheureusement, les utilisateurs ne sont pas toujours conscients qu'un système d'IA est à l'origine d'une décision spécifique (par exemple, l'approbation d'une demande de crédit). Même lorsqu'ils sont conscients que l'IA est utilisée, il n'y a généralement pas assez d'informations sur la façon dont le système est parvenu à cette décision.

Parce que les systèmes d'IA fonctionnent avec un haut degré d'autonomie, ils peuvent parvenir à des décisions de manières que les développeurs n'avaient pas l'intention de voir ou anticiper. La responsabilité est essentielle, car elle peut aider à identifier les risques tôt - par exemple, grâce à des techniques d'assurance telles que les évaluations d'impact. Les normes garantissent que les individus et les organisations prennent la responsabilité des actions et des décisions des systèmes d'IA et qu'il y ait toujours un humain dans la boucle.

Les normes exigent souvent que les organisations documentent des informations sur leurs systèmes d'IA, notamment les sources de données, les cas d'utilisation, les processus de prise de décision, les indicateurs de performance et les limitations potentielles. Cette information est cruciale pour comprendre et communiquer comment les algorithmes fonctionnent et comment ils performent. De nombreuses normes augmentent la transparence en promouvant l'étiquetage des produits, où l'utilisateur est informé qu'il interagit avec un système d'IA. Le guide politique d'IA d'Enzai offre des conseils précieux sur la manière de mettre en œuvre des mesures de transparence et de responsabilité tout au long du cycle de vie du système d'IA.
‍

3. Gestion des risques améliorée

L'IA offre de grandes opportunités mais comporte de nombreux risques. Ces risques incluent des choses telles que le risque d'hallucinations (lorsque les modèles de langue créent de fausses informations), la violation de la propriété intellectuelle et les atteintes à la confidentialité des données. Une gestion efficace des risques réduit la probabilité de résultats négatifs et aide les organisations à bâtir la confiance avec les parties prenantes et à maintenir une bonne réputation.

Les registres de risques et les évaluations des risques, courants dans les normes de gouvernance de l'IA, permettent aux organisations d'identifier, d'évaluer et d'atténuer les risques associés aux technologies de l'IA.  

‍

4. Sécurité et fiabilité améliorées

Parce que les systèmes d'IA sont utilisés dans de nombreux domaines critiques - la santé, la sécurité nationale et l'infrastructure en sont quelques exemples - il existe un fort besoin de fiabilité et de sécurité. Les systèmes d'IA doivent être techniquement sécurisés, fonctionner comme prévu et être résilients face aux menaces de sécurité telles que les cyberattaques. Selon le National Institute of Standards and Technology (NIST), « les adversaires peuvent délibérément confondre voire "empoisonner" les systèmes d'IA pour les faire dysfonctionner ».

En définissant des critères de performance, de précision, de scalabilité et de résilience, les organisations peuvent développer des systèmes d'IA robustes et fiables qui peuvent mieux résister aux attaques, et qui peuvent détecter des attaques tôt si elles se produisent. 

‍

5. Conformité aux lois et règlements

Les organisations doivent se conformer aux lois et règlements pertinents régissant l'utilisation des technologies d'IA. Bien qu'il y ait de nouvelles lois venant spécifiquement pour adresser les risques de l'IA, telles que l'AI Act de l'UE, la législation existante ne peut tout simplement pas être ignorée parce que le produit/service contient un élément d'IA. Les lois sur la protection des données, les régulations de protection des consommateurs, les lois contre la discrimination et les régulations spécifiques à l'industrie sont toutes déjà en place. Le non-respect peut entraîner des défis juridiques, des amendes, des pénalités et des dommages à la réputation. 

Les normes ne sont pas obligatoires de la même manière que les régulations le sont, mais elles permettent la conformité avec les régulations existantes tout en garantissant que les organisations adoptent les meilleures pratiques dans leur domaine pertinent. Les normes spécifiques à l'IA peuvent couvrir des choses telles que les indicateurs de performance, les évaluations des risques, les analyses de cas d'utilisation et de nombreuses autres mesures pour garantir une gestion efficace des risques et créer un enregistrement auditable de la prise de décision.

‍

6. Confiance publique renforcée

Une confiance publique renforcée peut conduire à de meilleurs taux d'acceptation et d'adoption des technologies d'IA, ainsi qu'à des relations plus solides avec les parties prenantes et un avantage concurrentiel sur le marché, puisque le public valorise les considérations éthiques et la fiabilité. Pour que l'IA atteigne l'échelle et soit cette force positive dans le monde qu'on aimerait tous voir, elle doit gagner la confiance du public. Établir des normes élevées autour de la façon dont la technologie est construite, déployée et utilisée peut permettre cela.

‍

Normes et cadres de gouvernance de l'IA 

Heureusement, il existe maintenant un certain nombre de différentes normes disponibles dans le domaine de l'IA qui peuvent aider les organisations à naviguer les risques décrits ci-dessus. Certains des principaux organismes de normalisation du monde, tels que le National Institute for Standards in Technology (NIST), l'Institute of Electrical and Electronics Engineers (IEEE) et l'International Organization for Standardization (ISO) ont récemment publié des cadres que les organisations peuvent utiliser pour adopter des normes élevées autour de leurs programmes d'IA. 

