Ce que les récentes actions de la FTC signifient pour les entreprises utilisant l'IA

La réglementation américaine de l'IA est un véritable patchwork. Pour commencer, les lois existantes à tous les niveaux s'appliquent aux systèmes d'IA. En ce qui concerne les règles générales applicables à l'IA, le AI Risk Management Framework du NIST, qui fait autorité, est volontaire, le décret de l'administration Biden sur l'IA digne de confiance et les directives complémentaires de l'OMB ne s'appliquent qu'au gouvernement fédéral, et le Colorado est actuellement le seul État à réglementer de manière générale les systèmes d'IA. D'autres juridictions, comme la ville de New York et l'Illinois, ont réglementé des cas d'utilisation spécifiques de l'IA, tels que le recrutement automatisé.

Actuellement, les directives et les actions de la Federal Trade Commission (la « FTC ») des États-Unis fournissent l'image la plus claire de la manière dont le gouvernement fédéral s'attend à ce que les entreprises déploient les systèmes d'IA. Les récentes directives de la FTC ont tenté de répondre rapidement à l'actualité. En février, la FTC a finalisé une règle interdisant l'utilisation de deepfakes d'IA pour usurper l'identité d'organisations ou d'agences gouvernementales. Le même mois, elle a mis en garde les entreprises d'IA contre la modification clandestine de leurs conditions de service avec effet rétroactif. Ces activités s'ajoutent à l'examen, sous l'angle du droit de la concurrence, des investissements et des acquisitions réalisés par les grandes entreprises technologiques. En mai, la présidente de la FTC, Lina Khan, a rédigé une tribune dans le New York Times, décrivant son approche proposée pour la réglementation de l'IA.

‍

Pourquoi l'affaire Rite Aid de décembre a-t-elle été si importante ?

En décembre 2023, la FTC a annoncé un accord avec la chaîne de pharmacies Rite Aid. Selon une plainte de la FTC, Rite Aid avait « utilisé la technologie de reconnaissance faciale dans des centaines de ses points de vente pour identifier les clients qu'elle avait préalablement jugés susceptibles de se livrer à des vols à l'étalage ou à d'autres comportements criminels ». Dans le cadre de cet accord, Rite Aid a accepté de s'abstenir de déployer des systèmes de reconnaissance faciale pendant cinq ans dans ses magasins physiques ou en ligne, et de supprimer les photos et vidéos de clients indûment utilisées dans les systèmes de reconnaissance faciale, y compris les « données, modèles et algorithmes » issus de cette utilisation.

‍

‍

Quelles sont les implications pour les organisations utilisant l'IA ?

L'accord de la FTC avec Rite Aid était remarquable à double titre. Premièrement, il a illustré l'interprétation de la discrimination liée à l'IA par la FTC. Deuxièmement, il a marqué l'utilisation continue de l'exclusion de modèles (model disgorgement ) en tant que mesure corrective.

Discrimination liée à l'IA

En ce qui concerne la discrimination liée à l'IA, la FTC a souligné que le déploiement par Rite Aid de systèmes de reconnaissance faciale ne tenait pas compte des taux élevés de faux positifs parmi les différents groupes démographiques. Elle a également suggéré que le choix des magasins pour le déploiement de la reconnaissance faciale aurait un impact discriminatoire disproportionné sur les groupes minoritaires.

Exclusion de modèles (Model Disgorgement)

La FTC a également exigé l'exclusion de modèles (« model disgorgement »), un recours relativement récent qu'elle a inauguré en 2019, qui impose à une organisation de supprimer les données, modèles et algorithmes dérivés de systèmes d'IA indûment utilisés. Depuis 2019, la FTC a déjà exigé l'exclusion de modèles dans plusieurs affaires, notamment celles concernant Cambridge Analytica, Everalbum, WW (anciennement Weight Watchers) et Ring. La FTC exigera probablement l'exclusion de modèles dans de futures mesures de contrôle de l'IA.

Enseignements

Voici quelques enseignements que les organisations devraient tirer de l'affaire Rite Aid : 

·     Réaliser des évaluations des risques liés à l'IA

·     Mettre en place des programmes de formation complets pour les employés supervisant des systèmes d'IA à haut risque

·     Prendre en compte le contexte du déploiement de l'IA, y compris les potentiels impacts discriminatoires

·     Examiner minutieusement les ensembles de données pour en vérifier l'exactitude, l'absence de biais et l'adéquation à l'usage prévu

·     Faire preuve de transparence envers les personnes sur la manière dont leurs données seront utilisées

·     Être réfléchi sur la manière et la mesure dans lesquelles les systèmes d'IA sont présentés au public et aux régulateurs

·     Évaluer les pratiques en matière de confidentialité et d'IA responsable des fournisseurs

‍

Enzai est là pour vous aider

Le produit d'Enzai peut aider votre entreprise à déployer l'IA conformément aux meilleures pratiques et aux réglementations, normes et cadres émergents, tels que la loi sur l'IA de l'UE, la loi sur l'IA du Colorado, le NIST AI RMF et l'ISO/CEI 42001. Pour en savoir plus, contactez-nous ici.

Enzai est la plateforme leader en matière de gouvernance de l'IA pour les entreprises, conçue spécifiquement pour aider les organisations à passer d'une politique abstraite à un contrôle opérationnel. Notre plateforme de gestion des risques liés à l'IA fournit l'infrastructure spécialisée requise pour gérer la gouvernance de l'IA agentielle, maintenir un inventaire complet de l'IA et garantir la conformité avec la loi sur l'IA de l'UE. En automatisant les flux de travail complexes, Enzai permet aux entreprises de faire évoluer l'adoption de l'IA en toute confiance tout en maintenant l'alignement avec les normes mondiales telles que ISO 42001 et le NIST.