Nous avons défini un bref aperçu de certains de ceux-ci ci-dessous.

ISO/IEC JTC 1/SC 42

ISO, avec la Commission électrotechnique internationale (IEC), a mis en place un groupe de travail technique conjoint pour développer des normes en matière d'IA, et cela a abouti à la publication de l'ISO 42001. Ces normes, qui permettent aux organisations d'adopter un système de gestion de l'IA (AIMS) efficace, couvrent divers aspects de l'IA, y compris la terminologie, les considérations éthiques et les méthodes d'évaluation. 

L'équipe travaille maintenant sur une nouvelle norme - ISO 42006 - qui définira les directives pour que les auditeurs mesurent efficacement la conformité des organisations individuelles aux exigences de l'ISO 42001, et ce processus d'audit permettra aux organisations de pouvoir obtenir régulièrement des certifications qu'elles sont conformes (similaire au processus autour de la sécurité de l'information selon ISO 27001, décrit plus en détail précédemment).

‍

Note, Enzai a été l'une des premières organisations au monde à offrir un système de gestion de l'IA complet en pleine conformité avec les exigences de l'ISO 42001.

Cadre de gestion des risques de NIST pour l'IA

Le National Institute of Standards and Technology (NIST) aux États-Unis a développé un cadre de gestion des risques spécifiquement pour les systèmes d'IA. Ce cadre fournit des conseils sur l'identification, l'évaluation et la réduction des risques associés aux technologies d'IA et est divisé en quatre sections pour les fonctions principales de gouvernance de l'IA : (1) Gouverner; (2) Cartographier; (3) Mesurer; et (4) Gérer. De nombreuses organisations en Amérique du Nord ont adopté le cadre de gestion des risques de NIST pour l'IA comme leur étoile polaire.

Nous avons préparé un blog décrivant les exigences du NIST AI RMF - voir ici. Notre solution de gouvernance de l'IA assure aux organisations qu'elles peuvent opérer en pleine conformité avec ces exigences.

Principes d'IA de l'OCDE

L'un des premiers efforts les plus célèbres pour établir une base de normes élevées dans le domaine de l'IA est venu de l'Organisation de Coopération et de Développement Économiques (OCDE). L'OCDE a adopté un ensemble de principes pratiques et flexibles pour le développement et l'utilisation responsable de l'IA en mai 2019 (et leur définition de l'IA a depuis été largement adoptée par le texte final de l'AI Act de l'UE). Les Principes d'IA de l'OCDE incluent des principes basés sur les valeurs telles que la transparence, l'équité et la responsabilité ainsi que des recommandations pour les décideurs politiques.

Au-delà des principes, l'Observatoire des Politiques d'IA de l'OCDE dispose d'un catalogue d'outils et de mesures conçus pour aider les organisations à développer et à utiliser une IA digne de confiance, y compris la plateforme de gouvernance d'IA d'Enzai. 

'Me-We-It' : Un Standard Ouvert de la World Ethical Data Foundation (WEDF)

Le standard ouvert du WEDF est un forum en ligne gratuit et en direct conçu avec trois objectifs : (1) donner des conseils pour construire une IA plus éthique afin d'aider l'industrie à redémarrer sur des bases saines; (2) aider le public à comprendre le processus de construction des systèmes d'IA; et (3) créer un espace où le public peut poser librement toutes les questions à la communauté de l'IA et des sciences des données. 

Le cadre est divisé en trois sections, 'Me', 'We' et 'It'. Le WEDF les décrit comme suit : 'Me' sont 'les questions que chaque individu qui travaille sur l'IA devrait se poser avant de commencer et pendant qu'il traverse le processus'. 'We' sont 'les questions que le groupe devrait se poser ensemble - en particulier, pour définir la diversité requise afin de réduire autant que possible les biais humains. 'It' sont 'les questions que nous devrions poser aux individus et au groupe alors qu'elles se rapportent au modèle en cours de création et à l'impact qu'il peut avoir sur notre monde'.

Adopter des normes de gouvernance de l'IA

‍

Si votre organisation cherche à mettre en œuvre des normes de gouvernance de l'IA ou à améliorer les pratiques existantes, il peut être difficile de savoir par où commencer. Notre méthode Start Fast contient tout ce dont vous avez besoin en trois étapes simples : (1) créer ou sélectionner des politiques et des évaluations; (2) construire votre registre d'IA; et (3) commencer vos évaluations. La plateforme Enzai dispose de politiques et de cadres d'évaluation prêts à l'emploi pour vous permettre d'adopter les normes les plus prestigieuses qui vous démarqueront de vos pairs. 

‍

Si vous souhaitez en savoir plus sur comment Enzai peut aider votre organisation à adopter des normes de gouvernance de l'IA et se conformer aux régulations à venir, contactez-nous aujourd'hui.

‍